Overzicht cyberaanvallen week 31-2022

Gepubliceerd op 8 augustus 2022 om 15:00

Ruim honderd Nederlandse tandartspraktijken gesloten wegens cyberaanval, Duitse kamer van koophandel wegens cyberaanval offline en woningcorporaties melden datalek na cyberaanval op energiedienstverlener ista. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 6.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes omdat ze weigerden te betalen. Als je betaald wordt er geen data gelekt en kom je niet op deze lijst.. ‘Zo'n 80% van de organisaties betaalt losgeld’ πŸ€”

Update: 08-augustus-2022 | Aantal slachtoffers: 6.065



Week overzicht

Slachtoffer Cybercriminelen Website Land
ring-plastik.de LockBit ring-plastik.de Germany
versma.com LockBit versma.com South Africa
unimasters.com LockBit unimasters.com Bulgaria
trialpro.com LockBit trialpro.com USA
newwestmetals.com LockBit newwestmetals.com Canada
wrschool.net LockBit wrschool.net USA
hatcherins.com LockBit hatcherins.com USA
Wh******* U******** BianLian Unknown Unknown
Borough of Union Beach Onyx www.ubnj.net USA
LYDECKER Black Basta www.lydecker.com USA
AD Consulting Group BlackCat (ALPHV) adcgroup.com Italy
SEMIKRON LV www.semikron.com Germany
farralls.co.uk Industrial Spy farralls.co.uk UK
BEESENSE Quantum beesense-sys.com Israel
Liftow LTD Quantum liftow.com Canada
ENN Group Hive www.enn.cn China
Fitzgibbon Hospital DAIXIN www.fitzgibbon.org USA
Trib Total Media DAIXIN tribtotalmedia.com USA
STTLK LV stt.fi Finland
A.B. Florence S.r.l CryptOn abflorence.it Italy
Sanmarti CryptOn sanmarti.es Spain
Cmtransport CryptOn cmtransport.com USA
Kampmeier-tietz CryptOn www.kampmeier-tietz.de Germany
Visser Brothers CryptOn visserbrothers.com USA
Ecogest SpA CryptOn ecogestspa.com Italy
Domexpats CryptOn domexpats.com France
Geriatrics Management CryptOn Unknown Unknown
Guardforce CryptOn www.guardforce.co.th Hong Kong
unisys.com BlackCat (ALPHV) unisys.com USA
AIIM BlackCat (ALPHV) aiim.com Canada
OGLETREE BlackCat (ALPHV) Unknown Unknown
Boehl Stopher & Graves Black Basta bsg-law.com USA
Doosan Group Sodinokibi (REvil) www.doosan.com South Korea
MarioSinacola BlackCat (ALPHV) www.mariosinacola.com USA
kangaroo.vn LockBit kangaroo.vn Vietnam
tekinox.it LockBit tekinox.it Italy
obriengroupaustralia.com.au LockBit obriengroupaustralia.com.au Australia
Puma Biotechnology Ragnar_Locker www.pumabiotechnology.com USA
casapellas.com LockBit casapellas.com Nicaragua
preflooring.com LockBit preflooring.com USA
scohil.com LockBit scohil.com USA
ARISA CORREDORES DE SEGUROS Onyx www.arisaseguros.com Guatemala
shopper360.com.my LockBit shopper360.com.my Malaysia

In samenwerking met DarkTracer


Algerijnse hackers vallen Marokkaanse websites aan

De officiële website van de faculteit Wetenschappen van Fez is het slachtoffer geworden van een cyberaanval, gepleegd door een Algerijnse hacker. Morocco World News bericht dat de website van de Dhar El Mahraz (FSDM) universiteit in Fez op vrijdag 5 augustus door een Algerijnse hacker was aangevallen. De hacker plaatste de Algerijnse vlag en het bericht "Geen vrede tussen systemen" op de website. Op Twitter bevestigde de hacker de aanval en stelde 3 miljoen gegevens te hebben gehackt, inclusief e-mail adressen en paswoorden. Een gelijkaardige cyberaanval was in 2021 gepleegd tegen het Marokkaanse ondernemersverbond CGEM. De website van de organisatie was op 22 november niet bereikbaar. Meerdere dagen waren nodig om de website terug online te krijgen.


Cyberaanval op Oekraïne Radiostation verspreidt desinformatie over de dood van Zelensky

Nadat ze hun best hebben gedaan om Oekraïne snel te veroveren, lijken de Russen andere tactieken te gebruiken om de natie onder leiding van Volodymyr Zelensky op de knieën te krijgen. Eerder deze week werd een speciaal cyberteam ingeschakeld om een ​​Oekraïens radiostation te hacken om desinformatie over de dood van de Oekraïense president Zelensky te verspreiden. De TAVR-mediastations zijn gehackt door een Kremlin gesponsorde cybermacht om valse berichten te verspreiden over de slechte gezondheid van de president en zijn voortvluchtige familie. Misschien was het doel om de burgers en militairen van Kiev te demotiveren, zodat ze hun wapens neerleggen en zich konden overgeven aan de door Moskou geleide troepen. Zelensky richtte zich via zijn twitteraccount tot de natie en melde dat het nieuws over hem nep was.


Britse NHS lijdt onder storing als gevolg van cyberaanval

De 111-hulpdiensten van de National Health Service (NHS) in het Verenigd Koninkrijk worden getroffen door een aanzienlijke en voortdurende storing als gevolg van een cyberaanval die de systemen van de Britse managed service provider (MSP) Advanced trof. Advanced's Adastra client patient management-oplossing, die wordt gebruikt door 85% van de NHS 111-services, werd getroffen door een grote storing, samen met verschillende andere services die door de MSP worden geleverd. Mensen die medische hulp zoeken via de NHS 111-oproeplijn zijn gewaarschuwd voor vertragingen die mogelijk pas volgende week worden opgelost. Dit systeem wordt gebruikt door lokale gezondheidsraden om de diensten voor patiënten te coördineren. De aanhoudende storing is verreikend geweest en heeft gevolgen voor elk van de vier landen in het Vk. Het Britse publiek wordt geadviseerd om toegang te krijgen tot de NHS 111-hulpdiensten via het online platform totdat het incident is opgelost. De statuspagina van Advanced is nu geblokkeerd voor het publiek door een inlogformulier en biedt alleen toegang aan klanten en werknemers. De Chief Operating Officer van Advanced, Simon Short, bevestigde dat het incident werd veroorzaakt door een cyberaanval die donderdagochtend werd gedetecteerd en uit voorzorg hebben ze onmiddellijk alle gezondheids- en zorgomgevingen geïsoleerd. Hoewel er geen details werden verstrekt over de aard van de cyberaanval, is het waarschijnlijk dat dit een ransomware- of data-afpersingsaanval was. Advanced levert bedrijfssoftware aan meer dan 22.000 wereldwijde klanten in verschillende branches, van gezondheidszorg en onderwijs tot non-profitorganisaties. De klantenlijst van de MSP omvat de NHS, het Britse ministerie van Werk en Pensioenen (DWP) en de London City Airport. Verschillende andere gezondheids- en zorgsystemen die door Advanced worden geleverd, hebben ook storingen ervaren. 


Ruim honderd Nederlandse tandartspraktijken gesloten wegens cyberaanval

Ruim honderd Nederlandse tandartspraktijken van 'Colosseum Dental Benelux' zijn wegens de gevolgen van een cyberaanval sinds donderdag gesloten. Het bedrijf heeft meer dan honderddertig vestigingen in België en Nederland die jaarlijks zo’n 600.000 patiënten behandelen. Vanwege een "cyberincident" zijn honderdtwintig praktijken sinds gisteren gesloten, zo laat het bedrijf tegenover RTL Nieuws weten. Verdere details over het incident zijn niet gegeven. Een bron laat aan RTL Nieuws weten dat het personeel geen toegang tot de patiënthistorie van klanten heeft. Dat zou op een ransomware-aanval kunnen duiden, maar dit is niet bevestigd. "Vanwege een it-storing is deze pagina momenteel niet beschikbaar. We doen er alles aan zo snel mogelijk weer bereikbaar te zijn. Excuses voor het ongemak, we danken u voor uw begrip", zo laat de website van Colosseum Dental weten.


QuestionPro afgeperst na mogelijke diefstal van 22 miljoen e-mailadressen

Enquêtewebsite QuestionPro is afgeperst door een crimineel die naar eigen zeggen honderd gigabyte aan data bij het bedrijf heeft buitgemaakt, waaronder 22 miljoen e-mailadressen, ip-adressen en enquêteresultaten. Het datalek is echter nog niet bevestigd. QuestionPro biedt webgebaseerde enquêtesoftware waarmee organisaties en bedrijven onderzoeken kunnen uitvoeren. Een aanvaller zou erin geslaagd zijn een onbeveiligde database van QuestionPro te downloaden. De database kwam uiteindelijk in handen van beveiligingsonderzoeker Troy Hunt, de man achter datalekzoekmachine Have I Been Pwned (HIBP). Via de zoekmachine is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt. Hunt heeft de 22 miljoen e-mailadressen nu aan HIBP toegevoegd, maar stelt dat het hier om een nog niet geverifieerd datalek gaat. Tegenover Bleeping Computer bevestigt QuestionPro dat het is afgeperst, maar het onderzoek of er daadwerkelijk data is gestolen nog loopt. Van de 22 miljoen e-mailadressen was 47 procent al via een ander datalek bij Have I Been Pwned bekend.


Waarschijnlijke Iraanse cybercriminelen voeren politiek gemotiveerde ontwrichtende activiteiten uit tegen Albanese overheidsorganisaties

Mandiant identificeerde de ROADSWEEP ransomware-familie en een Telegram-persona die de Albanese regering viseerde in een politiek gemotiveerde ontwrichtende operatie voorafgaand aan de conferentie van een Iraanse oppositieorganisatie eind juli 2022.


Nieuwe Linux-malware RapperBot valt SSH-servers aan

Onderzoekers van Fortinet hebben ontdekt dat Linux SSH-servers onder vuur liggen van het nieuwe botnet RapperBot. Het botnet wil met een brute force-aanval op het open source besturingssysteem gebaseerde servers overnemen. Volgens Fortinet is RapperBot gerelateerd aan de Mirai-malware voor IoT-devices. De RapperBot-malware richt zich op het inbouwen van code die via brute force-technieken de inloggegevens op getroffen IoT-devices moet kraken. Hierdoor krijgt de malware toegang tot de SSH-servers. Sinds kort voegen de hackers achter RapperBot ook code toe die de malware persistent maakt. Bij meer traditionele Mirai-varianten gebeurt dit niet. Door de malware persistent te maken, zorgen de hackers ervoor dat de malware aanwezig en actief blijft, ook al is het device opnieuw opgestart of nadat de malware is verwijderd. Ook anders is dat de nu gevonden malware weinig DDoS-mogelijkheden heeft en strik wordt gecontroleerd in plaats van dat het zich richt op het besmetten van zoveel mogelijk devices. De malware, die dus vooral de SSH-servers aanvalt, lijkt daardoor meer gericht op het vestigen van ‘stepping stones’ voor latere, meer laterale aanvalsbewegingen in netwerken. De meeste code van RapperBot beschikt over een implementatie van een SSH 2.0-client. Deze client kan zich verbinden met iedere SSH-server die ‘Diffie-Hellmann key exchange’ met 768-bit or 2048-bit keys en data encryptie op basis van AES128-CTR ondersteunt. De client kan al deze SSH-servers met een brute force-aanval kraken. Een opvallende eigenschap van deze brute force-implementatie door RapperBot is het gebruik van ‘SSH-2.0-HELLOWORLD’. Hiermee identificeert de malware zich bij de aangevallen SSH-server tijdens de SSH Protocol Exchange-fase. Fortinet signaleert dat de Linux SSH-malware zich momenteel langzaamaan verspreidt. In totaal zijn nu wereldwijd 3.500 unieke IP-adressen geïdentificeerd die scannen naar SSH-servers. De securityexperts blijven RapperBot in de gaten houden.


