Overzicht cyberaanvallen week 22-2022

Gepubliceerd op 6 juni 2022 om 15:00

Ransomware-bende hackt nu bedrijfswebsites om losgeldnota's te tonen, Conti ransomware richt zich op Intel firmware voor stealthy aanvallen, en 10.000 QNAP-eigenaren gewaarschuwd dat NAS vanaf internet toegankelijk is. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 5.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.


Update: 06-juni-2022 | Aantal slachtoffers: 5.603



Week overzicht

Slachtoffer Cybercriminelen Website Land
kansashighwaypatrol.org LockBit kansashighwaypatrol.org USA
bestattung-walzer.at LockBit bestattung-walzer.at Austria
vainieritrasporti.com LockBit vainieritrasporti.com Italy
SilTerra LV www.silterra.com Malaysia
colonail.com LockBit colonail.com USA
wik-group.com LockBit wik-group.com Germany
specpharm.co.za LockBit specpharm.co.za South Africa
ora.com LockBit ora.com USA
familyclinicbridgeport.com LockBit familyclinicbridgeport.com USA
Northeastern Technical College Suncrypt netc.edu USA
Sierra Packaging Ragnar_Locker www.sierraconverting.com USA
TPI Corporation AvosLocker tpicorp.com USA
Public Employees Credit Union AvosLocker www.pecutx.org USA
CPA Mutual Insurance Company AvosLocker www.cpamutual.com USA
BLUME GLOBAL INC AvosLocker blumeglobal.com USA
CHRISTUS Health AvosLocker christushealth.org USA
St Paul Vice Society www.st-pauls.surrey.sch.uk UK
Acorn Recruitment Vice Society www.acornpeople.com UK
The De Montfort School Vice Society www.tdms.worcs.sch.uk UK
land karnten BlackCat (ALPHV) www.ktn.gv.at Austria
Alexandria. (LA) BlackCat (ALPHV) www.cityofalexandriala.com USA
closetheloopeu.com LockBit closetheloopeu.com USA
Novartis.com Industrial Spy novartis.com Switzerland
sattse.com Industrial Spy sattse.com France
Nelsonslaw LLP BlackCat (ALPHV) www.nelsonslaw.co.uk UK
CICIS.COM LV cicis.com USA
Jonathan Adler Ragnar_Locker www.jonathanadler.com USA
AMS-Gruppe BlackCat (ALPHV) www.ams-gruppe.de Germany
JBS TEXTILE GROUP Black Basta www.jbs.dk Denmark
Groupe J.F. Nadeau Inc Black Basta www.groupenadeau.com Canada
Westwood Lorenz westwoodps.com USA
CMC Electronics BlackCat (ALPHV) cmcelectronics.ca Canada
G&P Projects And Systems S.A. Hive www.gpnet.com.br Brazil
Caracol TV Hive www.caracoltv.com Colombia
Klasner Solomon & Partners Chartered Professional Accountants BlackCat (ALPHV) www.klasnerandsolomon.com Canada
Whitehall. (OH) BlackCat (ALPHV) www.whitehall-oh.us USA
Blairex Laboratories, Inc. Black Basta blairex.com USA
tcpharmachem.com LockBit tcpharmachem.com Thailand
gpmlife.com LockBit gpmlife.com USA
An Technology Company Cheers Unknown Unknown
An Financial Company Cheers Unknown Unknown
An Belgium Hospital Cheers Unknown Belgium
An International Maritime Company Cheers Unknown Unknown
GREEN MOUNTAIN ELECTRIC SUPPLY BlackCat (ALPHV) gmes.com USA

