Overzicht cyberaanvallen week 46-2021

Gepubliceerd op 22 november 2021 om 15:00

De Conti-ransomwaregroep "verdiende" sinds juli van dit jaar zeker 25,5 miljoen dollar, cyberaanval op Heijmans hackers proberen 1300 accounts te kraken en Russische ransomware bendes gaan samenwerken met Chinese hackers. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 3.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.

Status op 22 november 2021 : 3.865


Week overzicht

Slachtoffer Cybercriminelen Website Land
Law Society of South Australia Haron www.lawsocietysa.asn.au Australia
systematicatec.com LockBit systematicatec.com Switzerland
evans.co.id LockBit evans.co.id Unknown
consortiumlegal.com LockBit consortiumlegal.com Nicaragua
telemovil.com.sv LockBit telemovil.com.sv Luxembourg
siix.co.jp LockBit siix.co.jp Japan
Beaverhead County High School AvosLocker bchsmt.com USA
The Cochran Firm AvosLocker cochranfirm.com USA
ochsnerEFS AvosLocker ochsnerefs.com USA
VR Souliere AvosLocker vrsouliere.com Canada
EL Pruitt Co AvosLocker www.elpruitt.com USA
NLB Corporation Conti www.nlbcorp.com USA
apower.com.sg LockBit apower.com.sg Singapore
centerspacehomes.com LockBit centerspacehomes.com USA
MINISTRY OF ECONOMY AND FINANCE Peru Everest www.mef.gob.pe Peru
The Della Toffola Group Conti www.dellatoffola.it Italy
Herman & Kittle Properties Inc. Suncrypt hermankittle.com USA
Hospitality Furnishings & Design Inc. Suncrypt hfdcorp.com USA
a1ssi.com LockBit a1ssi.com USA
duncandisability.com LockBit duncandisability.com USA
Pueblo Bonito Pacifica Golf & Spa Resort Grief www.pueblobonito.com Mexico
SNR Shopping PUREGOLD AvosLocker snrshopping.com Philippines
FLUID COMPONENTS INTERNATIONAL Conti www.fluidcomponents.com USA
HELSA Group International Conti www.helsa.com Germany
Area Energy & Electric Conti www.areaelectric.com USA
FTI Group Conti www.fti.de Germany
GC Micro AvosLocker www.gcmicro.com USA
adhhealth.com LV adhhealth.com USA
hanshin-dp.co.jp LockBit hanshin-dp.co.jp Japan
peschl-ultraviolet.com LockBit peschl-ultraviolet.com Germany
reiss-beck.de LockBit reiss-beck.de Germany
royole.com LockBit royole.com China
btc-alpha.com LockBit btc-alpha.com UK
General RV Center Conti www.generalrv.com USA
docol.com.br LV docol.com.br Brazil
pkf.com.au LockBit pkf.com.au UK
essextec.com LockBit essextec.com USA
scotttesting.com LV scotttesting.com USA
HARTMANN FINANCIAL ADVISORS LLC Conti www.hartmannadvisors.com USA
JAFTEX Corporation Conti www.jaftex.com USA
Bruss North America Conti www.bruss.de USA
Aisha Steel-ASML Conti www.aishasteel.com Pakistan
LOGROS S.A. Conti logrossa.com Argentina
Unione dei Comuni Terre di Pianura RansomEXX terredipianura.it Italy
cloudpros.com LockBit cloudpros.com USA
Canada West Land BlackByte canadawestland.com Canada
Emery Jensen Distribution BlackByte emeryjensendistribution.com USA
Purifoy Chevrolet Co. BlackByte www.purifoychevrolet.com USA
Williams & Rowe Company, Inc. BlackByte williamsrowe.com USA
Unit 8200 Moses Staff Unknown Israel
3D imagery of israel Moses Staff Unknown Israel
Police Brazil Everest Unknown Brazil
Gibbs Wire And Steel Conti www.gibbswire.com USA
The Center for Rural Development Conti www.centertech.com USA
National Material Conti www.nmlp.com USA

Banken VS moeten ransomware en ddos-aanvallen binnen 36 uur melden

Vanaf 1 mei volgend jaar zijn banken in de Verenigde Staten verplicht om ernstige cyberincidenten zoals ransomware-infecties en ddos-aanvallen na ontdekking binnen 36 uur bij de federale toezichthouder FDIC (Federal Deposit Insurance Group) te melden. Volgens de toezichthouder zit erop dit moment een gat in het tijdig door banken worden gewaarschuwd over ernstige cyberincidenten. Met de nu aangekondigde meldplicht moeten de FDIC en andere financiële toezichthouders beter in staat zijn om op cyberdreigingen voor de banksector te reageren. De meldplicht geldt voor alle cyberincidenten die invloed hebben op de bedrijfsvoering en de mogelijkheid om producten en diensten aan te bieden of de stabiliteit van de financiële sector. Als voorbeeld noemt de FDIC ddos- of ransomware-aanvallen. Wanneer blijkt dat het cyberincident gevolgen heeft voor klanten en dit langer duurt van vier uur zijn banken verplicht om dit aan de klanten te laten weten. De meldplicht gaat op 1 april 2022 in en vanaf 1 mei 2022 is volledige compliance vereist.

2021 11 17 Notational Fr
PDF – 736,9 KB 250 downloads

Conti's Tor-onderhandelingssite kort stilgelegd door kaping


Nieuwe Memento-ransomware schakelt over naar WinRar na mislukte versleuteling

Een nieuwe ransomware-groep genaamd 'Memento' hanteert de ongebruikelijke aanpak om bestanden met een wachtwoord beveiligde archieven te vergrendelen nadat hun versleutelingsmethode steeds werd gedetecteerd door beveiligingssoftware. Vorige maand werd de groep actief toen ze een VMware vCenter Server-webclientfout begonnen uit te buiten voor de eerste toegang tot de netwerken van slachtoffers. De vCenter-kwetsbaarheid wordt bijgehouden als ' CVE-2021-21972 ' en is een niet-geverifieerde, externe code-uitvoeringsbug met een 9,8 (kritieke) prioriteitsclassificatie. Door deze fout kan iedereen met externe toegang tot TCP/IP-poort 443 op een blootgestelde vCenter-server opdrachten uitvoeren op het onderliggende besturingssysteem met beheerdersrechten. Een patch voor deze fout kwam in februari uit, maar zoals blijkt uit de operatie van Memento, hebben tal van organisaties hun installaties niet gepatcht. Dit beveiligingslek wordt sinds april door Memento uitgebuit, terwijl in mei een andere actor werd opgemerkt die het misbruikte om XMR-mijnwerkers te installeren via PowerShell-commando's.

New Ransomware Actor Uses Password
PDF – 653,6 KB 311 downloads

Ransomwaregroep verdiende sinds juli 25,5 miljoen dollar

De Conti-ransomwaregroep verdiende sinds juli van dit jaar zeker 25,5 miljoen dollar, zo claimt securitybedrijf Prodaft op basis van een analyse van de bitcoinadressen die de criminelen gebruikten. In september waarschuwden de FBI, de Amerikaanse geheime dienst NSA en het Cybersecurity and Infrastructure Security Agency (CISA) voor een toename van aanvallen door de Conti-groep. Volgens de overheidsinstanties heeft deze groep meer dan vierhonderd aanvallen tegen Amerikaanse en internationale organisaties uitgevoerd. Conti hanteert een ransomware-as-a-service (RaaS)-model. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. In het geval van de Conti-groep betalen de ontwikkelaars de criminelen die de ransomware verspreiden geen percentage maar een loon, aldus de FBI en NSA. Om toegang tot netwerken te krijgen maken de criminelen onder andere gebruik van malafide e-mailbijlagen, gecompromitteerde vpn- en rdp-wachtwoorden en bekende kwetsbaarheden in Windows en firewalls van Fortinet. "Conti weet dat veel gebruikers hun beveiligingsupdates niet tijdig installeren. De partners van de ransomwaregroep gaan ervan uit dat gebruikers dagen of soms zelfs weken wachten met het installeren van patches. Met een geautomatiseerd RaaS-model zoals dat van Conti is het mogelijk voor aanvallers om ongepatchte systemen uren na het uitkomen van beveiligingsupdates aan te vallen", aldus Prodaft. Tijdens het onderzoek naar de Conti-groep ontdekte Prodaft 113 bitcoinadressen die bij de aanvallen werden gebruikt. Sinds juli ontvingen deze adressen 25,5 miljoen dollar in bitcoin. Daarnaast blijkt dat één van de partners van de Conti-groep ook voor de DarkSide-groep heeft gewerkt, die achter de aanval op de Colonial Pipeline in de Verenigde Staten zat. Recentelijk meldde Europol dat de Conti-groep dit jaar twaalf miljoen dollar zou hebben verdiend.

Conti Ransomware Group In Depth Analysis
PDF – 3,8 MB 228 downloads

Cyberaanval op Heijmans, hackers proberen 1300 accounts te kraken

Hackers hebben 24 uur lang geprobeerd om in te breken in het computersysteem van bouwbedrijf Heijmans in Rosmalen. Geprobeerd, want de digitale beveiliging van het bedrijf was gelukkig op orde. ‘’Een aanval gebeurt vaker maar in deze omvang hebben we het nog niet eerder gezien’’, vertelt woordvoerder Jeroen van den Berk. Het gaat om zo’n 1300 accounts waarop ingelogd werd. Van zondagavond tot maandagavond ondervond het bedrijf enige overlast van de hackpogingen. ‘’Er werd geprobeerd om toegang te krijgen op de accounts van medewerkers van Heijmans. De beveiliging werkte goed waardoor accounts op slot gingen na drie foute inlogpogingen.’’ Doordat accounts tijdelijk onbruikbaar werden, konden de hackers maar ook de medewerkers niet meer inloggen. ‘’Dat is vervelend voor de medewerkers maar hierdoor hebben we erger kunnen voorkomen. We hebben gelukkig geen schade opgelopen’’, aldus de woordvoerder.  Lees verder


Russische ransomware bendes gaan samenwerken met Chinese hackers

Er is een ongebruikelijke activiteit aan de gang op Russisch sprekende cybercriminaliteitsforums, waar hackers contact lijken te zoeken met Chinese tegenhangers voor samenwerking. Deze pogingen om Chinese dreigingsactoren in te schakelen, worden voornamelijk gezien op het RAMP-hackforum, dat Mandarijnsprekende actoren aanmoedigt om deel te nemen aan gesprekken, tips te delen en samen te werken aan aanvallen.

RAMP Ransomware
PDF – 300,7 KB 312 downloads

Duitse overheid verwacht toename van ddos-aanvallen op webwinkels

De Duitse overheid verwacht de komende tijd een toename van ddos-aanvallen op webwinkels en roept ondernemers op om maatregelen te nemen. Criminelen zouden Black Friday, Cyber Monday en de kerstperiode aangrijpen om winkeliers door middel van ddos-aanvallen af te persen. "De afgelopen weken hebben we ddos-aanvallen tot 21,8 miljoen requests per seconde (MRPS) gezien. Dit is een toename van 28 procent in vergelijking met eerdere aanvallen. Gevreesd wordt dat de aanvalstechnologieën tijdens de komende drukke periode worden ingezet, met name voor ddos-afpersing", zegt Arne Schönbohm, hoofd van het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Volgens Schönbohm is het belangrijk dat webshops voorzorgsmaatregelen treffen. Daarbij moet vooral worden gelet op UDP-reflectie-aanvallen met veel requests. Verder roept het BSI aangevallen winkeliers op om niet op afpersingspogingen te reageren. Onlangs meldde Cloudflare dat het een ddos-aanval van 2 Tbps heeft geblokkeerd. De grootste aanval die het tot nu toe heeft gezien.

Cloudflare Blocks An Almost 2 Tbps Multi
PDF – 1,4 MB 322 downloads

Dit zijn de cryptomixers die hackers gebruiken om hun losgeld op te schonen

Cryptomixers zijn altijd het epicentrum geweest van cybercriminaliteit, waardoor hackers cryptovaluta die van slachtoffers zijn gestolen, kunnen "opschonen", waardoor het voor wetshandhavers moeilijk wordt om ze te volgen. Wanneer cybercriminelen cryptocurrency stelen of ontvangen als losgeld, kunnen wetshandhavers of onderzoekers zien naar welke cryptocurrency-portemonnee het geld is gestuurd. Mixers stellen cybercriminelen in staat om illegaal verkregen cryptocurrency te deponeren en deze vervolgens te mengen in een grote pool van "willekeurige" transacties. Op deze manier raakt de originele crypto verstrikt in een grote verzameling sommen uit veel verschillende en onbekende bronnen. Wanneer dit klaar is, wordt de "opgeschoonde" crypto naar een ander adres gestuurd dat eigendom is van de cybercriminelen die nog niet eerder zijn gebruikt en onbekend is bij wetshandhavers. Voor het gebruik van deze service nemen de cryptomixers een commissie (meestal 1-3%) van de gemengde cryptocurrency. "Sommige services stellen gebruikers in staat om een ​​"dynamische" servicevergoeding te kiezen, wat hoogstwaarschijnlijk wordt gedaan om onderzoeken naar illegale cryptocurrency-fondsen te bemoeilijken door het bedrag dat wordt witgewassen in verschillende stadia van het proces te wijzigen, waardoor het moeilijker wordt om het geld aan een specifieke misdaad of individu", legt het rapport van Intel471 uit.

How Cryptomixers Allow Cybercriminals To Clean Their Ransoms
PDF – 259,8 KB 326 downloads

Nieuwe ChiChi Ransomware ontdekt


Voorafgaand aan de hoorzitting publiceert de commissie een nieuwe nota over losgeldaanvallen op Amerikaanse bedrijven

Carolyn B. Maloney, voorzitter van de Committee on Oversight and Reform, heeft vandaag (16-11-21) een aanvullende memo vrijgegeven die nieuwe inzichten biedt in hoe de spraakmakende ransomware-aanvallen op CNA Financial Corporation (CNA), Colonial Pipeline Company (Colonial) en JBS Foods USA (JBS) zich ontvouwden, en hoe wetgeving en beleidsreacties kunnen worden ontwikkeld om de dreiging van ransomware tegen te gaan. In juni 2021 startte de commissie een onderzoek naar ransomware-aanvallen en losgeldbetalingen door Amerikaanse bedrijven aan cybercriminelen. Als onderdeel van dit onderzoek heeft de commissie brieven gestuurd naar bedrijven die het slachtoffer waren van enkele van de meest prominente ransomware-aanvallen van het afgelopen jaar, waaronder CNA Financial Corporation , Colonial Pipeline Company en JBS Foods USA. 

20211116 Supplemental Memo On CO Rs Investigation Into Ransomware
PDF – 1,2 MB 262 downloads

Honderden WordPress-sites getroffen door zogenaamde ransomware-infectie

Honderden WordPress-sites zijn getroffen door een zogenaamde ransomware-infectie waarbij bezoekers het bericht te zien krijgen dat de website is versleuteld. Dat meldt securitybedrijf Sucuri. Volgens het bericht op de website moet er voor het ontsleutelen van de versleutelde bestanden 0,1 bitcoin worden betaald, wat op het moment van schrijven overeenkomt met ruim 5300 euro. In het verleden zijn er vaker aanvallen op websites uitgevoerd waarbij bestanden van de site voor losgeld werden versleuteld of gestolen. Bij de nu getroffen WordPress-sites is daar geen sprake van en zijn er geen bestanden versleuteld. Aanvallers hebben een plug-in weten te installeren die de losgeldboodschap toont. Het verwijderen van de plug-in is dan ook voldoende om de melding te verwijderen. Volgens Sucuri stond de teller gisteren op 291 getroffen websites. Hoe de aanvallers in staat zijn om de plug-in te installeren is op dit moment onduidelijk. Op basis van logbestanden blijkt dat de aanvallers over inloggegevens van getroffen websites beschikken, die mogelijk via een bruteforce-aanval of andere manier zijn verkregen. Beheerders van getroffen websites wordt dan ook geadviseerd om alle beheerderswachtwoorden te wijzigen en alle bestaande beheerders van de site te controleren.

Fake Ransomware Infection Spooks Website Owners
PDF – 386,9 KB 318 downloads

FBI bevestigt misbruik van beveiligingslek in portaal voor opsporingsdiensten

Een beveiligingslek in een portaal van de FBI waarmee opsporingsdiensten informatie uitwisselen is door een aanvaller misbruikt voor het versturen van nepmails, zo heeft de Amerikaanse opsporingsdienst in een verklaring bekendgemaakt. Het Law Enforcement Enterprise Portal (LEEP) is een "beveiligd platform" dat Amerikaanse opsporingsdiensten, inlichtingengroepen en andere justitiële onderdelen gebruiken voor het uitwisselen van documenten, profielen van verdachten en informatie over dreigingen. Een aanvaller wist via een kwetsbaarheid in de registratieprocedure van het portaal zelfverzonnen berichten te versturen die vanaf een e-mailadres en server van de FBI afkomstig waren. In het bericht werden ontvangers gewaarschuwd dat hun systemen waren gecompromitteerd. Tegenover it-journalist Brian Krebs verklaarde de aanvaller dat hij via de kwetsbaarheid veel ergere aanvallen had kunnen uitvoeren en bijvoorbeeld data van organisaties had kunnen ontfutselen. De FBI spreekt zowel over een misconfiguratie als een beveiligingslek waardoor de aanval mogelijk was. De server die de nepmails verstuurde maakt geen deel uit van de zakelijke mailservice van de opsporingsdienst. De kwetsbaarheid is inmiddels verholpen en alle partners zijn over de nepmails gewaarschuwd. Volgens de opsporingsdienst heeft de aanvaller geen toegang tot data of persoonlijke informatie op het FBI-netwerk gekregen. Verdere details zijn niet bekendgemaakt.


‘Emotet’ botnet krabbelt weer op na acties Interpol

De zogeheten Emotet-malware wordt opnieuw verspreid na infecties met de TrickBot-malware. Verschillende vooraanstaande beveiligingsonderzoekers signaleren dat kwaadwillenden hiermee het Emotet botnet willen herstellen. Afgelopen voorjaar namen Europol en de Duitse autoriteiten het botnet over en gebruikten de infrastructuur om de malware op alle geïnfecteerde computers te verwijderen. Beveiligingsonderzoekers van Cryptolaemus, GData en Advanced Intel zien sinds kort dat criminelen computers die geïnfecteerd zijn met Trickbot, malware gebruiken om de Emotet malware weer uit te rollen en het beruchte gelijknamige botnet te herstellen.

Guess Who
PDF – 247,9 KB 330 downloads

Moses Staff-hackers richten grote schade aan op Israëlische organisaties met versleuteling zonder losgeld

Een nieuwe hackergroep genaamd 'Moses Staff' heeft onlangs de verantwoordelijkheid opgeëist voor talrijke aanvallen op Israëlische entiteiten, die politiek gemotiveerd lijken omdat ze geen losgeld eisen. De dreigingsactoren hebben de afgelopen maanden herhaaldelijk schade toegebracht aan Israëlische systemen, door netwerken te infiltreren en bestanden te versleutelen, en vervolgens de gestolen kopieën naar het publiek te lekken. Als zodanig is het duidelijke motief van de groep om maximale operationele verstoring en schade aan zijn doelen te veroorzaken door bedrijfsgeheimen en andere gevoelige informatie bloot te leggen via speciale datalekkensites, Twitter-accounts en Telegram-kanalen.

Uncovering Moses Staff Techniques
PDF – 2,3 MB 316 downloads

Tienduizenden spamberichten door FBI verstuurd na cyberaanval

Er zijn tienduizenden spamberichten verstuurd vanuit servers van de FBI. Volgens bepaalde cybersecurity-onderzoekers is dit het gevolg van een cyberaanval die een lek in het systeem moet aantonen. Afgelopen weekend werden via servers van de FBI tienduizenden spamberichten verzonden. Volgens onderzoeksjournalist Brian Krebs is dit het werk van een hacker die een programmeerfout het FBI-platform wil aantonen.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten

Iedere maandag om 15:00 het complete overzicht van de afgelopen week. Wil je deze in de mail ontvangen zodat je geen enkel overzicht mist? Laat het ons dan weten via het volgende e-mailadres aanmelden.cybercrimeinfo.nl@gmail.com onder de vermelding van 'Aanmelding overzicht cyberaanvallen'