Grote toeleverancier auto-industrie stuurt personeel naar huis wegens cyberaanval, ransomwaregroep verkoopt toegang tot netwerken van slachtoffers en Russische SVR heeft sinds mei ten minste 14 IT-supply chain-bedrijven gehackt. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Meer dan 3.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.
Status op 31 oktober 2021 : 3.610
Week overzicht
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
logcabinhomes.com | LockBit | logcabinhomes.com | USA |
Napili Kai Foundation Gallery | BlackByte | www.napilikai.com | USA |
Jobbers Meat Packing Co., Inc. | BlackMatter | Unknown | USA |
Calibrus | Haron (Midas) | www.calibrus.com | USA |
Transource Services Corp. | Grief | transource.com | USA |
National Windowscreens | Conti | www.nationalwindscreens.co.uk | UK |
Bristol Maid | Conti | www.bristolmaid.com | UK |
MJ Group | Conti | www.mjconstructiongroup.co.uk | UK |
The Insurance Emporium | Conti | www.theinsuranceemporium.co.uk | UK |
Toyotetsu North America | Conti | ttna.com | USA |
DBK Group | Conti | dbk-group.co.uk | UK |
Armour Transportation Systems | BlackMatter | armour.ca | Canada |
LINICAL | Ragnar_Locker | www.linical.com | Japan |
logi-cv.com | LockBit | logi-cv.com | Japan |
Gilberts | Conti | www.gilbertsblackpool.com | UK |
Los Gatos Tomato Products | Conti | www.losgatostomato.com | USA |
ILLUM | Conti | www.illum.dk | Denmark |
Major Wire Industries | Conti | www.majorflexmat.com | Canada |
Perrin | Conti | www.perrinwear.com | USA |
Acorn Stairlifts | Conti | www.acornstairlifts.com | USA |
Marketing Alliance Group | Conti | www.mktalliance.com | USA |
rijeka-airport.hr | LockBit | rijeka-airport.hr | Croatia |
MUTO SEIKO | AvosLocker | muto.co.jp | Japan |
DAUMAR | LV | daumar.com | Spain |
folio.com.au | LV | folio.com.au | Australia |
CRM GROUP | Haron (Midas) | crm.be | Belgium |
Bouquet Mulligan DeMaio | Haron (Midas) | www.bmdeye.com | USA |
IDSFULFILLMENT | Haron (Midas) | www.idsfulfillment.com | USA |
RWL GmbH | Haron (Midas) | www.rwl-gmbh.com | Germany |
EISENBERG HEFLER & LEVY LLP | Haron (Midas) | www.ehllaw.com | USA |
HAMTACO | Haron (Midas) | www.hamtaco.com | Iran |
CABINET CAZANAVE | Haron (Midas) | cabinetcazanave.fr | France |
Raisetech | Haron (Midas) | www.raisetech.tw | Taiwan |
EPOWER INTERNATIONAL ( SHANGHAl )CO.,LTD. | Haron (Midas) | en.epower88.cn | China |
Dongguan IMR Technology Co., Ltd | Haron (Midas) | us.imr.cc | China |
Capital Distributors (S) Pte Ltd | Haron (Midas) | www.capital.sg | Singapore |
KPS GROUP | Haron (Midas) | kpsgroup.com | USA |
Shanghai Cyeco Environmental Technology Co., Ltd. | Haron (Midas) | www.cyecomarine.com | China |
Xiamen Naier Electronics Co., Ltd. | Haron (Midas) | www.niell.cn | China |
Haiti Meat Processing SA | Haron (Midas) | Unknown | Haiti |
Consult Three Architects | Haron (Midas) | www.consult3architects.co.za | South Africa |
Trendico GmbH | Haron (Midas) | www.trendico.eu | Austria |
Pellisard | Haron (Midas) | Unknown | Unknown |
G.E.W. CORPORATION LIMITED | Haron (Midas) | www1.gewcorp.com | Hong Kong |
Siegfried Rivera Law Firm | Haron (Midas) | www.siegfriedrivera.com | USA |
Texas Enterprises, Inc. | Haron (Midas) | www.texasenterprises.com | USA |
katzmanproduce.com | LockBit | katzmanproduce.com | USA |
amina-treuhand.ch | LockBit | amina-treuhand.ch | Switzerland |
H Hotels Collection | BlackByte | www.hhotels.gr | Greece |
roadrebel.com | LockBit | roadrebel.com | USA |
pandol.com | LockBit | pandol.com | USA |
stehimpuls.de | LockBit | stehimpuls.de | Germany |
psomagen.com | LockBit | www.psomagen.com | USA |
parkhotel.mk | LockBit | www.parkhotel.mk | North Macedonia |
National Rifle Association | Grief | home.nra.org | USA |
movingstation.com | LockBit | movingstation.com | USA |
tedia.com | LockBit | tedia.com | USA |
Bakertilly | Cuba | www.bakertilly.com | USA |
lawyersforemployers.ca | LockBit | lawyersforemployers.ca | Canada |
Franklin International | Grief | franklininternational.com | USA |
fimmick | BlackMatter | www.fimmick.com | Hong Kong |
Medical Healthcare Solutions, Inc | Conti | www.medicalhealthcaresolutions.com | USA |
le-inc.com | LockBit | le-inc.com | USA |
Ideal Living | Conti | idealliving.com | USA |
Wayne Automatic Fire Sprinklers, Inc. | XING LOCKER | www.waynefire.com | USA |
idline.fr | LockBit | idline.fr | France |
ville-saintaffrique.fr | LockBit | ville-saintaffrique.fr | France |
dunndev.com | LockBit | dunndev.com | USA |
City College | CoomingProject | www.citycollege.edu | USA |
Livestream | CoomingProject | livestream.com | USA |
SEAT | CoomingProject | www.seat.es | Spain |
Aeropuerto Internacional de la Ciudad de México | CoomingProject | www.aicm.com.mx | Mexico |
MegaCine TV | CoomingProject | megacine.tv | Unknown |
EMPLOYEES FROM ORANGE TELECOM | CoomingProject | tools-learning.orange.com | France |
Zona.ba | CoomingProject | zona.ba | Bosnia and Herzegovina |
Höerskool Labori Paarl | Pysa | hslabori.co.za | South Africa |
Cenikor | Pysa | cenikor.org | USA |
Suntide Commercial Realty | Pysa | suntide.com | USA |
Motor Appliance Corporation | Pysa | macmc.com | USA |
Pfertner GmbH Immobilienverwaltung | Conti | www.pfertner.de | Germany |
cti.group | LockBit | cti.group | Austria |
MINT Investments | BlackByte | www.mintgroup.cz | Czech Republic |
JANDLMARKETING.COM | CL0P | jandlmarketing.com | USA |
SAN CARLO GRUPPO ALIMENTARE SPA | Conti | www.sancarlo.it | Italy |
Barnes Professional Eye Care | Conti | www.barnesprofessionaleyecare.com | USA |
Enviroplas | Conti | www.enviroplas.com | USA |
SLIMSTOCK.COM | CL0P | slimstock.com | Netherlands |
mediacrush.co.il | LockBit | mediacrush.co.il | USA |
MT | Hive | Unknown | Unknown |
Iran beschuldigt VS en Israël ervan achter cyberaanval te zitten
Israël en de Verenigde Staten zitten achter de cyberaanval die de brandstofverdeling in Iran platlegde. Dat zegt de Iraanse chef van cyberveiligheid Gholamreza Jalali aan verschillende media. “De onderzoeken zijn nog lopende, maar volgens onze bevindingen, zitten de Amerikanen en de Zionisten (Israeli’s, red.) hier zeker achter”, verklaarde Jalali. Als gevolg van de cyberaanval konden klanten dinsdag niet tanken met een subsidiekaart. In het land waar de benzine rijkelijk vloeit, krijgen de automobilisten een elektronische kaart van de overheid waarmee ze tot een bepaald bedrag gesubsidieerde en dus goedkope benzine kunnen tanken. Boven dat quotum geldt het “vrije” en duurdere tarief. Zonder die kaart is de brandstof twee keer zo duur. De storing veroorzaakte lange rijen aan benzinestations in de hoofdstad Teheran en andere steden. Iran sprak aanvankelijk van een “technisch defect”, maar bevestigde dat het ging om een cyberaanval. Zowel Israël als de VS hebben in het verleden cyberaanvallen op Iran uitgevoerd, die soms grote financiële problemen veroorzaakten. Hoewel Iran met de beschuldigende vinger naar Israël en de VS wijst, heeft den Iraanse groep hackers de verantwoordelijkheid voor de aanval op de tankstations al opgeëist. De groep zei dat de actie gelinkt was aan de onrust van 2019 over de gestegen benzineprijzen en een protest is tegen het doden en opsluiten van honderden demonstranten. De groep heeft de afgelopen maanden naar eigen zeggen ook aanvallen uitgevoerd op het nationale spoorwegnet en zelfs op de bewakingscamera’s van de beruchte Evin-gevangenis.
Chaos ransomware richt zich op gamers via valse Minecraft alt-lijsten
De Chaos Ransomware-bende versleutelt de Windows-apparaten van gamers via valse Minecraft-alt-lijsten die worden gepromoot op gameforums. Minecraft is een enorm populaire sandbox-videogame die momenteel door meer dan 140 miljoen mensen wordt gespeeld, en volgens de verkoopcijfers van Nintendo is het een bestseller in Japan.