In samenwerking met DarkTracer


Verbannen Iraanse Volksmoedjahedien eist cyberaanval op Teheran op

De Iraanse Volksmoedjahedien (MEK), een verzetsbeweging in ballingschap, heeft donderdag een cyberaanval opgeëist op de websites van het stadhuis van Teheran en duizenden bewakingscamera's in de Iraanse hoofdstad. Het stadsbestuur had eerder melding gemaakte van "een opzettelijke storing" die het interne systeem, de website en de app ontoegankelijk maakten, aldus het staatspersagentschap IRNA. De Iraanse Volksmoedjahedien, die in de Islamitische Republiek Iran als terroristisch geboekstaafd staat, heeft in een verklaring bevestigd dat zijn agenten in Iran deze "belangrijke operatie" die "maandenlang gepland was", hebben uitgevoerd. Tijdens de aanval verschenen op de websites van het stadhuis van Teheran foto's van de leider van de MEK en zijn echtgenote, Massoud en Maryam Rajavi, alsook slogans tegen ayatollah Ali Khamenei, aldus de verklaring. Gelijkaardige slogans zijn via sms verstuurd naar bijna 600.000 inwoners van de hoofdstad. De MEK nam naar eigen zeggen ook de controle over meer dan 5.000 bewakingscamera's over. "Dit uitgebreide netwerk van camera's is een van de belangrijkste instrumenten voor de bewaking en onderdrukking door het klerikale regime", klonk het in de verklaring. Het cameranetwerk zou een rol gespeeld hebben bij de arrestatie van mensen die deelnamen aan protesten tegen het regime, aldus de MEK. In januari voerde de MEK een gelijkaardige cyberaanval uit tegen de televisienetwerken en radiozenders die gecontroleerd worden door de Iraanse staat. In oktober legde een cyberaanval de brandstofdistributie in het land nog plat. 


Evil Corp schakelt over naar LockBit ransomware om sancties te ontwijken

De Evil Corp cybercrime-groep is nu overgestapt op het inzetten van LockBit-ransomware op de netwerken van doelwitten om sancties te omzeilen die zijn opgelegd door het Office of Foreign Assets Control (OFAC) van het Amerikaanse ministerie van Financiën.

Evil Corp (ook bekend als INDRIK SPIDER of de Dridex-bende) is actief sinds 2007 en staat bekend om het pushen van de Dridex-malware en later overschakelen naar de ransomware "business". De bende begon met Locky-ransomware en implementeerde vervolgens hun eigen ransomware-stam die bekend staat als BitPaymer tot 2019. Sinds de VS hen in december 2019 sanctioneerden voor het gebruik van Dridex om meer dan $ 100 miljoen aan financiële schade te veroorzaken, schakelde de groep in juni 2020 over op het installeren van zijn nieuwe WastedLocker-ransomware. Vanaf maart 2021 is Evil Corp overgestapt op een andere soort die bekend staat als Hades ransomware, een 64-bits variant van WastedLocker die is geüpgraded met extra codeverhulling en kleine functiewijzigingen. Sindsdien hebben de bedreigingsactoren zich ook voorgedaan als de PayloadBin-hackgroep en andere ransomware-stammen gebruikt die bekend staan als Macaw Locker en Phoenix CryptoLocker.

To HADES And Back UNC 2165 Shifts To LOCKBIT To Evade Sanctions
PDF – 1,7 MB 290 downloads

Ransomware-bende hackt nu bedrijfswebsites om losgeldnota's te tonen

Een ransomware-bende tilt afpersing naar een nieuw niveau door bedrijfswebsites publiekelijk te hacken om losgeldnota's openbaar weer te geven. Deze nieuwe afpersingsstrategie wordt uitgevoerd door 'Industrial Spy', een data-afpersingsbende die onlangs ransomware begon te gebruiken als onderdeel van hun aanvallen. Als onderdeel van hun aanvallen zal Industrial Spy netwerken binnendringen, gegevens stelen en ransomware op apparaten inzetten. De bedreigingsactoren dreigen vervolgens de gestolen gegevens op hun Tor-marktplaats te verkopen als er geen losgeld wordt betaald.


Conti ransomware richt zich op Intel firmware voor stealthy aanvallen

Onderzoekers die de gelekte chats van de beruchte Conti-ransomware-operatie analyseerden, hebben ontdekt dat teams binnen de Russische cybercrime-groep actief firmware-hacks ontwikkelden. Volgens berichten die werden uitgewisseld tussen leden van het cybercrime-syndicaat, hadden Conti-ontwikkelaars proof-of-concept (PoC) -code gemaakt die intels Management Engine (ME) gebruikte om flash te overschrijven en SMM-uitvoering (System Management Mode) te krijgen. De ME is een ingebouwde microcontroller in Intel-chipsets met een micro-OS om out-of-band services te bieden. Conti was bezig met het verprutsen van dat onderdeel om ongedocumenteerde functies en commando's te vinden die ze konden gebruiken. Van daaruit kon Conti toegang krijgen tot het flashgeheugen dat UEFI / BIOS-firmware hostte, schrijfbeveiliging omzeilen en willekeurige code uitvoeren op het gecompromitteerde systeem. Het uiteindelijke doel zou zijn om een SMM-implantaat te laten vallen dat zou werken met de hoogst mogelijke systeemrechten (ring-0) terwijl het praktisch niet detecteerbaar is van beveiligingstools op besturingssysteemniveau.

CONTI TARGETS CRITICAL FIRMWARE
PDF – 3,5 MB 286 downloads

Ransomware-aanval verstoort productie in Mexicaanse Foxconn-fabriek

Een ransomware-aanval heeft eind mei de productie in een Mexicaanse fabriek van de Taiwanese elektronicafabrikant Foxconn verstoord. Eind mei maakten criminelen achter de LockBit-ransomware via hun eigen website bekend dat ze systemen van Foxconn Baja California hadden gecompromitteerd. Bij de aanval zou ook data zijn buitgemaakt. Als Foxconn het losgeld niet betaalt zal deze data op 11 juni openbaar worden gemaakt. De Foxconn-fabriek in kwestie bevindt zich in de Mexicaanse stad Tijuana. De elektronicafabrikant bevestigt tegenover Bleeping Computer dat het slachtoffer van de ransomware is geworden en de it-afdeling sindsdien bezig is met een herstelplan. De situatie in de fabriek zou geleidelijk naar normaal teruggaan. Volgens Foxconn verstoorde de aanval de productie en zal dit worden opgevangen door het aanpassen van de productiecapaciteit. De website van Foxconn Baja California is op het moment van schrijven wegens "onderhoud" offline. Eind 2020 werd een andere Mexicaanse fabriek van Foxconn getroffen door de Doppelpaymer-ransomware. Eerder dit jaar gaf de FBI nog een waarschuwing voor de LockBit-ransomware en meldde in maart dat de ransomware bij tientallen aanvallen tegen vitale organisaties is gebruikt.


FBI geeft waarschuwing voor data-afpersing door Karakurt-groep

De FBI, het Cybersecurity and Infrastructure Security Agency en verschillende andere Amerikaanse overheidsdiensten hebben een waarschuwing afgegeven voor een groep criminelen genaamd Karakurt die organisaties en bedrijven met gestolen data afperst. De groep weet toegang tot bedrijfsnetwerken te krijgen en maakt daar allerlei gegevens buit. Slachtoffers moeten vervolgens losgeld betalen om publicatie van de data te voorkomen. Volgens de Amerikaanse autoriteiten weet de groep op verschillende manieren toegang tot netwerken te krijgen. Zo worden gestolen inloggegevens gekocht, wordt er samengewerkt met criminelen die al toegang tot een systeem in de betreffende organisatie hebben of wordt toegang tot bedrijfssystemen via "intrusion brokers" aangeschaft. Ook zou de groep gebruikmaken van bekende kwetsbaarheden, phishing en malafide e-mailbijlagen om binnen te dringen. Zodra er toegang is verkregen maken de aanvallers gebruik van Cobalt Strike, Mimikatz en AnyDesk om netwerken verder te compromitteren en toegang te behouden. Vervolgens wordt er gebruikgemaakt van archiveringssoftware 7zip om terabytes aan data te comprimeren die daarna via applicaties zoals FileZilla en rclone naar ftp-servers of Mega.nz worden verstuurd. Na de datadiefstal laat de Karakurt-groep een tekstbericht achter met instructies. Slachtoffers moeten bedragen tussen de 25.000 en dertien miljoen dollar betalen om openbaarmaking van de data te voorkomen. De groep zegt dat het de data na betaling verwijdert, maar sommige slachtoffers melden dat de groep zich hier niet aan houdt. Ook komt het voor dat de groep meer data zegt te hebben gestolen dan het geval is. De FBI adviseert slachtoffers dan ook om het losgeld niet te betalen.

