Overzicht cyberaanvallen week 34-2021

Gepubliceerd op 30 augustus 2021 om 15:00

FBI deelt technische details over Hive-ransomware, Ragnarok ransomware cybercriminelen geven master decryptor key vrij en script van een ransomware bende toont precies de bestanden die ze zoeken. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 2.900 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.

Status op 30 augustus: 2993


29 augustus

Slachtoffer Cybercriminelen Website Land
pla-pumpen.de LockBit pla-pumpen.de Germany
Missouri Delta Medical Center Hive missouridelta.com USA
pro-beam.com LockBit pro-beam.com Germany

28 augustus

Slachtoffer Cybercriminelen Website Land
Master Chemical AvosLocker masterfluidsolutions.com USA
Diamond Schmitt BlackMatter dsai.ca Canada
Apple Ridge Farm Marketo appleridge.org USA
Arbas Group, Inc Marketo arbasgroup.com USA
Virginia Department of Wildlife Resources Marketo dwr.virginia.gov USA
Puma Marketo puma.com Germany
Luxottica Group S.p.A. Marketo luxottica.com Italy
Epicor Software Corporation Marketo epicor.com USA
Esited Marketo esited.com UK
Simon, Peragine, Smith & Redfearn Marketo spsr-law.com USA
Fujitsu Marketo fujitsu.com Japan
Morgan Truck Body, LLC Marketo morgancorp.com USA
Bowman Plating Company Marketo bowmanplating.com USA
CBSL Transportation Services Marketo cbsltrans.com USA
Millensys Marketo millensys.com Egypt
GigaTribe Marketo gigatribe.com France

27 augustus

Slachtoffer Cybercriminelen Website Land
Tampa Tank INC Everest tti-fss.com USA
InfraBuild Everest infrabuild.com Australia
e-button.com.tw LockBit e-button.com.tw Taiwan

FBI deelt technische details over Hive-ransomware

De FBI heeft technische details over de Hive-ransomware gedeeld, die vanwege gebruikte tactieken en technieken volgens de opsporingsdienst voor "grote uitdagingen" kan zorgen. Om toegang tot organisaties te krijgen maken de aanvallers achter de ransomware gebruik van malafide e-mailbijlagen. Vervolgens wordt het remote desktop protocol (RDP) gebruikt om zich lateraal door het netwerk te bewegen. Nadat het netwerk is gecompromitteerd schakelen de aanvallers processen van antivirus- en back-upsoftware uit. Vervolgens wordt aanwezige data gestolen, waarna bestanden worden versleuteld. Via een live chat kunnen slachtoffers in contact met de aanvallers komen om hun bestanden terug te krijgen. Ook hebben slachtoffers laten weten dat ze door de aanvallers zijn gebeld. Slachtoffers krijgen tussen de twee en zes dagen om het gevraagde losgeld te betalen, maar op verzoek van getroffen bedrijven hebben de aanvallers de deadline verlengd. Wanneer slachtoffers niet betalen dreigen de aanvallers gestolen data openbaar te maken. De FBI heeft verschillende Indicators of Compromise gedeeld waarmee organisaties de ransomware kunnen detecteren.

210825
PDF – 1,2 MB 413 downloads

Microsoft meldt grootschalige phishingcampagne via open redirects

Bij een grootschalige phishingcampagne bedoeld om inloggegevens te stelen maken criminelen gebruik van open redirects en captcha's om slachtoffers te misleiden, zo meldt Microsoft. De aanval begint met een phishingmail die zich onder andere voordoet als Zoom-uitnodiging, melding van Microsoft 365 of een bericht dat het wachtwoord is verlopen. Gebruikers wordt vervolgens gevraagd om een link in het bericht te openen. Hierbij maken de aanvallers gebruik van een open redirect, waarbij er wordt gewezen naar een legitieme dienst. De gebruikte link bevat echter een parameter die naar de phishingsite wijst. Zodra een gebruiker de link opent zorgt de open redirect bij de legitieme dienst ervoor dat de gebruiker naar de phishingsite wordt gestuurd. Het gebruik van open redirects bij phishingaanvallen is niet nieuw, zo laat Microsoft weten. Een link die naar een vertrouwd domein wijst kan eindgebruikers echter op het verkeerde been zetten. Wanneer gebruikers op de phishingpagina terechtkomen moeten ze eerst een captcha oplossen. Mogelijk hebben de aanvallers deze captcha toegevoegd om scanpogingen en analyses van de pagina te voorkomen, waardoor de phishingpagina langer online kan blijven. Na het oplossen van de captcha wordt de gebruiker om zijn wachtwoord gevraagd, waarbij zijn e-mailadres al is ingevuld. Wanneer het slachtoffer zijn wachtwoord invult verschijnt er een foutmelding en moet het wachtwoord nog een keer worden ingevuld. Dit wordt waarschijnlijk gedaan om het slachtoffer twee keer het wachtwoord in te laten vullen, zodat de aanvallers weten dat ze het juiste wachtwoord hebben. Voor het versturen van de phishingmails maken de aanvallers gebruik van gratis e-maildiensten, gecompromitteerde legitieme domeinen en zelf geregistreerde domeinnamen. Tijdens de campagne werden meer dan 350 unieke domeinen waargenomen. "Dit laat niet alleen de omvang van deze aanval zien, maar ook hoeveel de aanvallers erin investeren, wat een potentieel aanzienlijk rendement suggereert", aldus Microsoft.


