Overzicht van slachtoffers cyberaanvallen week 02-2023

Gepubliceerd op 16 januari 2023 om 15:00

NortonLifeLock waarschuwt klanten voor hack wachtwoordmanager, Royal Mail slachtoffer van Lockbit ransomware, geen internationale post verstuurd en de rechter heeft besloten dat Nederland de verdachte cybercrimineel mag uitleveren aan de Verenigde Staten. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Laatste wijziging op 16-januari-2023


Cybercriminelen hebben interne gegevens van meer dan 7.000 organisaties gelekt op het darkweb. In de onderstaande lijst staan de organisaties die geweigerd hebben het losgeld te betalen. Als het losgeld wordt betaald, worden er geen gegevens gelekt op het darkweb.

Opmerking: ‘Zo'n 80% van de organisaties betaalt losgeld’. Kun je dan zeggen dat onderstaande lijst slecht 20% is van het totale aantal slachtoffers van ransomware bendes? 🤔

Meetmoment Aantal organisaties waar data van gelekt is op het darkweb
01-05-2019 (eerste slachtoffer) 1
01-05-2020 85
01-05-2021 2.167
01-05-2022 5.565
Nu 7.139


Week overzicht

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum
Hills Salvage and Recycling Royal www.hills-motors.co.uk UK Miscellaneous Retail 15-jan.-23
Samuels and Son Seafood Royal www.samuelsseafood.com USA Wholesale Trade-non-durable Goods 15-jan.-23
El Seif Development Mallox elseif.com.sa Saudi Arabia Miscellaneous Manufacturing Industries 15-jan.-23
Holovis RansomHouse www.holovis.com UK Miscellaneous Services 15-jan.-23
matrixschools.edu.my LockBit matrixschools.edu.my Malaysia Educational Services 15-jan.-23
Central Texas College Vice Society www.ctcd.edu USA Educational Services 15-jan.-23
TIMco Vice Society www.timco.co.uk UK Wholesale Trade-durable Goods 15-jan.-23
K2 Sports BlackByte k2sports.com USA Apparel And Accessory Stores 14-jan.-23
G.W. Becker Hive gwbcrane.com USA Machinery, Computer Equipment 13-jan.-23
fujikura-electronics.co.th LockBit fujikura-electronics.co.th Thailand Electronic, Electrical Equipment, Components 13-jan.-23
NYCBAR.ORG CL0P nycbar.org USA Membership Organizations 13-jan.-23
Trans Maldivian Airways RansomHouse www.transmaldivian.com Maldives Transportation By Air 13-jan.-23
Fu Yu Corporation BlackCat (ALPHV) www.fuyucorp.com Singapore Rubber, Plastics Products 13-jan.-23
Air Comm Corporation BlackCat (ALPHV) Unknown Unknown Unknown 13-jan.-23
IMI Hydronic Engineering RansomHouse www.imi-hydronic.com Switzerland Wholesale Trade-durable Goods 12-jan.-23
lloyddowson.co.uk LockBit lloyddowson.co.uk UK Accounting Services 12-jan.-23
muellergartenbau.ch LockBit muellergartenbau.ch Switzerland Building Materials, Hardware, Garden Supply, And Mobile Home Dealers 12-jan.-23
lidestrifoodanddrink.com LockBit lidestrifoodanddrink.com USA Food Products 12-jan.-23
versteden.com LockBit versteden.com Netherlands Miscellaneous Manufacturing Industries 12-jan.-23
nuxe.com LockBit nuxe.com France Merchandise Stores 12-jan.-23
russellfinex.com LockBit russellfinex.com UK Machinery, Computer Equipment 12-jan.-23
Physician Partners of America Snatch www.physicianpartnersofamerica.com USA Health Services 12-jan.-23
Ruhrpumpen Royal www.ruhrpumpen.com Mexico Machinery, Computer Equipment 12-jan.-23
Chinery and Douglas Royal www.lvcdlaw.com USA Legal Services 12-jan.-23
T A Supply Royal www.tasupply.com USA Wholesale Trade-durable Goods 12-jan.-23
DAYTON PROGRESS PLAY www.daytonprogress.de UK Machinery, Computer Equipment 11-jan.-23
Liebra Permana BlackCat (ALPHV) liebrapermana.com Indonesia Apparel And Other Finished Products 11-jan.-23
TIME TECHNOPLAST LIMITED BlackCat (ALPHV) www.timetechnoplast.com India Rubber, Plastics Products 11-jan.-23
Honey Lady BlackCat (ALPHV) www.honeylady.com Indonesia Food Products 11-jan.-23
Arnold Clark PLAY www.arnoldclark.com UK Automotive Dealers 11-jan.-23
circlevillecourt.com LockBit circlevillecourt.com USA Justice, Public Order, And Safety 11-jan.-23
ADIVA CO. LTD Mallox adiva-tw.com Taiwan Transportation Equipment 11-jan.-23
Cambian Group AvosLocker cambiangroup.com UK Educational Services 11-jan.-23
datair.com LockBit datair.com USA IT Services 10-jan.-23
Fire Rescue Victoria Vice Society www.frv.vic.gov.au Australia National Security And International Affairs 10-jan.-23
Chestertons Inc. Lorenz www.chestertons.co.uk UK Real Estate 10-jan.-23
Thor Specialties, Inc. Lorenz thorsp.com USA Chemical Producers 10-jan.-23
Shelco Lorenz shelcollc.com USA Miscellaneous Manufacturing Industries 10-jan.-23
CARS.com Endurance cars.com USA Automotive Dealers 10-jan.-23
Aviacode 0mega www.aviacode.com USA Health Services 9-jan.-23
River City Science Academy Karakurt rivercityscience.org USA Educational Services 9-jan.-23
Arizona Labor Force AvosLocker azlaborforce.com USA Business Services 9-jan.-23

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum
versteden.com LockBit versteden.com Netherlands Miscellaneous Manufacturing Industries 12-jan.-23

In samenwerking met DarkTracer

Top 3 cybercrime groepen met de meeste slachtoffers

Groepering Aantal slachtoffers
1 LockBit 1.322 Actief
2 Conti 674 Niet meer actief
3 BlackCat (ALPHV) 249 Actief

NortonLifeLock waarschuwt klanten voor hack wachtwoordmanager

Securitybedrijf NortonLifeLock heeft een onbekend aantal klanten gewaarschuwd dat criminelen hebben ingebroken op hun Norton Password Manager, een online wachtwoordmanager, en adviseert alle opgeslagen inloggegevens direct te wijzigen. De wachtwoordmanager is te gebruiken via een Norton-account en kan wachtwoorden genereren en opslaan in een "online kluis". De wachtwoordmanager is beschikbaar als browser-extensie en app voor Android en iOS. Volgens NortonLifeLock heeft een "ongeautoriseerde derde partij", met inloggegevens die via andere bronnen zijn verkregen, op het Norton-account van getroffen klanten ingelogd en kon zo ook toegang tot opgeslagen wachtwoorden krijgen. Dat blijkt uit een datalekmelding die het securitybedrijf bij de procureur-generaal van de Amerikaanse staat Vermont heeft gedaan (pdf). Het gaat hier om een credential stuffing-aanval. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen niet detecteren en blokkeren. Door op het Norton-account in te loggen heeft de aanvaller naam, telefoonnummer en adresgegevens in handen buitgemaakt. "We kunnen niet uitsluiten dat de ongeautoriseerde derde partij de gegevens in de wachtwoordmanager heeft verkregen, met name als je Password Manager key gelijk is, of erg lijkt, op die van je Norton-account", aldus de brief. De aanvaller kan de inloggegevens in de kluis vervolgens zelf gebruiken of delen met anderen, zo stelt NortonLifeLock verder. Het securitybedrijf heeft het wachtwoord van getroffen klanten gereset en adviseert, als klanten hetzelfde wachtwoord op ander websites gebruiken, het daar ook te wijzigen. Verder stelt NortonLifeLock dat klanten alle in de online wachtwoordmanager opgeslagen wachtwoorden direct moeten wijzigen. Tevens stelt het securitybedrijf dat klanten geregeld hun wachtwoorden zouden moeten wijzigen. Het periodiek wijzigen van wachtwoorden, tenzij er een datalek heeft plaatsgevonden, wordt door beveiligingsexperts en overheidsinstanties juist afgeraden omdat mensen dan vaak een zwakker wachtwoord kiezen.

2023 01 09 Norton Life Lock Gen Digital Data Breach Notice To Consumers
PDF – 91,8 KB 260 downloads

Royal Mail slachtoffer van Lockbit ransomware, geen internationale post verstuurd

Het Britse postbedrijf Royal Mail is slachtoffer geworden van ransomware waardoor het geen internationale post meer kan versturen. De Royal Mail spreekt nog altijd van een cyberincident, maar bronnen laten aan The Telegraph en BBC weten dat het om een aanval met de Lockbit-ransomware gaat. Bij de aanval zijn de machines versleuteld die worden gebruikt voor het printen van de verzendlabels voor het versturen van pakketten naar internationale bestemmingen. De aanvallers claimen ook allerlei gegevens te hebben buitgemaakt. Tevens zouden de printers in het distributiecentrum van de Royal Mail in Noord-Ierland kopieën van de losgeldboodschap hebben geprint. De Lockbit-groep zegt de gestolen data openbaar te maken als er geen losgeld wordt betaald. Hoe de aanval kon plaatsvinden is niet bekendgemaakt. De Royal Mail heeft mensen via social media opnieuw opgeroepen geen internationale post of pakketten te versturen. Wanneer de problemen zijn hersteld kan het postbedrijf nog niet zeggen. Eerder werd al bekend dat het Britse National Crime Agency en National Cyber Security Centre ondersteuning bieden en de Britse privacytoezichthouder ICO vragen heeft gesteld. Onlangs werd ook het grootste kinderziekenhuis van Canada getroffen door de Lockbit-ransomware. LockBit wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden.


Zeroday-kwetsbaarheid in FortiOS SSL-VPN uitgebuit door geavanceerde aanvaller

Een zerodaylek in FortiOS SSL-VPN, waardoor een aanvaller op afstand kwetsbare vpn-servers kan overnemen, is gebruikt tegen overheden en grote organisaties waarbij de gebruikte malware alle sporen uit de logbestanden kan wissen, zo stelt Fortinet. Een maand geleden kwam Fortinet met een waarschuwing en beveiligingsupdate voor de kwetsbaarheid, aangeduid als CVE-2022-42475. Het beveiligingslek werd al voor het uitkomen van de patch misbruikt. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Bij de initiële waarschuwing gaf Fortinet geen details, maar heeft dat in een nieuwe analyse nu wel gedaan. Zo is de kwetsbaarheid, een heap-based buffer overflow in SSLVPNd, gebruikt tegen overheden en grote organisaties. "De complexiteit van de exploit suggereert een geavanceerde actor en een zeer gerichte inzet tegen overheden of overheidsgerelateerde doelwitten", aldus onderzoeker Carl Windsor. Zodra de aanvallers toegang hebben wordt er malware op de vpn-server geïnstalleerd die het loggingproces van FortiOS aanpast, om zo logbestanden te manipuleren en detectie te voorkomen. FortiOS is het besturingssystemen van Fortinet en draait op de producten van het bedrijf. Zo kan de aanvaller specifieke strings opgeven die uit de logbestanden worden verwijderd. Ook kan de malware het loggingproces uitschakelen. Volgens Windsor blijkt uit de gebruikte exploit dat de aanvaller een uitgebreide kennis van FortiOS en de onderliggende hardware heeft. "Het gebruik van custom implants laat zien dat de aanvaller over geavanceerde mogelijkheden beschikt, waaronder het reverse engineeren van verschillende onderdelen van FortiOS", aldus de onderzoeker. In de nieuwe analyse over de kwetsbaarheid zijn ook verschillende Indicators of Compromise gegeven, zoals ip-adressen, hashes en bestanden, waarmee organisaties kunnen controleren of ze zijn gecompromitteerd.


Ransomware-aanval op The Guardian met persoonsgegevens diefstal bevestigd

Bij de ransomware-aanval op The Guardian zijn ook persoonsgegevens van medewerkers buitgemaakt, zo heeft de Britse krant laten weten. Door de aanval, die op 20 december werd gedetecteerd, moet personeel nog weken thuiswerken. In een e-mail aan het personeel spreekt Anna Bateson, hoofd van The Guardian Media Group, van een "zeer geraffineerde cyberaanval". Details waaruit zou blijken dat het om een geraffineerde aanval gaat zijn echter niet gegeven. Waarschijnlijk hebben de aanvallers via een phishingmail toegang tot het netwerk gekregen, aldus Bateson. Daarnaast stelt ze dat het hier om een criminele aanval gaat en The Guardian niet specifiek als mediaorganisatie is aangevallen. Er zijn op dit moment geen aanwijzingen dat de aanvallers persoonlijke informatie van lezers of abonnees hebben buitgemaakt. Vanwege de aanval was personeel gevraagd om zeker tot 23 januari thuis te werken, maar dat is inmiddels verschoven naar begin februari.


