VDL weet niet wanneer alle fabrieken zijn hersteld van cyberaanval, Nederland kan krijgsmacht inzetten bij ransomware-aanval en Nederlandse bedrijven krijgen wekelijks 294 cyberaanvallen te verwerken. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Meer dan 3.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.
Status op 11 oktober 2021 : 3.368
Week overzicht
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
hybuilding.com.sg | LockBit | hybuilding.com.sg | Singapore |
nofeurope.com | LockBit | nofeurope.com | Germany |
ceoempowers.org | LockBit | ceoempowers.org | USA |
CABINET FONT GUILLOT | Spook | www.cabinet-fontguillot.fr | France |
DACOLL.CO.UK | CL0P | dacoll.co.uk | UK |
Sbc Studio | Spook | studioschiaffino.com | Italy |
weber-betonpumpen.at | LockBit | weber-betonpumpen.at | Austria |
aisc-airbus.com | LockBit | airbus-staff-associations.org | France |
watermarkbeachresort.com | LockBit | watermarkbeachresort.com | Canada |
Audras & Delaunois | Spook | www.audras-delaunois.com | France |
TV FUEGO | Spook | www.tvfuego.com.ar | Argentina |
Kurier | Spook | kurier.at | Austria |
Ventus | Hive | ventusgl.com | USA |
Macquarie Health Corporation | Hive | machealth.com.au | Australia |
Tilia GmbH. TILIA GROUP | XING LOCKER | tilia.info | Germany |
dusa.com.ve | LockBit | dusa.com.ve | Venezuela |
Kern Glass and Aluminum Company | Spook | kernglass.com | USA |
ECKERD PERU S.A, INKAFARMA, MIFARMA | Sodinokibi (REvil) | www.inkafarma.com.pe | Peru |
La SECAN | Spook | www.aviagroup-industries.com | France |
cobabebrothers.com | LockBit | cobabebrothers.com | USA |
parkertide.com | LockBit | parkertide.com | USA |
weyers-architekten.de | LockBit | weyers-architekten.de | Germany |
isvo.it | LockBit | isvo.it | Italy |
kacyumara.com.br | LockBit | kacyumara.com.br | Brazil |
atsgruppo.eu | LockBit | atsgruppo.eu | Italy |
generalplumbingsupply.com | LockBit | generalplumbingsupply.com | USA |
reust.ch | LockBit | reust.ch | Switzerland |
jaykaltrading.com | LockBit | jaykaltrading.com | United Arab Emirates |
sapphiredentalcentre.ca | LockBit | sapphiredentalcentre.ca | Canada |
Shanghai Huizhong Automotive Manufacturing Co., Ltd. | Hive | shac.com.cn | China |
Gestão Contabilidade Empresarial | Spook | gestaocmf.com.br | Brazil |
MOLNÁRBETON Kft. | Spook | molnarbeton.hu | Hungary |
Primary Residential Mortgage, Inc. | Ragnar_Locker | primeres.com | USA |
Atlas Financial Holdings, Inc. | Ragnar_Locker | atlas-fin.com | USA |
STRATISVISUALS.COM | CL0P | stratisvisuals.com | USA |
sides.fr | LockBit | sides.fr | France |
CFE | CoomingProject | www.cfe.mx | Mexico |
Keycentrix | BlackMatter | keycentrix.com | USA |
Home State Bank | BlackMatter | www.homestbk.com | USA |
Tom Lange Company, Inc. | BlackByte | www.tomlange.com | USA |
Farmers Cooperative Elevator | BlackByte | www.farmerscoopelevator.com | USA |
Karl Bachl GmbH & Co.KG | Vice Society | bachl.de | Germany |
SRH Holding | Vice Society | srh.de | Germany |
JMclaughlin | BlackMatter | www.jmclaughlin.com | USA |
Bryce Downey & Lenkov LLC | Bonaci Group | www.bdlfirm.com | USA |
transdev.com | LockBit | transdev.com | France |
COURTOISE MOTORS | Spook | www.volkswagen-roissy.com | France |
maisonlaprise.com | LockBit | maisonlaprise.com | Canada |
Berexco LLC | Conti | berexco.com | USA |
Cock Foods Co., Ltd. | Spook | www.cook-foods.co.jp | Japan |
moonnurseries.com | LockBit | moonnurseries.com | USA |
wenco S. A. | Conti | wenco.cl | Chile |
barreaudecharleroi.be | LockBit | barreaudecharleroi.be | Belgium |
Legendary, Inc. | Spook | www.legendaryinc.com | USA |
Verhoff Machine & Welding | Spook | www.verhoff.com | USA |
Sashida warehouse CO., Ltd | Spook | www.sashida-soko.com | Japan |
U.S. GOV | Everest | Unknown | USA |
Consolidated High School District 230 | Pysa | www.d230.org | USA |
Santélys | Pysa | santelys.asso.fr | France |
Instituto Mixto de Ayuda Social | Pysa | imas.go.cr | Costa Rica |
Ardagh Group | Pysa | ardaghgroup.com | Luxembourg |
ITS, Inc. | Pysa | itsdmv.com | USA |
