Overzicht cyberaanvallen week 47-2021

Gepubliceerd op 29 november 2021 om 15:00

Noord-Koreaanse aanvallers deden zich voor als Samsung, website Marokkaans ondernemersverbond gehackt door Algerijnen en IKEA e-mailsystemen getroffen door cyberaanval. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 3.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.

Status op 29 november 2021 : 3.924


Week overzicht

Slachtoffer Cybercriminelen Website Land
gaben.cz LV gaben.cz Czech Republic
DUNMORE Conti www.dunmore.com USA
Aspen Avionics Conti aspenavionics.com USA
Cadence Aerospace snatch www.cadenceaerospace.com USA
Bock, Hatch, Lewis & Oppenheim, LLC snatch bockhatchllc.com USA
Landmark Builders snatch www.landmarkbuilders.com USA
Daylesford Organic snatch www.daylesford.com UK
Amtech Corporation snatch www.amtechcorp.com USA
APG Neuros snatch apg-neuros.com Canada
Match MG snatch www.matchmg.com USA
Salinen Austria snatch www.salinen.com Austria
Ishida snatch www.ishida.com Japan
Arbitech snatch www.arbitech.com USA
hsvgroup.talentnetwork.vn LockBit hsvgroup.talentnetwork.vn Vietnam
nextech-asia.com LockBit nextech-asia.com Thailand
telepro.com.mx LockBit telepro.com.mx USA
effectual.com LockBit effectual.com USA
Creative Solutions Group Conti csgnow.com USA
lenzcontractorsinc.com LockBit lenzcontractorsinc.com USA
MUSCHERT-GIERSE.DE CL0P muschert-gierse.de Germany
Alixa Rx LLC Entropy www.alixarx.com USA
Acne Studios Conti www.acnestudios.com Sweden
vicksburgha.org LockBit vicksburgha.org USA
ardebolassessors.cat LockBit ardebolassessors.cat Spain
mpusd.net LockBit mpusd.net USA
inlad.com LockBit inlad.com USA
iveqi.com LockBit iveqi.com Ivory Coast
Supernus Pharmaceuticals Hive supernus.com USA
West Virginia Parkways Authority AvosLocker wvturnpike.com USA
WELLS FARM DAIRY LIMITED Grief www.wellsfarmdairy.co.uk UK
atlas.ind.br LockBit atlas.ind.br Brazil
SWIRESPO.COM CL0P swirespo.com Hong Kong
Grupo5 Hive grupo5.net Spain
Otip Cuba www.otip.com Canada
lawrencegroup.net.au LockBit lawrencegroup.net.au Australia
jurelus.de LockBit jurelus.de Germany
ALPSRX.COM LV alpsrx.com USA
Società Italiana degli Autori ed Editori Everest www.siae.it Italy
mtradeasia.com LockBit mtradeasia.com Malaysia
Team Computers Ltd. Ragnar_Locker www.teamcomputers.com India
Transco Süd Internationale Transporte Gesellschaft mit beschränkter Haftung Grief www.transco.eu Germany
Goodwill of Central and Coastal Virginia, Inc. BlackByte goodwillvirginia.org USA
INOXPA BlackByte www.inoxpa.com Spain
Argentina GOV Everest www.argentina.gob.ar Argentina
APR Supply Hive aprsupply.com USA
Charley's Greenhouse Supply, LLC Grief charleysgh.com USA
The British Columbia Institute Of Technology Hive bcit.ca Canada
Marshall Investigative Group Bonaci Group www.mi-pi.com USA
REV Engineering Conti www.reveng.ca Canada
DKS Deutsch Kerrigan LLP Conti www.deutschkerrigan.com USA
Charlie Hebdo Everest charliehebdo.fr France
EDAN.COM CL0P edan.com China
fluidsealingproducts.com LockBit fluidsealingproducts.com USA
planters-oil.net LockBit planters-oil.net USA
kankakeetitle.com LockBit kankakeetitle.com USA
wnrllc.com LockBit wnrllc.com USA
mecfond.com LockBit mecfond.com Italy
Dealers Auto Auction Group Conti www.dealersauto.com USA

IKEA e-mailsystemen getroffen door cyberaanval

Na VDL en Mediamarkt is nu ook Ikea getroffen door een cyber aanval. Erik Westhovens zegt over deze cyber aanval die mogelijk kan worden gebruikt voor ransomware doeleinden: "Waar Ikea verschilt tegenover de twee eerder genoemden is de manier van de aanval. Bij Ikea word een relatief nieuwe techniek gebruikt om systemen te infecteren en toegang te krijgen. Deze techniek heet 'reply chain attack' waarbij medewerkers mails ontvangen die als een reply komen op schijnbaar eerder verzonden mails. Doordat de medewerker dus denkt dat het een antwoord is op een eerder verstuurde mail is deze sneller geneigd om hem te openen. In de mails zitten dan attachments die misbruik maken van een eerder geconstateerd HTML lek waardoor de documenten lijken opgemaakt te zijn in een verouderde versie van Word of Excel. Deze geeft dan een pop-up en als de gebruiker dan op enable content klikt word de demonware geïnstalleerd en is het systeem gecompromised. Toch is dit makkelijk te voorkomen door de mogelijkheid te blokkeren. Het disablen van activeX in Office helpt al met het detecteren en als je dan eenvoudige regels gebruikt als Block LSASS abuse en run LSASS in protective mode voorkomt dat de payload zich verhoogde rechten kan geven. Ook hier is detectie je beste vriend en helpt het je om de juiste maatregelen te treffen."


Nederlandse digitale infrastructuur populair bij cybercriminelen

De Nationale Politie doet een dringend beroep op Nederlandse internet- en hostingproviders om bepaalde hosting-resellers die klant zijn, goed ‘tegen het licht te houden’. Het leeuwendeel zijn Russische wederverkopers. Het Team High Tech Crime vraagt de sector om de contracten met deze klanten op te zeggen als ze overduidelijk cybercriminaliteit faciliteren. De politie heeft daartoe een lijst van 71 merendeels Russische wederverkopers opgesteld die op het surface web (het gewone internet) heel openlijk vertellen over hun dienstverlening aan cybercriminelen. Op deze lijst bevinden zich zelfs partijen die abuse of bulletproof in hun naam hebben staan. Lees verder


Google: Noord-Koreaanse aanvallers deden zich voor als Samsung

Een groep aanvallers werkzaam voor de Noord-Koreaanse overheid heeft aanvallen op personeel van Zuid-Koreaanse securitybedrijven uitgevoerd door zich voor te doen als recruiters van techgigant Samsung, zo claimt Google. De groep was volgens het techbedrijf eerder verantwoordelijk voor aanvallen op beveiligingsonderzoekers. De recente aanvallen die Googles Threat Analysis Group ontdekte waren gericht tegen medewerkers van Zuid-Koreaanse securitybedrijven die antivirussoftware verkopen. De aanvallers verstuurden zogenaamde vacatures voor posities bij Samsung. De meegestuurde pdf was echter kapot en niet te openen. Wanneer slachtoffers reageerden dat ze de taakomschrijving niet konden openen lieten de aanvallers weten dat er een "Secure PDF Reader" moest worden gedownload. Deze pdf-lezer was te downloaden via een meegestuurde link die naar Google Drive wees. De Secure PDF Reader was in werkelijkheid een aangepaste versie van pdf-lezer PDFTron en voorzien van malware waarmee de aanvallers willekeurige commando's op besmette machines konden uitvoeren, alsmede bestanden konden uploaden. Vorig jaar ontdekte Google een aanval waarbij een aangepaste versie van pdf-lezer SumatraPDF werd gebruikt. "Pdf's en bijbehorende lezers blijven een aanvalstactiek waar verschillende groepen gebruik van maken", aldus Google in een nieuw rapport van het Cybersecurity Action Team (pdf).

Gcat Threathorizons Full Nov 2021
PDF – 2,6 MB 267 downloads

Evil Corp: “De jacht op 's werelds meest gezochte hackers”

Veel van de mensen op de lijst van meest gezochte cybercriminelen van de FBI zijn Russisch. Terwijl sommigen naar verluidt voor de overheid werken en een normaal salaris verdienen, worden anderen ervan beschuldigd een fortuin te verdienen met ransomware-aanvallen en online diefstal. Als ze Rusland zouden verlaten, zouden ze gearresteerd worden, maar thuis lijken ze vrij spel te krijgen. Lees verder


Smartphones aantrekkelijk doelwit voor cyberaanvallen

De Amerikaanse overheid adviseert eigenaren van een smartphone om bluetooth, nfc, wifi en gps uit te schakelen wanneer er geen gebruik van wordt gemaakt. Ook moeten openbare wifi-netwerken worden vermeden. Dat staat in een checklist die het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security voor eindgebruikers en organisaties heeft opgesteld. "Smartphones zijn een integraal onderdeel van ons leven. Naar schatting zijn er 294 miljoen smartphones in de Verenigde Staten, wat deze toestellen een aantrekkelijk doelwit voor cybercriminelen maakt", aldus het CISA. Volgens de overheidsinstantie kunnen gebruikers en organisaties eenvoudige stappen nemen om de cybersecurity van hun telefoons te verbeteren. Het gaat dan onder andere om het installeren van updates, het gebruik van biometrische authenticatie en tweefactorauthenticatie, het verwijderen van onnodige apps en het beperken van persoonlijke informatie in apps en het beveiligen van netwerkcommunicatie. Zo moeten onnodige netwerkradio's als bluetooth, nfc, wifi en gps worden uitgeschakeld. "Elke verbinding is een potentiële aanvalsvector", zo stelt het CISA. Ook moet er geen gebruik worden gemaakt van openbare wifi-netwerken. Verder adviseert het CISA om alleen vertrouwde opladers en kabels te gebruiken. "Een malafide oplader of pc kan je smartphone met malware infecteren en zo het toestel overnemen. Een besmette telefoon kan ook een dreiging vormen voor externe systemen zoals pc's." Naast een checklist voor eindgebruikers (pdf) heeft het CISA ook een checklist uitgebracht die organisaties kunnen gebruiken voor het beveiligen van de smartphones van medewerkers (pdf). Daarin wordt verder aangeraden om smartphones geen verbinding met vitale systemen te laten maken.

CEG Mobile Device Cybersecurty Checklist For Consumers
PDF – 203,7 KB 277 downloads
CEG Mobile Device Cybersecurty Checklist For Organizations
PDF – 251,8 KB 271 downloads

Apple waarschuwt gebruikers via e-mail en iMessage voor staatsaanvallen

Apple waarschuwt gebruikers voortaan via e-mail en iMessage wanneer ze het doelwit zijn geworden van door staten uitgevoerde en gesteunde aanvallen. Ook krijgen gebruikers een melding te zien wanneer ze inloggen op appleid.apple.com. Dat heeft het techbedrijf bekendgemaakt"Deze gebruikers worden individueel aangevallen vanwege wie ze zijn of wat ze doen", aldus Apple. Volgens het techbedrijf maken door staten gesteunde aanvallers gebruik van uitzonderlijke middelen om een klein aantal, specifieke personen en hun toestellen aan te vallen, waardoor deze aanvallen veel lastiger te detecteren en te voorkomen zijn. "Door staten gesteunde aanvallen zijn zeer complex, kosten miljoenen dollars om te ontwikkelen en zijn vaak kort bruikbaar. De meeste gebruikers zullen nooit doelwit van dergelijke aanvallen zijn", zo laat Apple weten. Wanneer het bedrijf ontdekt dat gebruikers toch doelwit zijn geworden zal het deze personen op twee manieren informeren. Bij het inloggen op appleid.apple.com verschijnt er bovenaan de pagina een melding. Daarnaast verstuurt Apple waarschuwingen via e-mail en iMessage naar het e-mailadres en telefoonnummer van het Apple ID. In de waarschuwingen staan aanvullende maatregelen die gebruikers kunnen nemen om hun systemen te beschermen. Om te controleren of de meldingen echt van Apple afkomstig zijn wordt aangeraden om in te loggen op appleid.apple.com. Verder stelt Apple dat gebruikers best practices moeten toepassen om zich tegen cybercriminelen en "consumentenmalware" te beschermen, waaronder het installeren van beveiligingsupdates, het beveiligen van toestellen met een passcode, het gebruik van tweefactorauthenticatie en een sterk wachtwoord voor het Apple ID, het alleen maar installeren van apps uit de App Store en het niet openen van links of bijlagen van onbekende afzenders.