CISA: populairste malware-exemplaren stelen voornamelijk wachtwoorden

De populairste malware-exemplaren waar criminelen gebruik van maken zijn ontwikkeld om wachtwoorden en andere informatie te stelen en zijn vaak al jaren oud, zo claimen de Amerikaanse en Australische autoriteiten in een overzicht van de elf meestgebruikte malware-exemplaren van 2021. Volgens het Australische Cyber Security Centre (ACSC) en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) zijn Formbook, Ursnif, LokiBot, MOUSEISLAND, NanoCore, Qakbot, Remcos, TrickBot en GootLoader vorig jaar het vaakst bij aanvallen ingezet. De meeste van deze exemplaren zijn al vele jaren oud. Zo zijn Ursnif en Qakbot volgens beide overheidsdiensten al sinds 2007 actief. De ontwikkelaars van de malware blijven echter bezig en voegen steeds nieuwe features en aanpassingen door, om zo onder andere detectie door antivirussoftware te voorkomen. Het grootste deel van de malware-exemplaren die het ACSC en CISA noemen zijn ontwikkeld om inloggegevens en vertrouwelijke informatie te stelen. Verschillende exemplaren, zoals Trickbot, Qakbot en GootLoader, kunnen ook aanvullende malware installeren. Zo wordt TrickBot verantwoordelijk gehouden voor tal van grote ransomware-aanvallen. De criminelen achter de Conti-ransomware maken vaak gebruik van toegang die via TrickBot is verkregen om hun ransomware uit te rollen. Volgens de overheidsdiensten werden in de eerste helft van 2021 zo'n 450 organisaties wereldwijd het slachtoffer van aanvallen met de Conti-ransomware. Naast een overzicht van de elf populairste malware-exemplaren en Snort-signatures om ze te detecteren, geven het ACSC en CISA ook adviezen om infecties te voorkomen. Het gaat dan om zaken als het installeren van beveiligingsupdates, het gebruik van multifactorauthenticatie, het monitoren en beveiligen van RDP, maken van offline back-ups en het trainen van personeel.


Nieuwe HiCrypt ransomware


VS waarschuwt voor actief aangevallen kwetsbaarheid in Zimbra-mailservers

De Amerikaanse autoriteiten waarschuwen voor een actief aangevallen kwetsbaarheid in de Zimbra-mailserversoftware waardoor een ongeauthenticeerde aanvaller op afstand plain text inloggegevens van e-mailaccounts kan stelen zonder enige interactie van gebruikers. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt. Een kwetsbaarheid in de mailserversoftware, aangeduid als CVE-2022-27924, maakt het mogelijk om waardes in de cache aan te passen. Hiervoor hoeft een aanvaller alleen een speciaal geprepareerd http-request naar de server te sturen. Zo is de opgeslagen route naar bijvoorbeeld de IMAP-server te veranderen in een server van de aanvallers. Wanneer een gebruiker vervolgens inlogt zullen zijn inloggegevens naar de malafide opgegeven server worden doorgestuurd, zonder dat een gebruiker dit doorheeft. Daarbij hoeft een aanvaller niet eens het e-mailadres van een doelwit te weten. De aanval werkt niet tegen gebruikers die alleen van de Zimbra-webmailclient gebruikmaken. Doelwitten moeten via het IMAP- of POP-protocol inloggen. Zimbra werd op 11 maart van dit jaar over de kwetsbaarheid ingelicht en heeft inmiddels beveiligingsupdates uitgebracht om het probleem te verhelpen. De Shadowserver Foundation waarschuwde in juni dat het 30.000 mogelijk kwetsbare Zimbra-installaties op internet had gevonden, waarvan ruim driehonderd in Nederland. Gisterenavond maakte het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bekend dat aanvallers actief misbruik maken van het lek en roept federale overheidsinstanties op om de update voor 25 augustus te installeren.


Duitse kamer van koophandel wegens cyberaanval offline

De Duitse kamer van koophandel (DIHK) heeft wegens een "mogelijke cyberaanval" alle systemen uit voorzorg uitgeschakeld. Daardoor zijn tal van diensten offline en is de organisatie niet via e-mail of telefoon bereikbaar. Duitsland telt 79 regionale kamers van koophandel waarvan het grootste deel afgelopen nacht het slachtoffer van de "mogelijke cyberaanval" werd. Via de eigen website, Twitter en LinkedIn laat DIHK weten dat er wordt gewerkt aan een oplossing, beveiliging en herstel. Zo worden systemen na te zijn getest weer online gebracht, zodat diensten weer beschikbaar voor ondernemingen komen. "Zodra de veiligheid van onze systemen volledig is hersteld zullen we dit laten weten", aldus de organisatie. Verdere details zijn niet gegeven.


Van 7-11's tot treinstations, cyberaanvallen teisteren Taiwan over Pelosi bezoek

Toen de voorzitster van het Amerikaanse Huis van Afgevaardigden, Nancy Pelosi, deze week een kort bezoek aan Taiwan bracht dat Peking woedend maakte, stond het onthaal dat zij kreeg van regeringsambtenaren en het publiek in schril contrast met een ander soort boodschap die elders op het eiland begon op te duiken. Woensdag zijn in sommige filialen van 7-11 buurtwinkels in Taiwan de televisieschermen achter de caissières plotseling omgeschakeld om de woorden te tonen: "Warmonger Pelosi, ga weg uit Taiwan!" De grootste 24-uurs buurtwinkelketen op het eiland was het slachtoffer van wat de Taiwanese autoriteiten een ongekende hoeveelheid cyberaanvallen noemen op overheidswebsites van het presidentieel bureau, de ministeries van Buitenlandse Zaken en van Defensie, en op infrastructuur zoals schermen op treinstations, uit protest tegen het bezoek van Pelosi. Taipei heeft de aanvallen niet rechtstreeks aan de Chinese regering toegeschreven, maar heeft wel gezegd dat de aanvallen op de overheidswebsites -- die de werking van de sites lamlegden -- afkomstig waren van adressen in China en Rusland. Het zei ook dat de bedrijven waarvan de beeldschermen waren veranderd, Chinese software hadden gebruikt die backdoors of Trojaanse paarden-malware had kunnen bevatten. De Taiwanese minister van digitale zaken Audrey Tang zei dat het volume van cyberaanvallen op Taiwanese overheidseenheden op dinsdag, voor en tijdens Pelosi's aankomst, de 15.000 gigabits overschreed, 23 keer hoger dan het vorige dagrecord. Lo Ping-cheng, woordvoerder van het Taiwanese kabinet, zei woensdag dat de regering de beveiliging van belangrijke infrastructuur, waaronder elektriciteitscentrales en luchthavens, had opgevoerd en het alertheidsniveau van de cyberbeveiliging in alle regeringskantoren had verhoogd. Op donderdag zei hij dat er tot nu toe geen gerelateerde schade was geconstateerd. "Regeringsdepartementen zijn zeer voorzichtig geweest. In de afgelopen dagen hebben wij, wat de openbare veiligheid betreft, een drielaags veiligheids- en communicatiemechanisme voor de regering opgezet, dat al hard en defensief genoeg is, dus deze aanpassingen zijn gunstig geweest," vertelde hij op een briefing. Het bezoek van Pelosi leidde tot woedende reacties van het Chinese publiek en van Peking, dat zei dat de reis naar het zelfbestuurde eiland, dat het als zijn grondgebied beschouwt, een inbreuk op zijn soevereiniteit vormde. Op donderdag vuurde China raketten af rond Taiwan als onderdeel van een reeks ongekende militaire oefeningen. Een onderzoeksorganisatie op het gebied van cyberbeveiliging zei dat de aanvallen op Taiwanese overheidswebsites vóór Pelosi's bezoek waarschijnlijk door Chinese activistische hackers werden gelanceerd en niet door de Chinese regering. Hackersgroep APT 27, die er door Westerse autoriteiten van beschuldigd wordt een door de Chinese staat gesponsorde groep te zijn, eiste woensdag de verantwoordelijkheid op voor de cyberaanvallen op Taiwan, en zei op YouTube dat ze gedaan waren om te protesteren tegen de manier waarop Pelosi met haar bezoek de waarschuwingen van China had getrotseerd. De groep beweerde ook dat zij 60.000 met het internet verbonden apparaten in Taiwan had platgelegd. Gevraagd naar de cyberaanvallen in Taiwan op donderdag tijdens een gewone briefing van het Chinese ministerie van Buitenlandse Zaken, weigerde een woordvoerder commentaar te geven. De Cyberspace Administration van China, die het internet van het land regelt, reageerde niet onmiddellijk op een verzoek om commentaar. Volgens deskundigen geven de cyberaanvallen, in combinatie met de oefeningen van China om met scherp te schieten, de leiders van Taiwan een voorproefje van hoe een invasie van China eruit zou zien. De afgelopen jaren is in verschillende rapporten van denktanks in Taiwan en de Verenigde Staten de nadruk gelegd op de grote waarschijnlijkheid dat China, in geval van een militaire aanval op Taiwan, eerst een slopende cyberaanval zou uitvoeren op de belangrijkste infrastructuur van Taiwan, zoals het elektriciteitsnet. Toch zei Eryk Waligora, een specialist in informatie over cyberdreigingen bij Accenture, dat de laatste tot nu toe "meer theater dan dreiging" leken te zijn. Hij zei dat eerdere aanvallen, zoals een campagne tussen november vorig jaar en februari die verschillende financiële instellingen in Taiwan dwong online transacties op te schorten, technisch geavanceerder en schadelijker waren. "Er zijn zeker veel ergere cyberaanvallen geweest," zei hij.


Woningcorporaties melden datalek na cyberaanval op energiedienstverlener ista

Verschillende Nederlandse woningcorporaties waarschuwen huurders voor een datalek nadat energiedienstverlener ista vorige week het slachtoffer van een cyberaanval is geworden, zo blijkt uit onderzoek van Security.NL. Ista verzorgt voor woningcorporaties de plaatsing van energie- en watermeters, de registratie van de meterstanden, het onderhoud van de meters en het maken van de individuele afrekeningen. Aanvallers wisten vorige week toegang tot de systemen van ista te krijgen. Vervolgens zijn alle mogelijk getroffen systemen door het bedrijf offline gehaald, zo blijkt uit een verklaring over het incident. Daardoor zijn allerlei diensten niet meer bereikbaar, waaronder het klantenportaal. Ook is nog onduidelijk of de aanvallers gegevens hebben buitgemaakt. Ista beschikt over de gegevens van huurders van woningcorporaties. Inmiddels hebben meerdere woningcorporaties, waaronder Haag Wonen, Mozaïek Wonen en Woonpunt, alsmede VvE-beheerder VvE Metea, hun klanten voor een mogelijk datalek gewaarschuwd. Ista heeft het datalek bij de Autoriteit Persoonsgegevens gemeld en aangifte bij de politie gedaan. Of er sprake is van een ransomware-aanval laat ista niet weten. Ook is onduidelijk wanneer alle systemen weer online zijn. Het onderzoek naar de aanval is nog gaande. "Nadat we de Nederlandse it-omgeving grondig hebben gecontroleerd, hebben we besloten dat het veilig is om onze lokale applicaties langzaam weer op te starten en op bepaalde gebieden weer te gaan werken. Gezien het internationale karakter van bepaalde applicaties is het niet te voorkomen dat het meer tijd zal kosten voordat we weer volledig up and running zijn", aldus de energiedienstverlener.


Belgische politie ziet aangiften van cybercrime en internetfraude verder stijgen

Het aantal aangiften van internetfraude, phishing, ransomware en andere vormen van cybercrime in België is vorig jaar verder gestegen, zo laat de Belgische federale politie vandaag weten. Er kwamen in 2021 ruim 47.000 aangiften van "informaticacriminaliteit" binnen, een stijging van zeven procent ten opzichte van 2020. Het gaat dan om zaken als het inbreken op systemen, datadiefstal en aanvallen met ransomware. Ook phishing blijft nog altijd een probleem in België. Vorig jaar deden ruim 8300 slachtoffers aangifte. Een stijging van bijna elf procent ten opzichte van 2020. Verder werden er 152 gevallen van ransomware geregistreerd, terwijl dat er een jaar eerder nog 124 waren. In 2017, 2018 en 2019 werd er echter vaker aangifte van ransomware gedaan. "Een steevaste stijger in de criminaliteitsstatistieken is al jaren de cybercriminaliteit. Naarmate onze samenleving meer en meer gebruik maakt van het internet en van technologie, doen ook criminelen hier steeds vaker een beroep op. Dat was in 2021 niet anders", aldus de Belgische politie. De stijging was vorig jaar wel minder groot dan in de jaren daarvoor. Naast misdrijven die onder de categorie cybercrime vallen zijn er ook andere, ‘klassieke’ misdrijven die in toenemende mate via internet gepleegd worden. Het gaat dan bijvoorbeeld om internetfraude, zoals aankoopfraude, vriendschapsfraude en identiteitsfraude. Vorig jaar werden ruim 38.000 gevallen van internetfraude geregistreerd, een toename van bijna vier procent ten opzichte van 2020. "De toekomst is digitaal, en dus ook de criminaliteit. De trend van de afgelopen jaren zet zich voort: criminelen gebruiken steeds vaker het internet voor hun criminele activiteiten. De politie blijft niet achter. We investeren de komende jaren verder in ict, en rekruteren gespecialiseerde ict-profielen", zegt de Belgische minister van Binnenlandse Zaken Annelies Verlinden. Lees verder


Cybercriminelen klonen en infecteren duizenden GitHub repositories

Duizenden GitHub repositories werden gekloond en geïnfecteerd met malware. Software engineer Stephen Lacy ontdekte de infecties op woensdag 3 augustus. Het klonen van open-source repositories is gebruikelijk onder developers die met GitHub werken. In dit geval maakten cybercriminelen klonen van legitieme projecten. De klonen werden met malware geïnfecteerd om nietsvermoedende developers aan te vallen. Software engineer Stephen Lacy informeerde GitHub over het probleem, waarna GitHub de repositories verwijderde. Lacy beschreef het incident in een tweet en verbijsterde gebruikers door te beweren dat de “wijdverspreide malware-aanval” ruim 35.000 GitHub-projecten raakte. Ondanks de schrik schrik bleek het bericht over “35.000 besmette projecten” niet waar. In werkelijkheid plaatsten cybercriminelen backdoors in duizenden kopieën (forks en clones) van projecten. Het idee is dat developers de kopieën verwerken in een applicatie, waarna de cybercriminelen toegang hebben. Grote projecten als k8s, python, js, bash, golang, crypto en docker werden niet geraakt. De tweet van Lacy bevatte een kwaadaardige URL die in een van de besmette kopieën werd gevonden. Website BleepingComputer merkt op dat de kwaadaardige URL meer dan 35.000 bestanden oplevert in de zoekfunctie van GitHub. Er is geen sprake van 35.000 geïnfecteerde repositories, maar van 35.000 verdachte bestanden. We ontdekten dat 13.000 van de 35.000 zoekresultaten afkomstig zijn van een enkele repository genaamd ‘redhat-operator-ecosystem’. De repository is inmiddels van GitHub verwijderd. De pagina toont een 404-foutmelding. Lacy heeft zijn tweet in de tussentijd gecorrigeerd.


Ransomware-aanval raakt chipfabrikant Semikron

De Duitse halfgeleiderfabrikant Semikron is het slachtoffer van een ransomware-aanval geworden waarbij een deel van het netwerk is versleuteld, wat gevolgen voor de bedrijfsactiviteiten heeft. Semikron fabriceert halfgeleiders en elektronica-onderdelen en -systemen. Door de aanval raakte een deel van de systemen en bestanden van het bedrijf versleuteld. Dit heeft een impact op de werkzaamheden van het personeel. De aanvallers claimen ook data van de systemen van het bedrijf te hebben gestolen. Inmiddels is er een onderzoek naar het mogelijke datalek gestart. De autoriteiten en toezichthouders in de landen waar Semikron een hoofdkwartier heeft zijn over de aanval ingelicht, zo laat het bedrijf in een verklaring weten. Tevens is er een forensisch onderzoek naar het netwerk gestart en is men begonnen met het opschonen van systemen, zodat personeel weer aan de slag kan. Verdere details zijn niet gegeven. Semikron telt drieduizend medewerkers en heeft in 24 landen dochterondernemingen.


Wapenfabrikant MBDA ontkent hack, bevestigt datadiefstal

De Europese wapenfabrikant MBDA ontkent dat zijn systemen zijn gehackt. Wel bevestigt de Italiaanse tak van het bedrijf dat er data is gestolen. De wapenfabrikant die voornamelijk raketten ontwikkelt voor land- lucht- en zeemacht beweert dat de organisatie wordt geblackmaild. Op het moment dat MBDA aangaf geen losgeld te betalen, zou de cybercrimegroep de gestolen informatie op het internet verspreid hebben.


Hacking treft duizenden cryptoportefeuilles

De cryptowereld werd woensdag opgeschrikt door een nieuwe hacking. Meer dan 7.900 portefeuilles in het ecosysteem van de blockchain Solana werden getroffen. Schattingen van de schade lopen uiteen van 5,2 miljoen dollar tot ongeveer 8 miljoen dollar. De omvang van de hacking is nog niet helemaal duidelijk evenmin als de manier waarop ze gebeurde. De cryptomunt solana zakte 7,3 procent in reactie op het nieuws. Phantom, een portefeuilleapp gebouwd op Solana, en de marktplaats Magic Eden voor Solana-NFT's (digitale eigendomscertificaten) zeiden getroffen te zijn. Hardwareportefeuilles, ook 'cold wallets' genoemd, zouden niet zijn getroffen.  Zo'n 'cold wallet' is een toestelletje los van de computer waar eigenaars hun 'seed phrase' veilig bewaren. Vanuit die seed phrase worden private keys gegenereerd - de sleutels waarmee de gebruiker toegang heeft tot zijn crypto. 'Alleen een cold wallet laat toe zelf je sleutels te maken en offline bij te houden. Hackings doen de vraag naar cold wallets alleen maar stijgen', zegt Ruben Merre van de Belgische maker van cold wallets NGRAVE. Vorig jaar werd volgens het cryptodatabedrijf Chainalysis voor 3,2 miljard dollar aan cryptomunten gestolen van individuen en diensten, zowat zes keer meer dan in 2020. In de eerste helft van dit jaar maakten cybercriminelen 1,97 miljard dollar buit door het hacken van 175 cryptoprojecten, blijkt uit een rapport van atlasVPN. Nomad, een brug voor het het overbrengen van cryptotokens over verschillende blockchains, verloor maandag bijna 200 miljoen dollar door een hacking. Nadat een hacker had ingespeeld op een zwakte in de code, kreeg die navolging van tientallen anderen die met crypto aan de haal gingen.


Final Fantasy 14-servers in VS kampen met DDoS-aanval

In de Verenigde Staten hebben Final Fantasy 14-spelers moeite met het inloggen op de servers vanwege een DDoS-aanval. Dat blijkt uit een bericht op de officiële FF14-website. Door de aanval kunnen spelers in de VS moeite hebben met inloggen of ingelogd blijven. "We onderzoeken de aanval en nemen maatregelen. Meer informatie volgt terwijl de situatie zich ontwikkelt." Een DDoS-aanval wordt uitgevoerd om servers van een online game of dienst te overbelasten. Als gevolg daarvan kan de game of server nauwelijks tot niet meer gebruikt worden door het grote publiek. Ook games en gamenetwerken worden de afgelopen jaren veelvuldig slachtoffer hiervan. Voor zover bekend ondervinden Europese spelers van Final Fantasy 14 geen overlast van de aanval. Het is niet bekend wie de aanval uitvoert of wat de reden is.


Overheidswebsites Taiwan doelwit van ddos-aanvallen uit buitenland

Verschillende websites van overheidsinstellingen in Taiwan zijn dinsdag doelwit van ddos-aanvallen. Sommige websites, waaronder die van de Taiwanese president, werden hierdoor offline gehaald. De regering van Taiwan meldt op Facebook dat verschillende overheidswebsite dinsdag doelwit waren van een ddos-aanval. Volgens de Taiwan kregen sommige websites 200 keer zoveel verkeer binnen als normaal. De regering schrijft dat de aanval van buiten Taiwan komt. De ddos-aanval gebeurt te midden van oplopende spanningen tussen China, Taiwan en de Verenigde Staten. De voorzitter van het Amerikaanse Huis van Afgevaardigden, Nancy Pelosi, brengt dinsdag een bezoek aan Taiwan, wat door China wordt gezien als een provocatie. China keurt en bezoek af en volgens het Chinese Ministerie van Defensie is het leger in staat van paraatheid gebracht. Voor de ddos-aanvallen wordt ook naar China gekeken. Volgens Reuters denken beveiligingsonderzoekers dat het waarschijnlijk niet de Chinese overheid was, maar 'hacktivisten' uit China die op eigen initiatief handelden. De websites zijn inmiddels weer online.


Luxemburgse energiebedrijven getroffen door ransomware-aanval

Twee Luxemburgse energiebedrijven zijn eind juli getroffen door een ransomware-aanval waarbij data is gestolen en systemen ontoegankelijk gemaakt. Vanwege de aanval hebben klanten geen toegang tot de klantenportalen. Het gaat om net- en gaspijplijnbeheerder Creos en energieleverancier Enovos, die beide onderdeel van de Encevo Group zijn (pdf). Systemen van de bedrijven werden in de nacht van 22 op 23 juli getroffen door ransomware. Mogelijk zijn daarbij ook klantgegevens buitgemaakt, maar dit wordt nog onderzocht. De aanval heeft geen impact op de levering van elektriciteit en gas en ook de storingsdienst is gewoon beschikbaar, zo stellen de bedrijven in een verklaring. Wel hebben klanten geen toegang tot de klantenportalen en krijgen het advies om hun wachtwoord te wijzigen zodra de portalen weer online zijn. De aanval is opgeëist door de criminelen achter de Alphv-ransomware, die ook bekendstaat als BlackCat. Volgens beveiligingsonderzoeker Brett Callow is Alphv een "rebrand" van de BlackMatter-ransomware, die weer een rebrand van de Darkside-ransomware was en werd gebruikt bij de aanval op de Colonial Pipeline in de Verenigde Staten. Mochten er bij de aanval persoonsgegevens zijn gestolen dan zullen getroffen klanten worden ingelicht, zo laat Encevo via een aparte pagina over de aanval weten. Verdere details zijn niet door het bedrijf gegeven.