St Benet Biscop | Pysa | st-benetbiscop.org.uk | UK |
Jurysync | Pysa | jurysync.com | USA |
Adore Fashions | Pysa | adorefashions.com | Canada |
HMCC | Pysa | hmcc.com.br | Brazil |
Associated Solutions | Pysa | associated-solutions.com | USA |
Ocean View Nursing & Rehabilitation | Pysa | oceanviewrehab.com | USA |
ZKTeco USA | BlackMatter | www.zktecousa.com | USA |
11 oktober
VDL weet niet wanneer alle fabrieken zijn hersteld van cyberaanval
VDL weet nog altijd niet wanneer alle fabrieken zijn hersteld van de cyberaanval waar het vorige week door werd getroffen. "Als VDL Nedcar donderdag weer open kan, zou dat fantastisch zijn", zo laat een woordvoerder tegenover het Financieele Dagblad weten. Het bedrijf moest vanwege de aanval productie staken en personeel noodgedwongen naar huis sturen. VDL is nog altijd via e-mail onbereikbaar aldus de krant. Details over de aanval zijn ook onbekend. Vanuit VDL-gelederen komt het gerucht dat het bedrijf is getroffen door een Russische cyberaanval, zo meldt 1Limburg. "We gaan daar gewoon niets over zeggen", aldus een woordvoerder. Die wil ook niet zeggen of er losgeld is geëist. Bij VDL zijn alle online systemen uitgeschakeld, waardoor onder andere de autoproductie stilligt. VDL telt 105 bedrijven en hoe de situatie per bedrijf eruitziet kan een woordvoerder niet zeggen. Ook is onduidelijk wanneer er weer kan worden geproduceerd. De hoop is aanstaande donderdag, maar zekerheid kan VDL niet geven. "Het is nog een onzekere situatie, maar we hopen het dan op te kunnen starten. Mits de problemen eerder verholpen zijn", stelt een woordvoerder tegenover 1Limburg. Het concern had vorig jaar een omzet van 4,5 miljard euro, wat neerkomt op 87 miljoen euro per week. De verwachting is dan ook dat de schade in de miljoenen euro's zal lopen.
8 oktober
Kabinet komt niet met cyberverdedigingsprotocol voor gemeenten
Het kabinet zal geen 'cyberverdedigingsprotocol' voor gemeenten opstellen zoals de Tweede Kamer had gevraagd. Dat heeft demissionair staatssecretaris Knops van Binnenlandse Zaken laten weten. Eerder dit jaar nam de Tweede Kamer een motie aan waarin werd gevraagd om een 'cyberverdedigingsprotocol voor gemeenten op te stellen waarin staat wat er moet worden gedaan bij ransomware, ddos-aanvallen en andere ontwrichtende cyberaanvallen. Tijdens een debat over cybercrime in de Tweede Kamer kwam Dilan Yesilgoz-Zegerius, destijds nog VVD-Kamerlid, met een motie om gemeenten bij cyberaanvallen te helpen. Ze wees naar de ransomware-aanval op de gemeente Hof van Twente en stelde dat de gemeente niet over een duidelijk handelingsperspectief beschikte om hier adequaat op te reageren. Volgens Yesilgoz-Zegerius kunnen dergelijke aanvallen dan ook grote gevolgen voor burgers en gemeenten hebben. Met een cyberverdedigingsprotocol zouden gemeenten over een duidelijk handelingskader beschikken wat te doen in het geval van een cyberaanval. De motie werd met 149 stemmen voor aangenomen, maar Knops zal die niet uitvoeren. "Ik wil vooropstellen dat enkel een cyberverdedigingsprotocol niet effectief zal zijn, omdat er meerdere factoren bepalend zijn in dit verband", stelt de staatssecretaris in een Kamerbrief over de motie. Volgens Knops worden er allerlei maatregelen voor gemeenten getroffen. "Overheidsorganisaties, zo ook gemeenten, zijn zelf verantwoordelijk voor de wijze waarop het informatieveiligheidsbeleid in hun organisatie gestalte krijgt. Het blijven uiteindelijk afwegingen van het lokaal bestuur die worden getroffen in het kader van risico-gebaseerd werken." De staatssecretaris stelt dat gemeenten in het bijzonder op tal van manieren worden ondersteund door het ministerie van Binnenlandse Zaken. Knops is verder van mening dat in zijn beleid al aandacht wordt besteed aan zowel de preventie van digitale ontwrichting als het bieden van handelingsperspectieven in het geval van een crisis. "Daarbij zet ik in mijn beleid niet in op een cyberverdedigingsprotocol voor alle gemeenten, omdat de ene situatie niet de andere is. Hoe er daadwerkelijk moet worden gehandeld is contextafhankelijk."
