Ransomware weekoverzicht 09-2021

Gepubliceerd op 8 maart 2021 om 15:00

REvil Ransomware bende lanceerde een service voor contact met nieuwsmedia: "Voor de beste afpersing zonder kosten en met DDoS functionaliteit", 15 scholen in Nottinghamshire verlamd door een cyberaanval en ransomware kost Amerikaanse ziekenhuisketen 67 miljoen dollar. Hier het overzicht van de nieuwste ransomware vormen en het nieuws van dag tot dag.

1 maart 2020

NSW Transportbureau afgeperst door ransomware bende na Accellion-aanval

Het transportsysteem voor de Australische staat New South Wales heeft een datalek geleden nadat de Clop-ransomware een kwetsbaarheid had misbruikt om bestanden te stelen.

Hackers gebruiken Black Hat SEO om ransomware trojans via Google te pushen

Het bezorg systeem voor de 'Gootkit-informatie-steeler' is geëvolueerd tot een complex en heimelijk raamwerk, dat het de naam 'Gootloader' heeft gekregen, en nu een grotere verscheidenheid aan malware pusht via gehackte WordPress-sites en kwaadaardige SEO-technieken voor Google-resultaten.

Nieuwe variant STOP Djvu ransomware

Michael Gillespie ontdekt een nieuwe variant met extensie *.ribd

Nieuwe variant Maoloa Alco ransomware

Amigo-A ontdekt een nieuwe variant met extensie *.Globeimposter-Alpha666qqz

2 maart 2020

Staring College hervat lessen na schadelijke ransomware-aanval

Het Staring College in de Gelderse plaatsen Lochem en Borculo heeft de lessen hervat nadat het was getroffen door een ransomware-aanval die zoveel schade aanrichtte dat lessen gisteren zowel online als offline geen doorgang konden vinden.

Ransomware kost Amerikaanse ziekenhuisketen 67 miljoen dollar

Een aanval met ransomware heeft de Amerikaanse ziekenhuisketen Universal Health Services (UHS) in totaal 67 miljoen dollar gekost. Dat heeft de organisatie in een financieel jaaroverzicht bekendgemaakt. UHS is één van de grootste zorgverleners in de Verenigde Staten met vierhonderd ziekenhuizen en zorgcentra.

Uitval van Payroll-gigant PrismHR waarschijnlijk veroorzaakt door een ransomware-aanval

Toonaangevende payroll-bedrijf PrismHR lijdt aan een enorme storing na het ondergaan van een cyberaanval dit weekend die eruitziet als een ransomware-aanval uit gesprekken met klanten.

Distributeur van Aziatisch eten JFC International getroffen door Ransomware

“JFC International (Europe) was onlangs onderworpen aan een ransomware-aanval die de IT-systemen kortstondig ontwrichtte.Een volledig forensisch onderzoek door inhouse specialisten samen met externe cyberspecialisten is direct gestart en loopt.De normale bedrijfsvoering in Europa zal na een korte onderbreking om veiligheidsredenen weer aan de gang zijn. " leest een persbericht van het bedrijf. “De getroffen servers waren beveiligd.JFC International (Europe) werkt nauw samen met de relevante autoriteiten. "

Nieuwe variant Dharma ransomware

Jakub Kroustek ontdekt een nieuwe variant met extensie *.urs en *.ORAL

Nieuwe variant Corona Locker ransomware

Xiaopao ontdekt een nieuwe variant met extensie *.systems32x

Nieuwe variant Makop ransomware

Petrovic ontdekt een nieuwe variant met extensie *.vassago

Wanneer virussen muteren: is de SunCrypt Ransomware geëvolueerd van QNAPCrypt?

Dit rapport maakt gebruik van zowel darkweb-onderzoek als malware-analyse om het verband te onderzoeken tussen de aangesloten ransomware-service die bekend staat als SunCrypt en de  QNAPCrypt-  ransomware, waarvan de laatste in 2019 werd gebruikt tegen QNAP- en Synology-apparaten. Op het darkweb zijn er sterke technische verbanden in het hergebruik van code en technieken, die de twee ransomware aan dezelfde auteur koppelen. Alleen omdat een malware een afgeleide is van een andere malware, wil dat nog niet zeggen dat deze op precies dezelfde manier zal worden ingezet. Een nieuwe operator kan verschillende doelen, tactieken, technieken en procedures (TTP's) gebruiken, waaronder nieuwe ontwijkingstechnieken. Verdedigers moeten waakzaam blijven.

How We Seized 15 Active Ransomware Campaigns Targeting Linux File Storage Servers
PDF – 3,7 MB 362 downloads

3 maart 2020

Medisch centrum Atlanta Allergy & Asthma in de VS getroffen door ransomware aanval

Nog een ander medisch centrum in de VS getroffen door een ransomware cyberaanval. Nefilim publiceert de eerste geëxfiltreerde gegevens.

Net als veel andere bedreigingsactoren heeft Nefilim een ​​speciale leksite op het Darkweb waar ze de namen plaatsen van slachtoffers die hun losgeld of afpersingseisen niet hebben betaald. Gisteren werd AA&A aan de site toegevoegd met een "teaser" in termen van enkele van hun gegevens.

Pas op voor de Fancy Bear-ransomware

S! Ri heeft een nieuwe ransomware gevonden waarvan we de schermafbeelding voor zichzelf laten spreken.

RansomTrojanLock ontdekt

S! Ri heeft een nieuwe ransomware gevonden die de extensie .RansomTrojanLock aan versleutelde bestanden toevoegt.

Nieuwe Help You Ransomware

Xiapao ontdekt een nieuwe variant met extensie *.IQ_IQ

Nieuwe variant ransomware

Xiaopao ontdekt een nieuwe variant met extensie *.SO0i

Emsisoft Aurora decryptor bijgewerkt

Emsisoft heeft hun Aurora-decryptor bijgewerkt om de .systems32x- extensie te ondersteunen.

4 maart 2020

CompuCom MSP getroffen door DarkSide ransomware cyberaanval

De Amerikaanse managed service provider 'CompuCom' heeft te maken gehad met een DarkSide-ransomware-aanval die heeft geleid tot serviceonderbrekingen en klanten die de verbinding met het MSP-netwerk verbreken om de verspreiding van malware te voorkomen.

Tijdens het weekend leed CompuCom een ​​storing waardoor klanten geen toegang konden krijgen tot het klantenportaal van het bedrijf om tickets voor probleemoplossing te openen.

Bij het bezoeken van de portal begroette de website klanten met een algemene foutmelding: "Er is een fout opgetreden bij het verwerken van uw verzoek."

Compu Com 3 3 21 Press Release FINAL 3 48 Pm
PDF – 147,0 KB 390 downloads

DarkSide Ransomware raakte de in Indonesië gevestigde financiële instelling Indonesia Eximbank.

De aanvallers zouden ongeveer 15 GB aan gevoelige bedrijfsgegevens hebben geëxfiltreerd, waaronder persoonlijke gegevens van klanten, details van de overeenkomsten en nog veel meer.

15 scholen in Nottinghamshire verlamd door een cyberaanval

Scholen in heel Nottinghamshire hebben hun IT-netwerken moeten afsluiten nadat een centrale trust die hun systemen beheert, werd getroffen door een cyberaanval. Alle 15 middelbare scholen die deel uitmaken van de Nova Education Trust hebben momenteel geen toegang tot e-mails of hun websites en kunnen nog steeds geen lessen op afstand geven.

De aanvalsmethode en de daders zijn nog niet bekend, maar het incident vertoont veel overeenkomsten met een golf van ransomware aanvallen die in 2020 scholen, hogescholen en universiteiten ontwrichtten .

Clop ransomware criminelen publiceren bestanden van Securitybedrijf Qualys

De criminelen achter de Clop-ransomware publiceerden gisteren op hun eigen website verschillende bestanden die bij Qualys zouden zijn buitgemaakt. Het securitybedrijf heeft klanten gewaarschuwd voor een datalek nadat criminelen toegang tot een server van het bedrijf wisten te krijgen waarop klantgegevens stonden. Dat meldt Ben Carr, Chief Information Security Officer bij Qualys, in een blogposting.

Nieuwe JesusCrypt Ransomware

MalwareHunterTeam vond een nieuwe in ontwikkeling zijnde ransomware genaamd JesusCrypt.

5 maart 2020

Ransomware groep Nefilim publiceert data van Spirit Airlines

In deze uren heeft de ransomware groep Nefilim op het darkweb een eerste deel van de gegevens gepubliceerd die zijn gestolen van het Amerikaanse "ultra low cost" bedrijf Spirit Airlines.
Het eerste blok bevat meer dan 40 GB aan gegevens met meer dan 33.000 bestanden. Financiële gegevens, persoonlijke informatie van klanten die tickets hebben gekocht om met de luchtvaartmaatschappij te vliegen tussen 2006 en 2021.

Nieuwe ransomware decodeert alleen slachtoffers die zich bij hun Discord-server aanmelden

Een nieuwe ransomware genaamd 'Hog' versleutelt de apparaten van gebruikers en ontsleutelt ze alleen als ze lid worden van de Discord-server van de ontwikkelaar.

Nieuwe variant Nefilim ransomware

Michael Gillespie ontdekt een nieuwe variant met extensie *.GANGBANG

6 maart 2020

Sandhills Medical Foundation slachtoffer geworden van ransomware aanval

'Sandhills Medical Foundation', Inc. ("Sandhills") maakt gebruik van een externe leverancier om elektronische gegevensopslag te bieden voor sommige van zijn plannings-, facturerings- en rapportagesystemen. Op 8 januari 2021 liet de verkoper Sandhills weten dat de verkoper een ransomwareaanval had meegemaakt die de systemen van Sandhills en de daarin opgeslagen gegevens aantastte. Uit het onderzoek van de leverancier bleek dat de aanvallers op 23 september 2020 gecompromitteerde inloggegevens gebruikten om toegang te krijgen tot hun systeem. 2020.

REvil Ransomware bende lanceerde een service voor contact met nieuwsmedia

Voor de beste afpersing zonder kosten en met DDoS functionaliteit.

Nieuwe variant Zeppelin ransomware

GrujaRS ontdekt een nieuwe variant met extensie *.xxx-xxx-xxx!

7 maart 2020

Adviesbureau Hokkaido slachtoffer geworden van ransomware aanval

Volgens Asahikawa City werd op 23 februari het bedrijf in Tokio die was ingeschakeld voor de wederopbouw van een gemeentelijk wooncomplex besmet met ransomware. Het is mogelijk dat de namen, geboortedata en telefoonnummers van ongeveer 350 huishoudens die in het gemeentelijke wooncomplex wonen, zijn gelekt als gevolg van deze infectie.

Nieuwe variant MedusaLocker ransomware

Dnwls0719 ontdekt een nieuwe variant met extensie *.1btc

Nieuwe variant CrySiS ransomware

JakubKroustek ontdekt een nieuwe variant met extensie *.Jessy en *.ROG

Met speciale dank aan: anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier of anoniem.

Ransomware aanvallen

Ransomware

Ransomware cyberaanvallen zijn een big business, zo groot zelfs dat onderzoek verwacht dat een bedrijf elke 11 seconden wordt aangevallen door een cybercrimineel  en dat de schade als gevolg van deze aanvallen tegen 2021 ongeveer 20.000.000.000.000,- (20 biljoen) dollar zal bedragen .

Wat is Ransomware?

Ransomware is software waarmee de computer wordt ‘gegijzeld’. Het slachtoffer kan niet meer bij zijn persoonlijke bestanden. Bij het opstarten van de computer verschijnt een melding dat een bedrag betaald moet worden om weer toegang te krijgen. Wil je meer weten over Ransomware, dan kun je hier verder lezen.

Doxware

Wat is Doxware?

Doxware is een soort ransomware die persoonlijke gegevens aan het publiek dreigt vrij te geven als de gebruiker het losgeld niet betaalt.

De term komt van de hacker-term 'doxing' of het vrijgeven van vertrouwelijke informatie via internet. Doxware-aanvallen infecteren computers vaak via phishing-e-mails. Meer weten over doxware, dan kun je hier verder lezen.

Advies

  1. Installeer een goede virusscanner.
  2. Houd alle software up-to-date, waaronder besturingssysteem, internetbrowser, browser aanvullingen en populaire programma's, zoals Adobe Reader. Met ScanCircle zie je snel hoe je pc ervoor staat. Voor software als Adobe Flash en Java is uitschakelen aan te raden.
  3. Klik niet op bijlagen en links in e-mails, tenzij je zeker weet dat het vertrouwd is. Twijfel je, kijk dan op de Opgelicht website of de e-mail daar voorkomt. Zo niet, wacht dan een dag en controleer nogmaals of stuur hem door naar digitaalgids@consumentenbond.nl voor uitsluitsel. 
  4. Schakel geen macro's bij Office-documenten van derden, zeker niet als daar in het document om wordt gevraagd.
  5. Ransomware is vaak een uitvoerbaar .exe-bestand, vermomd als ander soort bestand, bijvoorbeeld een pdf-document. Schakel  bestandsextensies weergeven, zodat je de vermomming kunt doorzien.
  6. En tenslotte: back-ups maken! Dat is sowieso verstandig, maar bij ransomware-besmetting vaak het enige redmiddel om verlies van al je gegevens te voorkomen.

Wilt u weten hoe uw digitale veiligheid is? Doe dan hier de test en ontvang uw test score. (.../10)

Meer weekoverzichten

Ransomware berichten

Doxware berichten

New York Pizza slachtoffer van doxwaring

New York Pizza is het slachtoffer geworden van doxware. Een onbekende dader is er in geslaagd om een groot aantal klantgegevens te bemachtigen. Hij dreigt deze gegevens openbaar te maken of te verkopen. De pizza keten adviseert klanten om het wachtwoord van hun account te veranderen.

Lees meer »

LG Electronics slachtoffer van Doxware

De cybercriminelen achter de Maze-ransomware claimt systemen van elektronicagigant 'LG Electronics' te hebben geïnfecteerd, waarbij ook door het bedrijf ontwikkelde broncode is buitgemaakt. Als LG het gevraagde losgeld niet betaalt zullen de criminelen de gestolen data openbaar maken.

Lees meer »

Cybercrime algemeen

Hybride cyberaanvallen: de vervagende lijnen tussen staten en criminelen

In deze podcast bespreken we de toenemende samenwerking tussen cybercriminelen en overheden, waarbij ze hun middelen en technieken combineren om zowel financiële als geopolitieke doelen te bereiken. We benadrukken dat ransomware een ernstige bedreiging blijft, met name voor de gezondheidszorg, en dat het gebruik van kunstmatige intelligentie (AI) door zowel cybercriminelen als overheden aanvallen complexer en moeilijker te stoppen maakt. Daarnaast bespreken we het belang van samenwerking tussen de publieke en private sector om cyberdreigingen effectief te bestrijden. De noodzaak voor strengere internationale normen en sancties voor cyberaanvallen komt ook aan bod, evenals de rol van geavanceerde technologieën zoals AI en internationale samenwerkingen voor de toekomst van cyberbeveiliging.

Lees meer »

Alle blog's