Overzicht cyberaanvallen week 43-2021

Gepubliceerd op 1 november 2021 om 15:00

Grote toeleverancier auto-industrie stuurt personeel naar huis wegens cyberaanval, ransomwaregroep verkoopt toegang tot netwerken van slachtoffers en Russische SVR heeft sinds mei ten minste 14 IT-supply chain-bedrijven gehackt. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 3.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.

Status op 31 oktober 2021 : 3.610


Week overzicht

Slachtoffer Cybercriminelen Website Land
logcabinhomes.com LockBit logcabinhomes.com USA
Napili Kai Foundation Gallery BlackByte www.napilikai.com USA
Jobbers Meat Packing Co., Inc. BlackMatter Unknown USA
Calibrus Haron (Midas) www.calibrus.com USA
Transource Services Corp. Grief transource.com USA
National Windowscreens Conti www.nationalwindscreens.co.uk UK
Bristol Maid Conti www.bristolmaid.com UK
MJ Group Conti www.mjconstructiongroup.co.uk UK
The Insurance Emporium Conti www.theinsuranceemporium.co.uk UK
Toyotetsu North America Conti ttna.com USA
DBK Group Conti dbk-group.co.uk UK
Armour Transportation Systems BlackMatter armour.ca Canada
LINICAL Ragnar_Locker www.linical.com Japan
logi-cv.com LockBit logi-cv.com Japan
Gilberts Conti www.gilbertsblackpool.com UK
Los Gatos Tomato Products Conti www.losgatostomato.com USA
ILLUM Conti www.illum.dk Denmark
Major Wire Industries Conti www.majorflexmat.com Canada
Perrin Conti www.perrinwear.com USA
Acorn Stairlifts Conti www.acornstairlifts.com USA
Marketing Alliance Group Conti www.mktalliance.com USA
rijeka-airport.hr LockBit rijeka-airport.hr Croatia
MUTO SEIKO AvosLocker muto.co.jp Japan
DAUMAR LV daumar.com Spain
folio.com.au LV folio.com.au Australia
CRM GROUP Haron (Midas) crm.be Belgium
Bouquet Mulligan DeMaio Haron (Midas) www.bmdeye.com USA
IDSFULFILLMENT Haron (Midas) www.idsfulfillment.com USA
RWL GmbH Haron (Midas) www.rwl-gmbh.com Germany
EISENBERG HEFLER & LEVY LLP Haron (Midas) www.ehllaw.com USA
HAMTACO Haron (Midas) www.hamtaco.com Iran
CABINET CAZANAVE Haron (Midas) cabinetcazanave.fr France
Raisetech Haron (Midas) www.raisetech.tw Taiwan
EPOWER INTERNATIONAL ( SHANGHAl )CO.,LTD. Haron (Midas) en.epower88.cn China
Dongguan IMR Technology Co., Ltd Haron (Midas) us.imr.cc China
Capital Distributors (S) Pte Ltd Haron (Midas) www.capital.sg Singapore
KPS GROUP Haron (Midas) kpsgroup.com USA
Shanghai Cyeco Environmental Technology Co., Ltd. Haron (Midas) www.cyecomarine.com China
Xiamen Naier Electronics Co., Ltd. Haron (Midas) www.niell.cn China
Haiti Meat Processing SA Haron (Midas) Unknown Haiti
Consult Three Architects Haron (Midas) www.consult3architects.co.za South Africa
Trendico GmbH Haron (Midas) www.trendico.eu Austria
Pellisard Haron (Midas) Unknown Unknown
G.E.W. CORPORATION LIMITED Haron (Midas) www1.gewcorp.com Hong Kong
Siegfried Rivera Law Firm Haron (Midas) www.siegfriedrivera.com USA
Texas Enterprises, Inc. Haron (Midas) www.texasenterprises.com USA
katzmanproduce.com LockBit katzmanproduce.com USA
amina-treuhand.ch LockBit amina-treuhand.ch Switzerland
H Hotels Collection BlackByte www.hhotels.gr Greece
roadrebel.com LockBit roadrebel.com USA
pandol.com LockBit pandol.com USA
stehimpuls.de LockBit stehimpuls.de Germany
psomagen.com LockBit www.psomagen.com USA
parkhotel.mk LockBit www.parkhotel.mk North Macedonia
National Rifle Association Grief home.nra.org USA
movingstation.com LockBit movingstation.com USA
tedia.com LockBit tedia.com USA
Bakertilly Cuba www.bakertilly.com USA
lawyersforemployers.ca LockBit lawyersforemployers.ca Canada
Franklin International Grief franklininternational.com USA
fimmick BlackMatter www.fimmick.com Hong Kong
Medical Healthcare Solutions, Inc Conti www.medicalhealthcaresolutions.com USA
le-inc.com LockBit le-inc.com USA
Ideal Living Conti idealliving.com USA
Wayne Automatic Fire Sprinklers, Inc. XING LOCKER www.waynefire.com USA
idline.fr LockBit idline.fr France
ville-saintaffrique.fr LockBit ville-saintaffrique.fr France
dunndev.com LockBit dunndev.com USA
City College CoomingProject www.citycollege.edu USA
Livestream CoomingProject livestream.com USA
SEAT CoomingProject www.seat.es Spain
Aeropuerto Internacional de la Ciudad de México CoomingProject www.aicm.com.mx Mexico
MegaCine TV CoomingProject megacine.tv Unknown
EMPLOYEES FROM ORANGE TELECOM CoomingProject tools-learning.orange.com France
Zona.ba CoomingProject zona.ba Bosnia and Herzegovina
Höerskool Labori Paarl Pysa hslabori.co.za South Africa
Cenikor Pysa cenikor.org USA
Suntide Commercial Realty Pysa suntide.com USA
Motor Appliance Corporation Pysa macmc.com USA
Pfertner GmbH Immobilienverwaltung Conti www.pfertner.de Germany
cti.group LockBit cti.group Austria
MINT Investments BlackByte www.mintgroup.cz Czech Republic
JANDLMARKETING.COM CL0P jandlmarketing.com USA
SAN CARLO GRUPPO ALIMENTARE SPA Conti www.sancarlo.it Italy
Barnes Professional Eye Care Conti www.barnesprofessionaleyecare.com USA
Enviroplas Conti www.enviroplas.com USA
SLIMSTOCK.COM CL0P slimstock.com Netherlands
mediacrush.co.il LockBit mediacrush.co.il USA
MT Hive Unknown Unknown