TTC onderzocht een ransomware-aanval waarbij meerdere servers werden gecompromitteerd
De Toronto Transit Commission zei dat het onderzoek deed naar een ransomware-aanval die vrijdag enkele van haar communicatiesystemen vernietigde en een aantal van haar diensten aantastte. In een vrijdagavond uitgegeven verklaring zei TTC dat het donderdag voor het eerst op de hoogte werd gesteld van de aanval toen een IT-medewerker ontdekte dat er “ongewone netwerkactiviteit” was. De TTC zei dat de impact van de hack aanvankelijk “verwaarloosbaar” was, maar halverwege vrijdag “breidden de hackers hun aanval op de servers van het netwerk uit”. TTC-woordvoerder Stuart Green vertelde CP24: “Gistermiddag laat, laat in de avond kwamen we erachter. En na die dag werd het echt duidelijk. Een aantal van onze servers was gehackt.” “Voorlopig is onze prioriteit om ons systeem te beveiligen. En dan zullen we uitzoeken hoe het allemaal is gebeurd en ervoor zorgen dat het niet nog een keer gebeurt.” De aanval verlamde het zichtsysteem van TTC, dat wordt gebruikt om te communiceren met voertuigbestuurders. “We hebben een draadloze back-up, dus er is geen probleem om met de operators te communiceren”, zei Green. De hackers verwijderden ook “Next Vehicle Information System” op de schermen van het platform, reisplanning-apps, de TTC-website en het online boekingsportaal Wheel-Trans. Ook de interne e-mailservice van TTC is getroffen. “Ik praat met je op mijn persoonlijke telefoon, want we hebben geen netwerksystemen hier of netwerkservice hier op het TTC-kantoor. Dus ik heb geen e-mail. Ik heb geen internet. Dus dat is het soort ding dat nu wordt beïnvloed,” zei Stewart. De TTC merkte op dat er geen grote verstoringen van de dienstverlening waren tijdens de aanval en “er was geen risico voor de veiligheid van personeel of klanten.” READ Aandelen dalen meestal voor een week vol gegevens, Nasdaq daalt terwijl de rente op staatsobligaties stijgt. Stewart zei dat ze de politie hebben ingeschakeld en samenwerken met experts op het gebied van cyberbeveiliging, waaronder de IT-afdeling van de stad Toronto, om te bepalen wat er is gebeurd. “We denken dat we het nu hebben,” zei hij. “We moeten ‘s nachts wat testen en wat onderhoud doen om er zeker van te zijn dat onze systemen veilig zijn.” Op de vraag of de hackers contact hebben opgenomen met TTC voor losgeld, zei Stewart: “Aangezien dit strafrechtelijke onderzoeken zijn, kan ik niets zeggen over wat daar zal gebeuren, waardoor de politie haar werk, wetshandhaving, kan doen.” TTC heeft aangekondigd dat het een geplande metroafsluiting op zaterdag tussen de stations St Clair en College heeft geannuleerd. “Onze prioriteit is nu om ons systeem te beveiligen en ervoor te zorgen dat we onze klantinformatiesystemen en ons visiesysteem weer online kunnen brengen”, zei hij. “We zullen wat due diligence doen en ervoor zorgen dat we alle veiligheidsproblemen aanpakken die we hebben over de beveiliging van onze systemen.”
Hive ransomware versleutelt nu Linux- en FreeBSD-systemen
De Hive ransomware-bende versleutelt nu ook Linux en FreeBSD met behulp van nieuwe malwarevarianten die speciaal zijn ontwikkeld om deze platforms aan te vallen. Echter, zoals het Slowaakse internetbeveiligingsbedrijf ESET ontdekte, zijn de nieuwe encryptors van Hive nog in ontwikkeling en missen ze nog steeds functionaliteit. De Linux-variant bleek ook behoorlijk buggy te zijn tijdens de analyse van ESET, waarbij de codering volledig faalde toen de malware werd uitgevoerd met een expliciet pad. Het wordt ook geleverd met ondersteuning voor een enkele opdrachtregelparameter (-no-wipe). Hive's Windows-ransomware daarentegen wordt geleverd met maximaal 5 uitvoeringsopties, waaronder het doden van processen en het overslaan van het opschonen van schijven, oninteressante bestanden en oudere bestanden. De Linux-versie van de ransomware kan de codering ook niet activeren als deze wordt uitgevoerd zonder rootrechten, omdat het probeert het losgeldbriefje op de rootbestandssystemen van de gecompromitteerde apparaten te laten vallen. "Just like the Windows version, these variants are written in Golang, but the strings, package names and function names have been obfuscated, likely with gobfuscate," zegt ESET Research Labs.
