Overzicht cyberaanvallen week 34-2022

Gepubliceerd op 29 augustus 2022 om 15:00


Frans ziekenhuis moet patiënten weigeren wegens ransomware-aanval, ransomwaregroep steelt privédata bijstandsontvangers Belgische gemeente en Griekse gasnetbeheerder Desfa getroffen door ransomware-aanval. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 6.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes omdat ze weigerden te betalen. Als je betaald wordt er geen data gelekt en kom je niet op deze lijst.. ‘Zo'n 80% van de organisaties betaalt losgeld’ 🤔

Update: 29-augustus-2022 | Aantal slachtoffers: 5.933



Week overzicht

Slachtoffer Cybercriminelen Website Land
nwoods.org Bl00dy nwoods.org USA
northwoods.church Bl00dy northwoods.church USA
embalajescapsa.com LockBit embalajescapsa.com Spain
accionplus.com LockBit accionplus.com Colombia
ygboulons.com LockBit ygboulons.com Canada
uplexis.com.br LockBit uplexis.com.br Brazil
Khoemacau Copper Mining AvosLocker khoemacau.com Botswana
Grande Stevens BlackByte grandestevens.it Italy
Torin Drive BlackByte www.torindrive.com China
goodwillnm.org LockBit goodwillnm.org USA
Mount Vernon Mills AvosLocker mvmills.com USA
perteet.com LockBit perteet.com USA
canteen.com LockBit canteen.com USA
trufab.com LockBit trufab.com USA
kkcsworld.com LockBit kkcsworld.com USA
cenviro.com LockBit cenviro.com Malaysia
microdepot.com LockBit microdepot.com USA
draperyconceptsny.com LockBit draperyconceptsny.com USA
galenica.ma LockBit galenica.ma Morocco
stjohnvianney.org LockBit stjohnvianney.org USA
stevesilvaplumbing.com LockBit stevesilvaplumbing.com USA
lenax.com LockBit lenax.com USA
americantilestone.com LockBit americantilestone.com USA
statravel.de LockBit statravel.de Germany
thininfra.nl LockBit thininfra.nl Netherlands
sportlavit.nl LockBit sportlavit.nl Netherlands
hikadikoy.com LockBit hikadikoy.com Turkey
Lampton School Vice Society www.lampton.org.uk UK
Frances King School of English Vice Society www.francesking.com UK
Altice International Hive www.altice.net Luxembourg
centrodsr.it LockBit centrodsr.it Italy
growag.ch LockBit growag.ch Switzerland
ANGT LV www.angt-gabon.com Gabon
vandermaesen-nv.be D0N#T (Donut Leaks) vandermaesen-nv.be Belgium
Sheppard Robson D0N#T (Donut Leaks) www.sheppardrobson.com UK
Restovichlaw D0N#T (Donut Leaks) www.restovichlaw.com USA
Pastas capri D0N#T (Donut Leaks) pastascapri.com Venezuela
Mauritius standards bureau D0N#T (Donut Leaks) msb.intnet.mu Mauritius
Epec D0N#T (Donut Leaks) epec.pl Poland
DESFA D0N#T (Donut Leaks) www.desfa.gr Greece
associes-finance.com D0N#T (Donut Leaks) associes-finance.com France
Action Labs D0N#T (Donut Leaks) www.actionlabs.com.ph Philippines
Enso Detego D0N#T (Donut Leaks) www.detego.com UK
Sando D0N#T (Donut Leaks) www.sando.com Spain
CMZ UK D0N#T (Donut Leaks) www.cmz.com Spain
PlanET Biogas Solutions D0N#T (Donut Leaks) www.planet-biogas.com Germany
Los Alamos Nature Center AvosLocker laschools.net USA
Olamgroup Everest olamgroup.com Singapore
Baton Rouge General Hive www.brgeneral.org USA
GMX BlackByte www.gmx.com.mx Mexico
solidatech.com LockBit solidatech.com Unknown
pinjuhlaw.com LockBit pinjuhlaw.com USA
Engine Power Lorenz enginepower.com USA
robitgroup.com LockBit robitgroup.com Finland
destinationhope.com LockBit destinationhope.com USA
studiobarba.com LockBit studiobarba.com Italy
orioninc.com LockBit orioninc.com USA
ruffinlawyers.com.au LockBit ruffinlawyers.com.au Australia
barrydowd.com LockBit barrydowd.com USA
Bombardier Recreational Products (BRP) RansomEXX www.brp.com Canada
Action Lab Ragnar_Locker www.actionlabs.com.ph Philippines
Garnica Plywood AvosLocker garnica.one Spain
Casa International AvosLocker casashops.com Belgium
WBSCHOOLS AvosLocker wbschools.com USA
Moskowitz, Mandell & Salim, P.A. Quantum www.mmsslaw.com USA
northwestpipe.com LockBit northwestpipe.com USA
Northern Contours Inc. Lorenz northerncontours.com USA

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land
thininfra.nl LockBit thininfra.nl Netherlands
sportlavit.nl LockBit sportlavit.nl Netherlands
vandermaesen-nv.be D0N#T (Donut Leaks) vandermaesen-nv.be Belgium
Casa International AvosLocker casashops.com Belgium

In samenwerking met DarkTracer


Hackers koppelen eigen account aan 2fa Authy-gebruikers 

Bij de aanval op cloudcommunicatieplatform Twilio zijn ook tweefactorauthenticatie (2FA) accounts van Authy-gebruikers gekaapt en hebben de aanvallers hun eigen apparaten aan deze accounts toegevoegd. Daarnaast zijn er meer Twilio-klanten getroffen dan in eerste instantie werd gemeld, zo laat het bedrijf in een update over de aanval weten. Twilio biedt verschillende tools voor telefonie, het versturen van sms-berichten en andere communicatie. Het bedrijf claimt meer dan 270.000 actieve klanten te hebben. Begin augustus meldde Twilio dat aanvallers toegang tot interne systemen en klantgegevens hadden gekregen nadat personeel in een phishingaanval was getrapt. In eerste instantie werd gemeld dat de aanvallers toegang tot de gegevens van 125 klanten hadden gekregen. Het ging onder andere om versleutelde chatapp Signal, waar de aanvallers vervolgens van 1900 gebruikers de telefoonnummers en registratiecodes buitmaakten. Nu meldt Twilio dat het om 163 gebruikers gaat. Daarnaast zijn ook gebruikers van 2FA-app Authy getroffen. Authy is een app die gebruikers 2FA-codes laat genereren voor het inloggen op accounts en is onderdeel van Twilio. Gebruikers kunnen via hun Authy-account hun gegevens op de servers van Authy opslaan en meerdere apparaten synchroniseren. Volgens Twilio maken 75 miljoen mensen gebruik van de 2FA-app. De aanvallers die toegang tot de systemen van Twilio wisten te krijgen hebben vervolgens 93 Authy 2FA-accounts gekaapt en daar hun eigen apparaten aan toegevoegd. Wanneer de aanvallers ook over de inloggegevens van deze gebruikers beschikten zouden ze zo op andere accounts beveiligd met 2FA kunnen inloggen. Twilio zegt getroffen gebruikers te zullen waarschuwen en heeft de toegevoegde apparaten verwijderd. Eerder werd bekend dat de aanval op Twilio onderdeel van een wereldwijde phishingaanval is.


Maaltijdbezorger Doordash gehackt door phishingaanval

De Amerikaanse maaltijdbezorger Doordash heeft klanten gewaarschuwd voor een datalek met hun persoonsgegevens nadat aanvallers via een phishingaanval toegang tot een leverancier kregen. De naam van deze leverancier is niet bekendgemaakt, maar het datalek houdt volgens Doordash verband met de aanvallers die eerder ook bij Twilio en andere bedrijven wisten in te breken. Twilio en Doordash stellen dat Twilio niet de gecompromitteerde leverancier is. Medewerkers van de betreffende leverancier trapten in een phishingaanval. Met de gegevens die de aanvallers hierbij verkregen wisten ze toegang tot interne systemen van Doordash te krijgen. Vervolgens zijn namen, e-mailadressen, adresgegevens, telefoonnummers en gedeeltelijke creditcardgegevens buitgemaakt. Hoeveel klanten precies zijn getroffen laat Doordash niet weten. Na ontdekking van het datalek heeft Doordash de toegang van de leverancier tot de interne systemen uitgeschakeld. Doordash zegt getroffen gebruikers te zullen waarschuwen. Daarnaast stelt de maaltijdbezorger de eigen systemen verder te beveiligen en werkt het samen met de getroffen leverancier zodat ook die de beveiliging aanscherpt. Eerder meldde Group-IB dat de aanval op Twilio onderdeel van een wereldwijde phishingaanval is waarbij meer dan 130 organisaties en 10.000 accounts zijn gecompromitteerd.


4 op 5 ransomware-aanvallen zijn het gevolg van slecht geconfigureerde servers

Volgens Microsoft zorgen ‘legacy’ configuraties ervoor dat applicaties zich kwetsbaar opstellen en malafide hackers gemakkelijk vrij spel krijgen. In een nieuw bericht op de Microsoft Security wijst de softwaregigant op een forse groei van ransomware-as-a-service dat eenvoudig kan worden gemitigeerd door standaardinstellingen aan te passen. Microsoft stelt voor om dubbele applicaties te verwijderen, net als ongebruikte apps. Verder moet je goed nadenken welke applicaties toestemming krijgen, zoals bijvoorbeeld Teamviewer. Verder raadt het bedrijf aan om regelmatig te controleren op gestolen wachtwoorden, onbeschermde identiteiten of securitytools die niet actief staan. Ook traag patchmanagement is een belangrijke boosdoener. Microsoft raadt aan om identiteiten te authenticeren, blinde vlekken aan te pakken en systemen up-to-date te houden. Tot slot zegt Microsoft dat heel wat fout geconfigureerde clouddiensten afhankelijk zijn van onbetrouwbare securitysoftware door standaard macro-instellingen te hanteren. Ransomware blijft hoge toppen scheren omdat steeds hogere bedragen worden betaald. Toch is er ook goed nieuws: ransomwareslachtoffers weigeren steeds vaker te betalen. Professionele diensten (21,9%) en bedrijven in de publieke sector (14,4%) zijn het grootste doelwit. Ook scholen worden steeds meer een populair doelwit voor malafide hackers. In 2020 werden nog maar 44 procent van de onderwijsinstellingen aangevallen, tegenover 60 procent in 2021. Bovendien duurt het herstel bij onderwijsinstellingen het langst: 7 procent heeft minstens drie maanden nodig – dat is bijna het dubbele van de gemiddelde tijd in andere sectoren (4%).


VS waarschuwt gebruikers Apache, Grafana en DOPSoft 2 voor cyberaanvallen

De Amerikaanse overheid waarschuwt gebruikers van onder andere Apache CouchDB, Apache APISIX, Grafana en DOPSoft 2 voor aanvallen waarbij misbruik wordt gemaakt van bekende kwetsbaarheden. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste update telt tien kwetsbaarheden in onder andere Apache CouchDB (CVE-2022-24706), Apache APISIX (CVE-2022-24112), Grafana (CVE-2021-39226) en Delta Electronics DOPSoft 2 (CVE-2021-38406). Op het moment dat de betreffende leveranciers updates uitbrachten werd er nog geen misbruik van de beveiligingslekken gemaakt. DOPSoft 2 is software van Delta Electronics en wordt gebruikt voor het programmeren en ontwerpen van human-machine interfaces (HMI's). Door het openen van een malafide project kan een aanvaller willekeurige code op het systeem uitvoeren. Delta Electronics heeft geen update voor de kwetsbaarheid uitgebracht omdat het product end-of-life is. De kwetsbaarheid in opensource-analyticsplatform Grafana maakt het mogelijk voor een ongeauthenticeerde aanvaller om snapshots te bemachtigen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De kwetsbaarheid in Apache CouchDB heeft een zelfde impactscore en kan een aanvaller admintoegang tot installaties geven. En ook het lek in Apache APISIX is met een 9.8 beoordeeld. Via de kwetsbaarheid is remote code execution mogelijk. Details over de waargenomen aanvallen zijn niet door het CISA gegeven. Federale Amerikaanse overheidsinstanties hebben tot 15 september om de updates te installeren of het product niet meer te gebruiken.


Tienduizend accounts bij 130 organisaties getroffen door grote phishingaanval

De aanvallers achter de phishingaanval op Twilio en Cloudflare hebben bij meer dan 130 organisaties toegeslagen en tienduizend accounts weten te compromitteren. Ook tientallen Nederlandse gebruikers zijn geraakt, zo meldt securitybedrijf Group-IB in een vandaag verschenen analyse. Bij de aanval op Twilio en Cloudflare werden sms-berichten verstuurd waarin gebruikers werd gevraagd om in te loggen. De link in het bericht wees naar een phishingpagina. Via de gegevens van Twilio-medewerkers wisten de aanvallers toegang te krijgen tot gegevens van 125 Twilio-klanten, waaronder versleutelde chatapp Signal. Op deze manier werden telefoonnummers en sms-registratiecodes van 1900 Signal-gebruikers buitgemaakt. De aanval gaat echter veel verder dan alleen Twilio en Cloudflare, aldus Group-IB. Het securitybedrijf stelt dat bij de aanval meer dan 130 organisaties zijn getroffen en de aanvallers 10.000 accounts hebben weten te compromitteren. Al deze bedrijven maken gebruik van de diensten identiteitsprovider Okta. Aangevallen medewerkers ontvingen een sms-bericht met een link naar een nagemaakte Okta-inlogpagina van hun organisatie. Hoe er precies inzicht in de gestolen informatie werd verkregen laat Group-IB niet weten. Naast inloggegevens werden er ook zo'n 5500 MFA-codes bemachtigd. Voor de aanval werden zeker 169 unieke domeinnamen gebruikt. Het grootste deel van de slachtoffers bevindt zich in de Verenigde Staten. Het gaat om vooral om it-dienstverleners, softwarebedrijven en cloudproviders. De onderzoekers vermoeden dat de aanvallers mogelijk een financieel motief hadden, aangezien ook financiële instellingen zijn geraakt, alsmede bedrijven die toegang tot cryptovaluta en -markten hebben of investeringstools ontwikkelen. Om dergelijke aanvallen te voorkomen wordt eindgebruikers aangeraden om goed op te letten op welke website ze hun gegevens invullen en zouden organisaties hun personeel van een fysieke beveiligingssleutel moeten voorzien.


In jaar tijd voor meer dan 100 miljoen euro aan NFT's gestolen via oplichting

Tussen juli 2021 en juli 2022 is er voor 100 miljoen dollar (iets meer dan 100 miljoen euro) aan NFT's gestolen, schrijft cryptovaluta-analist Elliptic in een woensdag gepubliceerd rapport (pdf)NFT staat voor non-fungible token, ofwel een niet-vervangbare token. Deze bestanden zijn gekoppeld aan 'iets' digitaals, zoals een afbeelding, filmpje of tweet. In de NFT staat wie de eigenaar van deze afbeelding, video of tweet is. Elliptic meldt dat oplichting een hardnekkig probleem is in de NFT-gemeenschap. Zo zijn twee NFT's uit de CloneX-collectie in drie maanden tijd twee keer gestolen. De NFT's zijn beide ongeveer 50.000 euro waard. De duurste NFT die is gestolen in het afgelopen jaar heeft een waarde van 490.000 euro. Bij één enkel slachtoffer werd ooit voor een recordwaarde van ongeveer 2,1 miljoen euro aan NFT's gestolen. Criminelen en oplichters komen op verschillende manier aan de NFT's van de slachtoffers. Meestal worden de NFT's gestolen via phishing. Hierbij overhandigen de gebruikers per ongeluk de inloggegevens van hun cryptowallet. Dat is een bankrekening waarop cryptovaluta en NFT's worden bewaard. Als een fraudeur toegang heeft tot de wallet, dan kan hij een onomkeerbare transactie doen. In sommige gevallen maken de criminelen een schadelijke NFT. Deze worden vaak vermomd als een zeer gewilde NFT. Als de NFT wordt geaccepteerd door de koper en in de wallet terechtkomt, dan wordt de inhoud gelijk overmaakt naar de fraudeur. 

NFT Report 2022
PDF – 1,2 MB 302 downloads

Frans ziekenhuis moet patiënten weigeren wegens ransomware-aanval

Een Frans ziekenhuis dat afgelopen weekend werd getroffen door een ransomware-aanval moet als gevolg hiervan patiënten weigeren en heeft operaties geannuleerd. De situatie is zo ernstig dat het Center Hospitalier Sud Francilien (CHSF) een noodplan in werking heeft gesteld. Doordat systemen onbeschikbaar zijn is personeel teruggeworpen op pen en papier. Een deel van de ingrepen kan deze week toch nog doorgaan omdat erop een eerder moment papieren uitdraaien zijn gemaakt. De aanval deed zich voor in de nacht van zaterdag 20 op zondag 21 augustus. Aanvallers wisten alle systemen van het ziekenhuis te versleutelen, waaronder opslagsystemen bedoeld voor medische scans en systemen voor het registreren van patiënten. Doordat de systemen onbereikbaar zijn is er een noodplan in werking gesteld. Alleen in absolute noodgevallen zal het ziekenhuis nog patiënten opnemen. In alle andere gevallen moeten patiënten uitwijken naar ziekenhuizen in de regio. Het Center Hospitalier Sud Francilien telt duizend bedden en biedt zorg aan 600.000 inwoners van het Franse departement Essonne. Door de aanval is het onmogelijk om nieuwe patiënten te registreren. Patiënten die al in het ziekenhuis zijn opgenomen moeten rekening met verminderde zorg houden. Medische ingrepen en operaties zijn afgezegd, zo meldt de Franse krant Le Monde. Le Parisien laat weten dat het opnieuw inplannen van afspraken en uitvoeren van operaties de komende weken nog zal duren. De aanvallers eisen een bedrag van 10 miljoen euro voor het ontsleutelen van de systemen en het niet publiceren van gestolen informatie. Bij de aanval zijn ook gegevens van het ziekenhuisnetwerk buitgemaakt. Om wat soort data het precies gaat is nog niet duidelijk. Het ziekenhuis zegt niet op de eisen van de aanvallers in te gaan en stelt verder over back-ups te beschikken voor het herstellen van systemen. De afgelopen jaren zijn meerdere Franse ziekenhuizen het slachtoffer van ransomware-aanvallen geweest. Hoe de aanvallers dit keer wisten binnen te dringen is nog niet bekendgemaakt.


Plex vraagt klanten wachtwoord te wijzigen vanwege cyberaanval

Plex was dinsdag het slachtoffer van een cyberaanval. Daarbij zijn mogelijk de inloggegevens van Plex-gebruikers buitgemaakt door hackers. Het cybersecurityteam van het multimediaplatform verplicht gebruikers daarom om hun wachtwoord te veranderen. Dat schrijft Plex in een e-mail aan klanten.


Ransomware gebruikt anti-cheatdriver videogame voor uitschakelen antivirus

Aanvallers maken gebruik van een anti-cheatdriver van de videogame Genshin Impact om zo antivirussoftware bij organisaties uit te schakelen en daarna ransomware uit te rollen. De driver in kwestie is eenvoudig verkrijgbaar en onafhankelijk van de videogame te gebruiken. Daarnaast is het code signing certificaat van de driver nog altijd geldig, zo waarschuwt antivirusbedrijf Trend Micro. Genshin Impact is een action role-playing game voor verschillende platforms met meer dan 60 miljoen actieve spelers. Om valsspelen tegen te gaan maakt het spel gebruik van een speciale anti-cheatdriver genaamd "mhyprot2.sys". Via deze driver blijkt het mogelijk om vanuit user-mode naar kernel-mode te gaan en vervolgens commando's uit te voeren. Bij de aanval die Trend Micro onderzocht wist een aanvaller op deze manier de antivirussoftware uit te schakelen, waarna ransomware binnen de organisatie werd uitgerold. De betreffende driver kan echter voor allerlei malware worden gebruikt. Dat het mogelijk is om via de anti-cheatdriver rechten te verhogen is al twee jaar bekend en ook gemeld bij de gameontwikkelaar als kwetsbaarheid. Het probleem is echter nooit opgelost. Het certificaat gebruikt voor het signeren van de driver is ook nog altijd geldig en het is de vraag of het zal worden ingetrokken, zo stellen de onderzoekers. "Zoals eerder opgemerkt is deze driver zeer eenvoudig te verkrijgen en zal totdat die verdwijnt voor iedereen beschikbaar zijn", zegt onderzoeker Ryan Soliven. Hij stelt dat de driver nog lange tijd bij aanvallen kan worden gebruikt voor het verhogen van rechten. "Het intrekken van het certificaat en antivirusdetectie zouden mogelijk het misbruik kunnen tegengaan, maar er zijn op dit moment geen oplossingen aangezien het om een legitieme driver gaat." Het onderzoek naar het gebruik van de driver bij aanvallen is nog gaande.


Frans ziekenhuis getroffen door ransomware-aanval

Het 'Center Hospitalier Sud Francilien' (CHSF), een ziekenhuis met 1000 bedden op 28 km van het centrum van Parijs, had zondag te maken met een cyberaanval, waardoor het medisch centrum patiënten doorverwees naar andere instellingen en afspraken voor operaties uitstelde. CHSF bedient een gebied van 600.000 inwoners, dus elke verstoring in zijn activiteiten kan de gezondheid en zelfs levens van mensen in een medisch noodgeval in gevaar brengen. "Deze aanval op het computernetwerk maakt de bedrijfssoftware van het ziekenhuis, de opslagsystemen (met name medische beeldvorming) en het informatiesysteem met betrekking tot patiënt opnames voorlopig ontoegankelijk", legt de aankondiging van CHSF uit. De administratie van het ziekenhuis heeft geen verdere updates over de situatie gegeven en de uitval van het IT-systeem die verminderde operaties afdwong, plaagt de vestiging nog steeds. Degenen die spoedeisende hulp nodig hebben, worden geëvalueerd door de artsen van CHSF en als hun toestand medische beeldvorming voor behandeling vereist, worden ze overgebracht naar een ander medisch centrum. Volgens Le Monde, dat informatie heeft van de wetshandhavingsinstanties van het land, eisten de ransomware-actoren die CHSF troffen de betaling van een losgeld van $ 10.000.000 in ruil voor een decoderingssleutel. "Een onderzoek voor inbraak in het computersysteem en voor poging tot afpersing in een georganiseerde bende is geopend voor de afdeling cybercriminaliteit van het parket van Parijs", vertelde een politiebron aan Le Monde, ook specificerend dat "de onderzoeken werden toevertrouwd aan de gendarmes van het Centrum tegen digitale misdaad (C3N)".


Griekse gasnetbeheerder Desfa getroffen door ransomware-aanval

De Griekse gasnetbeheerder Desfa is vorige week getroffen door een ransomware-aanval, waarbij ook een onbekende hoeveelheid data van het bedrijf is buitgemaakt. In een verklaring stelt Desfa dat het slachtoffer is geworden van een cyberaanval die gevolgen had voor de beschikbaarheid van bepaalde systemen en er mogelijk ook een aantal bestanden is gestolen. De gaslevering van Desfa is niet in gevaar gekomen, zo laat het bedrijf verder weten. Hoe de aanvallers toegang tot de it-infrastructuur konden krijgen wordt nog onderzocht. Desfa hoopt de getroffen systemen zo snel mogelijk weer te herstellen. Uit voorzorg is het grootste deel van de it-diensten uitgeschakeld. Hoeveel losgeld de aanvallers eisen is onbekend. De gasnetbeheerder zegt niet met de criminelen te zullen onderhandelen. De aanval op Desfa is opgeëist door de criminelen achter de RagnarLocker-ransomware, die eerder ook toesloegen bij het grootste energiebedrijf van Portugal. Volgens de criminelen heeft het bedrijf met kwetsbaarheden in de beveiliging te maken en is het hiervoor gewaarschuwd. Desfa heeft echter niet gereageerd. De ransomwaregroep dreigt nu alle gestolen data openbaar te maken.


Cybercriminelen hebben 'toegang gekregen tot een interne communicatietool' van Autodoc

De Duitse auto-onderdelenwebshop Autodoc waarschuwt klanten voor een datalek. Het bedrijf heeft ook een populaire Nederlandse en Belgische webwinkel. Het is niet bekend hoeveel klanten er in totaal zijn getroffen of wat de precieze omvang van het lek is. Autodoc heeft naar een onbekend aantal klanten een e-mail gestuurd, die door verschillende tweakers is doorgestuurd. De e-mail is Engelstalig, wat erop wijst dat het lek waarschijnlijk internationale effecten heeft. Autodoc is een van origine Duits bedrijf dat inmiddels webshops heeft in Nederland, België en 25 andere Europese landen. De webshop verkoopt auto-onderdelen aan zowel garages en reparateurs als consumenten. In de e-mail schrijft het bedrijf dat criminelen 'toegang krijgen tot een interne communicatietool'. Het is niet bekend welke tool dat is. Via die tool kregen de criminelen toegang tot het centrale klantenmanagementportaal. Ze konden die informatie daar 'mogelijk kopiëren', maar Autodoc schrijft niet of dat ook daadwerkelijk gebeurd is. In het systeem stonden naw-gegevens, telefoonnummers, e-mailadressen en klantnummers. Er werden volgens Autodoc geen toegangstokens, wachtwoorden of creditcardgegevens opgeslagen. Ook ordergegevens zijn niet buitgemaakt. Het bedrijf waarschuwt klanten voor identiteitsdiefstal. Autodoc was dinsdag niet direct bereikbaar voor vragen. Het is daarom niet duidelijk hoeveel klanten er wereldwijd of in Nederland of België zijn getroffen. In Europa zegt Autodoc wereldwijd twaalf miljoen klanten te hebben.


DDoS-aanval op ransomwaregroep LockBit

De ransomwaregroepering LockBit is doelwit van een Distributed Denial of Service (DDoS)-aanval. De aanval lijkt een reactie op een recente aanval op en datadiefstal bij cybersecurityleverancier Entrust. Dit meldt onder meer Azim Shukuhi, een onderzoeker verbonden aan Cisco's Talos threat intelligence-divisie. In een tweet meldt Shukuhi contact te hebben gehad met LockBitSupp, dat in naam van LockBit contact onderhoudt met zowel bedrijven als beveiligingsonderzoeker. LockBitSupp meldt dat de lekwebsite van de ransomwaregroepering per seconde 400 verzoeken ontvangt van ruim 1.000 servers. De groep meldt ook extra capaciteit toe te zullen voegen aan zijn website en zo de financiële middelen van de DDoS'ers te willen uitputten. Ook Vx-underground maakt op Twitter melding van de DDoS-aanval. Vx-underground verzamelt broncodes en samples van malware. De malware-database ontving van LockBit een screenshot waarop meldingen van de DDoS'ers te zien zijn die verwijzen naar Entrust.com. Entrust richt zich op onder meer identiteitsbeveiliging, veilige betalingen en het beveiligen van digitale infrastructuur. Het bedrijf is in juni getroffen door ransomware van LockBit. De groep stelt hierbij data te hebben buitgemaakt en probeert hiermee Entrust af te persen. Indien het bedrijf niet tot betaling overgaat, dreigt de groep de gestolen data online te publiceren. De DDoS-aanvallen lijken dus een reactie hierop.


Ransomwaregroep steelt privédata bijstandsontvangers Belgische gemeente

Bij een ransomware-aanval op de Belgische gemeente Maldegem zijn de persoonsgegevens van twaalfduizend mensen gestolen die bijstand ontvangen of ontvingen. Ook werden bestanden op het gemeentenetwerk versleuteld. De aanvallers eisten 200.000 euro losgeld, dat de gemeente niet heeft betaald. De gestolen persoonsgegevens zijn inmiddels door de aanvallers online gezet. De aanval vond plaats in de nacht van 19 op 20 juli. "De cyberaanval werd op 20 juli 2022 opgemerkt bij de opstart van de computers en telefonie. Het gaat om een gesofisticeerde aanval van kwaadaardige software die het netwerk heeft platgelegd", aldus de gemeente in een verklaring. Bij de aanval werd ook een database van het Openbaar centrum voor maatschappelijk welzijn (OCMW) gestolen. Het OCMW voorziet mensen van sociale bijstand. "De hackers hebben de database van het vroegere OCMW bemachtigd. Dat is vervelend want het gaat over kwetsbare mensen en een kwetsbare doelgroep", zegt waarnemend directeur van de gemeente Maldegem Koen Cromheecke tegenover VRT NWS. Volgens Cromheecke zijn er geen mensen in gevaar. "We kunnen niet zeggen hoe je aan de gegevens geraakt, want dat zou het voor die mensen nog erger maken. Je moet al deskundige zijn en specifieke computerprogramma's hebben om aan de gegevens te geraken." De gestolen data werd onlangs online gezet. "Pas nu hebben we een zicht op de omvang van de diefstal. Omdat het over zoveel mensen gaat, is het onmogelijk om ze individueel te benaderen. We hebben wel een callcenter op poten gezet dat iedereen met vragen kan helpen. Zij houden sowieso een identiteitscontrole, zodat niemand met de gegevens van iemand anders kan gaan lopen", laat Cromheecke verder weten. De criminelen achter de LockBit-ransomware hebben de aanval opgeëist en de gestolen data op hun website gepubliceerd.

In februari had Lockbit reeds aangegeven dat ze de gegevens van de Gemeente Maldegem te pakken hadden.


Lloyd's stopt volgend jaar dekking voor catastrofale statelijke cyberaanvallen

Verzekeringsmarktplaats Lloyd's of London biedt vanaf 31 maart volgend jaar via de standaard cyberpolissen geen dekking meer voor catastrofale statelijke cyberaanvallen. Lloyd's is een marktplaats waar verzekeringsmakelaars van over de hele wereld rechtstreeks onderhandelen met de verzekeraars die de risico’s van hun klanten dekken. Vanaf 31 maart 2023 moeten partijen die bij Lloyd's op de marktplaats onderhandelen duidelijk maken aan hun klanten dat fysieke en digitale schade als gevolg van "catastrofale" cyberaanvallen niet meer door standaard cyberpolissen wordt gedekt. In een bericht aan verzekeringsmaatschappijen laat Lloyd's weten dat de schade die statelijke cyberaanvallen kunnen veroorzaken een systemisch risico voor de verzekeringsmarkt kunnen zijn (pdf). In veel verzekeringspolissen wordt bijvoorbeeld al opgenomen dat schade door oorlogen niet zijn gedekt. Lloyd's stelt dat cyberpolissen belangrijk zijn, maar dat die vanwege het veranderende dreigingslandschnap op de juiste wijze moeten worden beheerd. "Met name de mogelijkheid van vijandige actoren om een aanval uit te voeren, de mogelijkheid om schadelijke code te verspreiden en de vitale afhankelijkheid die samenlevingen van hun it-infrastructuur hebben, waaronder de bediening van fysieke middelen, houdt in dat verliezen veel groter kunnen zijn dan wat de verzekeringsmarkt aan kan."

Y 5381 Market Bulletin Cyber Attack Exclusions
PDF – 151,5 KB 274 downloads

FBI waarschuwt voor gebruik van proxies bij credential stuffing-aanvallen

Criminelen maken bij het uitvoeren van credential stuffing-aanvallen steeds vaker gebruik van proxies om hun ip-adressen te verbergen, zo waarschuwt de FBI. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Om detectie te voorkomen worden bij dergelijke aanvallen steeds vaker proxies ingezet. Zodoende kunnen aanvallers bijvoorbeeld blokkades van bepaalde geografische locaties omzeilen, aldus de FBI. Daarnaast kunnen cybercriminelen bij het uitvoeren van de aanvallen zich ook richten op mobiele applicaties. Volgens de FBI hebben mobiele applicaties vaak zwakkere beveiligingsprotocollen dan webapplicaties, waardoor er meer inlogpogingen per minuut kunnen worden geprobeerd. Om credential stuffing-aanvallen te voorkomen raadt de FBI het gebruik van multifactor-authenticatie aan. Daarnaast moeten organisaties hun personeel leren om voor elk account een unieke passphrase te gebruiken, een wachtwoord dat uit meerdere woorden bestaat. Verder doen organisaties er verstandig aan om publiek gelekte inloggegevens tegen eigen klantaccounts te gebruiken en bij succesvolle inlogpogingen een wachtwoordreset te verplichten. Ook stelt de FBI dat CAPTCHA's alleen geen voldoende bescherming tegen credential stuffing bieden.


Nieuwe PT_Moisha ransomware


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


November 2024
Oktober 2024

Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »
September 2024