VDL Nedcar: "Medewerkers die in de productie zitten zijn naar huis of doen werkzaamheden die wel offline kunnen"
Vanwege een cyberaanval donderdag houdt industrieconcern VDL er sterk rekening mee dat er bij het bedrijf ook nog vandaag verstoringen zullen zijn. Grote delen van het bedrijf, waaronder autofabriek VDL Nedcar in Born, zullen dan plat liggen. Dat bevestigt een woordvoerder van VDL tegenover persbureau ANP. VDL is getroffen door een cyberaanval. Een woordvoerder van het bedrijf zei dat de computerkraak de algemene bedrijfsvoering raakt. Op diverse locaties kon niet of maar gedeeltelijk geproduceerd worden. VDL Nedcar lag daardoor de hele donderdag plat. Lees verder
Overheid onderzoekt verbod op betalen losgeld ransomware door verzekeraars
De overheid onderzoekt of het verzekeraars kan verbieden om het losgeld te vergoeden dat door ransomware getroffen bedrijven en organisaties betalen. Daarnaast wordt gekeken naar hoe overheden om moeten gaan met ransomware, waaronder losgeldbetalingen. Dat laat demissionair minister Grapperhaus van Justitie en Veiligheid weten. Er is volgens de bewindsman nog geen beslissing genomen. Allerlei verzekeringsmaatschappen bieden inmiddels "cyberverzekeringen" aan waarbij het losgeld wordt vergoed dat slachtoffers van ransomware betalen om hun bestanden terug te krijgen. Volgens sommige experts zijn aanvallers hierdoor veel hogere losgeldbedragen gaan vragen. "Door losgeld te betalen worden criminele activiteiten beloond en gestimuleerd. Daarnaast is de verwachting van de politie dat het betalen van losgeld leidt tot meer aanvallen van ransomware", liet Grapperhaus eerder weten. De minister zegt dat hij begrip heeft voor de moeilijke positie waarin slachtoffers van ransomware zich soms bevinden. "Een algemeen verbod op het betalen van losgeld kan leiden tot minder losgeldbetalingen, maar kan ook grote nadelige effecten hebben. Op dit moment is er geen voornemen om losgeldbetalingen wettelijk te verbieden", reageert hij op Kamervragen van de VVD. Wel wordt de mogelijkheid van een verbod op het vergoeden van losgeldbetalingen door verzekeraars onderzocht. Afsluitend stelt Grapperhaus dat de meest wenselijke wijze van het beperken van losgeldbetalingen ligt in het voorkomen dat personen en organisaties slachtoffer worden van ransomware. "Preventie vormt een belangrijk onderdeel bij het tegengaan van cybercrime, waaronder ook ransomware. Het beeld is dat bij veel succesvolle ransomware-aanvallen de basismaatregelen onvoldoende getroffen zijn."
Amerikaanse senator wil meldplicht voor betalen van losgeld bij ransomware
Als het aan een Amerikaanse senator en een congreslid ligt worden alle bedrijven, organisaties en instanties in de Verenigde Staten verplicht om binnen 48 uur aan de overheid te laten weten wanneer ze losgeld bij ransomware hebben betaald. Volgens senator Elizabeth Warren en congreslid Deborah Ross mist de Amerikaanse overheid belangrijke informatie over losgeldbetalingen om meer kennis over de werkwijze van cybercriminelen en een duidelijker beeld van de ransomwaredreiging te krijgen. Daarom hebben ze de Ransom Disclosure Act geïntroduceerd. Dit wetsvoorstel geldt niet voor individuen, maar voor alle andere entiteiten die slachtoffer van ransomware worden en losgeld betalen. Wanneer losgeld is betaald moet binnen 48 aan het ministerie van Homeland Security worden gemeld hoeveel losgeld er is betaald, de gebruikte valuta en beschikbare informatie over de aanvaller. Het ministerie moet deze informatie jaarlijks openbaren, zonder de namen van getroffen organisaties te vermelden. Daarnaast wordt Homeland Security door het wetsvoorstel verplicht om een website te lanceren waar individuen vrijwillig kunnen melden of ze losgeld hebben betaald. Als laatste wordt het ministerie verplicht om onderzoek te doen naar overeenkomsten tussen ransomware-aanvallen, in hoeverre cryptovaluta deze aanvallen faciliteren en hoe systemen tegen aanvallen zijn te beschermen.