De wederopstanding van Emotet malware

Emotet is sinds vorige week weer actief en beveiligingsexperts vrezen voor een wederopstanding. De komende tijd kunnen we een forse toename aan spam en phishingmails verwachten. Onderzoekers zijn bang dat er wereldwijd honderdduizenden nieuwe slachtoffers gaan vallen. Emotet is de opvolger van GandCrab en dook in 2014 voor het eerst op. De malware deed zich aanvankelijk voor als een Trojaans paard, waarmee hackers bankrekeningnummers en inloggegevens buit probeerden te maken. Tegenwoordig verspreiden cybercriminelen ransomware, spyware en andere malware via Emotet. Tevens proberen ze hiermee een achterdeur aan te brengen op bedrijfsnetwerken. Ze voeren dan op een onverwacht moment een cyberaanval uit, of verkopen de toegang tot het netwerk aan de hoogste bieder. Lees verder


Website Marokkaans ondernemersverbond gehackt door Algerijnen

De officiële website van de Marokkaanse werkgeversorganisatie (CGEM) is het doelwit geworden van een cyberaanval. De website was op maandagavond onbereikbaar. Een Algerijnse hacker zou verantwoordelijk zijn voor de aanval. "No peace between systems" (Geen vrede tussen systemen), kon men lezen op de homepagina van de website van het CGEM, met daarboven de Algerijnse vlag en de handtekening van de hacker: 1337_H4x0rs_DZ. Het zou volgens specialisten om een defacement gaan, dat is een ongevraagde verandering in de presentatie van een website na een hack. De afbeelding die de hacker op de pagina heeft geplaatst is inmiddels verwijderd, maar de website is op dit moment nog steeds onbereikbaar. Alle subdomeinen van de site zijn gehackt. Algerijnse functionarissen hebben Marokko in de afgelopen weken verschillende malen beschuldigd van cyberaanvallen tegen hun land.


Vierduizend webwinkels besmet met malware die creditcardgegevens steelt

De Britse overheid heeft ruim vierduizend webwinkels gevonden waar aanvallers via een kwetsbaarheid in webshopsoftware Magento malware aan hadden toegevoegd die creditcardgegevens steelt. Het National Cyber Security Centre (NCSC) ontdekte tot eind september in totaal 4151 gecompromitteerde webwinkels. De malware die de aanvallers aan de bestelpagina's hadden toegevoegd steelt creditcardgegevens die klanten tijdens het afrekenen invullen. Uit onderzoek bleek dat de aanvallers via een bekende kwetsbaarheid in de Magento-software, waarop de webwinkels draaien, toegang hadden gekregen. Vervolgens konden ze de kwaadaardige code toevoegen. De webshops in kwestie hadden nagelaten een beschikbare beveiligingsupdate te installeren. Het NCSC heeft alle winkels voor de aanwezige malware gewaarschuwd en opgeroepen de Magento-patch te installeren. Van hoeveel klanten de creditcardgegevens zijn gestolen is onbekend.


VS vraagt vitale infrastructuur alert te zijn op cyberaanvallen tijdens feestdagen

De Amerikaanse overheid heeft de vitale infrastructuur in het land opgeroepen om alert te zijn op cyberaanvallen tijdens de feestdagen en in kaart te brengen welke it-medewerkers tijdens een ransomware-aanval of ander incident beschikbaar kunnen zijn. De waarschuwing is afkomstig van de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. De overheidsdiensten hebben naar eigen zeggen geen informatie over specifieke dreigingen die tijdens de aankomende feestdagen kunnen plaatsvinden, maar stellen dat uit het verleden blijkt dat de feestdagen vaak door criminelen worden aangegrepen voor het aanvallen van organisaties, bedrijven en de vitale infrastructuur. Daarom is het volgens de FBI en het CISA belangrijk dat organisaties preventieve maatregelen nemen. Zo moet it-personeel in kaart worden gebracht dat tijdens een ransomware-aanval of ander incident op de feestdagen beschikbaar is. Verder wordt het gebruik van multifactorauthenticatie voor remote acces- en beheerdersaccounts aangeraden en dient er gebruik te worden gemaakt van sterke wachtwoorden. In het geval het remote desktop protocol (RDP) of andere potentieel gevaarlijke diensten in gebruik zijn, moeten die worden beveiligd en gemonitord. Als laatste adviseren de FBI en het CISA om personeel erop te wijzen niet op verdachte links te klikken.

Reminder For Critical Infrastructure To Stay Vigilant Against Threats During Holidays And Weekends
PDF – 167,6 KB 266 downloads

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten

Iedere maandag om 15:00 het complete overzicht van de afgelopen week. Wil je deze in de mail ontvangen zodat je geen enkel overzicht mist? Laat het ons dan weten via het volgende e-mailadres aanmelden.cybercrimeinfo.nl@gmail.com onder de vermelding van 'Aanmelding overzicht cyberaanvallen'