Iran beschuldigt VS en Israël ervan achter cyberaanval te zitten

Israël en de Verenigde Staten zitten achter de cyberaanval die de brandstofverdeling in Iran platlegde. Dat zegt de Iraanse chef van cyberveiligheid Gholamreza Jalali aan verschillende media. “De onderzoeken zijn nog lopende, maar volgens onze bevindingen, zitten de Amerikanen en de Zionisten (Israeli’s, red.) hier zeker achter”, verklaarde Jalali. Als gevolg van de cyberaanval konden klanten dinsdag niet tanken met een subsidiekaart. In het land waar de benzine rijkelijk vloeit, krijgen de automobilisten een elektronische kaart van de overheid waarmee ze tot een bepaald bedrag gesubsidieerde en dus goedkope benzine kunnen tanken. Boven dat quotum geldt het “vrije” en duurdere tarief. Zonder die kaart is de brandstof twee keer zo duur. De storing veroorzaakte lange rijen aan benzinestations in de hoofdstad Teheran en andere steden. Iran sprak aanvankelijk van een “technisch defect”, maar bevestigde dat het ging om een cyberaanval. Zowel Israël als de VS hebben in het verleden cyberaanvallen op Iran uitgevoerd, die soms grote financiële problemen veroorzaakten. Hoewel Iran met de beschuldigende vinger naar Israël en de VS wijst, heeft den Iraanse groep hackers de verantwoordelijkheid voor de aanval op de tankstations al opgeëist. De groep zei dat de actie gelinkt was aan de onrust van 2019 over de gestegen benzineprijzen en een protest is tegen het doden en opsluiten van honderden demonstranten. De groep heeft de afgelopen maanden naar eigen zeggen ook aanvallen uitgevoerd op het nationale spoorwegnet en zelfs op de bewakingscamera’s van de beruchte Evin-gevangenis.


Chaos ransomware richt zich op gamers via valse Minecraft alt-lijsten

De Chaos Ransomware-bende versleutelt de Windows-apparaten van gamers via valse Minecraft-alt-lijsten die worden gepromoot op gameforums. Minecraft is een enorm populaire sandbox-videogame die momenteel door meer dan 140 miljoen mensen wordt gespeeld, en volgens de verkoopcijfers van Nintendo is het een bestseller in Japan.