2022 Communique De Presse DATA BREACH
PDF – 74,1 KB 247 downloads

Ransomware-aanval op marketingbedrijf zorgt voor datalek bij zorgverleners VS

Een ransomware-aanval op een Amerikaans marketingbedrijf heeft voor een datalek bij tientallen zorgverleners in het land gezorgd, waarbij gevoelige gegevens zoals medische informatie van duizenden Amerikanen mogelijk in handen van de aanvallers is gekomen. De aanval vond eind april plaats op OneTouchPoint. Dit bedrijf verzorgt marketingdiensten, zoals het printen van marketingmateriaal, voor allerlei organisaties. OneTouchPoint biedt ook een marketingplatform waarmee organisaties en bedrijven hun klanten bijvoorbeeld via e-mail en advertenties kunnen benaderen. Tientallen zorgverleners en zorgverzekeraars maken gebruik van de diensten van het marketingbedrijf. Eind april werd OneTouchPoint het slachtoffer van een ransomware-aanval waarbij meerdere systemen werden versleuteld. Naar aanleiding van de aanval werd een onderzoek ingesteld. Begin juni bleek dat niet kon worden vastgesteld welke bestanden de aanvallers precies hebben ingezien. Het gaat in ieder geval om data van 34 Amerikaanse zorgverleners en zorgverzekeraars. Eén van de partijen is Arkansas Blue Cross and Blue Shield. Volgens de zorgverlener hebben de aanvallers mogelijk namen, adresgegevens, geboortedata en medische data van ruim 1400 patiënten ingezien. Ook andere partijen hebben inmiddels hun klanten voor een datalek gewaarschuwd waarbij mogelijk diagnoses en medicatie zijn bekeken. Hoe de aanvallers toegang tot de systemen van OneTouchPoint konden krijgen is niet bekendgemaakt.


190 miljoen dollar gestolen via kwetsbaarheid in crypto bridge Nomad

Een tijdens onderhoud veroorzaakte kwetsbaarheid in crypto bridge Nomad heeft geresulteerd in de diefstal van 190 miljoen dollar aan cryptovaluta. Dat laat Coindesk weten. Nomad is een protocol dat het mogelijk voor gebruikers maakt om tokens tussen verschillende blockchains uit te wisselen. Wanneer een gebruiker cryptovaluta van de ene naar de andere blockchain wil versturen stopt de bridge die in een smart contact op de ene blockchain en geeft de tokens in een "wrapped" vorm uit op de andere blockchain. Wanneer het smart contract waar de tokens zich in eerste instantie bevonden een kwetsbaarheid bevat hebben de wrapped tokens geen dekking meer. Het lijkt erop dat een configuratiefout in het smart contract dat Nomad gebruikte voor het verwerken van berichten ervoor zorgde dat gebruikers transacties konden vervalsen en geld van de andere bridge konden opnemen dat niet van hen was. Tijdens een routine upgrade had het Nomad-team de waarde van de trusted root op 0x00 gezet waardoor elk bericht automatisch werd goedgekeurd, verklaar onderzoeker Sam Sun. Het enige dat nodig was om hier misbruik van te maken was het vinden van een transactie die werkte. Vervolgens moest het adres van deze andere persoon worden vervangen door het eigen adres en daarna opnieuw uitgezonden. Vanwege de eenvoud van de exploit werd hier vervolgens op grote schaal door onder andere bots misbruik van gemaakt. Zo kon de 190 miljoen dollar die de bridge bevatte worden gestolen. Nomad heeft een onderzoek naar de diefstal ingesteld.


Russische cyberaanval legt grootste Spaanse onderzoeksbureau plat

Op 16 juli werd het grootste Spaanse onderzoekscentrum CSIC platgelegd door een cyberaanval van Russische oorsprong. Dagenlang heeft het instituut geen verbinding met internet. De aanval werd pas op 18 juli ontdekt, maar was volgens het ministerie van Wetenschap niet succesvol. De aanvallers zijn er namelijk niet in geslaagd gegevens te extraheren. Toen op 18 juli werd ontdekt dat er sprake was van een cyberattack werd direct het protocol voor deze gevallen geactiveerd. Om de aanval te beheersen en op te lossen, is sindsdien de internettoegang van verschillende aangesloten centra afgesloten ter voorkoming dat de aanval zich verder door de afdelingen van het CSIC zou verspreiden. Het eindrapport van het onderzoek is nog niet afgerond, maar volgens het ministerie komt de aanval - van het type ransomware - uit Rusland. Men zegt er zeker van te zijn "dat er geen verlies of ontvoering van gevoelige en vertrouwelijke informatie is ontdekt”. El País schrijft op basis van uitlatingen van het ministerie dat deze aanval vergelijkbaar is met die van andere onderzoekscentra zoals het Max Planck Institute of NASA in de VS. Op dit moment heeft slechts een kwart van de CSIC-centra hun verbinding met internet hersteld als gevolg van het verdedigingsprotocol voor deze gevallen. De komende dagen zal dat in orde worden gemaakt. 


Akamai slaat gigantische DDoS-aanval in Europa af

Akamai heeft onlangs een van de grootste DDoS-aanvallen in Europa weten af te slaan met zijn speciale ‘wasstraten’. Op het hoogtepunt verstuurden hackers 659.6 miljoen packets per seconde (Mpps) en 853.7 Gbps aan data gedurende 14 uur naar het getroffen bedrijf. Volgens de security- en cloudspecialist kreeg het getroffen bedrijf gedurende 30 dagen constant een DDoS-aanval te verwerken. Op het hoogtepunt, 21 juli, kreeg het bedrijf een recordaantal van verzoeken: 659.6 miljoen packets per seconde (Mpps) en 853.7 Gbps aan dataverkeer. Uit het onderzoek naar deze aanval kwam naar voren dat de hackers een zeer geavanceerd en wereldwijd botnet gebruikten. De aanval had verschillende IP-adressen van het bedrijf als doelwit. Het bedrijf werd in de periode 75 keer via meerdere vectors aangevallen. Denk daarbij onder meer aan het user datagram protocol (UDP), maar ook aan UDP fragmentation, ICMP flood, RESET flood, SYN flood, TCP anomaly, TCP fragment, PSH ACK flood, FIN push flood en PUSH flood. De aanval werd afgeslagen met behulp van het Prolexic-platform van Akamai. Dit platform bestaat uit 20 wereldwijde ‘wasstraten’ met een hoge capaciteit. Deze wasstraten bevinden zich dicht bij de bronnen van DDoS-aanvallen en bij slachtoffers. Tijdens een aanval wordt het kwaadaardige IP-verkeer via het Akamai Anycast-netwerk naar de dichtstbijzijnde wasstraat geleid. In deze wasstraat worden door het Security Operations Center (SOC) van Akamai specifieke maatregelen toegepast die de aanval moeten stoppen. In het geval van de nu geconstateerde DDoS-aanval verwerkten de wasstraten van Akamai ieder nooit meer dan 100 Gbps aan dataverkeer van de complete aanval. Dit betekent dat de wasstraten zijn opgewassen tegen dit soort grootschalige DDoS-aanvallen.

Largest European D Do S Attack On Record
PDF – 1,3 MB 316 downloads

Nieuwe Hydrox ransomware


Nieuwe Payt Ransomware


ENISA: meeste ransomware-slachtoffers melden niet hoe ze besmet raakten

De meeste organisaties en bedrijven die het slachtoffer van ransomware worden laten niet weten hoe ze geïnfecteerd raakten, wat belangrijke informatie is om toekomstige slachtoffers te voorkomen. Daarnaast worden de meeste ransomware-aanvallen niet gerapporteerd, waardoor de werkelijke omvang van het probleem onbekend blijft, zo stelt het Europees agentschap voor cyberbeveiliging (ENISA) in een nieuw rapport over ransomware (pdf). Voor het rapport werden 623 ransomware-incidenten in voornamelijk Europa en de Verenigde Staten onderzocht die zich van mei vorig jaar tot en met juni dit jaar voordeden. Het werkelijke aantal incidenten in deze periode bedroeg vermoedelijk bijna 3700, aldus ENISA. Volgens het agentschap wordt dan ook slechts het spreekwoordelijke topje van de ijsberg openbaar. Daarnaast laat de informatie van organisaties en bedrijven die door ransomware getroffen worden ernstig te wensen over. Bij 594 van de 623 onderzochte ransomware-aanvallen liet de aangevallen organisatie niet weten hoe de aanvallers toegang tot de systemen hadden gekregen. "Het is begrijpelijk dat doelwitten vanwege veiligheidsredenen niet willen delen hoe (of nog steeds) ze kwetsbaar waren, maar tegelijkertijd helpt het gebrek aan informatie anderen niet om te beseffen wat ze zouden moeten verbeteren of hoe ze in de toekomst ook slachtoffer kunnen worden", zo laat het rapport weten. Verder melden de meeste ransomware-slachtoffers niet of ze het losgeld dat de criminelen vroegen hebben betaald. Bij 588 van de 623 ransomware-aanvallen was het voor de onderzoekers niet mogelijk om te bepalen of slachtoffers betaald hadden. Van de resterende 35 gevallen bleek dat er acht keer losgeld was betaald. De onderzoekers vermoeden dat meer dan zestig procent van de getroffen organisaties betaalt. Het gebrek aan betrouwbare data van aangevallen organisaties maakt het dan ook lastig om de omvang van het probleem te zien, zo staat in de conclusie van het rapport. Daarin wordt ook gewezen naar een Amerikaans wetsvoorstel dat bepaalde organisaties verplicht om ransomware-aanvallen te melden. Op dit moment zijn het de websites van ransomwaregroepen die de meest betrouwbare bron zijn om informatie over slachtoffers te achterhalen, hoewel ook deze pagina's een onbetrouwbare bron zijn, stellen de onderzoekers.

ENISA Threat Landscape For Ransomware Attacks
PDF – 2,1 MB 287 downloads

Gemeente Noordenveld bevestigd getroffen te zijn door een ransomware-aanval

De gemeente Noordenveld in Drenthe is getroffen door een ransomware-aanval, wat mogelijk gevolgen heeft voor het afhandelen van bijstandsaanvragen en energietoeslagen. Volgens RTV Drenthe zijn meerdere servers het doelwit van de aanval geworden. Daarbij zijn voor zover nu bekend geen gegevens versleuteld of gestolen. Vanwege de aanval werd het administratiesysteem dat op de servers draait tijdelijk uitgeschakeld, waardoor gemeenteambtenaren hier geen gebruik van kunnen maken. "Op dit moment zijn er problemen met het administratiesysteem van het Sociaal Domein. De afhandeling van aanvragen in het kader van bijvoorbeeld de Wmo, bijstandsuitkeringen en energietoeslagen kan daardoor langer duren. Excuses voor eventueel ongemak!", zo laat de gemeente op de eigen website weten. Op dit moment worden de oorzaak en de gevolgen van de aanval onderzocht. Verdere details zijn niet gegeven. De leverancier van het administratiesysteem hoopt dat het systeem zo snel mogelijk weer online is. Noordenveld telt ruim 31.000 inwoners.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


December 2024
November 2024
Oktober 2024

Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »
September 2024