Hackersgroep Lockbit uit Rusland hackt Royal Mail

Het Britse postbedrijf Royal Mail is gehackt door een collectief dat banden heeft met Rusland. Dat schrijft de Britse krant The Telegraph. Door de hack kan het postbedrijf sinds gisteren geen brieven en pakketten naar het buitenland versturen. The Telegraph wijst naar hackerscollectief Lockbit, waarvan cyberexperts zeggen dat het leden heeft in Rusland. De krant schrijft niet hoe ze aan die informatie komen. Royal Mail heeft nog niet gereageerd op de bevindingen van de krant, maar zegt experts in de arm te hebben genomen die de zaak onderzoeken. Om te voorkomen dat de internationale pakketten en brieven die niet verstuurd kunnen worden zich opstapelen, heeft de postbezorger aan zijn klanten gevraagd voorlopig geen post met een bestemming in het buitenland te versturen. Het Britse Cyber Security Centrum is op de hoogte van het incident bij Royal Mail en probeert samen met het bedrijf de computersystemen te bevrijden van de ransomware. De National Crime Agency, een Britse organisatie die strijdt tegen georganiseerde misdaad, doet ook onderzoek naar de cyberaanval. Hackersgroep Lockbit staat bekend om zijn cyberaanvallen waarbij het computersystemen platlegt totdat er losgeld wordt betaald. Honderden bedrijven, waaronder autohandelaren en zelfs kinderziekenhuizen, zijn in de afgelopen jaren slachtoffer geworden van het collectief. The Telegraph schrijft dat een lid van Lockbit op Telegram heeft gezegd dat de groepering profiteert van de vijandige houding van het Westen ten opzichte van Rusland. "Daardoor kunnen wij agressief handelen en vrijuit opereren binnen de grenzen van de voormalige Sovjet-Unie."


APT10 gebruikt VLC Media Player voor spionage via Cobalt Strike

Een beruchte spionagegroep, verantwoordelijk voor de "Cloud Hopper" campagne uit 2017, maakt nu gebruik van de populaire mediaspeler VLC Media Player voor het laden van Cobalt Strike, software ontwikkeld voor het uitvoeren van penetratietests. Dat meldt antivirusbedrijf Trend Micro in een analyse. De aanval maakt gebruik van malafide websites en "SEO poisoning" om medewerkers van interessante organisaties met malware te vinden. Zodra die op bepaalde termen zoeken verschijnen de malafide websites in de zoekresultaten. Deze malafide sites doen zich bijvoorbeeld voor als forum en bevatten linkjes naar zip-bestanden. Dit zip-bestand bevat malafide code, de gootkit loader, die uiteindelijk VLC Media Player downloadt. VLC Media Player wordt vervolgens gebruikt voor het laden van een dll-bestand, dat een module van Cobalt Strike is. De software is zoals gezegd ontwikkeld voor gebruik bij penetratietests, maar wordt zeer geregeld door cybercriminelen en spionagroepen gebruikt. Via Cobalt Strike is het mogelijk om een besmet systeem op afstand opdrachten te geven. "Het gebruik van legitieme tools is inmiddels gemeengoed", aldus onderzoeker Hitomi Kimura. Hij vermoedt dat aanvallers op deze manier antivirussoftware willen omzeilen en menselijke controle proberen te misleiden. Eind december waarschuwde de Australische overheid dat het de gootkit loader op meerdere Australische netwerken had waargenomen. Volgens Trend Micro zit een spionagegroep genaamd APT10 achter de aanval, ook bekend als Potassium. De groep kwam in 2017 groot in het nieuws omdat het bij meerdere cloudproviders en managed serviceproviders had ingebroken om zo toegang tot allerlei organisaties wereldwijd te krijgen. De aanvalscampagne kreeg de naam Cloud Hopper. Twee vermeende leden van de groep werden in 2018 door de Verenigde Staten aangeklaagd.


Royal Mail getroffen door mogelijke ransomware aanval

Wat het cyberincident precies inhoudt is niet helemaal duidelijk. Mogelijk gaat het om ransomware  waardoor het 507 jaar oude Royal Mail niet bij zijn systemen kan. Het bedrijf zegt met externe experts samen te werken om de problemen op te lossen. Ook is het incident aan toezichthouders en veiligheidsdiensten gemeld. Het lukt Royal Mail nog wel om poststukken van bedrijven buiten Groot-Brittannië in te voeren. Bij dat soort pakketten moet wel met een iets langere levertijd rekening worden gehouden. Op de website van het postbedrijf staat vooralsnog niets vermeld bij de pagina's voor internationale verzendingen. Op social network Twitter maakt Royal Mail wel melding van de verstoring.


Twitter onduidelijk over bron gelekte data

Twitter weet niet precies waar de dataset vandaan komt met de gegevens van ruim 200 miljoen gebruikers die op internet wordt aangeboden, zo heeft het in een reactie laten weten. Vorige week bleek dat de e-mailadressen van ruim 211 miljoen Twitter-gebruikers zijn gelekt op internet. Volgens beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned was de data in 2021 verkregen door misbruik te maken van een Twitter-API waardoor de e-mailadressen die bij Twitterprofielen horen konden worden opgevraagd. In een reactie stelt Twitter dat er geen bewijs is gevonden dat de aangeboden data is verkregen door misbruik te maken van een kwetsbaarheid in de systemen van Twitter. "De data is waarschijnlijk een verzameling van al publiek beschikbare data afkomstig van verschillende bronnen", zo stelt het bedrijf. Twitter zegt in contact te staan met privacytoezichthouders en andere relevante autoriteiten om opheldering over het "vermeende incident" te geven. Verder adviseert Twitter gebruikers om tweefactorauthenticatie in te schakelen.


Cybercriminelen gebruiken oude Intel-driverkwetsbaarheid voor antivirusomzeiling

Aanvallers maken gebruik van een zeven jaar oude kwetsbaarheid in een Intel-driver om antivirussoftware op aangevallen systemen te omzeilen, zo stelt securitybedrijf CrowdStrike. Het gaat om een kwetsbaarheid in de Intel ethernet diagnostics driver aangeduid als CVE-2015-2291. Via het beveiligingslek kan een aanvaller code met kernelrechten uitvoeren. Zo is het bijvoorbeeld mogelijk om een malafide kerneldriver te laden. Via deze driver is het vervolgens mogelijk om aanwezige antivirus- of beveiligingssoftware te omzeilen, zodat bijvoorbeeld ransomware kan worden uitgerold. De techniek wordt Bring Your Own Driver of Bring Your Own Vulnerable Driver genoemd. Drivers draaien met verhoogde rechten op het systeem. Kwetsbaarheden in drivers bieden aanvallers de mogelijkheid om het kernelgeheugen te lezen of schrijven en daarin code uit te voeren. De afgelopen maanden bleken aanvallers onder andere een anti-cheatdriver van de videogame Genshin Impact en drivers van antivirusbedrijf Avast en moederbordfabrikanten MSI en Gigabyte bij ransomware-aanvallen te hebben gebruikt voor het neutraliseren van antivirussoftware. Nu kan ook de Intel-driver hieraan worden toegevoegd. Om Windowscomputers tegen kwetsbare drivers te beschermen zijn Windows 10, 11 en Server 2016 en nieuwer voorzien van een blocklist die via Windows Update wordt bijgewerkt. Op de lijst staan kwetsbare drivers die Windows niet zal laden. Het automatisch bijwerken van de lijst is op Windows 10 was echter drie jaar lang niet gebeurd, zo ontdekte beveiligingsonderzoeker Will Dormann eind vorig jaar. Microsoft zou het probleem inmiddels hebben verholpen.


Ransomware sluit grootste school district Iowa

Door een ransomware-aanval op het grootste schooldistrict van de Amerikaanse staat Iowa konden dertigduizend leerlingen de afgelopen twee dagen niet naar school. Inmiddels zijn genoeg systemen hersteld dat de schooldeuren weer kunnen worden geopend. Het Des Moines Independent Community School District biedt onderwijs aan dertigduizend leerlingen, verdeeld over meer dan zestig scholen. Bijna vijfduizend leerkrachten zijn werkzaam in het schooldistrict. Maandagochtend ontdekte het schooldistrict dat het doelwit van een cyberaanval was geworden. Daarop werd besloten de internet- en netwerkdiensten van het schooldistrict offline te halen. Aangezien veel van de lessen in de klassen en het beheer van het schooldistrict hiervan afhankelijk zijn, alsmede medische informatie over leerlingen en noodcontactgegevens digitaal zijn, Daarnaast werkten toegangspassen niet en beveiligingscamera's. Daarop werd besloten het gehele district dinsdag en woensdag te sluiten. De aanval komt op een zeer ongelegen moment. Afgelopen vrijdag eindigde namelijk het semester, waardoor leraren het afgelopen weekend de lesprogramma's wisselden. Door de aanval was het niet mogelijk voor docenten om hun nieuwe lesschema's te printen. Het schooldistrict ging vervolgens de afgelopen dagen naar eigen zeggen non-stop bezig met het herstellen van de besmette systemen. Inmiddels is een groot deel van de systemen hersteld. Leerlingen moeten echter wel rekening houden met een "offline leerervaring", aldus het schooldistrict. Slechts een beperkt aantal medewerkers zal toegang tot internet hebben en wifi is nog altijd niet beschikbaar. Hoe de ransomware-aanval precies kon plaatsvinden is niet bekendgemaakt.


Geen aanwijzingen cyberaanval bij computerstoring luchtvaart USA

Er zijn geen aanwijzingen dat de computerstoring in de Amerikaanse luchtvaart het gevolg is van een cyberaanval. Dat meldt de woordvoerster van president Joe Biden op Twitter. De president heeft het ministerie van Vervoer opdracht gegeven om onderzoek te doen. De Amerikaanse luchtvaartautoriteit FAA kampt met een storing aan het systeem dat piloten waarschuwt voor problemen onderweg. Dat systeem heet Notice to Air Missions, afgekort NOTAM. Daarin staat bijvoorbeeld waar er slecht zicht is, waar sneeuw valt en welke landingsbanen gesloten zijn. De FAA zegt dat het bezig is om het systeem weer in de lucht te krijgen. In afwachting daarvan moeten voorlopig bij alle binnenlandse vluchten de vliegtuigen aan de grond blijven.

Storing in luchtvaartsysteem stopt vluchten binnen VS

Het luchtvaartverkeer binnen de Verenigde Staten ligt volledig stil door een storing in een belangrijk meldingssysteem voor piloten. Dat meldt de Amerikaanse luchtvaartautoriteit FAA. Vluchten zouden wel nog veilig kunnen landen, meldt president Biden. Sinds woensdagochtend plaatselijke tijd zijn er problemen met het Notice to Air Missions-systeem (NOTAM). Dat wordt beheerd door de Amerikaanse luchtvaartautoriteit en geeft mededelingen met essentiële informatie aan werknemers op vluchten. Het gaat bijvoorbeeld om de weersvoorspellingen voor luchthavens, actieve taxibanen of sluitingen van het luchtruim vanwege een ruimtelancering of een presidentiële vlucht. In alle stadia van hun opleiding worden piloten erin getraind te vertrouwen op de NOTAM-gegevens. Zeker 100 vluchten werden al geschrapt en meer dan 1.000 andere vluchten zijn vertraagd, en vanmiddag meldde de Amerikaanse luchtvaartautoriteit dat alle binnenlandse vluchten worden stilgelegd tot 15 uur Belgische tijd. Volgens de FAA wordt er met man en macht gewerkt om het systeem dan weer operationeel te krijgen. De Amerikaanse president Biden meldde ondertussen dat vliegtuigen wel gewoon veilig kunnen landen. Volgens het Witte Huis wordt de oorzaak van de panne onderzocht, maar zijn er voorlopig geen aanwijzingen dat het om een cyberaanval gaat.


Patchbevel voor Microsoft Exchange kwetsbaarheid gebruikt bij ransomware

De Amerikaanse overheid heeft federale overheidsinstanties een patchbevel gegeven voor een kwetsbaarheid in Microsoft Exchange die gebruikt is bij ransomware-aanvallen. Het beveiligingslek, aangeduid als CVE-2022-41080, werd onder andere gebruikt tegen hostingbedrijf Rackspace, dat had nagelaten de beschikbare beveiligingsupdate te installeren. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst bij van actief aangevallen kwetsbaarheden en kan federale overheidsinstanties opdragen om de betreffende patches voor deze beveiligingslekken voor een bepaalde datum te installeren. Dat is mogelijk door een "Binding Operational Directive". Het gaat in dit geval om richtlijnen die moeten worden gevolgd voor het beschermen van systemen tegen kwetsbaarheden waarvan bekend is dat er misbruik van wordt gemaakt. Amerikaanse federale overheidsinstanties zijn verplicht om de Directives van het ministerie van Homeland Security te volgen. Eind december maakte securitybedrijf Crowdstrike bekend dat de criminelen achter de Play-ransomware misbruik van de Exchange-kwetsbaarheden CVE-2022-41080 en CVE-2022-41082 maakten voor het aanvallen van organisaties. Microsoft waarschuwde eind september dat aanvallers actief misbruik van CVE-2022-41082 en nog een andere Exchange-kwetsbaarheid maakten. Om organisaties te beschermen kwam het techbedrijf met tijdelijke mitigatiemaatregelen die uit url-rewrites bestonden. Via deze url-rewrites moest misbruik van de twee beveiligingslekken worden voorkomen. Op 8 november kwam Microsoft met beveiligingsupdates om de twee kwetsbaarheden, alsmede CVE-2022-41080, te verhelpen. Microsoft adviseerde organisaties op deze datum ook om de url-rewrites niet meer te gebruiken en de beschikbare patch te installeren. Hostingbedrijf Rackspace raakte op 2 december via Exchange-kwetsbaarheid CVE-2022-41080 besmet met de Play-ransomware, waardoor klanten geen toegang meer tot hun e-mail hadden. Rackspace besloot de updates niet te installeren omdat er operationele problemen mee zouden zijn, aldus een woordvoerder. De gemeente Antwerpen werd ook slachtoffer van de Play-ransomware, de gebruikte infectievector is nog niet bekendgemaakt. Het CISA heeft Amerikaanse federale overheidsinstanties nu opgedragen om de patch voor 31 januari te installeren.


Extra handeling vereist na Microsoft SharePoint-patch voor kritieke kwetsbaarheid

Microsoft heeft gisteren een beveiligingsupdate voor een kritieke kwetsbaarheid in SharePoint Server uitgebracht, maar systeembeheerders die willen dat hun systemen beschermd zijn moeten naast het installeren van de patch een extra handeling uitvoeren. De kwetsbaarheid (CVE-2023-21743) betreft een "security feature bypass" waardoor een ongeauthenticeerde aanvaller de authenticatie kan omzeilen en een anonieme verbinding naar de SharePoint-server maken. Opvallend aan deze kwetsbaarheid is dat Microsoft die als kritiek heeft bestempeld, terwijl security feature bypasses over het algemeen lager worden beoordeeld. Het installeren van de beveiligingsupdate alleen is niet voldoende om de "SharePoint farm" te beschermen, aldus Microsoft. Er is ook een aanvullende "upgrade action" vereist. Die is uit te voeren via de SharePoint Products Configuration Wizard, de Upgrade-SPFarm PowerShell cmdlet of het "psconfig.exe -cmd upgrade -inplace b2b" commando dat na de installatie van de update op elke SharePoint-server moet worden uitgevoerd. "Dit soort gevallen laat zien waarom mensen die altijd schreeuwen "Just patch it!” nog nooit een bedrijf in de echte wereld hebben moeten patchen", zegt Dustin Childs van het Zero Day Initiative. Microsoft verwacht dat aanvallers misbruik van het beveiligingslek zullen gaan maken.


De rechter heeft besloten dat Nederland de verdachte cybercrimineel mag uitleveren aan de Verenigde Staten

De Nederlandse autoriteiten mogen een Oekraïense man die een sleutelrol zou hebben gespeeld bij de ontwikkeling en verspreiding van de Raccoon Infostealer uitleveren aan de Verenigde Staten, zo heeft de Hoge Raad geoordeeld in het vonnis. De Raccoon Infostealer steelt wachtwoorden en gegevens voor internetbankieren en cryptowallets en zou volgens de VS miljoenen computers wereldwijd hebben besmet. De FBI ontwikkelde een tool waarmee mensen kunnen zien of ze slachtoffer van de malware zijn. Vorig jaar maart kon de man, dankzij het traceren van zijn telefoon en een operationele securityfout met het koppelen van een Gmail-adres aan een iCloud-account, door de Nederlandse politie worden aangehouden. Tegelijkertijd wisten de FBI en de Italiaanse en Nederlandse autoriteiten de digitale infrastructuur van de Raccoon Infostealer te ontmantelen. De Raccoon Infostealer werd van 2018 tot begin van dit jaar aangeboden als malware-as-a-service of "MaaS". Voor het gebruik van de malware werd zo'n tweehonderd dollar per maand betaald. Afnemers gebruikten de malware bij phishingaanvallen om zo computers van nietsvermoedende slachtoffers te infecteren. Vervolgens werden via de Raccoon Infostealer allerlei persoonlijke informatie gestolen, waaronder inloggegevens, financiële informatie en andere persoonlijke gegevens. De gestolen data werd vervolgens gebruikt voor financiële fraude en verkocht op online forums. De Oekraïense man zou één van de sleutelfiguren achter de malware zijn. Zo wordt hij verdacht van de ontwikkeling, aanbieden en verkopen van de malware. De Amerikaanse autoriteiten vroegen Nederland om zijn uitlevering. Een rechter keurde de uitlevering goed, maar daar tekende de verdachte beroep tegen aan. Volgens zijn advocaat is er onvoldoende bewijs tegen zijn cliënt. Er is daardoor niet gebleken dat de verdachte betrokken is geweest bij de strafbare feiten waarvoor de uitlevering wordt verzocht. De Hoge Raad gaat daar niet in mee en stelt dat er wel voldoende bewijs is. Het beroep van de verdachte is dan ook verworpen, wat inhoudt dat hij aan de VS mag worden uitgeleverd.

ECLI NL PHR 2022 1211
PDF – 150,5 KB 173 downloads

Amerikaans schooldistrict annuleert alle lessen wegens cyberaanval

Het grootste schooldistrict van de Amerikaanse staat Iowa heeft alle lessen wegens een cyberaanval moeten annuleren. Het Des Moines Independent Community School District biedt onderwijs aan dertigduizend leerlingen, verdeeld over meer dan zestig scholen. Bijna vijfduizend leerkrachten zijn werkzaam in het schooldistrict. Dat ontdekte maandagochtend dat het doelwit van een cyberaanval was geworden. Daarop werd besloten de internet- en netwerkdiensten van het schooldistrict offline te halen. Aangezien veel van de lessen in de klassen en het beheer van het schooldistrict hiervan afhankelijk zijn is besloten het gehele district vandaag te sluiten, zo laat de onderwijsorganisatie via Twitter en Facebook weten. Om wat voor aanval het precies gaat en hoe die kon plaatsvinden is niet bekendgemaakt.