THREAT RESEARCH
PDF – 659,0 KB 243 downloads

TTC onderzocht een ransomware-aanval waarbij meerdere servers werden gecompromitteerd

De Toronto Transit Commission zei dat het onderzoek deed naar een ransomware-aanval die vrijdag enkele van haar communicatiesystemen vernietigde en een aantal van haar diensten aantastte. In een vrijdagavond uitgegeven verklaring zei TTC dat het donderdag voor het eerst op de hoogte werd gesteld van de aanval toen een IT-medewerker ontdekte dat er “ongewone netwerkactiviteit” was. De TTC zei dat de impact van de hack aanvankelijk “verwaarloosbaar” was, maar halverwege vrijdag “breidden de hackers hun aanval op de servers van het netwerk uit”. TTC-woordvoerder Stuart Green vertelde CP24: “Gistermiddag laat, laat in de avond kwamen we erachter. En na die dag werd het echt duidelijk. Een aantal van onze servers was gehackt.” “Voorlopig is onze prioriteit om ons systeem te beveiligen. En dan zullen we uitzoeken hoe het allemaal is gebeurd en ervoor zorgen dat het niet nog een keer gebeurt.” De aanval verlamde het zichtsysteem van TTC, dat wordt gebruikt om te communiceren met voertuigbestuurders. “We hebben een draadloze back-up, dus er is geen probleem om met de operators te communiceren”, zei Green. De hackers verwijderden ook “Next Vehicle Information System” op de schermen van het platform, reisplanning-apps, de TTC-website en het online boekingsportaal Wheel-Trans. Ook de interne e-mailservice van TTC is getroffen. “Ik praat met je op mijn persoonlijke telefoon, want we hebben geen netwerksystemen hier of netwerkservice hier op het TTC-kantoor. Dus ik heb geen e-mail. Ik heb geen internet. Dus dat is het soort ding dat nu wordt beïnvloed,” zei Stewart. De TTC merkte op dat er geen grote verstoringen van de dienstverlening waren tijdens de aanval en “er was geen risico voor de veiligheid van personeel of klanten.” READ  Aandelen dalen meestal voor een week vol gegevens, Nasdaq daalt terwijl de rente op staatsobligaties stijgt. Stewart zei dat ze de politie hebben ingeschakeld en samenwerken met experts op het gebied van cyberbeveiliging, waaronder de IT-afdeling van de stad Toronto, om te bepalen wat er is gebeurd. “We denken dat we het nu hebben,” zei hij. “We moeten ‘s nachts wat testen en wat onderhoud doen om er zeker van te zijn dat onze systemen veilig zijn.” Op de vraag of de hackers contact hebben opgenomen met TTC voor losgeld, zei Stewart: “Aangezien dit strafrechtelijke onderzoeken zijn, kan ik niets zeggen over wat daar zal gebeuren, waardoor de politie haar werk, wetshandhaving, kan doen.” TTC heeft aangekondigd dat het een geplande metroafsluiting op zaterdag tussen de stations St Clair en College heeft geannuleerd. “Onze prioriteit is nu om ons systeem te beveiligen en ervoor te zorgen dat we onze klantinformatiesystemen en ons visiesysteem weer online kunnen brengen”, zei hij. “We zullen wat due diligence doen en ervoor zorgen dat we alle veiligheidsproblemen aanpakken die we hebben over de beveiliging van onze systemen.”


Hive ransomware versleutelt nu Linux- en FreeBSD-systemen

De Hive ransomware-bende versleutelt nu ook Linux en FreeBSD met behulp van nieuwe malwarevarianten die speciaal zijn ontwikkeld om deze platforms aan te vallen. Echter, zoals het Slowaakse internetbeveiligingsbedrijf ESET ontdekte, zijn de nieuwe encryptors van Hive nog in ontwikkeling en missen ze nog steeds functionaliteit. De Linux-variant bleek ook behoorlijk buggy te zijn tijdens de analyse van ESET, waarbij de codering volledig faalde toen de malware werd uitgevoerd met een expliciet pad. Het wordt ook geleverd met ondersteuning voor een enkele opdrachtregelparameter (-no-wipe). Hive's Windows-ransomware daarentegen wordt geleverd met maximaal 5 uitvoeringsopties, waaronder het doden van processen en het overslaan van het opschonen van schijven, oninteressante bestanden en oudere bestanden. De Linux-versie van de ransomware kan de codering ook niet activeren als deze wordt uitgevoerd zonder rootrechten, omdat het probeert het losgeldbriefje op de rootbestandssystemen van de gecompromitteerde apparaten te laten vallen. "Just like the Windows version, these variants are written in Golang, but the strings, package names and function names have been obfuscated, likely with gobfuscate," zegt ESET Research Labs.


"Opnieuw is bewezen dat internationale samenwerking cruciaal is tegen de dreiging van ransomware"

In een grote internationale operatie van politie en justitie zijn in acht landen 12 verdachten opgespoord die vermoedelijk deel uit maken van een wereldwijd netwerk van cybercriminelen. Het netwerk voerde verwoestende ransomware-aanvallen uit op de kritieke infrastructuur, zoals overheden en multinationals over de hele wereld. Deze criminele organisatie richtte zich op agressieve ontwrichting van vitale doelwitten. De aanvallen hebben vermoedelijk meer dan 1800 slachtoffers gemaakt in 71 landen. Lees verder


Nieuwe Uil Ransomware

Amigo-A vond de nieuwe Owl Ransomware die de .(OwL) extensie toevoegt en losgeldnotities met de namen !README!.txt en !README!.hta.


Duitse politie heeft vermeend lid van REvil-ransomwaregroep in het vizier

De Duitse politie heeft een vermeend lid van de REvil-ransomwaregroep in het vizier en zou ook een arrestatiebevel klaar hebben, zo melden de Zeit Online en de Bayerischer Rundfunk. Volgens de Duitse politie zou de Russische man één van de meesterbreinen achter de REvil-ransomware zijn en diens voorganger Gandcrab. Door middel van bitcoinbetalingen kwamen de Duitse autoriteiten de man op het spoor. De Duitse politie wil verder niets over het lopende onderzoek zeggen, maar de Bayerischer Rundfunk en Zeit Online deden onderzoek naar de verdachte, van wie ze op Instagram en andere social media allerlei informatie vonden. Zo zou de man in het zuiden van Rusland wonen in een huis met een zwembad, rijdt hij een dure BMW en draagt een horloge van tienduizenden euro's. Onderzoekers van de Duitse politie houden social media nauwlettend in de gaten, in de hoop dat ze zien waar de verdachte op vakantie naar toegaat, aldus de Duitse media. Bijvoorbeeld naar een land waar hij kan worden aangehouden en dat een uitleveringsverzoek met Duitsland heeft. Vooralsnog lijkt het erop dat de Russische man in Rusland blijft en zou hij zijn laatste vakantie in de Krim hebben doorgebracht. REvil opereert als een ransomware-as-a-service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. De REvil-ransomware kwam deze zomer groot in het nieuws toen het wereldwijd door een beveiligingslek in de software van Kaseya werd verspreid. De Russische man zou één van de personen achter de REvil-ransomware zijn aan wie criminelen een deel van het losgeld moeten afdragen, hoewel onlangs bekend werd dat de REvil-groep haar partners ook oplicht en onderhandelingen overneemt om zo het volledige losgeldbedrag in handen te krijgen.


Voip-providers afgelopen weken afgeperst met ddos-aanvallen

Meerdere internationale voip-providers zijn de afgelopen vier weken het doelwit geworden van ddos-aanvallen, zo stelt de Britse branchevereniging Comms Council UK. Volgens de organisatie zijn de aanvallen onderdeel van een gecoördineerde internationale afpersingscampagne die het werk is van "professionele cybercriminelen". "Aangezien onze leden telecomdiensten aan vitale infrastructuurorganisaties leveren, waaronder de politie, nationale gezondheidszorg en andere publieke diensten, zijn aanvallen op onze leden aanvallen op het fundament van de Britse infrastructuur", aldus Comms Council UK. Namen van getroffen providers zijn niet gegeven, maar eerder lieten Voipfone, VoIP.ms, Voip Unlimited en Bandwith weten dat ze door ddos-aanvallen waren getroffen. Cloudflare meldde begin deze maand dat er een toename was van ddos-aanvallen op voip-providers. Hoewel de aanvallen al enige weken gaande zijn meldt Voipfone dat het hier nog altijd last van heeft.


Nieuwe Sabbat ransomware

Amigo-A vond de nieuwe Owl Ransomware die de .54bb47h- extensie toevoegt aan versleutelde bestanden.


Avast brengt gratis decryptietool uit voor Babuk- en LockFile-ransomware

Antivirusbedrijf Avast heeft een gratis decryptietool voor de AtomSilo- Babuk- en LockFile-ransomware uitgebracht waarmee slachtoffers hun bestanden kosteloos kunnen ontsleutelen. Onlangs liet Google nog weten dat Babuk tot de meest actieve ransomware-exemplaren van het afgelopen jaar behoort en in juli nog voor een piek in het aantal ransomware-exemplaren zorgde. In september lekte de broncode van Babuk op internet, samen met een aantal decryptiesleutels. Op basis van de gelekte broncode en decryptiesleutels heeft Avast een gratis decryptietool kunnen ontwikkelen. De LockFile-ransomware kwam eerder dit jaar in het nieuws omdat het via kwetsbare Exchange-servers meerdere organisaties wist te infecteren. De AtomSilo-ransomware is nagenoeg gelijk aan LockFile, aldus Avast. Beveiligingsonderzoeker Jirí Vinopal liet onlangs via Twitter weten dat hij erin was geslaagd AtomSilo te kraken. Een kwetsbaarheid in de ransomware maakt het mogelijk om bestanden zonder te betalen te ontsleutelen. Aangezien AtomSilo en LockFile nagenoeg identiek zijn is de kwetsbaarheid ook in de laatstgenoemde aanwezig. Avast gebruikte de informatie van Vinopal voor het ontwikkelen van een gratis decryptietool. Wat de kwetsbaarheid precies inhoudt is niet bekendgemaakt. Daarnaast kan de decryptietool niet alle bestanden ontsleutelen, zo laat het antivirusbedrijf weten.