Alert
PDF – 325,7 KB 288 downloads

Microsoft waarschuwt voor actief aangevallen zerodaylek in Windows

Microsoft heeft een waarschuwing gegeven voor een actief aangevallen zerodaylek in Windows waardoor het mogelijk is voor aanvallers om kwetsbare systemen over te nemen en een beveiligingsupdate is nog niet beschikbaar. Het beveiligingslek, aangeduid als CVE-2022-30190, bevindt zich in de Windows Support Diagnostic Tool(MSDT) en is onder andere via malafide Word-documenten te misbruiken. Via de diagnostische tool is het mogelijk om Windowsproblemen vast te stellen. Het is mogelijk voor een aanvaller om willekeurige code op systemen uit te voeren door MSDT via een url-protocol aan te roepen. Dit is bijvoorbeeld mogelijk vanuit een applicatie zoals Word, waarbij alleen het opene van een malafide document volstaat. Eenmaal geopend kan een aanvaller vanuit het malafide document de diagnostische tool op het systeem van de gebruiker aanroepen en zo vervolgens willekeurige code uitvoeren met de rechten van de ingelogde gebruiker. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.8. Als tijdelijke oplossing adviseert Microsoft om het MSDT-url-protocol uit te schakelen. Hierdoor is het kwetsbare onderdeel niet meer door een aanvaller aan te roepen. Hierdoor is het niet meer mogelijk om troubleshootprogramma's via een link te starten, maar deze tools zijn nog wel op andere manieren door de gebruiker zelf te openen. Verder heeft Microsoft een update aan Defender-antivirus toegevoegd om aanvallen die misbruik van de kwetsbaarheid maken te detecteren. Daarnaast biedt de Protected View van Office of Application Guard voor Office bescherming. Wanneer Microsoft met een update komt is nog onbekend. De patchdinsdag van juni staat gepland voor dinsdag 14 juni.


Ransomware-aanvallen hebben minder dan vier dagen nodig om systemen te versleutelen

De duur van ransomware-aanvallen in 2021 bedroeg gemiddeld 92,5 uur, gemeten vanaf de eerste netwerktoegang tot de payload-implementatie. In 2020 besteedden ransomware-cybercriminelen gemiddeld 230 uur om hun aanvallen te voltooien en 1637,6 uur in 2019. Deze verandering weerspiegelt een meer gestroomlijnde aanpak die zich in de loop der jaren geleidelijk heeft ontwikkeld om grootschalige operaties winstgevender te maken. Tegelijkertijd hebben verbeteringen in incidentrespons en bedreigingsdetectie dreigingsactoren gedwongen om sneller te handelen, waardoor verdedigers een kleinere reactiemarge hebben.

Countdown To Ransomware
PDF – 701,4 KB 278 downloads

Italiaanse overheid waarschuwt voor meer ddos-aanvallen van Russische groepen

Het Computer Security Incident Response Team Italia waarschuwt voor aanhoudende ddos-aanvallen op nationale bedrijven en instanties. Het overheidsorgaan zou een aanhoudende dreiging van Russische hackersgroeperingen detecteren. Vooral Italiaanse 'openbare diensten en particuliere entiteiten met een dienst van openbaar nut' zouden het doelwit worden van gerichte ddos-aanvallen, zo waarschuwt het CSIRT. De partijen die onder deze categorieën vallen worden aangeraden om zich voor te bereiden op eventuele cyberaanvallen door kwetsbaarheden te verhelpen en 'IT-systemen 24 uur per dag zorgvuldig te controleren'. Hoewel de daadwerkelijke aanvallers niet bij naam genoemd worden, komt de dreiging volgens Bleeping Computer specifiek van een pro-Russische hackersgroepering Killnet. Nadat deze groepering verschillende cyberaanvallen uitvoerde als vergelding op de steun van Oekraïne in het conflict met Rusland, zou Anonymous Italy doelgericht doxxing hebben toegepast op leden van Killnet. In een antwoord op Anonymous Italy heeft de groepering ondertussen 'Operation Panopticon' aangekondigd, een massale ddos-aanval op Italiaanse publieke diensten.


Nieuwe Zero Day ontdekt die via malicious code Office infecteert

Aanvallers blijven nieuwe methodes ontwikkelen om computers te infecteren ten einde hun ransomware te activeren. "Er is een nieuwe Zero day ontdekt die via malicious code office infecteert en via een backdoor de pc besmet" meldt security expert Erik Westhovens die werkzaam is bij Insight. Westhovens: "Wat erg geavanceerd is aan deze methode is dat deze ook werkt als Macro's op disabled staat. Windows defender en andere XDR producten detecteren dit niet en als bedrijf ben je dan al snel machteloos. De exploit genaamd Follina en ontdekt door Kevin Beaumont kan daardoor snel slachtoffers maken." Het document gebruikt de externe sjabloonfunctie van Word om een HTML-bestand op te halen van een externe webserver, die op zijn beurt het ms-msdt MSProtocol URI-schema gebruikt om wat code te laden en wat PowerShell uit te voeren. Bedrijven die Windows Defender en het security dashboard gebruiken kunnen een custom detection rule maken onder advanced hunting. Deze rule stopt het niet, maar detecteert het wel waardoor je een notificatie krijgt.


Costa Rica's volksgezondheidsagentschap getroffen door Hive-ransomware

Alle computersystemen op het netwerk van de openbare gezondheidsdienst van Costa Rica (bekend als Costa Rican Social Security Fund of CCCS) zijn nu offline na een Hive ransomware-aanval die hen vanochtend trof. Hive, een Ransomware-as-a-Service (RaaS) -operatie die sinds juni 2021 actief is, zit achter aanvallen op meer dan 30 organisaties, waarbij alleen de slachtoffers worden geteld die weigerden het losgeld te betalen en hun gegevens online hadden gelekt.


BlackCat ransomware bende vraagt $ 5M om Oostenrijkse staat te ontgrendelen

De Oostenrijkse deelstaat Karinthië werd getroffen door de BlackCat ransomware-bende, ook bekend als ALPHV en de groep eiste $ 5 miljoen om de gecodeerde computersystemen te ontgrendelen. De aanval die dinsdag plaatsvond, veroorzaakte ernstige operationele verstoring van overheidsdiensten, omdat duizenden werkstations naar verluidt zijn vergrendeld door de cybercriminelen. De website en e-maildienst van Karinthië raakten offline en de administratie kon geen nieuwe paspoorten of verkeersboetes uitdelen. De cyberaanval verstoorde ook de verwerking van COVID-19-tests en contactopsporing via de administratieve kantoren van de regio. De hackers boden aan om een werkende decoderingstool te bieden als ze een losgeld van $ 5 miljoen betalen. Een woordvoerder van de staat, Gerd Kurath, vertelde echter dat de eisen van de aanvaller niet zullen worden ingewilligd. Er is momenteel ook geen bewijs dat BlackCat er daadwerkelijk in is geslaagd om gegevens van de systemen van de staat te stelen en dat het plan is om de machines te herstellen van beschikbare back-ups.


10.000 QNAP-eigenaren gewaarschuwd dat NAS vanaf internet toegankelijk is

Het Dutch Institute for Vulnerability Disclosure (DIVD) heeft zo'n tienduizend eigenaren van een QNAP-NAS gewaarschuwd dat het apparaat vanaf internet toegankelijk is en zo risico loopt om te worden aangevallen. Aanleiding is een recente waarschuwing van QNAP voor een nieuwe variant van de Deadbolt-ransomware. De ransomware infecteert NAS-systemen die vanaf het internet toegankelijk zijn en QTS versie 4.3.6 of QTS versie 4.4.1 draaien. Eenmaal actief versleutelt de ransomware bestanden voor losgeld. Naast het updaten van de QTS-versie adviseerde QNAP ook om de NAS-apparaten niet direct vanaf internet toegankelijk te maken. Het DIVD doet onderzoek naar kwetsbaarheden in software en waarschuwt organisaties wanneer ze kwetsbare software draaien of systemen verkeerd hebben geconfigureerd. Naar aanleiding van de nieuwe aanvalscampagne tegen QNAP-gebruikers heeft het DIVD een online scan uitgevoerd naar online toegankelijk NAS-apparaten. Gisteren werd naar zo'n tienduizend hosts een bericht gestuurd dat hun NAS vanaf het internet bereikbaar is. Daarnaast wordt deze gebruikers geadviseerd om port forwarding uit te schakelen om zo het probleem te verhelpen.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »