Vernieuwd! Overzicht cyberaanvallen week 20-2021

Gepubliceerd op 24 mei 2021 om 15:00

Vierhonderd organisaties door Conti-ransomware aangevallen, Toyota slachtoffer cyberaanval en verzekeraar CNA betaalde ransomware groep 40 miljoen dollar losgeld. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


23 mei


Slachtoffer Cybercriminele organisatie Datum
UNIQUE TOOLING PTY LTD LV 2021-05-23
Agile Property Holdings Sodinokibi (REvil) 2021-05-23

Cybercriminelen bieden data van Air India aan voor $ 3000 op het Darkweb

Cybercriminelen bieden data van Dominos India aan voor $ 1000 op het Darkweb


22 mei

Slachtoffer Cybercriminele organisatie Datum
Saipa Press Nefilim 2021-05-22
TPG Internet Nefilim 2021-05-22
Angstrom automotive group Sodinokibi (REvil) 2021-05-22

FBI: vierhonderd organisaties door Conti-ransomware aangevallen

De groep criminelen achter de Conti-ransomware heeft wereldwijd meer dan vierhonderd organisaties aangevallen, waarvan zich er 290 in de Verenigde Staten bevinden, zo stelt de FBI. Het gaat onder andere om zorginstellingen, gemeenschappen en politiediensten. De Ierse nationale gezondheidszorg HSE werd onlangs nog slachtoffer van de Conti-ransomware, wat gevolgen had voor de dienstverlening aan patiënten. Voor het ontsleutelen van bestanden eist de groep bedragen tot wel 25 miljoen euro.

Fbi Tlp White Report Conti Ransomware Attacks Impact Healthcare And First Responder Networks 5 20 21
PDF – 933,9 KB 512 downloads

Cyberveiligheid: België als vogeltje voor de kat

Op 4 mei 2021 kreeg Belgie een ongeziene cyberaanval te verduren. Het Belgische bedrijf Belnet dat internetverkeersdiensten levert aan verschillende overheids- en onderwijsinstellingen, TaxOnWeb, MyMinFin en vele andere diensten werden getroffen. Zo lagen ook enkele boekingssites van vaccinatiecentra een tijdlang plat. Zelfs enkele zittingen in het parlement werden geschorst. De desbetreffende aanval was een DDOS aanval. Bij dat soort aanvallen worden sites bestookt met berichten van over de hele wereld. Dit gaat door totdat de website overbelast geraakt en niet meer beschikbaar is. Lees verder


21 mei


Toyota slachtoffer cyberaanval

De eerste trof de Europese activiteiten van haar dochteronderneming Daihatsu Diesel Company, een bedrijfsentiteit van Toyota die motoren ontwerpt. In een verklaring [pdf] van 16 mei zei Daihatsu dat het "op 14 mei 2021 een probleem had met de toegang tot zijn bestandsserver in het interne systeem."

20210516 1 E
PDF – 151,6 KB 550 downloads

'Verzekeraar CNA betaalde ransomwaregroep 40 miljoen dollar losgeld'

Verzekeringsmaatschappij CNA heeft de groep criminelen die het netwerk met ransomware infecteerde veertig miljoen dollar losgeld betaald voor het ontsleutelen van bestanden. Het zou mogelijk om het hoogste losgeld gaan dat voor zover bekend bij een ransomware-aanval is betaald. Dat laten bronnen tegenover persbureau Bloomberg weten.


Ransomware infecteert QNAP-systemen via lek in Hybrid Backup Sync

NAS-systemen van fabrikant QNAP die een kwetsbare versie van Hybrid Backup Sync (HBS 3) draaien zijn sinds de week van 19 april het doelwit van ransomware-aanvallen. Daarvoor waarschuwt de NAS-fabrikant in een security advisory. HBS 3 is een oplossing voor het maken en terugplaatsen van back-ups. Het ondersteunt een groot aantal lokale, remote server en cloudopslagdiensten.

Meerdere QNAP-gebruikers vonden dat ze niet goed door de NAS-fabrikant werden geholpen. Het ging onder andere om lange wachttijden voor de helpdesk. Vandaag komt QNAP met een update over de aanvallen door Qlkocker en stelt dat de ransomware misbruik maakt van het eerder genoemde lek in HBS 3. Gebruikers wordt dan ook opgeroepen om naar een nieuwere versie van de software te updaten.


Ierse rechter verbiedt ransomwaregroep om gestolen patiëntdata te publiceren

Het Ierse hooggerechtshof heeft de groep achter de Conti-ransomware verboden om gegevens die bij de Ierse nationale gezondheidszorg zijn gestolen te delen, verwerken, verkopen of publiceren. De Health Service Executive (HSE) liet het hof weten dat mogelijk alle data die het bezit gecompromitteerd is. De aanvallers, die de gezondheidszorg inmiddels een decryptietool hebben gegeven voor het ontsleutelen van de data, eisen twintig miljoen dollar om publicatie van de gestolen gegevens te voorkomen. De aanvallers hebben naar eigen zeggen zevenhonderd gigabyte aan data buitgemaakt.

Het gerechtelijke bevel is gericht tegen "onbekende personen". Naast het verbod om de gestolen data te openbaren of verspreiden, worden de aanvallers ook verplicht om zichzelf te identificeren door hun namen, adresgegevens en e-mailadressen te verstrekken. Het primaire doel van het bevel is om legitieme it-providers, zoals Google en Twitter, duidelijk te maken dat verspreiding van de gegevens niet is toegestaan, zo melden de Irish Examiner en de Independent.


DarkSide-partners claimen de bitcoin-storting van de bende op het hackerforum

Sinds de DarkSide-ransomware-operatie een week geleden werd stopgezet, hebben meerdere partners geklaagd over het feit dat ze niet zijn betaald voor eerdere services en hebben ze een claim ingediend voor bitcoins in escrow op een hackerforum. Russisch-talige cybercriminele gemeenschappen hebben doorgaans een escrow-systeem om oplichting tussen verkopers en kopers te voorkomen. Voor ransomware-operaties is de aanbetaling een duidelijke verklaring dat ze big business betekenen.


20 mei

Slachtoffer Cybercriminele organisatie Datum
FEBANCOLOMBIA Avaddon 2021-05-20
Cube Audit Ltd Avaddon 2021-05-20
Halwani Bros Ltd Avaddon 2021-05-20
Rate Rabbit Inc Avaddon 2021-05-20
JetSJ Avaddon 2021-05-20
Maryan beachwear group GmbH Avaddon 2021-05-20
360 InStore Avaddon 2021-05-20
PKMK law&finance s.r.o Avaddon 2021-05-20
SOLVERE LLC Avaddon 2021-05-20
RINGSPANN GmbH Avaddon 2021-05-20
PT. Realta Chakradarma Conti 2021-05-20
Multifeeder Lorenz 2021-05-20
Commport Communications Lorenz 2021-05-20
STEMCOR RansomEXX 2021-05-20
Ash Industries, Inc. Conti 2021-05-20
Cairns Marine Conti 2021-05-20
Cable Color S.A. de C.V. Conti 2021-05-20
B.P. MITCHELL HAULAGE CONTRACTORS LIMITED Conti 2021-05-20
Bartec Gmbh Conti 2021-05-20
Birtcher Anderson & Davis Associates, Inc. Conti 2021-05-20
Electronic Environments Co. LLC Conti 2021-05-20
Creative Liquid Coatings, Inc Conti 2021-05-20
cardinalmfg.com LV 2021-05-20
RPE CONTRACTING Conti 2021-05-20
Michael Stevens Interests, Inc. Conti 2021-05-20
MHA MacIntyre Hudson Conti 2021-05-20
Frank G. Love Envelopes, Inc. Conti 2021-05-20
ResCon Group Conti 2021-05-20
Vendrig Holding B.V. Conti 2021-05-20
TURLA SRL Conti 2021-05-20
TELCAL srl Conti 2021-05-20
Sanger & Altgelt Insurance Agents Conti 2021-05-20

Ransomwaregroep dreigt met publicatie van Ierse patiëntgegevens

De groep achter de Conti-ransomware die onlangs de systemen van de Ierse nationale gezondheidszorg versleutelde dreigt honderden gigabytes aan patiëntgegevens te zullen publiceren of verkopen tenzij de Ierse overheid twintig miljoen dollar betaalt. Als bewijs van de datadiefstal zijn van enkele patiënten al de gegevens online gezet, melden The JournalBloomberg en de Financial Times. Vanwege de aanval is de dienstverlening aan patiënten nog altijd verstoord en kunnen meerdere ziekenhuizen geen radiotherapie bieden.


'Honderden QNAP-gebruikers betalen losgeld na ransomware-infectie'

Honderden mensen met een NAS-systeem van fabrikant QNAP hebben het losgeld betaald nadat hun apparaat met ransomware besmet raakte. De NAS-systemen raakten door middel van verschillende bekende kwetsbaarheden met de Qlocker-ransomware geïnfecteerd. Deze ransomware versleutelt bestanden en eist 0,01 bitcoin voor het ontsleutelen van de data.

In de vier weken dat de ransomware actief is hebben bijna negenhonderd mensen bij elkaar zo'n 350.000 dollar betaald om hun bestanden terug te krijgen, zo stelt Bleeping Computer op basis van de bitcoin-wallets die de aanvallers gebruikten. Het bedrag kan mogelijk hoger liggen als er ook nog andere bitcoin-wallets zijn gebruikt.


Colonial Pipeline bevestigt betalen van 4,4 miljoen dollar losgeld

De Colonial Pipeline Company heeft bevestigd dat het de criminelen achter de recente ransomware-aanval 4,4 miljoen dollar losgeld heeft betaald voor het ontsleutelen van bestanden. "Ik weet dat het een zeer controversiële beslissing is", laat Colonial Pipeline-ceo Joseph Blount tegenover The Wall Street Journal weten. Volgens Blount was het geen eenvoudige beslissing. "Ik was er niet blij mee dat er geld naar dit soort mensen ging. Maar het was het juiste om te doen voor het land."


Microsoft: massale malware campagne levert nep-ransomware

De nieuwste versie van de op Java gebaseerde STRRAT-malware (1.5) werd vorige week verspreid via een enorme e-mailcampagne. Deze RAT is berucht om zijn ransomware-achtige gedrag waarbij de bestandsextensie .crimson aan bestanden wordt toegevoegd zonder ze daadwerkelijk te versleutelen.


Energy Hamburg terug met lokale programma’s na cyberaanval

Radiozender Energy Hamburg heeft de lokale programma’s weer hervat, nadat de radiozender vorige week was platgelegd door een cyberaanval. Sinds woensdag is de reguliere programmering weer te horen op der zender. Bron


19 mei

Slachtoffer Cybercriminele organisatie Datum
Finolex Cables Ltd. Conti 2021-05-19
empire physicians Medical Group Conti 2021-05-19
Iaffaldano, Shaw & Young LLP Sodinokibi (REvil) 2021-05-19
Eitan Medical N3tw0rm 2021-05-19

MountLocker ransomware gebruikt Windows API om door netwerken te worstelen

De MountLocker-ransomwarebewerking gebruikt nu Windows Active Directory-API's voor bedrijven om door netwerken te worstelen. MountLocker begon in juli 2020 te werken  als een Ransomware-as-a-Service (RaaS) waar ontwikkelaars de leiding hebben over het programmeren van de ransomwaresoftware en betalingssite. Filialen worden gerekruteerd om bedrijven te hacken en hun apparaten te versleutelen. Deze week deelde MalwareHunterTeam een voorbeeld van wat werd verondersteld een nieuw uitvoerbaar bestand van MountLocker te zijn dat een nieuwe wormfunctie bevat waarmee het zich kan verspreiden en versleutelen naar andere apparaten op het netwerk.


18 mei

Slachtoffer Cybercriminele organisatie Datum
Loudoun Mutual Insurance Company Conti 2021-05-18
ARWORLD Conti 2021-05-18
ENPOL LLC Sodinokibi (REvil) 2021-05-18
L.F. Manufacturing (LFM) Inc. Conti 2021-05-18
Hentzen Coatings, Inc. Conti 2021-05-18
HBD Industries, Inc. Conti 2021-05-18
Transports P. Fatton Inc. Conti 2021-05-18
DigiCon Technologies Limited Conti 2021-05-18
AZ INVESTIGATION Conti 2021-05-18
RIB GROUP Conti 2021-05-18
MOSS BROS GROUP Conti 2021-05-18
Mauffrey Group Conti 2021-05-18
LG CNS Conti 2021-05-18
Seifert Logistics Group Conti 2021-05-18
Riwega S.R.L. Conti 2021-05-18
OSF Healthcare System XING LOCKER 2021-05-18

'Grootste brandstofpijplijn in VS uitgeschakeld wegens zorgen over facturatie'

Het uitschakelen van de grootste brandstofpijplijn in de Verenigde Staten, wat bij duizenden tankstations voor tekorten zorgde, is gedaan wegens zorgen over de facturatie, zo laten bronnen tegenover CNN en journalist Kim Zetter weten. De ransomware-aanval tegen de Colonial Pipeline Company raakte het facturatiesysteem. De brandstofpijplijn zelf werd niet direct door de aanval getroffen.


Ransomware-aanval op Iers ministerie van Volksgezondheid afgeslagen

Niet alleen de Ierse gezondheidszorg was vorige week het doelwit van een ransomware-aanval, ook het Ierse ministerie van Volksgezondheid werd aangevallen. Deze laatste aanval kon echter worden afgeslagen. Dat meldt het Ierse National Cyber Security Centre (NCSC) in een rapport.

HSE Conti 140521 UPDATE
PDF – 379,5 KB 473 downloads

DarkSide-ransomware heeft in slechts negen maanden $ 90 (€73,8) miljoen "verdiend"

De DarkSide-ransomware-bende heeft de afgelopen negen maanden minstens €73,8 miljoen aan losgeld verzameld dat door zijn slachtoffers is betaald aan meerdere Bitcoin-portefeuilles. Ongeveer 10% van de winst kwam binnen een week van de aanval op slechts twee bedrijven, Colonial Pipeline het grootste oliepijpleidingsysteem in de Verenigde Staten en Brenntag een groot chemiedistributiebedrijf in Duitsland. Blockchain-analysebedrijf Elliptic vond en analyseerde losgeldbetalingen aan DarkSide uit 47 verschillende Bitcoin-portefeuilles. De transacties bedroegen in totaal iets meer dan €73,8 miljoen sinds oktober 2020.


Utrechts Archief eind mei weer online bereikbaar na cyberaanval: ‘Er wordt met man en macht aan gewerkt’

Het door een cyberaanval getroffen Utrechts Archief hoopt eind mei online weer geheel bereikbaar te zijn. En als de voorspelde versoepelingen vanwege corona doorgaan, zou de studiezaal aan de Alexander Numankade komende donderdag weer beperkt open mogen, laat directeur Chantal Keijsper weten. Bron


17 mei

Slachtoffer Cybercriminele organisatie Datum
Intermountain Farmers Association - IFA COUNTRY STORES Conti 2021-05-17
Tegut Nefilim 2021-05-17
The MADSACK Media Group Nefilim 2021-05-17

Experts: wijzigen van taalinstelling kan ransomware-infectie voorkomen

Door het wijzigen van de taal- en toetsenbordinstellingen van een computer kunnen infecties door ransomware worden voorkomen, zo stellen experts. Het is al jaren bekend dat verschillende malware-exemplaren, voordat ze een systeem infecteren, eerst de taal- en toetsenbordinstellingen controleren. Wanneer op het systeem de taalinstelling van bijvoorbeeld voormalige Sovjet-landen wordt aangetroffen schakelt de malware zichzelf uit.


Benzinetekort in Verenigde Staten door ransomware-aanval neemt af

Het benzinetekort aan de Amerikaanse oostkust als gevolg van de ransomware-aanval op de Colonial Pipeline Company is aan het afnemen, maar de situatie is nog altijd niet hersteld. De afgelopen dagen zaten duizenden tankstations zonder brandstof, mede door Amerikanen die op grote schaal benzine en diesel hamsterden en het feit dat er geen brandstof werd geleverd. Op het hoogtepunt moesten zestienduizend tankstations nee verkopen aan klanten.

Zaterdag meldde de Colonial Pipeline dat de werking van de pijplijn is hersteld en het brandstof weer met miljoenen liters per uur wordt vervoerd. Toch zal het nog wel even duren voordat de volledig 'supply chain' is hersteld, laat het bedrijf tegenover persbureau Reuters weten. Zo zou in Washington D.C zo'n zeventig procent van de tankstations nog altijd zonder brandstof zitten, aldus cijfers van GasBuddy.


Divisie verzekeringsmaatschappij AXA getroffen door ransomware-aanval

Een Aziatische bedrijfsdivisie van verzekeringsmaatschappij AXA is recentelijk getroffen door een ransomware-aanval. Onlangs maakte de Franse tak nog bekend dat het voortaan geen losgeld meer vergoedt dat slachtoffers van ransomware-aanvallen betalen om hun bestanden terug te krijgen of het openbaar maken van gestolen data te voorkomen.

De aanval op de bedrijfsdivisie vond volgens bronnen plaats voordat AXA Frankrijk besloot het beleid te veranderen. De aanval op de AXA-divisie is opgeëist door de groep achter de Avaddon-ransomware. De groep claimt dat het drie terabyte aan data heeft buitgemaakt, meldt de Financial Times. Het zou onder andere gaan om persoonlijke informatie van klanten, waaronder medische dossiers en verzekeringsclaims, alsmede data van ziekenhuizen en artsen.


Slachtoffer van ransomware laat zien waarom transparantie bij aanvallen belangrijk is

Aangezien verwoestende ransomware-aanvallen verstrekkende gevolgen blijven hebben, proberen bedrijven de aanvallen nog steeds te verbergen in plaats van transparant te zijn. Gelukkig zijn er ook uitzonderingen! Op 5 mei kreeg Volue, leverancier van groene energie-technologie, te maken met een Ryuk-ransomware-aanval die invloed had op enkele van hun front-end klantplatforms.


Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Identificeren van Ransomware

Upload een ransom bericht en/of een geëncrypteerd bestand om de ransomware te identificeren die uw bestanden heeft geëncrypteerd (versleuteld).


Wat is Ransomware?

Ransomware is software waarmee de computer wordt ‘gegijzeld’. Het slachtoffer kan niet meer bij zijn persoonlijke bestanden. Bij het opstarten van de computer verschijnt een melding dat een bedrag betaald moet worden om weer toegang te krijgen. Wil je meer weten over Ransomware, dan kun je hier verder lezen.

Meer weten over de historie van Ransomware klik dan hier.


Doxware

Doxware is een soort ransomware die persoonlijke gegevens aan het publiek dreigt vrij te geven als de gebruiker het losgeld niet betaalt.

De term komt van de hacker-term 'doxing' of het vrijgeven van vertrouwelijke informatie via internet. Doxware-aanvallen infecteren computers vaak via phishing-e-mails. Meer weten over doxware, dan kun je hier verder lezen.



Advies

  1. Installeer een goede virusscanner.
  2. Houd alle software up-to-date, waaronder besturingssysteem, internetbrowser, browser aanvullingen en populaire programma's, zoals Adobe Reader. Met ScanCircle zie je snel hoe je pc ervoor staat. Voor software als Adobe Flash en Java is uitschakelen aan te raden.
  3. Klik niet op bijlagen en links in e-mails, tenzij je zeker weet dat het vertrouwd is. Twijfel je, kijk dan op de Opgelicht website of de e-mail daar voorkomt. Zo niet, wacht dan een dag en controleer nogmaals of stuur hem door naar digitaalgids@consumentenbond.nl voor uitsluitsel. 
  4. Schakel geen macro's bij Office-documenten van derden, zeker niet als daar in het document om wordt gevraagd.
  5. Ransomware is vaak een uitvoerbaar .exe-bestand, vermomd als ander soort bestand, bijvoorbeeld een pdf-document. Schakel  bestandsextensies weergeven, zodat je de vermomming kunt doorzien.
  6. En tenslotte: back-ups maken! Dat is sowieso verstandig, maar bij ransomware-besmetting vaak het enige redmiddel om verlies van al je gegevens te voorkomen.

Wilt u weten hoe uw digitale veiligheid is? Doe dan hier de test en ontvang uw test score. (.../10)


Meer weekoverzichten


Ransomware nieuws


Alle het nieuws