Ransomware-bendes gebruiken SEO-vergiftiging om bezoekers te infecteren

Onderzoekers hebben twee campagnes gezien die verband houden met de REvil-ransomwarebende of de achterdeur van SolarMarker die SEO-vergiftiging gebruiken om payloads aan doelen te leveren. SEO-vergiftiging, ook wel 'zoekvergiftiging' genoemd, is een aanvalsmethode die afhankelijk is van het optimaliseren van websites met behulp van 'black hat'-SEO-technieken om hoger te scoren in de zoekresultaten van Google. Vanwege hun hoge positie geloven slachtoffers die op deze sites terechtkomen dat ze legitiem zijn, en acteurs genieten van een grote toestroom van bezoekers die op zoek zijn naar specifieke zoekwoorden.

Holy SEO Poisoning
PDF – 1,0 MB 225 downloads

Grote toeleverancier auto-industrie stuurt personeel naar huis wegens cyberaanval

De Eberspacher Group, een grote toeleverancier van de auto-industrie die vorig jaar een omzet van 4,9 miljard euro had, heeft personeel wegens een cyberaanval naar huis gestuurd. Het bedrijf telt zo'n tienduizend medewerkers die onder andere in tachtig fabrieken in 28 landen actief zijn. Eberspacher bouwt onder andere airconditionings-, verwarmings- en uitlaatsystemen voor alle grote autofabrikanten. Op de eigen website meldt de Eberspacher Group dat het doelwit van een "georganiseerde cyberaanval" is geworden waardoor de it-infrastructuur is verstoord. Verder stelt de toeleverancier dat het maatregelen heeft genomen om de aanval tegen te gaan, maar wat die inhouden is onbekend. Er wordt inmiddels gewerkt aan het herstel van de bedrijfsvoering. Vanwege de aanval zijn verschillende shifts in de fabrieken geschrapt en personeel naar huis gestuurd, zo laten Duitse en Zweedse media weten. Ook zou het bedrijf door de aanval telefonisch onbereikbaar zijn. Via Twitter meldt Eberspacher dat EasyStart, waarmee autobezitters de verwarming in de auto op afstand kunnen inschakelen, weer online is. Verdere details over de aanval zijn niet gegeven, hoewel sommige beveiligingsonderzoekers vermoeden dat het om ransomware gaat. Een woordvoerder van het Duitse openbaar ministerie laat aan persbureau DPA weten dat er een onderzoek is ingesteld naar mogelijke computersabotage en een poging tot afpersing.


Europees cyberagentschap: RDP en phishing de voornaamste aanvalsvector

Ransomware was het afgelopen jaar de grootste cyberdreiging, zo stelt het Europees Agentschap voor cyberbeveiliging (ENISA) in een vandaag verschenen rapport. Phishingmails en bruteforce-aanvallen op RDP (remote desktop protocol)-accounts zijn de voornaamste manieren waarop organisaties met ransomware besmet raken. Lees verder


De 10 beste manieren waarop ransomware-operators de druk om te betalen opvoeren

Ransomware-operators richten zich niet alleen op systemen en gegevens, ze richten zich ook op mensen in hun steeds grotere inspanningen om het slachtoffer te laten betalen. Ransomware bestaat al tientallen jaren en blijft floreren, vooral omdat ransomware-operators snel evolueren en zich aanpassen naarmate het cyberbeveiligingslandschap vordert. Nu organisaties bijvoorbeeld beter zijn geworden in het maken van back-ups van hun gegevens en in staat zijn versleutelde bestanden van back-ups te herstellen, zijn aanvallers begonnen hun aanpak van het eisen van losgeld in ruil voor decoderingssleutels aan te vullen met aanvullende afpersingsmaatregelen om de druk op te voeren. betalen.