#ESETresearch has identified Linux and FreeBSD variants of the #Hive #Ransomware. Just like the Windows version, these variants are written in #Golang, but the strings, package names and function names have been obfuscated, likely with gobfuscate. 1/6 pic.twitter.com/dBw0E5pj6r
— ESET research (@ESETresearch) October 29, 2021
"Opnieuw is bewezen dat internationale samenwerking cruciaal is tegen de dreiging van ransomware"
In een grote internationale operatie van politie en justitie zijn in acht landen 12 verdachten opgespoord die vermoedelijk deel uit maken van een wereldwijd netwerk van cybercriminelen. Het netwerk voerde verwoestende ransomware-aanvallen uit op de kritieke infrastructuur, zoals overheden en multinationals over de hele wereld. Deze criminele organisatie richtte zich op agressieve ontwrichting van vitale doelwitten. De aanvallen hebben vermoedelijk meer dan 1800 slachtoffers gemaakt in 71 landen. Lees verder
Nieuwe Uil Ransomware
Amigo-A vond de nieuwe Owl Ransomware die de .(OwL) extensie toevoegt en losgeldnotities met de namen !README!.txt en !README!.hta.
A new #Owl #Ransomwarehttps://t.co/fwNulkv2ZV
— Amigo-A (@Amigo_A_) October 28, 2021
Extension: .(OwL)
Full: <1st_part_of_filename>[AdminOwl@bitmessage.de]ID=XXXXXXXX.<2nd_part_of_filename.extension>.(OwL)
R/n: !README!.txt, !README!.hta
Email: AdminOwl@bitmes*, SuportOwl@mail2*
cc @demonslay335 @fbgwls245 pic.twitter.com/qxY8jlhTln
Duitse politie heeft vermeend lid van REvil-ransomwaregroep in het vizier
De Duitse politie heeft een vermeend lid van de REvil-ransomwaregroep in het vizier en zou ook een arrestatiebevel klaar hebben, zo melden de Zeit Online en de Bayerischer Rundfunk. Volgens de Duitse politie zou de Russische man één van de meesterbreinen achter de REvil-ransomware zijn en diens voorganger Gandcrab. Door middel van bitcoinbetalingen kwamen de Duitse autoriteiten de man op het spoor. De Duitse politie wil verder niets over het lopende onderzoek zeggen, maar de Bayerischer Rundfunk en Zeit Online deden onderzoek naar de verdachte, van wie ze op Instagram en andere social media allerlei informatie vonden. Zo zou de man in het zuiden van Rusland wonen in een huis met een zwembad, rijdt hij een dure BMW en draagt een horloge van tienduizenden euro's. Onderzoekers van de Duitse politie houden social media nauwlettend in de gaten, in de hoop dat ze zien waar de verdachte op vakantie naar toegaat, aldus de Duitse media. Bijvoorbeeld naar een land waar hij kan worden aangehouden en dat een uitleveringsverzoek met Duitsland heeft. Vooralsnog lijkt het erop dat de Russische man in Rusland blijft en zou hij zijn laatste vakantie in de Krim hebben doorgebracht. REvil opereert als een ransomware-as-a-service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. De REvil-ransomware kwam deze zomer groot in het nieuws toen het wereldwijd door een beveiligingslek in de software van Kaseya werd verspreid. De Russische man zou één van de personen achter de REvil-ransomware zijn aan wie criminelen een deel van het losgeld moeten afdragen, hoewel onlangs bekend werd dat de REvil-groep haar partners ook oplicht en onderhandelingen overneemt om zo het volledige losgeldbedrag in handen te krijgen.
Voip-providers afgelopen weken afgeperst met ddos-aanvallen
Meerdere internationale voip-providers zijn de afgelopen vier weken het doelwit geworden van ddos-aanvallen, zo stelt de Britse branchevereniging Comms Council UK. Volgens de organisatie zijn de aanvallen onderdeel van een gecoördineerde internationale afpersingscampagne die het werk is van "professionele cybercriminelen". "Aangezien onze leden telecomdiensten aan vitale infrastructuurorganisaties leveren, waaronder de politie, nationale gezondheidszorg en andere publieke diensten, zijn aanvallen op onze leden aanvallen op het fundament van de Britse infrastructuur", aldus Comms Council UK. Namen van getroffen providers zijn niet gegeven, maar eerder lieten Voipfone, VoIP.ms, Voip Unlimited en Bandwith weten dat ze door ddos-aanvallen waren getroffen. Cloudflare meldde begin deze maand dat er een toename was van ddos-aanvallen op voip-providers. Hoewel de aanvallen al enige weken gaande zijn meldt Voipfone dat het hier nog altijd last van heeft.
Nieuwe Sabbat ransomware
Amigo-A vond de nieuwe Owl Ransomware die de .54bb47h- extensie toevoegt aan versleutelde bestanden.
A new #Sabbath (#54bb47h) #Ransomwarehttps://t.co/jGPyVfwCSI
— Amigo-A (@Amigo_A_) October 28, 2021
Extension: .54bb47h
Information on the Tor site 54bb47h***.onion pic.twitter.com/7NRQxK3wmm
Avast brengt gratis decryptietool uit voor Babuk- en LockFile-ransomware
Antivirusbedrijf Avast heeft een gratis decryptietool voor de AtomSilo- Babuk- en LockFile-ransomware uitgebracht waarmee slachtoffers hun bestanden kosteloos kunnen ontsleutelen. Onlangs liet Google nog weten dat Babuk tot de meest actieve ransomware-exemplaren van het afgelopen jaar behoort en in juli nog voor een piek in het aantal ransomware-exemplaren zorgde. In september lekte de broncode van Babuk op internet, samen met een aantal decryptiesleutels. Op basis van de gelekte broncode en decryptiesleutels heeft Avast een gratis decryptietool kunnen ontwikkelen. De LockFile-ransomware kwam eerder dit jaar in het nieuws omdat het via kwetsbare Exchange-servers meerdere organisaties wist te infecteren. De AtomSilo-ransomware is nagenoeg gelijk aan LockFile, aldus Avast. Beveiligingsonderzoeker Jirí Vinopal liet onlangs via Twitter weten dat hij erin was geslaagd AtomSilo te kraken. Een kwetsbaarheid in de ransomware maakt het mogelijk om bestanden zonder te betalen te ontsleutelen. Aangezien AtomSilo en LockFile nagenoeg identiek zijn is de kwetsbaarheid ook in de laatstgenoemde aanwezig. Avast gebruikte de informatie van Vinopal voor het ontwikkelen van een gratis decryptietool. Wat de kwetsbaarheid precies inhoudt is niet bekendgemaakt. Daarnaast kan de decryptietool niet alle bestanden ontsleutelen, zo laat het antivirusbedrijf weten.
Ransomware-bendes gebruiken SEO-vergiftiging om bezoekers te infecteren
Onderzoekers hebben twee campagnes gezien die verband houden met de REvil-ransomwarebende of de achterdeur van SolarMarker die SEO-vergiftiging gebruiken om payloads aan doelen te leveren. SEO-vergiftiging, ook wel 'zoekvergiftiging' genoemd, is een aanvalsmethode die afhankelijk is van het optimaliseren van websites met behulp van 'black hat'-SEO-technieken om hoger te scoren in de zoekresultaten van Google. Vanwege hun hoge positie geloven slachtoffers die op deze sites terechtkomen dat ze legitiem zijn, en acteurs genieten van een grote toestroom van bezoekers die op zoek zijn naar specifieke zoekwoorden.
Grote toeleverancier auto-industrie stuurt personeel naar huis wegens cyberaanval
De Eberspacher Group, een grote toeleverancier van de auto-industrie die vorig jaar een omzet van 4,9 miljard euro had, heeft personeel wegens een cyberaanval naar huis gestuurd. Het bedrijf telt zo'n tienduizend medewerkers die onder andere in tachtig fabrieken in 28 landen actief zijn. Eberspacher bouwt onder andere airconditionings-, verwarmings- en uitlaatsystemen voor alle grote autofabrikanten. Op de eigen website meldt de Eberspacher Group dat het doelwit van een "georganiseerde cyberaanval" is geworden waardoor de it-infrastructuur is verstoord. Verder stelt de toeleverancier dat het maatregelen heeft genomen om de aanval tegen te gaan, maar wat die inhouden is onbekend. Er wordt inmiddels gewerkt aan het herstel van de bedrijfsvoering. Vanwege de aanval zijn verschillende shifts in de fabrieken geschrapt en personeel naar huis gestuurd, zo laten Duitse en Zweedse media weten. Ook zou het bedrijf door de aanval telefonisch onbereikbaar zijn. Via Twitter meldt Eberspacher dat EasyStart, waarmee autobezitters de verwarming in de auto op afstand kunnen inschakelen, weer online is. Verdere details over de aanval zijn niet gegeven, hoewel sommige beveiligingsonderzoekers vermoeden dat het om ransomware gaat. Een woordvoerder van het Duitse openbaar ministerie laat aan persbureau DPA weten dat er een onderzoek is ingesteld naar mogelijke computersabotage en een poging tot afpersing.
Europees cyberagentschap: RDP en phishing de voornaamste aanvalsvector
Ransomware was het afgelopen jaar de grootste cyberdreiging, zo stelt het Europees Agentschap voor cyberbeveiliging (ENISA) in een vandaag verschenen rapport. Phishingmails en bruteforce-aanvallen op RDP (remote desktop protocol)-accounts zijn de voornaamste manieren waarop organisaties met ransomware besmet raken. Lees verder
De 10 beste manieren waarop ransomware-operators de druk om te betalen opvoeren
Ransomware-operators richten zich niet alleen op systemen en gegevens, ze richten zich ook op mensen in hun steeds grotere inspanningen om het slachtoffer te laten betalen. Ransomware bestaat al tientallen jaren en blijft floreren, vooral omdat ransomware-operators snel evolueren en zich aanpassen naarmate het cyberbeveiligingslandschap vordert. Nu organisaties bijvoorbeeld beter zijn geworden in het maken van back-ups van hun gegevens en in staat zijn versleutelde bestanden van back-ups te herstellen, zijn aanvallers begonnen hun aanpak van het eisen van losgeld in ruil voor decoderingssleutels aan te vullen met aanvullende afpersingsmaatregelen om de druk op te voeren. betalen.
Evenementenorganisator MCH Group getroffen door malware-aanval
De Zwitserse evenementenorganisator MCH Group is vorige week het slachtoffer geworden van een aanval met malware, waardoor systemen onbeschikbaar zijn geworden. MCH Group verzorgt wereldwijd allerlei evenementen en exhibities. Het bedrijf had in 2019 nog een omzet van 418 miljoen euro, waarmee het één van de grotere evenementenorganisators wereldwijd is. In een verklaring stelt MCH Group dat het afgelopen woensdag door een cyberaanval met malware is getroffen. Daarbij zijn er maatregelen genomen om de schade zo goed als mogelijk te beperken, maar wat die inhouden is niet bekendgemaakt. Het beursgenoteerde bedrijf zegt dat het druk bezig is om alle systemen zo snel mogelijk weer beschikbaar te krijgen. De aanval heeft geen gevolgen voor huidige en geplande evenementen. Er is aangifte gedaan bij de politie.
FBI: dertig Amerikaanse bedrijven besmet door Ranzy Locker-ransomware
Het afgelopen jaar zijn meer dan dertig Amerikaanse bedrijven besmet geraakt met de Ranzy Locker-ransomware, waaronder bouwbedrijven, overheidsinstanties, it-bedrijven en transportondernemingen, zo stelt de FBI. In de meeste gevallen wisten de aanvallers binnen te komen via bruteforce-aanvallen op RDP (remote desktop protocol)-accounts. Daarnaast maken de aanvallers gebruik van phishing en kwetsbaarheden in Microsoft Exchange om toegang tot netwerken te krijgen. Zodra er toegang is verkregen zoeken de aanvallers naar waardevolle bestanden om te stelen, zoals klantgegevens, persoonsgegevens en financiële documenten. Hierna wordt data op besmette systemen versleuteld. Slachtoffers moeten losgeld betalen voor het ontsleutelen van bestanden of publicatie van gestolen data te voorkomen. De FBI laat weten dat de aanvallers nieuwe accounts kunnen aanmaken op domeincontrollers, servers, workstations en active directories. Bij zeker drie slachtoffers zijn accounts met de naam "felix" aangetroffen. Om besmettingen te voorkomen of de impact te beperken geeft de opsporingsdienst verschillende adviezen, waaronder offline opslag van back-ups, netwerksegmentatie, het controleren op nieuwe accounts en het uitschakelen van hyperlinks in e-mails.
Een interview met LockBit: het risico om zelf gehackt te worden is altijd aanwezig
Hoewel de LockBit ransomware-groep sinds september 2019 actief is, tot juni van dit jaar, waren ze een marginale speler in het ransomware-landschap. Maar na de implementatie van een nieuwe versie van hun Ransomware-as-a-Service-platform, LockBit 2.0 genaamd, en de plotselinge pensionering van rivaliserende operaties Darkside, Avaddon en REvil, is LockBit een van de grootste RaaS-platforms van vandaag geworden.
Cyberaanval legt pompstations in Iran droog, lange rijen auto's schuiven aan
Iran is vandaag (26-10-2021) getroffen door een cyberaanval. Doelwit was dit keer het systeem van tankstations. Als gevolg van de aanval stonden er overal lange rijen auto's te wachten tot de pompinstallaties opnieuw konden functioneren. Eerder waren ook al de nucleaire installaties van het land platgelegd door computervirussen. Volgens de staatsmedia zijn tankstations in zowat heel het land getroffen door de aanval. Daardoor werkten de pompen niet of slechts gedeeltelijk. Binnen de kortste keren stonden er overal lange rijen voertuigen aan te schuiven in de hoop dat het probleem snel opgelost zou worden. Dat bleek echter urenlang niet het geval. Het persbureau SHANA meldt dat vooral de betaling met speciale kaarten voor goedkope en gesubsidieerde brandstoffen werd verstoord. Op veel plaatsen konden klanten dus nog wel benzine en diesel kopen, maar dan tegen de normale -en dus veel hogere- prijs. Zowat negen op de tien tankstations zouden zijn getroffen. De aanval leidde tot heel wat ongenoegen bij veel gewone Iraniërs. Op sociale media zijn straatbeelden te zien met slogans zoals "Khamenei, waar is onze benzine?" als verwijzing naar de opperste leider Ali Khamenei, maar die zouden wellicht gehackt zijn. De cyberaanval komt zeker niet per toeval min of meer twee jaar na een fors verhoging van de brandstofprijzen in 2019. Dat leidde toen tot een breed straatprotest tegen het regime. Het is niet de eerste keer dat Iran het slachtoffer is geworden van cyberaanvallen. In juli is de website van het ministerie van Verkeer een tijdlang geblokkeerd geweest. Enkele jaren geleden werden belangrijke nucleaire installaties in Iran stilgelegd door een cyberaanval. Iran geeft doorgaans de Verenigde Staten en Israël de schuld voor die aanvallen, maar volgens die landen heeft Teheran zelf een erg bedenkelijke reputatie in cyberaanvallen tegen westerse doelwitten en opposanten van het regime.