Canadese kinderziekenhuis heeft geen gebruik gemaakt van de decryptietool die werd aangeboden door een ransomwaregroep

Het grootste kinderziekenhuis van Canada dat vorige maand door ransomware werd getroffen en vervolgens van de verantwoordelijke ransomwaregroep een decryptietool kreeg voor het ontsleutelen van systemen heeft besloten hier geen gebruik van te maken. Ook is er geen losgeld aan de criminelen betaald. Inmiddels is tachtig procent van de systemen hersteld en is "code grijs" opgeheven. Op zondag 18 december kondigde het Hospital for Sick Children "code grijs" af nadat meerdere systemen als gevolg van een ransomware-aanval niet meer werkten. Het ging om interne klinische systemen, ziekenhuisapplicaties en sommige telefoonlijnen en webpagina's van het ziekenhuis. Daardoor waren er problemen met de telefonische bereikbaarheid van het ziekenhuis, de informatievoorziening en vacatureportaal. Code grijs staat voor verlies van essentiële diensten. Door de uitval van systemen kregen patiënten en gezinnen met vertragingen te maken in behandelingen en onderzoeken. Ook duurde het langer voordat artsen onderzoeksresultaten en röntgenfoto's konden ophalen, wat weer voor langere wachttijden voor patiënten kon zorgen. Veel van de inmiddels herstelde systemen zouden volgens het ziekenhuis hebben bijgedragen aan vertragingen bij behandelingen en onderzoeken. De aanval werd opgeëist door de groep achter de LockBit-ransomware. LockBit wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. De groep liet via de eigen website weten dat de voor de aanval verantwoordelijke partner de "regels" heeft overtreden en uit het partnerprogramma is gezet. De groep heeft daarop een gratis decryptietool beschikbaar gemaakt. Het ziekenhuis liet vervolgens externe experts naar de decryptietool kijken, maar heeft besloten die niet te gebruiken. Een reden voor deze beslissing is niet gegeven. Wel herhaalt het ziekenhuis dat er geen losgeld aan de groep is betaald en dat inmiddels tachtig procent van de systemen is hersteld. Daarop is besloten om "code grijs" op te heffen. Verder claimt het ziekenhuis dat de impact op de zorgverlening aan patiënten minimaal was. Het digitaal patiëntendossier van het ziekenhuis was niet getroffen, maar wel systemen die daarmee zijn geïntegreerd. Ook was het niet mogelijk om röntgenfoto's te bekijken. Hoe de ransomware-aanval mogelijk was is niet bekendgemaakt.


Er zijn honderden SugarCRM-servers gehackt via een zerodaylek

De afgelopen dagen zijn honderden SugarCRM-servers gecompromitteerd via een zerodaylek, zo claimt securitybedrijf Censys. Inmiddels is er een beveiligingsupdate uitgebracht voor de actief aangevallen kwetsbaarheid. SugarCRM biedt een platform voor customer relationship management (CRM) dat op eigen servers is te installeren en als cloudoplossing beschikbaar is. Eind december werd op de Full Disclosure-mailinglist een zeroday-exploit voor SugarCRM gepubliceerd. Via de kwetsbaarheid kan een aanvaller de authenticatie omzeilen en toegang tot de SugarCRM-server krijgen. Aanvallers gebruiken het beveiligingslek om een webshell op de server te installeren, waarmee ze toegang tot de server behouden en verdere aanvallen kunnen uitvoeren. Censys stelt dat het op 5 januari zo'n drieduizend SugarCRM-servers op internet detecteerde. Daarvan waren er bijna driehonderd gecompromitteerd. Het gaat volgens Censys ook om acht servers in Nederland. De meeste gecompromitteerde SugarCRM-servers bevinden zich in de Verenigde Staten en Duitsland. Op al deze servers werd een webshell gedetecteerd. SugarCRM maakte op 4 januari een hotfix voor het zerodaylek beschikbaar en roept klanten met een eigen SugarCRM-server op om die zo snel mogelijk te installeren. Op 5 januari publiceerde het softwarebedrijf een FAQ met uitleg over het probleem en hoe klanten kunnen controleren of ze gecompromitteerd zijn.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten