Ransomware weekoverzicht 15-2021

Gepubliceerd op 19 april 2021 om 15:00
Ransomware overzicht

De stad Floreffe (B) slachtoffer van een cyberaanval, kamervragen over aanmerken van voedselvoorziening als vitale infrastructuur en wie is de koning van ransomware aanvallen? Hier het overzicht van de nieuwste ransomware vormen en het nieuws van dag tot dag.

12 april 2020

Turijn: Hackers vallen de ATC-website aan en vragen om losgeld (I)

De website van de Turin Territorial Housing Agency ( ATC ) is gehackt. De criminelen eisten een losgeld van $ 700.000. Het waren de IT-technici van het bureau die ontdekten dat er iets mis was met het telematica systeem. Volgens de eerste reconstructies zijn dit professionele buitenlandse hackers. Bron

De stad Morières-lès-Avignon slachtoffer van een cyberaanval (FR)

Net als Isle-sur-la-Sorgue, hebben hackers afgelopen vrijdag ook het computersysteem van de stad Morières-lès-Avignon aangevallen. Er is nog geen klacht ingediend, maar de gendarmes van de firma Avignon zijn op de hoogte van deze kwaadaardige daad. Bron

Cyberaanval op het stadhuis van Douai: waar zijn we? (FR)

Vorige week kreeg het gemeentehuis van Douai te maken met een cyberaanval, waarbij de telefoonlijnen en e-mails van bepaalde gemeentelijke diensten verlamd raakten.  Bron

Terni: De politie onderzoekt de aanval op de IT-dienst van de Usl Umbria 2 (I)

Op zondag 11 april omstreeks 5.30 uur werden er storingen geconstateerd in de IT-systemen van het bedrijf. In het bijzonder bleken de diensten die door de virale aanval werden getroffen, infrastructuurservers, analyselaboratoria en enkele ziekenhuisactiviteiten. Bron

Nieuwe variant Crysis Dharma ransomware

Xiaopao ontdekt een nieuwe variant met extensie *.error, *.gold, *.zphs, *.back, *rxx

13 april 2020

Door een ransomware aanval konden zo’n 250 vrachtwagens geen kant meer op

Door een ransomware aanval konden zo’n 250 vrachtwagens van transportbedrijf 'Bakker Logistiek' geen kant meer op. De andere helft kon nog wel rijden, maar dat was niet genoeg om alle supermarkten hun voorraad te brengen. Het gevolg? Een kaastekort in de Albert Heijn.

Online waarschuwde Albert Heijn voor een 'beperkte beschikbaarheid op de voorverpakte kaas'. Ook Twitter-gebruikers viel het op dat de kaasschappen leeg raakten. Lees verder

De stad Floreffe slachtoffer van een cyberaanval (B)

Dit weekend zijn hackers erin geslaagd om de gegevens op lokale servers onbruikbaar te maken. Veel van het werk van de administratie van Floreffe ligt verlamd en de teams van de burgemeester moeten het computersysteem van de stad volledig herbouwen. Bron

De Bourbon-groep is getroffen door een cyberaanval

De maritieme dienstverlener van de Bourbon-olie-industrie is getroffen door een cyberaanval die het computersysteem blokkeert. "De groep was het doelwit van een cyberaanval in de nacht van donderdag 8 op vrijdag 9 april", vertelde Christelle Loisel, vice-president van de groep. Bron

Asbis wordt getroffen door ransomware en werkt aan herstel (CZ)

De Tsjechische tak van Asbis is aan het herstellen van een ransomware aanval waarbij gegevens werden gestolen en interne systemen verlamd raakten. De ransomware aanval werd begin april uitgevoerd door een groep hackers. "Ze zijn erin geslaagd interne gegevens te stelen en te versleutelen en dreigt nu deze te publiceren als ze geen losgeld ontvangen." Asbis wijst deze mogelijkheid af en werkt samen met de politie en andere autoriteiten. Bron

Universiteit van Portsmouth sluit campus vanwege ransomware aanval (UK)

De Universiteit van Portsmouth heeft haar campus gesloten vanwege een 'technische storing' van haar IT-netwerk in wat wordt beschouwd als een ransomware aanval. De gebouwen van de instelling zijn gesloten tot 19 april. De studenten hebben momenteel een paasvakantie. Bron

Ransomware aanval die verantwoordelijk is voor de storing van de casino-slots van de Federal Group in Tasmanië (AUS)

De enige casino-exploitant van Tasmanië heeft bevestigd dat ze in de grip zijn van cybercriminelen die losgeld eisen, en heeft al meer dan een week invloed  op hun gokautomaten en hotelboekingssysteem. Bron

Nieuwe variant RunSomeAware ransomware

Xiaopao ontdekt een nieuwe variant met extensie *.graysuit, *.swagkarna

Nieuwe variant Hakbit ransomware

Dnwls0719 ontdekt een nieuwe variant met extensie *.CRYSTAL

14 april 2020

Kamervragen over aanmerken van voedselvoorziening als vitale infrastructuur

In de Tweede Kamer zijn vragen gesteld aan demissionair minister Grapperhaus van Justitie en Veiligheid over het aanmerken van de voedselvoorziening al vitale infrastructuur. Aanleiding is de ransomware-aanval op logistiek dienstverlener Bakker Logistiek, wat zorgde voor lege schappen op de kaasafdelingen van Albert Heijn. Door de aanval moesten allerlei zaken opeens met de hand en pen en papier bij Bakker worden afgehandeld. Daarnaast waren allerlei bestanden versleuteld, wat gevolgen had voor de bevoorrading van supermarkten.

Voedselvoorziening Als Vitale Infrastructuur
PDF – 51,3 KB 320 downloads

Gameontwikkelaar Capcom raakte via vpn-server bemet met ransomware

De aanvallers die gameontwikkelaar Capcom vorig jaar november met ransomware infecteerden wisten via een oude vpn-server die als back-up werd gebruikt binnen te komen. Dat heeft het bedrijf in een update over het incident bekendgemaakt. Voordat de aanvallers hun ransomware uitrolden maakten ze allerlei persoonlijke informatie buit van medewerkers, sollicitanten, aandeelhouders en klanten. Het ging om data van 390.000 mensen. Bron

FBI proactief om slachtoffers ransomware te voorkomen

Aanvallers gebruikten de kwetsbaarheden voor het installeren van webshells. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren. Zo zijn de webshells onder andere gebruikt voor de installatie van ransomware op de gecompromitteerde servers en het stelen van gegevens. Lees verder

NBA's Houston Rockets worden geconfronteerd met cyberaanval door Ransomware criminelen

De Houston Rockets van de National Basketball Association onderzoeken een cyberaanval op het netwerken van een relatief nieuwe ransomwaregroep die beweert interne bedrijfsgegevens te hebben gestolen. Bron

Ernstige bug in de Babuk-ransomware-decryptor leidt tot gegevensverlies

In dit specifieke geval hebben we een ernstig probleem gevonden binnen de Babuk-ransomware-stam die zich richt op Linux en meer specifiek op ESXi-servers. ESXi is een populair virtualisatieplatform dat wordt aangeboden door VMware. Virtualisatieplatforms zoals ESXi zijn een zeer lucratief doelwit geworden voor veel ransomwaregroepen, zoals Defray / RansomExx, Darkside en sinds kort ook Babuk. Bron

Cleveland - Ohio, CMHA: Doppel Paymer ransomware publiceert de eerste gestolen gegevens

We weten nu met zekerheid dat de DoppelPaymer-groep op 10 februari 2021 de IT-systemen van de CMHA betrad en actief bleef tot minstens 26 van dezelfde maand. Dit was een periode waarin cybercriminelen de gevoelige gegevens van 189.008 burgers die in de VS woonden, konden exfiltreren. Bron

De bende van het Astro Team beweerde HOYA Corporation (Japan) te hebben gehackt en gegevens op Darkweb te hebben gelekt

De bende van het Everest-losgeldteam beweerde het Centro Hospitalar de Setúbal (Portugal) te hebben gehackt en wat gegevens op Darkweb te lekken

Er is ook een markt die gelekte gegevens op het darkweb verkoopt

Nieuwe variant VoidCrypt Ouroboros ransomware

Dnwls0719 ontdekt een nieuwe variant met extensie *.hydra

Nieuwe variant STOP Djvu ransomware

Michael Gillespie ontdekt een nieuwe variant met extensie *.wrui

15 april 2020

VVD wil dat overheid cyberverdedigingsprotocol voor gemeenten opstelt

De VVD wil dat de regering een 'cyberverdedigingsprotocol' voor gemeenten opstelt waarin staat wat er moet worden gedaan bij ransomware, ddos-aanvallen en andere ontwrichtende cyberaanvallen. VVD-Kamerlid Dilan Yesilgoz-Zegerius diende tijdens een debat over cybercrime in de Tweede Kamer daarvoor een motie in.

Motie Van Het Lid Yesilgoz Zegerius Over Het Opstellen Van Een Cyberverdedigingsprotocol
PDF – 36,1 KB 323 downloads

Cyberaanval: De groep La Martinière voegt zich bij de te lange lijst van slachtoffers (F)

Informatie over een cyberaanval die de edities van Le Seuil trof, verspreidt zich al 48 uur via mond-tot-mondreclame. De informatie van het moederbedrijf, Media Participations, lijkt aangetast.  Bron

Houston-raketten getroffen door de 'Babuk'-ransomwarebende

De ransomwaregroep die bekend staat als "Babuk" heeft Houston Rockets aan zijn lijst met slachtoffers toegevoegd en waarschuwt voor het dreigende lek van 500 GB aan gestolen gegevens als niet aan hun betalingsverzoeken wordt voldaan. Bron

Cyberaanvallen op de gemeenten Brescia, Caselle Torinese en Rho: de eerste gestolen gegevens zijn gepubliceerd

Gemeenten Brescia, Caselle Torinese en Rho: na de cyberaanvallen die plaatsvonden tussen eind maart en de eerste dagen van april publiceert de DoppelPaymer- ransomwaregroep de eerste geëxfiltreerde gegevens op het Tor-netwerk. Bron

Trescal over cyberaanval

Trescal is momenteel het doelwit van een cyberaanval op servers in sommige Europese en Aziatische landen. De veiligheid van onze klanten en gegevens is onze prioriteit. Om onze klanten, medewerkers en partners te beschermen, hebben we het getroffen computernetwerk onmiddellijk losgekoppeld en een uitgebreide technische audit gelanceerd. Bron

DarkSide voegt meer functies toe

Nog een DarkSide-update. Automatische test ontsleuteling toegevoegd, alle processen zijn nu geautomatiseerd. Beschikbare DDoS (L3, L7), treedt op voordat het doelwit online komt. Ook breidt het DarkSide-team specialiteiten uit, zoals netwerkbenodigdheden, pentesting.

Nieuw Darkweb portaal Marketo

Dit is Marketo, een onlangs gelanceerde darkweb-portal die momenteel wordt gebruikt om gegevens van gehackte bedrijven te lekken. Het is onduidelijk of ze worden geëxploiteerd of werken met een ransomware bende

De bende van het Astro Team beweerde dat ze Southwest KIA hadden gehackt en wat gegevens op Darkweb hebben gelekt

First National Bank Northwest Florida getroffen door Ragnar Locker Ransomware

Aantal slachtoffers per maand uit gesplitst op ransomware groepering

Beginnend met de "Team Snatch" -bende in mei 2019, begon een bijeenkomst de interne gegevens van de slachtoffers op Darkweb te lekken. En het werd populair door de "MAZE" -bende rond november 2019. Er zijn nu bijna 1900 slachtoffers.

16 april 2020

Nieuwe 'wisser' vernietigt je bestanden

Michael Gillespie vond een wisser die de extensie *.combo13 toevoegt aan  vernietigde bestanden.

De website van de National Library is het slachtoffer van een ransomwareaanval en gaat offline (BR)

Afgelopen zondag was de website van de Nationale Bibliotheek het doelwit van een ransomware aanval. Het bureau, verbonden met het Speciaal Secretariaat voor Cultuur, koos ervoor om de servers te sluiten. Bron

LV BLOG op Darkweb heeft het lek aangekondigd van nieuwe slachtoffers

Wie is de koning van ransomware aanvallen?

Het aantal slachtoffer organisaties bedroeg 1900. Er zijn 1900 slachtoffer organisaties van interne datalekken op de darkweb door 28 ransomware bendes.

Nieuwe variant Delta ransomware

Amigo-A ontdekt een nieuwe variant met extensie *.[Delta]<ID>

17 april 2020

De kliniek in Grésivaudan is slachtoffer van een cyberaanval (F)

Net als andere vestigingen van de Franse Stichting Gezondheid voor Studenten, is de Grésivaudan-kliniek in La Tronche (Isère) sinds vrijdag het slachtoffer van een cyberaanval. "We hebben pauze, we kunnen niets doen", bevestigen we bij de receptie van het etablissement. Bron

BABUK-bende beweerde

"Phone House España 13 miljoen gegevens van klanten zijn gestolen, inclusief paspoorten en andere privacy-informatie"

Op dit moment zijn bugs in de ESXi-versie van de Babuk-ransomware verholpen

18 april 2020

Phone House Spain getroffen door Babuk-ransomware, 3 miljoen gebruikers getroffen.

Voordat het nieuws openbaar werd, had SuspectFile tevergeefs geprobeerd om al op vrijdagochtend contact op te nemen met Phone House Spain om hen te informeren dat, in het geval van niet-betaling van het losgeld van 6 miljoen dollar, Babuk de volgende dag ( zaterdag 17 april) het nieuws van het datalek op haar website openbaar zou maken. Bron

De REvil Ransomware-bende heeft 8 slachtoffer organisaties tegelijk onthuld.

BABUK bende kondigde bericht aan voor journalisten

Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.

Identificeren van Ransomware

Upload een ransom bericht en/of een geëncrypteerd bestand om de ransomware te identificeren die uw bestanden heeft geëncrypteerd (versleuteld).

Ransomware

Ransomware cyberaanvallen zijn een big business, zo groot zelfs dat onderzoek verwacht dat een bedrijf elke 11 seconden wordt aangevallen door een cybercrimineel  en dat de schade als gevolg van deze aanvallen tegen 2021 ongeveer 20.000.000.000.000,- (20 biljoen) dollar zal bedragen .

Wat is Ransomware?

Ransomware is software waarmee de computer wordt ‘gegijzeld’. Het slachtoffer kan niet meer bij zijn persoonlijke bestanden. Bij het opstarten van de computer verschijnt een melding dat een bedrag betaald moet worden om weer toegang te krijgen. Wil je meer weten over Ransomware, dan kun je hier verder lezen.

Doxware

Wat is Doxware?

Doxware is een soort ransomware die persoonlijke gegevens aan het publiek dreigt vrij te geven als de gebruiker het losgeld niet betaalt.

De term komt van de hacker-term 'doxing' of het vrijgeven van vertrouwelijke informatie via internet. Doxware-aanvallen infecteren computers vaak via phishing-e-mails. Meer weten over doxware, dan kun je hier verder lezen.

Advies

  1. Installeer een goede virusscanner.
  2. Houd alle software up-to-date, waaronder besturingssysteem, internetbrowser, browser aanvullingen en populaire programma's, zoals Adobe Reader. Met ScanCircle zie je snel hoe je pc ervoor staat. Voor software als Adobe Flash en Java is uitschakelen aan te raden.
  3. Klik niet op bijlagen en links in e-mails, tenzij je zeker weet dat het vertrouwd is. Twijfel je, kijk dan op de Opgelicht website of de e-mail daar voorkomt. Zo niet, wacht dan een dag en controleer nogmaals of stuur hem door naar digitaalgids@consumentenbond.nl voor uitsluitsel. 
  4. Schakel geen macro's bij Office-documenten van derden, zeker niet als daar in het document om wordt gevraagd.
  5. Ransomware is vaak een uitvoerbaar .exe-bestand, vermomd als ander soort bestand, bijvoorbeeld een pdf-document. Schakel  bestandsextensies weergeven, zodat je de vermomming kunt doorzien.
  6. En tenslotte: back-ups maken! Dat is sowieso verstandig, maar bij ransomware-besmetting vaak het enige redmiddel om verlies van al je gegevens te voorkomen.

Wilt u weten hoe uw digitale veiligheid is? Doe dan hier de test en ontvang uw test score. (.../10)

Meer weekoverzichten

Ransomware berichten

Alle het nieuws