Weir Group geeft winstwaarschuwing na ransomware-aanval
De Schotse engineeringgigant Weir Group heeft een winstwaarschuwing gegeven nadat het vorige maand slachtoffer werd van een ransomware-aanval. De multinational, die 15.000 medewerkers telt en vorig jaar een omzet van 2,6 miljard dollar had, kreeg in de tweede helft van september met een ransomware-aanval te maken waarvan de gevolgen nog steeds merkbaar zijn. Na ontdekking van de aanval werden de it-systemen van het bedrijf uitgeschakeld, waaronder de Enterprise Resource Planning (ERP)- en engineeringapplicaties. "Maatregelen om onze infrastructuur en data te beschermen zorgden voor een grote maar tijdelijke verstoring, maar we wisten de impact voor onze klanten te beperken", stelde ceo Jon Stanton. De uitgeschakeld applicaties worden nu geleidelijk weer gestart. De maatregelen die het bedrijf vanwege de aanval nam hadden gevolgen voor productie en leveringen aan klanten die uitgesteld moesten worden. Daardoor zal Weir naar verwachting ruim 68 miljoen dollar omzet in het derde kwartaal mislopen. Deze omzet verwacht het bedrijf in het vierde kwartaal goed te maken, maar daarentegen zal een deel van de omzet van het vierde kwartaal naar 2022 verschuiven. Volgens Weir blijkt uit voorlopig onderzoek dat er geen persoonlijke informatie of gevoelige data is gestolen of versleuteld.
Cox Media Group bevestigt ransomware-aanval die uitzendingen verwijderde
Het Amerikaanse mediaconglomeraat Cox Media Group (CMG) bevestigde dat het werd getroffen door een ransomware-aanval die in juni 2021 live tv- en radio-uitzendingen uitschakelde. Het bedrijf heeft de aanval erkend in brieven die vandaag via US Mail zijn verzonden naar meer dan 800 getroffen personen waarvan wordt aangenomen dat hun persoonlijke informatie bij de aanval is blootgesteld. De groep informeerde mogelijk getroffen personen voor het eerst via e-mail op 30 juli. "Op 3 juni 2021 kreeg CMG te maken met een ransomware-incident waarbij een klein percentage van de servers in zijn netwerk werd versleuteld door een kwaadwillende dreigingsactor", aldus de omroep. "CMG ontdekte het incident op dezelfde dag, toen CMG constateerde dat bepaalde bestanden versleuteld en ontoegankelijk waren."
7 oktober
Microsoft: Rusland vorig jaar verantwoordelijk voor 58 procent van hackaanvallen
Rusland is verantwoordelijk voor 58 procent van de door staten gesteunde hackaanvallen die afgelopen jaar door Microsoft werden gedetecteerd. Dat zegt het Amerikaanse softwarebedrijf in een nieuw rapport. De aanvallen waren vooral gericht op Amerikaanse overheidsinstellingen en denktanks. Het gaat om cyberaanvallen die tussen juli 2020 en juli van dit jaar plaatsvonden. Na de VS waren Oekraïne, Groot-Brittannië en niet nader genoemde Europese NAVO-lidstaten het vaakst doelwit. Vorig jaar vond een grote hackaanval via softwareleverancier SolarWinds plaats, waarvan Microsoft en een aantal Amerikaanse overheidsinstanties het slachtoffer werden. Een van de Amerikaanse instanties die geraakt werden, was het agentschap dat het Amerikaanse kernwapenarsenaal beheert. Ook hier zou Rusland achter zitten. Die aanval was zo effectief, dat het totale percentage succesvolle aanvalspogingen van Russische hackers op 32 procent uitkomt. Ter vergelijking: het jaar ervoor lukten het Russische hackers in 21 procent van de gevallen om IT-systemen te kraken. China was volgens Microsoft afgelopen jaar schuldig aan minder dan 10 procent van het totale aantal aanvallen. Maar hackers voor de Chinese overheid waren in 44 procent van hun pogingen succesvol. Bij door een staat gesteunde hack staat het verzamelen van inlichtingen die betrekking hebben op de nationale veiligheid centraal. In het rapport wordt daarnaast specifiek gewaarschuwd voor ransomware-aanvallen, waarbij bestanden 'gegijzeld' worden door hackers. Bedrijven of instellingen moeten betalen om hun bestanden terug te krijgen. Hackers die in opdracht van de VS toeslaan behoren volgens internationale persbureaus tot de meest bekwame cyberinbrekers. Het rapport van het Amerikaanse Microsoft gaat verder niet in op hackaanvallen door de Amerikaanse overheid.
Minister: Nederland kan krijgsmacht inzetten bij ransomware-aanval
Bij een ransomware-aanval die een dreiging voor de nationale veiligheid vormt kan Nederland de krijgsmacht inzetten, zo heeft demissionair minister Knapen van Buitenlandse Zaken laten weten. De opsporingsdiensten, de inlichtingen- en veiligheidsdiensten en de krijgsmacht zijn vooralsnog onvoldoende toegerust om structureel op te treden tegen aanvallers die door een ransomware-aanval een dreiging vormen voor de nationale veiligheid, aldus Knapen. De minister beschrijft in een Kamerbrief verschillende maatregelen die genomen kunnen worden in reactie op ransomware-aanvallen. Volgens Knapen kunnen landen worden aangesproken op criminele ransomware-aanvallen die vanuit hun grondgebied worden uitgevoerd. Ook kan dit gepaard gaan met maatregelen en sancties. Een andere diplomatieke maatregel die kan worden ingezet tegen ransomware is het via diplomatieke kanalen aandringen op bilaterale medewerking van landen bij justitiële onderzoeken tegen ransomware, merkt de minister op. Naast een diplomatieke reactie zijn er volgens Knapen meer maatregelen die genomen kunnen worden, zoals het bevorderen van veilige hard- en software, bewustwordingsactiviteiten en het versterken van de mogelijkheden voor de opsporing. "Bij veel succesvolle cyberaanvallen, waaronder ransomware, blijkt dat basismaatregelen voor cybersecurity onvoldoende zijn genomen", aldus de minister. De meeste ransomware-aanvallen worden door criminelen met een financieel motief uitgevoerd. Het is dan aan de politie en het Openbaar Ministerie om op te treden, gaat Knapen verder. "Indien een ransomware-aanval, al dan niet met een financieel oogmerk, de drempel passeert van een (zich manifesterende) dreiging voor de nationale veiligheid, bijvoorbeeld door het uitvallen van vitale sectoren, dan staan de overheid ook andere middelen ter beschikking." Zo kunnen de inlichtingen- en veiligheidsdiensten en krijgsmacht worden ingezet. Die zouden de ict-infrastructuur die onderdeel is van aanvalsinfrastructuur of misbruikt wordt voor digitale spionage of sabotage offline kunnen (laten) halen. "Naast het optreden door I&V-diensten kan Nederland ook met de krijgsmacht reageren. Zo kan het Defensie Cyber Commando ad ultimo een tegenaanval uitvoeren om een vijandelijke actie af te wenden of om een essentieel belang van de staat te beschermen", schrijft de minister. Knapen voegt toe dat een eventuele reactie vanuit de Nederlandse overheid niet domein-gebonden is. "Ongewenste cyberactiviteiten worden niet per se beantwoord met Nederlandse cyberactiviteiten maar kunnen ook langs diplomatieke of juridische weg beantwoord worden. Andersom kan Nederland ook reageren met cybermiddelen als er dreigingen komen vanuit een ander domein." Ondanks de mogelijkheid om de opsporingsdiensten, inlichtingen- en veiligheidsdiensten en de krijgsmacht in te zetten zijn die volgens Knapen vooralsnog onvoldoende toegerust om structureel op te treden tegen actoren die door een ransomware-aanval een dreiging vormen voor de nationale veiligheid. Afsluitend laat de minister weten dat het noodzakelijk is om de aanpak van ransomware, zowel diplomatiek als op de andere terreinen, onder een nieuw kabinet te verstevigen.
Industrieconcern VDL Group geraakt door omvangrijke cyberaanval
Het Nederlandse industrieconcern VDL Group is getroffen door een omvangrijke cyberaanval die merkbaar is bij alle 105 bedrijven van het concern, ook in Azië en Amerika. Dat laat de onderneming tegenover de NOS weten. Volgens een woordvoerder is de algehele bedrijfsvoering door de aanval geraakt. De impact verschilt, maar bij verschillende bedrijven van het concern kan niet of slechts deels worden geproduceerd.
Cliëntgegevens gestolen bij hackaanval op zorgorganisatie Auris
Auris, een zorgverlener voor mensen met spraak-, taal- en gehoorproblemen, is vorige week slachtoffer geworden van een hackaanval. Daarbij zijn bedrijfs- en cliëntgegevens uit 2004 tot 2021 gestolen, schrijft de organisatie donderdag. Auris laat weten dat er gegevens met een "laag en een hoog risico" zijn buitgemaakt. "Onder het lage risico vallen namen, adressen en woonplaatsen", zegt een woordvoerder tegen NU.nl. Wat de organisatie met het hoge risico bedoelt, wil de woordvoerder niet zeggen. Momenteel werken enkele systemen binnen Auris niet. De instelling is daardoor onder andere niet bereikbaar via de mail. Er is sprake van een aanval met gijzelsoftware waarbij losgeld werd geëist, benadrukt de woordvoerder. Er is contact geweest met hackers, maar het geëiste losgeldbedrag wil de zegsvrouw niet delen. Ook kan ze nog niet mededelen of het bedrag is betaald. De hackers kwamen binnen via een server van de organisatie. Op 29 september werd de aanval ontdekt, maar de instelling schreef op 4 oktober eerst dat het ging om een grootschalige computerstoring. Alle mensen van wie de gegevens zijn gestolen, worden de komende tijd ingelicht, laat de organisatie weten. Ook is er aangifte gedaan bij de politie en is er melding gedaan bij de Autoriteit Persoonsgegevens. Auris is vooral actief in Midden- en Zuidwest-Nederland en heeft tientallen scholen in het speciaal onderwijs. Ook vallen verschillende zorginstellingen, audiologische centra en ambulante diensten onder Auris.
BabyDuck-ransomware
xXToffeeXx vond een "BabyDuck"-ransomware die de .babyduck-extensie gebruikt en een losgeldbrief met de naam #README.babyduck plaatst. Nee dit is geen grap.
Things I didn't expect to see today when looking through unidentified submissions to ID-ransomware; "BabyDuck" themed ransomware.
— Toffee (@PolarToffee) October 6, 2021
Uses #README.babyduck and .babyduck
Currently looking for a sample. pic.twitter.com/CJxzwewrXc
FIN12 treft gezondheidszorg met snelle en gerichte ransomware-aanvallen
Terwijl de meeste ransomware-actoren tijd doorbrengen op het slachtoffer netwerk op zoek naar belangrijke gegevens om te stelen, geeft één groep de voorkeur aan snelle malware-implementatie tegen gevoelige, hoogwaardige doelen. Het kan minder dan twee dagen duren voordat de FIN12-bende op het doelnetwerk een bestandsversleutelende payload uitvoert - meestal Ryuk-ransomware.
5 oktober
Ransomware groepen ‘slachtoffer’ van eigen malware leverancier
Verschillende ransomwarebendes zijn de laatste tijd zelf slachtoffer geworden van cybercriminelen. De ransomwaregroepen zijn niet altijd zelf de mensen die de ransomware maken, maar huren deze van andere criminelen of groepen. Tot onze grote verbazing blijkt dus dat de malware-makers ook niet te vertrouwen zijn. Ze gaan er vandoor met het zuurverdiende losgeld dat hun cliënten hebben buitgemaakt. Tragisch. Het is welbekend dat de cybercriminelen die malware en ransomware maken hun software als pakket verhuren aan minder technische criminelen, het zogeheten Ransomware-as-a-Service. ZDNet meldt dat bijvoorbeeld ook de schimmige groep achter de beruchte REvil ransomware, gebruikt bij de prominente aanvallen op Kaseya en Acer, hun software verhuurt aan andere partijen. Als betaling eisen de criminelen hierbij een deel van het losgeld op.
Datalek Hogeschool van Arnhem en Nijmegen mogelijk groter dan gedacht
Het datalek bij de Hogeschool van Arnhem en Nijmegen (HAN) is mogelijk groter dan gedacht, zo laat de onderwijsinstelling vandaag via de eigen website weten. Begin september meldde de HAN dat het was getroffen door een datalek waarbij persoonsgegevens in handen van een aanvaller waren gekomen. De aanvaller eiste losgeld van de onderwijsinstelling, anders zou hij de gestolen data publiceren. "Het bedrag van 10.000 euro dat in de media circuleerde is onjuist. Het betreft een veelvoud daarvan. De HAN heet vanaf h et begin geweigerd om op deze afpersing in te gaan. De reden daarvan is dat door te betalen deze vorm van cybercriminaliteit feitelijk in stand wordt gehouden en betalen geen garantie biedt dat de buitgemaakte data niet verder verkocht of gepubliceerd worden", zo laat de onderwijsinstellingen weten.
Nog steeds storingsmeldingen over DigiD na DDoS-aanvallen
De problemen bij DigiD zijn dinsdagochtend nog niet verholpen. De dienst was maandagavond niet bereikbaar vanwege terugkerende DDoS-aanvallen, maar nog altijd zijn er burgers die op dit moment zeggen niet te kunnen inloggen bij de overheid. DigiD ging maandag rond 18.00 uur ineens plat, vlak nadat ook Facebook, Instagram en WhatsApp uit de lucht waren gegaan. Veel mensen zagen al snel een verband, maar in de loop van de avond kwam het ministerie van Binnenlandse Zaken met een verklaring: de twee storingen stonden volgens een woordvoerder "helemaal los" van elkaar. De problemen bij DigiD werden namelijk veroorzaakt door terugkerende DDoS-aanvallen, aldus het ministerie. Afgelopen weekend waren er door een cyberaanval ook al problemen met het 'digitale paspoort' waarmee burgers kunnen inloggen bij overheidsdiensten. Hierdoor konden sommige mensen geen QR-code aanmaken in de CoronaCheck-app. Zo'n toegangsbewijs is sinds twee weken verplicht bij een bezoek aan onder andere de horeca. Op Allestoringen.nl is te zien dat de piek in het aantal meldingen rond maandagavond 22.00 uur lag. Binnenlandse Zaken laat weten dat de storing rond 0.20 uur voorbij was. Sinds dinsdagochtend 6.00 uur nam het aantal meldingen echter weer toe. Volgens een woordvoerder konden mensen niet inloggen in de CoronaCheck-app, maar ook dat probleem zou inmiddels verholpen zijn. Tijdens een storing bij DigiD kunnen burgers niet inloggen bij websites van de overheid, zoals de Sociale Verzekeringsbank (SVB) en de Dienst Uitvoering Onderwijs (DUO). Bij gemeenten is DigiD nodig bij het digitaal aanvragen van een paspoort of uittreksel uit het bevolkingsregister. Ook kunnen belastingaangiftes ermee worden ondertekend.
Ransomware-bende versleutelt VMware ESXi-servers met Python-script
Exploitanten van een onbekende ransomwarebende gebruiken een Python-script om virtuele machines te versleutelen die worden gehost op VMware ESXi-servers. Hoewel de programmeertaal Python niet vaak wordt gebruikt bij het ontwikkelen van ransomware, is het een logische keuze voor ESXi-systemen, aangezien op dergelijke op Linux gebaseerde servers standaard Python is geïnstalleerd. Zoals onderzoekers van Sophos onlangs ontdekten tijdens het onderzoeken van een ransomware-incident, werd een Python-ransomwarescript gebruikt om de virtuele machines van een slachtoffer te versleutelen die op een kwetsbare ESXi-hypervisor draaiden binnen drie uur na de eerste inbreuk. "Een recent afgerond onderzoek naar een ransomware-aanval onthulde dat de aanvallers een aangepast Python-script op de virtuele machine-hypervisor van het doelwit uitvoerden om alle virtuele schijven te versleutelen, waardoor de VM's van de organisatie offline werden gehaald ", zegt SophosLabs hoofdonderzoeker Andrew Brandt. "In wat een van de snelste aanvallen was die Sophos heeft onderzocht, vanaf het moment van het eerste compromis tot de implementatie van het ransomware-script, brachten de aanvallers slechts iets meer dan drie uur door op het netwerk van het doelwit voordat ze de virtuele schijven in een VMware ESXi-server versleutelden ."
4 oktober
KvK: Nederlandse bedrijven krijgen wekelijks 294 cyberaanvallen te verwerken
Per week krijgen Nederlandse bedrijven ongeveer 294 cyberaanvallen te verwerken. Eén op vijf ondernemers zou ermee te maken krijgen. Dat stelt het Nederlandse Handelsregister van de Kamer van Koophandel. Een geslaagde hack kost een onderneming gemiddeld 67.000 euro. Het Handelsregister meldt ook dat het aantal Nederlandse cybersecuritybedrijven tussen 2016 en 2021 steeg van 554 naar 1048. In Noord- en Zuid-Holland kwamen er naar verluidt 259 nieuwe vestigingen bij.
Bedrijven kunnen cyberaanvallen moeilijker verzekeren
Bedrijven hebben steeds meer moeite om zich te verzekeren tegen cyberaanvallen. Verzekeraars sluiten hele sectoren uit of stellen limieten aan de omzet. Andere bedrijven krijgen te maken met fors hogere kosten en lagere dekkingen, blijkt uit navraag van BNR bij verzekeraars en tussenpersonen. Beluister hier het gesprek tussen BNR en Stefan Zwager van verzekeraar AIG
Kwetsbare Confluence-servers doelwit van ransomware-aanvallen
Criminelen maken gebruik van een bekende kwetsbaarheid in Confluence om organisaties met ransomware te infecteren. Dat meldt antivirusbedrijf Sophos in aan analyse. Confluence is een door Atlassian ontwikkeld wikiplatform waarmee teams van organisaties kunnen samenwerken.Een kwetsbaarheid in de software, aangeduid als CVE-2021-26084, maakt het mogelijk voor een aanvaller om willekeurige code op het systeem uit te voeren en zo volledige controle over de server te krijgen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. Op 25 augustus verscheen er een beveiligingsupdate voor de kwetsbaarheid. Sophos beschrijft een aanval op een organisatie waarbij de aanvallers via de Confluence-kwetsbaarheid op 13 september toegang tot een server wisten te krijgen. Vanaf de Confluence-server wisten de aanvallers zich lateraal door het netwerk te bewegen en verschillende andere servers te compromitteren. Op 24 september, elf dagen na de initiele infectie, vond de ransomware-aanval plaats.De aanvallers gebruikten eerst het programma RClone om allerlei data van besmette servers naar een Dropbox-account te kopiëren. Vervolgens werden de domeincontrollers in het netwerk gebruikt om de ransomware naar alle endpoints in het netwerk te verspreiden en uit te voeren. Naast de ransomwaregroep was er ook een andere aanvaller die de kwetsbare Confluence-server had gevonden en hierop een cryptominer installeerde.
Twee verdachten ransomwaregroep aangehouden in Oekraïne
De Oekraïense autoriteiten hebben in samenwerking met Europol twee verdachten aangehouden die onderdeel van een ransomwaregroep zouden zijn. Volgens Europol is de groep verantwoordelijk voor aanvallen waarbij tussen de vijf miljoen en zeventig miljoen euro losgeld van getroffen organisaties werd geëist. De groep zou sinds april vorig jaar ransomware-aanvallen uitvoeren, gericht tegen grote industriële ondernemingen in Europa en Noord-Amerika. Daarbij werden gegevens gestolen en bestanden versleuteld. Wanneer getroffen bedrijven het gevraagde losgeld niet betaalden werd gedreigd met het openbaren van de gestolen data op internet. De naam van de ransomwaregroep is niet door Europol bekendgemaakt. Bij de operatie tegen de groep, waar ook de Franse politie en de FBI waren betrokken, werden zeven woningen doorzochten en zoals gezegd twee personen aangehouden. Verder werd er 375.000 dollar aan contanten in beslag genomen en twee luxe auto's ter waarde van 217.000 euro. Daarnaast is er voor 1,3 miljoen dollar aan cryptovaluta bevroren.
VS gaat samen met coalitie van dertig landen cybercrime bestrijden
De Verenigde Staten zal later deze maand dertig landen in een coalitie verenigen om zo onder andere beter cybercrime te bestrijden, de samenwerking tussen opsporingsdiensten te verbeteren en het illegaal gebruik van cryptovaluta tegen te gaan, zo heeft de Amerikaanse president Biden aangekondigd. Biden deed zijn uitspraken tijdens de start van de jaarlijkse "Cybersecurity Awareness maand" die deze maand plaatsvindt. De president liet weten dat hij de vitale infrastructuur in het land beter tegen cyberaanvallen wil beschermen, ransomwaregroepen wil verstoren, duidelijke regels wil opstellen hoe landen zich in cyberspace moeten gedragen en dat de VS iedereen aansprakelijk zal houden die de veiligheid van de natie in gevaar brengt. De president voegde toe dat de VS nauw samenwerkt met andere landen om deze dreigingen te bestrijden, waaronder de NAVO en G7. "Deze maand zullen de Verenigde Staten dertig landen bijeen brengen om onze samenwerking te versnellen in het bestrijden van cybercrime, het verbeteren van samenwerking tussen opsporingsdiensten, het tegengaan van het illegaal gebruik van cryptovaluta en het op diplomatiek wijze aanpakken van deze zaken", kondigde Biden aan. Verder wil de Amerikaanse president een coalitie van landen bijeen brengen die zich zal inzetten voor "betrouwbare 5G-technologie" en het beter beveiligen van logistieke ketens. Daarnaast zal de VS naar eigen zeggen zich richten op de kansen en dreigingen van opkomende technologieën zoals quantum computing en kunstmatige intelligentie.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Tips of verdachte activiteiten gezien? Meld het hier.
Meer weekoverzichten
Iedere maandag om 15:00 het complete overzicht van de afgelopen week. Wil je deze in de mail ontvangen zodat je geen enkel overzicht mist? Laat het ons dan weten via het volgende e-mailadres aanmelden.cybercrimeinfo.nl@gmail.com onder de vermelding van 'Aanmelding overzicht cyberaanvallen'
Slachtofferanalyse en Trends van Week 46-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 45-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language