SOPHOS Sec Ops
PDF – 2,4 MB 235 downloads

Evenementenorganisator MCH Group getroffen door malware-aanval

De Zwitserse evenementenorganisator MCH Group is vorige week het slachtoffer geworden van een aanval met malware, waardoor systemen onbeschikbaar zijn geworden. MCH Group verzorgt wereldwijd allerlei evenementen en exhibities. Het bedrijf had in 2019 nog een omzet van 418 miljoen euro, waarmee het één van de grotere evenementenorganisators wereldwijd is. In een verklaring stelt MCH Group dat het afgelopen woensdag door een cyberaanval met malware is getroffen. Daarbij zijn er maatregelen genomen om de schade zo goed als mogelijk te beperken, maar wat die inhouden is niet bekendgemaakt. Het beursgenoteerde bedrijf zegt dat het druk bezig is om alle systemen zo snel mogelijk weer beschikbaar te krijgen. De aanval heeft geen gevolgen voor huidige en geplande evenementen. Er is aangifte gedaan bij de politie.


FBI: dertig Amerikaanse bedrijven besmet door Ranzy Locker-ransomware

Het afgelopen jaar zijn meer dan dertig Amerikaanse bedrijven besmet geraakt met de Ranzy Locker-ransomware, waaronder bouwbedrijven, overheidsinstanties, it-bedrijven en transportondernemingen, zo stelt de FBI. In de meeste gevallen wisten de aanvallers binnen te komen via bruteforce-aanvallen op RDP (remote desktop protocol)-accounts. Daarnaast maken de aanvallers gebruik van phishing en kwetsbaarheden in Microsoft Exchange om toegang tot netwerken te krijgen. Zodra er toegang is verkregen zoeken de aanvallers naar waardevolle bestanden om te stelen, zoals klantgegevens, persoonsgegevens en financiële documenten. Hierna wordt data op besmette systemen versleuteld. Slachtoffers moeten losgeld betalen voor het ontsleutelen van bestanden of publicatie van gestolen data te voorkomen. De FBI laat weten dat de aanvallers nieuwe accounts kunnen aanmaken op domeincontrollers, servers, workstations en active directories. Bij zeker drie slachtoffers zijn accounts met de naam "felix" aangetroffen. Om besmettingen te voorkomen of de impact te beperken geeft de opsporingsdienst verschillende adviezen, waaronder offline opslag van back-ups, netwerksegmentatie, het controleren op nieuwe accounts en het uitschakelen van hyperlinks in e-mails.

211026
PDF – 1,2 MB 280 downloads

Een interview met LockBit: het risico om zelf gehackt te worden is altijd aanwezig

Hoewel de LockBit ransomware-groep sinds september 2019 actief is, tot juni van dit jaar, waren ze een marginale speler in het ransomware-landschap. Maar na de implementatie van een nieuwe versie van hun Ransomware-as-a-Service-platform, LockBit 2.0 genaamd, en de plotselinge pensionering van rivaliserende operaties Darkside, Avaddon en REvil, is LockBit een van de grootste RaaS-platforms van vandaag geworden.

An Interview With Lock Bit The Risk Of Being Hacked Ourselves Is Always Present
PDF – 828,2 KB 241 downloads

Cyberaanval legt pompstations in Iran droog, lange rijen auto's schuiven aan

Iran is vandaag (26-10-2021) getroffen door een cyberaanval. Doelwit was dit keer het systeem van tankstations. Als gevolg van de aanval stonden er overal lange rijen auto's te wachten tot de pompinstallaties opnieuw konden functioneren. Eerder waren ook al de nucleaire installaties van het land platgelegd door computervirussen. Volgens de staatsmedia zijn tankstations in zowat heel het land getroffen door de aanval. Daardoor werkten de pompen niet of slechts gedeeltelijk. Binnen de kortste keren stonden er overal lange rijen voertuigen aan te schuiven in de hoop dat het probleem snel opgelost zou worden. Dat bleek echter urenlang niet het geval. Het persbureau SHANA meldt dat vooral de betaling met speciale kaarten voor goedkope en gesubsidieerde brandstoffen werd verstoord. Op veel plaatsen konden klanten dus nog wel benzine en diesel kopen, maar dan tegen de normale -en dus veel hogere- prijs. Zowat negen op de tien tankstations zouden zijn getroffen. De aanval leidde tot heel wat ongenoegen bij veel gewone Iraniërs. Op sociale media zijn straatbeelden te zien met slogans zoals "Khamenei, waar is onze benzine?" als verwijzing naar de opperste leider Ali Khamenei, maar die zouden wellicht gehackt zijn. De cyberaanval komt zeker niet per toeval min of meer twee jaar na een fors verhoging van de brandstofprijzen in 2019. Dat leidde toen tot een breed straatprotest tegen het regime. Het is niet de eerste keer dat Iran het slachtoffer is geworden van cyberaanvallen. In juli is de website van het ministerie van Verkeer een tijdlang geblokkeerd geweest. Enkele jaren geleden werden belangrijke nucleaire installaties in Iran stilgelegd door een cyberaanval. Iran geeft doorgaans de Verenigde Staten en Israël de schuld voor die aanvallen, maar volgens die landen heeft Teheran zelf een erg bedenkelijke reputatie in cyberaanvallen tegen westerse doelwitten en opposanten van het regime.


Schadelijke NPM-bibliotheken installeren ransomware

Schadelijke NPM-pakketten die zich voordoen als Roblox-bibliotheken, leveren ransomware en wachtwoordstelende trojans aan nietsvermoedende gebruikers. De twee NPM-pakketten heten noblox.js-proxy en noblox.js-proxy , en gebruiken typo-squatting om zich voor te doen als de legitieme Roblox API-wrapper met de naam noblox.js-proxy door een enkele letter in de naam van de bibliotheek te wijzigen.

Fake Npm Roblox API Package Installs Ransomware And Has A Spooky Surprise
PDF – 2,7 MB 244 downloads

Ransomwaregroep verkoopt toegang tot netwerken van slachtoffers

De criminelen achter de Conti-ransomware bieden geïnteresseerde partijen tegen betaling toegang tot de netwerken van slachtoffers. Op de eigen website laat de ransomwaregroep weten dat het kopers zoekt die geïnteresseerd zijn in toegang tot de netwerken van getroffen organisaties om vervolgens de data van deze bedrijven te stelen en verkopen. De nieuwe toevoeging op de website werd door meerdere onderzoekers ontdekt. Waarom de Conti-groep begonnen is met het aanbieden van toegang tot de netwerken van slachtoffers is onduidelijk. "Ik vraag me af of ze binnenkort de deuren sluiten en data of toegang van een lopende inbraak willen verkopen voordat ze het zelf doen", zegt Fabian Wosar, cto van antivirusbedrijf Emsisoft, tegenover it-journalist Brian Krebs. "Het is echter wat stom om het op deze manier te doen, aangezien je bedrijven waarschuwt dat ze zijn gecompromitteerd." In september kwamen de FBI en Amerikaanse geheime dienst NSA nog met een waarschuwing voor een toename van ransomware-aanvallen door de Conti-groep. Volgens de overheidsinstanties heeft deze groep meer dan vierhonderd aanvallen tegen Amerikaanse en internationale organisaties uitgevoerd.


Zerodaylek in EntroLink vpn-apparaten gebruikt voor ransomware-aanvallen

Een zerodaylek in vpn-apparaten van het bedrijf Entrolink wordt actief gebruikt voor ransomware-aanvallen. Een beveiligingsonderzoeker meldt op Twitter dat hij Entrolink voor de kwetsbaarheid in PPX-AnyLink heeft gewaarschuwd, maar geen reactie kreeg. Entrolink is een Zuid-Koreaanse onderneming en de PPX-AnyLink wordt vooral door Zuid-Koreaanse bedrijven gebruikt om personeel toegang tot het bedrijfsnetwerk te geven. Een exploit om misbruik van de kwetsbaarheid te maken werd eerst op een forum voor 50.000 dollar aangeboden, maar was vervolgens op een ander forum gratis te downloaden, zo meldt The Record. De exploit maakt het mogelijk voor een aanvaller om op afstand code met rootrechten op PPX-AnyLink-apparaten uit te voeren. Mogelijk zouden de groepen achter de BlackMatter- en LockBit-ransomware al gebruik van het zerodaylek hebben gemaakt. Gisteren werd bekend dat ook een kwetsbaarheid in facturatiesoftware BillQuick Web Suite actief wordt gebruikt voor de verspreiding van ransomware.

Kwetsbaarheden die vaak misbruikt worden 10-2021
Afbeelding – 1,7 MB 248 downloads

Criminelen verspreiden ransomware via lek in facturatiesoftware BillQuick

Criminelen maken actief gebruik van een kwetsbaarheid in BillQuick Web Suite voor infecteren van organisaties met ransomware. BillQuick Web Suite is software voor facturatie en tijdsregistratie. BillQuick heeft naar eigen zeggen 400.000 gebruikers wereldwijd. Een Amerikaans engeeringbedrijf raakte via het beveiligingslek, aangeduid als CVE-2021-42258, besmet met ransomware, aldus securitybedrijf Huntress. De inlogpagina van de software blijkt kwetsbaar te zijn voor SQL-injection waardoor een ongeauthenticeerde aanvaller niet alleen toegang tot de data van BillQuick-klanten kan krijgen, maar ook commando's kan uitvoeren op de Windows-server waarop de software draait. Naast de aangevallen kwetsbaarheid ontdekte Huntress ook acht andere beveiligingslekken die het bij BillQuick rapporteerde. Het softwarebedrijf is met versie 22.0.9.1 van Web Suite gekomen om het probleem te verhelpen.


Kwetsbaarheid in BlackMatter-ransomware maakt ontsleutelen data mogelijk

Een kwetsbaarheid in de BlackMatter-ransomware maakt het mogelijk om data van slachtoffers kosteloos te ontsleutelen en antivirusbedrijf Emsisoft heeft hier de afgelopen maanden gebruik van gemaakt om getroffen bedrijven te helpen. Volgens Emsisoft is de BlackMatter-ransomware een voortzetting van de DarkSide-ransomware die eerder dit jaar wereldnieuws werd vanwege de aanval op de Colonial Pipeline. De aanval zorgde onder andere voor brandstoftekorten in de Verenigde Staten. Colonial Pipeline betaalde 4,4 miljoen dollar in bitcoin om weer toegang tot versleutelde bestanden te krijgen. Een groot deel van het losgeld werd op een nog onbekende manier door de FBI in beslag genomen. Eind juli ging de DarkSide-groep offline. Op 27 juli verscheen opeens de BlackMatter-groep online. Uit onderzoek van de BlackMatter-ransomware bleek dat die nagenoeg gelijk was aan de DarkSide-ransomware. Onderzoekers van Emsisoft ontdekten vorig jaar december een kwetsbaarheid in de DarkSide-ransomware waardoor ze zonder te betalen data konden ontsleutelen. De kwetsbaarheid werd op 12 januari van dit jaar door de groep verholpen. In een versie van de BlackMatter-ransomware vonden de onderzoekers ook een kwetsbaarheid waardoor decryptie van bestanden kosteloos mogelijk is. Vervolgens waarschuwde het antivirusbedrijf opsporingsdiensten, computer emergency response teams (CERTs) en sectorpartners in verschillende landen om zo BlackMatter-slachtoffers te helpen. Emsisoft zegt dat het "tal van" slachtoffers zo met een decryptietool heeft kunnen helpen, maar noemt geen exact aantal. Net als veel andere ransomwaregroepen gebruikte BlackMatter een website waarop het slachtoffers vermeldde en dreigde met het publiceren van hun data als er geen losgeld werd betaald. De groep besloot in september deze website offline te halen, waardoor Emsisoft slachtoffers niet meer met de decryptietool kon benaderen. Daarnaast bracht de groep een update van de ransomware uit, waarmee de kwetsbaarheid voor het ontsleutelen van data werd verholpen. Aanleiding voor Emsisoft om nu in de openbaarheid te treden en eerdere slachtoffers van de ransomware te laten weten dat hun bestanden zijn te ontsleutelen.

Hitting The Black Matter Gang Where It Hurts
PDF – 939,9 KB 241 downloads

Microsoft: Russische SVR heeft sinds mei ten minste 14 IT-supply chain-bedrijven gehackt

Microsoft zegt dat de door Rusland gesteunde 'Nobelium-cybercriminelen' achter de SolarWinds-hack van vorig jaar nog steeds gericht is op de wereldwijde IT-toeleveringsketen, met 140 managed service providers (MSP's) en cloudserviceproviders aangevallen en ten minste 14 geschonden sinds mei 2021. Deze campagne deelt alle tekenen van Nobelium's aanpak om een ​​belangrijke lijst van doelen te compromitteren door hun serviceprovider te overtreden. Net als bij eerdere aanvallen gebruikten de Russische staatshackers een diverse en steeds veranderende toolkit, waaronder een lange lijst met tools en tactieken, variërend van malware, wachtwoordsprays en tokendiefstal tot API-misbruik en spear phishing. De belangrijkste doelwitten van deze nieuwe aanvallen zijn resellers en technologieserviceproviders die cloudservices en vergelijkbare technologie voor hun klanten implementeren en beheren. Microsoft heeft de getroffen doelen van de aanvallen op de hoogte gebracht nadat ze ze hadden opgemerkt en heeft ook detecties toegevoegd aan hun producten voor bescherming tegen bedreigingen, zodat degenen die het doelwit zijn in de toekomst inbraakpogingen kunnen herkennen.

New Activity From Russian Actor Nobelium
PDF – 7,0 MB 269 downloads

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten

Iedere maandag om 15:00 het complete overzicht van de afgelopen week. Wil je deze in de mail ontvangen zodat je geen enkel overzicht mist? Laat het ons dan weten via het volgende e-mailadres aanmelden.cybercrimeinfo.nl@gmail.com onder de vermelding van 'Aanmelding overzicht cyberaanvallen'