Schadelijke NPM-bibliotheken installeren ransomware
Schadelijke NPM-pakketten die zich voordoen als Roblox-bibliotheken, leveren ransomware en wachtwoordstelende trojans aan nietsvermoedende gebruikers. De twee NPM-pakketten heten noblox.js-proxy en noblox.js-proxy , en gebruiken typo-squatting om zich voor te doen als de legitieme Roblox API-wrapper met de naam noblox.js-proxy door een enkele letter in de naam van de bibliotheek te wijzigen.
Ransomwaregroep verkoopt toegang tot netwerken van slachtoffers
De criminelen achter de Conti-ransomware bieden geïnteresseerde partijen tegen betaling toegang tot de netwerken van slachtoffers. Op de eigen website laat de ransomwaregroep weten dat het kopers zoekt die geïnteresseerd zijn in toegang tot de netwerken van getroffen organisaties om vervolgens de data van deze bedrijven te stelen en verkopen. De nieuwe toevoeging op de website werd door meerdere onderzoekers ontdekt. Waarom de Conti-groep begonnen is met het aanbieden van toegang tot de netwerken van slachtoffers is onduidelijk. "Ik vraag me af of ze binnenkort de deuren sluiten en data of toegang van een lopende inbraak willen verkopen voordat ze het zelf doen", zegt Fabian Wosar, cto van antivirusbedrijf Emsisoft, tegenover it-journalist Brian Krebs. "Het is echter wat stom om het op deze manier te doen, aangezien je bedrijven waarschuwt dat ze zijn gecompromitteerd." In september kwamen de FBI en Amerikaanse geheime dienst NSA nog met een waarschuwing voor een toename van ransomware-aanvallen door de Conti-groep. Volgens de overheidsinstanties heeft deze groep meer dan vierhonderd aanvallen tegen Amerikaanse en internationale organisaties uitgevoerd.
Zerodaylek in EntroLink vpn-apparaten gebruikt voor ransomware-aanvallen
Een zerodaylek in vpn-apparaten van het bedrijf Entrolink wordt actief gebruikt voor ransomware-aanvallen. Een beveiligingsonderzoeker meldt op Twitter dat hij Entrolink voor de kwetsbaarheid in PPX-AnyLink heeft gewaarschuwd, maar geen reactie kreeg. Entrolink is een Zuid-Koreaanse onderneming en de PPX-AnyLink wordt vooral door Zuid-Koreaanse bedrijven gebruikt om personeel toegang tot het bedrijfsnetwerk te geven. Een exploit om misbruik van de kwetsbaarheid te maken werd eerst op een forum voor 50.000 dollar aangeboden, maar was vervolgens op een ander forum gratis te downloaden, zo meldt The Record. De exploit maakt het mogelijk voor een aanvaller om op afstand code met rootrechten op PPX-AnyLink-apparaten uit te voeren. Mogelijk zouden de groepen achter de BlackMatter- en LockBit-ransomware al gebruik van het zerodaylek hebben gemaakt. Gisteren werd bekend dat ook een kwetsbaarheid in facturatiesoftware BillQuick Web Suite actief wordt gebruikt voor de verspreiding van ransomware.
Criminelen verspreiden ransomware via lek in facturatiesoftware BillQuick
Criminelen maken actief gebruik van een kwetsbaarheid in BillQuick Web Suite voor infecteren van organisaties met ransomware. BillQuick Web Suite is software voor facturatie en tijdsregistratie. BillQuick heeft naar eigen zeggen 400.000 gebruikers wereldwijd. Een Amerikaans engeeringbedrijf raakte via het beveiligingslek, aangeduid als CVE-2021-42258, besmet met ransomware, aldus securitybedrijf Huntress. De inlogpagina van de software blijkt kwetsbaar te zijn voor SQL-injection waardoor een ongeauthenticeerde aanvaller niet alleen toegang tot de data van BillQuick-klanten kan krijgen, maar ook commando's kan uitvoeren op de Windows-server waarop de software draait. Naast de aangevallen kwetsbaarheid ontdekte Huntress ook acht andere beveiligingslekken die het bij BillQuick rapporteerde. Het softwarebedrijf is met versie 22.0.9.1 van Web Suite gekomen om het probleem te verhelpen.
Kwetsbaarheid in BlackMatter-ransomware maakt ontsleutelen data mogelijk
Een kwetsbaarheid in de BlackMatter-ransomware maakt het mogelijk om data van slachtoffers kosteloos te ontsleutelen en antivirusbedrijf Emsisoft heeft hier de afgelopen maanden gebruik van gemaakt om getroffen bedrijven te helpen. Volgens Emsisoft is de BlackMatter-ransomware een voortzetting van de DarkSide-ransomware die eerder dit jaar wereldnieuws werd vanwege de aanval op de Colonial Pipeline. De aanval zorgde onder andere voor brandstoftekorten in de Verenigde Staten. Colonial Pipeline betaalde 4,4 miljoen dollar in bitcoin om weer toegang tot versleutelde bestanden te krijgen. Een groot deel van het losgeld werd op een nog onbekende manier door de FBI in beslag genomen. Eind juli ging de DarkSide-groep offline. Op 27 juli verscheen opeens de BlackMatter-groep online. Uit onderzoek van de BlackMatter-ransomware bleek dat die nagenoeg gelijk was aan de DarkSide-ransomware. Onderzoekers van Emsisoft ontdekten vorig jaar december een kwetsbaarheid in de DarkSide-ransomware waardoor ze zonder te betalen data konden ontsleutelen. De kwetsbaarheid werd op 12 januari van dit jaar door de groep verholpen. In een versie van de BlackMatter-ransomware vonden de onderzoekers ook een kwetsbaarheid waardoor decryptie van bestanden kosteloos mogelijk is. Vervolgens waarschuwde het antivirusbedrijf opsporingsdiensten, computer emergency response teams (CERTs) en sectorpartners in verschillende landen om zo BlackMatter-slachtoffers te helpen. Emsisoft zegt dat het "tal van" slachtoffers zo met een decryptietool heeft kunnen helpen, maar noemt geen exact aantal. Net als veel andere ransomwaregroepen gebruikte BlackMatter een website waarop het slachtoffers vermeldde en dreigde met het publiceren van hun data als er geen losgeld werd betaald. De groep besloot in september deze website offline te halen, waardoor Emsisoft slachtoffers niet meer met de decryptietool kon benaderen. Daarnaast bracht de groep een update van de ransomware uit, waarmee de kwetsbaarheid voor het ontsleutelen van data werd verholpen. Aanleiding voor Emsisoft om nu in de openbaarheid te treden en eerdere slachtoffers van de ransomware te laten weten dat hun bestanden zijn te ontsleutelen.
Microsoft: Russische SVR heeft sinds mei ten minste 14 IT-supply chain-bedrijven gehackt
Microsoft zegt dat de door Rusland gesteunde 'Nobelium-cybercriminelen' achter de SolarWinds-hack van vorig jaar nog steeds gericht is op de wereldwijde IT-toeleveringsketen, met 140 managed service providers (MSP's) en cloudserviceproviders aangevallen en ten minste 14 geschonden sinds mei 2021. Deze campagne deelt alle tekenen van Nobelium's aanpak om een belangrijke lijst van doelen te compromitteren door hun serviceprovider te overtreden. Net als bij eerdere aanvallen gebruikten de Russische staatshackers een diverse en steeds veranderende toolkit, waaronder een lange lijst met tools en tactieken, variërend van malware, wachtwoordsprays en tokendiefstal tot API-misbruik en spear phishing. De belangrijkste doelwitten van deze nieuwe aanvallen zijn resellers en technologieserviceproviders die cloudservices en vergelijkbare technologie voor hun klanten implementeren en beheren. Microsoft heeft de getroffen doelen van de aanvallen op de hoogte gebracht nadat ze ze hadden opgemerkt en heeft ook detecties toegevoegd aan hun producten voor bescherming tegen bedreigingen, zodat degenen die het doelwit zijn in de toekomst inbraakpogingen kunnen herkennen.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Tips of verdachte activiteiten gezien? Meld het hier.
Meer weekoverzichten
Iedere maandag om 15:00 het complete overzicht van de afgelopen week. Wil je deze in de mail ontvangen zodat je geen enkel overzicht mist? Laat het ons dan weten via het volgende e-mailadres aanmelden.cybercrimeinfo.nl@gmail.com onder de vermelding van 'Aanmelding overzicht cyberaanvallen'
Slachtofferanalyse en Trends van Week 50-2024
Reading in another language
Slachtofferanalyse en Trends van Week 49-2024
Reading in another language
Slachtofferanalyse en Trends van Week 48-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 47-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 46-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 45-2024
Reading in 🇬🇧 or another language