26 augustus

Slachtoffer Cybercriminelen Website Land
Duke Manufacturing Co. Conti dukemfg.com USA
brunsrealty.com LockBit brunsrealty.com USA
softvision.com.br LockBit softvision.com.br Brazil
KLEINBERGLANGE.COM CL0P kleinberglange.com USA
BlackHawk Cuba bhid.com USA
American Megatrends International RansomEXX ami.com USA

ROC Mondriaan: ‘Lessen gaan maandag door’

Studenten die hoopten vrij te hebben vanwege de hackaanval op ROC Mondriaan, komen bedrogen uit. De scholengemeenschap benadrukt dat de lessen aanstaande maandag gewoon doorgaan. Onderwijs wordt daarentegen wel ‘in aangepaste vorm’ aangeboden, omdat docenten en leerlingen geen gebruik kunnen maken van de computersystemen en applicaties.

Dat schrijft de MBO-scholengemeenschap in een updatebericht op haar website.


Man die zegt T-Mobile te hebben gehackt: 'Beveiliging is flut'

De Amerikaanse hacker John Binns, die de verantwoordelijk heeft opgeëist voor de diefstal van de gegevens van meer dan 50 miljoen T-Mobile-gebruikers, noemt de beveiliging van het telecombedrijf 'belabberd'. Binns sprak via de versleutelde berichtendienst Telegram met de Wall Street Journal en "besprak details over de hack voordat deze publiekelijk bekend werden". Ook kon de man aantonen dat hij toegang had tot een account dat screenshots had geplaatst van beelden uit de T-Mobile-database. The Wall Street Journal lijkt het daarom aannemelijk te achten dat Binns de waarheid spreekt. De 21 jaar oude Amerikaan, die in Turkije woont, was "in paniek" toen hij realiseerde dat hij binnen was. Hij zou "lawaai hebben willen maken" met de hack, zei hij tegen de Amerikaanse zakenkrant.  Volgens Binns zit de Amerikaanse overheid achter hem aan. Hij zegt dat hij al eens eerder gekidnapt is in Duitsland en gevangen werd gezet in een niet-bestaande behandelfaciliteit voor geestelijke gezondheid.


Ragnarok ransomware cybercriminelen geven master decryptor key vrij

De Ragnarok ransomware-bende lijkt ermee te stoppen en heeft de hoofdsleutel vrijgegeven die bestanden kan decoderen die zijn vergrendeld door hun malware. De cybercriminelen verving plotseling alle slachtoffers op hun leksite door een korte instructie over het decoderen van bestanden. Bron


25 augustus

Slachtoffer Cybercriminelen Website Land
UNISELF - SOCIEDADE DE RESTAURANTES PÚBLICOS E PRIVADOS, S.A. Grief uniself.pt Portugal
Hanwha Life Vietnam Conti hanwhalife.com.vn South Korea
Boskovich Farms, Inc. Grief boskovichfarms.com USA
Kocks Ardelt Kranbau GmbH Grief kocksardelt.de Germany
Socfinaf Grief socfin.com Luxembourg
nepgroup.com LockBit nepgroup.com USA
stetsonexpo.com LockBit stetsonexpo.com USA
conmoto.de LockBit conmoto.de Germany
bangkokair.com LockBit bangkokair.com Thailand
MAS & Coronis Health Hive coronishealth.com USA
MIDPLAZA HOLDING Conti midplaza.com Indonesia
Great Lakes Plumbing and Heating Company Conti glph.com USA
Americo Manufacturing Conti americomfg.com USA

ROC Mondriaan kreeg advies om systemen tijdelijk onbereikbaar te maken

Mbo-scholengemeenschap ROC Mondriaan heeft op advies van een securitybedrijf de eigen systemen en bestanden tijdelijk onbereikbaar gemaakt. Dat heeft de onderwijsinstelling in een update over het incident laten weten. Maandag werd bekend dat ROC Mondriaan het slachtoffer van een aanval is geworden. Om wat voor soort aanval het precies gaat is nog altijd onbekend. Om de omvang en impact van de aanval in kaart te brengen en de systemen te herstellen werd ROC Mondriaan geadviseerd systemen en bestanden tijdelijk onbereikbaar te maken tot nader bericht. "Daarna kunnen we het systeem weer veilig opnieuw opbouwen en online laten gaan", aldus de scholengemeenschap. Die heeft securitybedrijf NFIR ingeschakeld voor het onderzoek. Deze partij deed ook onderzoek naar de ransomware-aanval op de gemeente Hof van Twente"De impact van deze hack is binnen en buiten onze school voelbaar. We werken met man en macht om zo spoedig mogelijk met een oplossing te komen. We zetten alles op alles om aanstaande maandag met de lessen te kunnen starten, zij het in aangepaste vorm", zegt Harry de Bruijn van het ROC Mondriaan. Vanwege de aanval konden leerlingen van de zomerschool maandag geen examen doen. Verder hebben leerlingen nog geen lesrooster voor de komende periode gekregen, aangezien die ook in de digitale leeromgeving staat die onbereikbaar is, meldt Omroep West.


Negen activisten uit Bahrein gehackt met Pegasus-software

De iPhones van negen activisten uit Bahrein zijn gehackt en besmet geraakt met Pegasus, afluistersoftware van het Israëlische bedrijf NSO Group. Om hun smartphones binnen te dringen, maakte de aanvaller gebruik van twee zero-click exploits in iMessage. Vermoedelijk heeft de regering van Bahrein opdracht gegeven om de iPhones van de dissidenten te hacken.

Dat blijkt uit onderzoek van The Citizens Lab van de universiteit van Toronto.


24 augustus

Slachtoffer Cybercriminelen Website Land
paladinadvisors.com LockBit paladinadvisors.com USA
alta-electronics.com LockBit alta-electronics.com Canada
COMPASSNRG.COM CL0P compassnrg.com Canada
zipbcc.com LockBit zipbcc.com Zambia
fragerlaw.com LockBit fragerlaw.com USA
servisistanbul.com.tr LockBit servisistanbul.com.tr Turkey
faberinc.com LockBit faberinc.com USA
nsuship.co.jp Payload.bin nsuship.co.jp Japan
irely.rip Payload.bin irely.rip USA
g-able.com BlackMatter g-able.com Thailand

FBI waarschuwt voor ransomwaregroep die slachtoffers via macro's infecteert

De FBI heeft een waarschuwing afgegeven voor een ransomwaregroep genaamd "OnePercent" die organisaties via macro's in Word- en Excel-documenten infecteert. Volgens de Amerikaanse opsporingsdienst is de groep al sinds november 2020 verantwoordelijk voor ransomware-aanvallen tegen Amerikaanse organisaties. De aanval begint met een zip-bestand dat via e-mail wordt verstuurd. Dit zip-bestand bevat weer een Word- of Excel-document met een malafide macro. Wanneer de ontvanger het zip-bestand opent en de macro in het document activeert wordt het systeem met IcedID trojan besmet. Vervolgens wordt via deze malware Cobalt Strike gedownload. Cobalt Strike is een tool voor het uitvoeren van penetratietests op systemen en netwerken. Het wordt echter ook gebruikt door aanvallers voor het verder compromitteren van aangevallen organisaties. OnePercent gebruikt Cobalt Strike om zich lateraal door het netwerk van de aangevallen organisatie te bewegen. Zodra er gevoelige informatie is gevonden gebruiken de aanvallers het programma rclone om deze data te stelen. Na de datadiefstal volgt de uitrol van de ransomware, die alle bestanden op besmette systemen versleutelt. De aanvallers maken vervolgens gebruik van gespoofte telefoonnummers om de getroffen organisatie te bellen, aldus de FBI. De aanvallers eisen ook met een vaste onderhandelaar te spreken, anders dreigen ze de gestolen data te publiceren. De FBI geeft organisaties verschillende adviezen om zich te beschermen, waarbij ook wordt gewezen op het gebruik van het programma rclone. Zo kunnen organisaties letten op de verschillende hashes van de software. Verder volgen generieke adviezen, zoals het maken van offline back-ups, patchen van systemen, implementeren van netwerksegmentatie en het gebruik van multifactorauthenticatie.

210823
PDF – 1,2 MB 402 downloads

Onderwijsinstelling ROC Mondriaan in Den Haag slachtoffer van grote cyberaanval

De Haagse onderwijsinstelling ROC Mondriaan is afgelopen weekend gehackt. Alle computers liggen plat, waardoor medewerkers en studenten niet bij hun bestanden kunnen. De school zet alles op alles om het systeem voor volgende week maandag weer aan de praat te krijgen. Lees verder


Het script van een ransomware bende toont precies de bestanden die ze zoeken

Een PowerShell-script dat wordt gebruikt door de Pysa ransomware-operatie geeft ons een voorproefje van de soorten gegevens die ze proberen te stelen tijdens een cyberaanval. Wanneer ransomwarebendes een netwerk compromitteren, beginnen ze meestal met beperkte toegang tot een enkel apparaat. Vervolgens gebruiken ze verschillende tools en exploits om andere inloggegevens te stelen die op het Windows-domein worden gebruikt of om verhoogde rechten te krijgen op verschillende apparaten. Zodra ze toegang krijgen tot een Windows-domeincontroller, zoeken en stelen ze gegevens op het netwerk voordat ze apparaten versleutelen. De dreigingsactoren gebruiken deze gestolen gegevens op twee manieren. De eerste is om losgeld te genereren op basis van bedrijfsinkomsten en of ze verzekeringspolissen hebben. De tweede is om de slachtoffers bang te maken om losgeld te betalen omdat de bende de gegevens zal lekken.  Bron

De volledige lijst van 123 trefwoorden die de cybercriminelen van Pysa gebruiken in hun script staat in de onderstaande tabel.

941 confident Info RRHH
1040 Crime insider saving
1099 claim Insurance scans
8822 Terror investigation sec
9465 Confidential*Disclosure IRS secret
401K contact ITIN security
4506-T contr K-1 studen
ABRH CPF letter seed
Audit CRH List Signed
Addres Transact Login sin
agreem DDRH mail soc
Agreement*Disclosure Demog NDA SS#
ARH Detail Numb SS-4
Assignment Disclosure*Agreement Partn SSA
balanc Disclosure*Confidential passport SSN
bank DRH passwd Staf
Bank*Statement emplo password statement
Benef Enrol pay Statement*Bank
billing federal payment SWIFT
budget Finan payroll tax
bureau finance person Taxpayer
Brok Form Phone unclassified
card fraud privacy Vend
cash government privat W-2
CDA hidden pwd w-4
checking hir Recursos*Humanos W-7
clandestine HR report W-8BEN
compilation Human Resour w-9
compromate i-9 resurses*human W-9S
concealed illegal RHO Β 
confid important routing Β 

23 augustus

Slachtoffer Cybercriminelen Website Land
Consiglio nazionale forense Conti consiglionazionaleforense.it Italy
envisioncu.com LockBit envisioncu.com USA
Lycra Cuba lycra.com USA
Pascoli Group BlackByte pascoligroup.com Italy
ELTECH BlackByte eltech.com.pl Poland

LockFile-ransomware combineert ProxyShell- en PetitPotam-aanvallen

Een nieuwe ransomwaregroep genaamd LockFile combineert twee aanvallen om organisaties via hun Microsoft Exchange-servers met ransomware te infecteren. Volgens securitybedrijf Symantec zijn al zeker tien organisaties met de ransomware besmet geraakt. Voor de eerste stap combineren de aanvallers drie kwetsbaarheden met de naam ProxyShell. Daarmee is het mogelijk om kwetsbare Exchange-servers op afstand over te nemen, zo stelt beveiligingsonderzoeker Kevin Beaumont. Vervolgens wordt de PetitPotam-aanval gebruikt om de domeincontroller van de organisatie over te nemen. Zodra de aanvallers de domeincontroller in handen hebben worden alle machines in het netwerk geïnfecteerd met ransomware. Symantec stelt dat productiebedrijven, financieel, juridische en zakelijke dienstverleners zijn getroffen, alsmede bedrijven in de reisbranche. De meeste slachtoffers werden in de Verenigde Staten en Azië waargenomen. De aanvallers gaan daarbij vrij snel te werken. Tussen de tijd dat de Exchange-server wordt gecompromitteerd en de uitrol van de ransomware zit slechts twintig tot dertig minuten, aldus het securitybedrijf. Beveiligingsupdates voor de ProxyShell-kwetsbaarheden in Exchange zijn sinds april en mei beschikbaar. Daarnaast kunnen organisaties verschillende maatregelen treffen om zich tegen de PetitPotam-aanval te beschermen, aldus Microsoft.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten