Overzicht cyberaanvallen week 48-2021

Gepubliceerd op 6 december 2021 om 15:00

Politiedata gekraakt en online gezet door LockBit ransomware criminelen, REvil 'superhacker' gezocht door FBI wordt ontmaskerd door DailyMail en bende achter Cuba-ransomware ontving 44 miljoen dollar van slachtoffers. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 4.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.

Status op 6 december 2021 : 4.007


Week overzicht

Slachtoffer Cybercriminelen Website Land
serta.com LV serta.com USA
ORNATOP SRL Grief www.ornatop.it Italy
Versatrim, Inc. Grief www.versatrim.com USA
SAS SUD TRADING COMPANY Grief www.stcpro.fr France
promhotel.fr LV promhotel.fr France
LAVI Conti lavi.com USA
RLD Associates Conti rldassociates.com USA
CS ENERGY Conti www.csenergy.com.au Australia
TRI-COUNTY ELECTRIC COOPERATIVE, INC. Conti www.tcec.com USA
HOULE Conti www.houle.ca Canada
Spencer Gifts LLC Conti www.spencersonline.com USA
Seldin Everest www.seldin.com USA
roemer-lueftung.de LockBit roemer-lueftung.de Germany
nowiny.pl LockBit nowiny.pl Poland
comark.ca LockBit comark.ca Canada
Bohlin Cywinski Jackson Suncrypt www.bcj.com USA
Sadbhav Engineering Hive www.sadbhaveng.com India
atlas.in LockBit atlas.in India
psmportraits.com LockBit psmportraits.com USA
murrayscheese.com LockBit murrayscheese.com USA
CareFirst CHPDC Snatch trustedhp.com USA
Lootah Group Snatch lootahgroup.com United Arab Emirates
Institute For Systems And Robotics Hive www.isr.tecnico.ulisboa.pt Portugal
Groupe LDLC Ragnar_Locker www.groupe-ldlc.com France
Premier Crane & Transportation, Inc. Grief perrents.com USA
The AdelaΓ―de Group (Verlingue) Entropy www.adelaidegroup.fr France
mainstreamdata.com LockBit mainstreamdata.com USA
travel-general.com LockBit travel-general.com UK
SICAME AUSTRALIA PTY LTD Grief www.sicame.com.au Australia
MediaMarkt Hive www.mediamarktsaturn.com Germany
Drake & Scull International PJSC Hive drakescull.com Qatar
Bohlke International Airways Hive www.bohlke.com U.S. Virgin Islands
summit-christian-academy.org LockBit summit-christian-academy.org USA
Amigo-Kids.com CoomingProject amigo-kids.com Bulgaria
Western Heating & Air Conditioning AvosLocker westernhvac.com USA
Hahn Engineering AvosLocker hahneng.com USA
Decorator Industries AvosLocker decoratorindustries.com USA
MCP Services LLC 54BB47H (Sabbath) mcpsrvs.com USA
RocTechnologies 54BB47H (Sabbath) roctechnologies.com UK
Starline 54BB47H (Sabbath) starlinesupply.com USA
AISD 54BB47H (Sabbath) allenisd.org USA
Stoningtonschools 54BB47H (Sabbath) www.stoningtonschools.org USA
Flagship 54BB47H (Sabbath) www.flagshipcompaniesgroup.com USA
kenwal.com LockBit kenwal.com USA
Volvo Car Corporation Snatch www.volvocars.com USA
QRS Healthcare Solutions Snatch www.qrshs.com USA
UABL S.A. Quantum www.atrialogistica.com Argentina
Burda SanitΓ€rtechnik Conti burda-online.com Germany
Koltepatil BlackByte www.koltepatil.com India
Karges-Faulconbridge, Inc. BlackByte www.kfi-eng.com USA
MOTOR VEHICLE ACCIDENT FUND PENSION FUND BlackByte www.mvafund.bw Botswana
ΠžΡ‚Π±Π°ΡΡ‹ Π±Π°Π½ΠΊ ROOK hcsbk.kz Kazakhstan
FUND-X S.A. Entropy www.fund-x.com Luxembourg
PALMER LOGISTICS Conti www.palmerlogistics.com USA
DEWEtech Conti www.deinzer-weyland.de Germany
TTC Conti www.ttc.ca Canada
Delta Group Electronics Conti deltagroupinc.com USA
ION Conti www.iongeo.com USA
MGA RESEARCH Conti mgaresearch.com USA
NOLATO Conti www.nolato.com Sweden
ATA National Title Group Conti www.atatitle.com USA
Glamox Group Conti glamox.com Norway
MENZ&GASSER Conti www.menz-gasser.it Italy
The Grupo Daniel Alonso Conti www.grupo-danielalonso.es Spain
KISTERS Conti www.kisters.de Germany
DUNA AUTO az Autovaros Conti dunaauto.hu Hungary
FRONTIER SOFTWARE Conti au.frontiersoftware.com UK
EberspΓ€cher Group of Companies Conti www.eberspaecher.com Germany
DAMM Conti www.damm.com Spain
Wolverine freight Grief www.wolverinefreight.ca Canada
SIRCHIE Conti www.sirchie.com USA
totalfire.biz LockBit totalfire.biz USA
callay.com.tr LockBit callay.com.tr Turkey
dlb.it LockBit dlb.it Italy
San Carlo Conti www.sancarlo.it Italy
Epple Druckfarben Conti www.epple-druckfarben.com Germany
Besson Seguros RobinHood bessonseguros.com Mexico
reigroup.com LV reigroup.com Iraq

'Politiedata gekraakt en online gezet'

De systemen van Abiom, een bedrijf dat communicatietechnologie levert aan onder andere politie, defensie, de Belastingdienst en ziekenhuizen, zijn digitaal aangevallen door hackers. De Volkskrant heeft interne documenten kunnen inzien van vertrouwelijke communicatie met overheden die door ransomwaregroep LockBit online zijn gezet. LockBit-ransomware is gijzelsoftware waarmee de toegang van gebruikers tot computersystemen is geblokkeerd totdat losgeld wordt betaald. Abiom was onbereikbaar voor de krant, maar het lijkt erop dat het bedrijf niet heeft betaald. In ieder geval een deel van de gestolen informatie is openbaar gemaakt, zoals facturen aan de politie, kopieën van paspoorten en details van apparatuur die bij politie- en defensieonderdelen is geplaatst. Die gegevens kunnen criminelen vervolgens weer gebruiken voor bijvoorbeeld bedrijfsspionage of een volgende onlinekraak. LockBit, dat een aantal jaren actief is, heeft inmiddels wereldwijd duizenden organisaties aangevallen.


Androidgebruikers door criminelen gebeld om bankmalware te installeren

Onderzoekers hebben een campagne ontdekt waarbij criminelen Androidgebruikers opbellen en vragen om een app te installeren die in werkelijkheid bankmalware is en allerlei gegevens steelt. De recent ontdekte aanval is gericht tegen Italiaanse bankklanten, maar de verantwoordelijke criminelen maken hierbij ook gebruik van Nederlandse katvangers, zo meldt securitybedrijf Cleafy.


REvil 'superhacker' gezocht door FBI wordt ontmaskerd door DailyMail.com

Een van de meest gezochte mannen van de FBI die gelinkt wordt aan ransomware-bende REvil leeft vrij in een Siberische stad zonder tekenen dat de Russische autoriteiten hun best doen om hem aan te houden. DailyMail.com volgde de vermoedelijke superhacker Yevgeniy Polyanin (28) naar een chique huis van $ 380.000 (USD) in Barnaul, waar hij werd gezien in zijn Toyota Land Cruiser 200 van $ 74.000 en zich blijkbaar onaantastbaar voelde. Zijn vrouw Sofia (28), runt openlijk een luxe sociale media bakbedrijf - inclusief racy vrijgezellenfeest cupcakes versierd met mannelijke genitaliën - terwijl hij door de Amerikaanse autoriteiten wordt beschuldigd van het afpersen van miljoenen dollars van Amerikaanse bedrijven. Het paar geniet van een luxe levensstijl, met helikoptervluchten naar het nabijgelegen schilderachtige Altai-gebergte. 


Apple waarschuwt Amerikaans ambassadepersoneel voor spyware-infecties

Apple heeft elf medewerkers van Amerikaanse ambassades gewaarschuwd dat hun iPhones de afgelopen maanden besmet zijn geraakt met de Pegasus-spyware. De waarschuwingen werden vorige maand verstuurd en waren met name gericht aan personeel werkzaam voor de ambassade in Oeganda, zo melden persbureau Reuters en The Washington Post op basis van bronnen.


FBI: bende achter Cuba-ransomware ontving 44 miljoen dollar van slachtoffers

De bende achter de Cuba-ransomware heeft zo'n 44 miljoen dollar losgeld van slachtoffers ontvangen, zo stelt de FBI. Volgens de Amerikaanse opsporingsdienst wisten de criminelen zeker 49 organisaties in vijf vitale infrastructuursectoren te infecteren, waaronder financiële, overheids-, gezondheidszorg-, productie- en it-sectoren. De Cuba-ransomware wordt geïnstalleerd door de Hancitor-malware. De criminelen achter deze malware maken gebruik van phishingmails, kwetsbaarheden in Microsoft Exchange, gecompromitteerde inloggegevens en het remote desktop protocol (RDP) om toegang tot netwerken te krijgen, aldus de FBI. Vervolgens verspreiden ze de Hancitor-malware die uiteindelijk de Cuba-ransomware uitrolt. De ransomwarebende zou zeker 74 miljoen dollar losgeld van slachtoffers hebben geëist en 43,9 miljoen dollar hebben ontvangen. Om infecties door de ransomware te voorkomen doet de FBI verschillende aanbevelingen, waaronder netwerksegmentatie, het uitschakelen van command-line en scriptingactiviteiten en het beheer van offline back-ups (pdf).

211203 2
PDF – 1,4 MB 328 downloads

Meer sectoren krijgen meldplicht cyberincidenten

In meer sectoren gaat een meldplicht voor ernstige cyberincidenten gelden en moeten bedrijven en organisaties verplicht passende maatregelen nemen om hun netwerken en systemen te beveiligen. Het gaat onder andere om grotere partijen die actief zijn in de voedselproductie en -distributie, maakindustrie en post- en koeriersdiensten. Aanbieders van essentiële diensten, zoals banken, drinkwater, energiesector, worden op dit moment onder de EU Netwerk- en Informatiebeveiligingsrichtlijn door de Rijksoverheid aangewezen. Ook digitale dienstverleners, zoals clouddiensten en online marktplaatsen, vallen nu al onder de richtlijn. Zij moeten maatregelen nemen voor hun digitale veiligheid en hebben een meldplicht voor ernstige cyberincidenten. De EU-ministers zijn akkoord gegaan met het voorstel van de Europese Commissie om de informatiebeveiligingsrichtlijn te herzien, waardoor het aantal sectoren verder wordt uitgebreid. De herziene richtlijn kent twee categorieën: essentiële aanbieders en belangrijke aanbieders. Bij de essentiële aanbieders, voornamelijk partijen uit vitale sectoren, is het toezicht straks proactief. Bij de belangrijke aanbieders vindt het toezicht achteraf plaats, vooral naar aanleiding van een incident. Aanbieders moeten daarnaast verplichte beveiligingsmaatregelen treffen, zoals de beveiliging van de toeleveringsketen en het adequaat afhandelen van incidenten. Over de herziening van de richtlijn zal nog worden onderhandeld met het Europees Parlement en de Europese Commissie. Het doel is om volgend jaar een definitief akkoord te hebben, waarna lidstaten de wetgeving in eigen land kunnen aanpassen. In Nederland is de huidige richtlijn geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni). "Digitale veiligheid regelen, is in eerste instantie ieders eigen verantwoordelijkheid. Maar cyberincidenten hebben in toenemende mate serieuze gevolgen voor maatschappij en economie", zegt demissionair minister Blok van Economische Zaken. "Daarom is het noodzakelijk om de veiligheid van netwerk- en informatiesystemen verder te verhogen en eisen te stellen." Volgens demissionair minister Grapperhaus van Justitie en Veiligheid is de herziening een belangrijke stap in het verder verhogen van de nationale en Europese weerbaarheid tegen cyberdreigingen. "Digitale incidenten hebben de potentie maatschappelijke ontwrichting en grote economische schade te veroorzaken", laat de minister weten. "Uit het Cybersecuritybeeld Nederland blijkt daarbij dat ransomware inmiddels zo een groot probleem is, dat de nationale veiligheid in gevaar is. Daarom moeten we blijven investeren en is het versterken van onze digitale veiligheid een prioriteit van het kabinet"


Duitse overheid waarschuwt voor ransomware-aanvallen tijdens kerstvakantie

De Duitse overheid waarschuwt bedrijven en organisaties in het land voor ransomware-aanvallen tijdens de komende kerstvakantie. Volgens het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, en de Duitse federale politie (BKA) is er tijdens deze periode een verhoogde kans op aanvallen. Aanleiding voor de waarschuwing is de terugkeer van de beruchte Emotet-malware en dat veel Microsoft Exchange-servers in Duitsland nog altijd kwetsbaar zijn voor aanvallen. Het BSI spreekt van een "dreigend scenario" en roept bedrijven en organisaties op om beveiligingsmaatregelen te treffen. "We zien duidelijke signalen van een toegenomen dreiging van Emotet alsmede kwetsbare Exchange-servers en de daaropvolgende ransomware-aanvallen in Duitsland", zegt BSI-directeur Arne Schönbohm. "Feestdagen en weekenden zijn in het verleden herhaaldelijk voor dergelijke aanvallen gebruik, aangezien veel bedrijven en organisaties dan minder snel kunnen reageren. Het is nu het moment om gepaste beveiligingsmaatregelen te treffen." Het BSI stelt verder dat er veel kwetsbare Exchange-servers in Duitsland zijn, omdat beheerders hebben nagelaten beschikbare beveiligingsupdates te installeren. De overheidsinstantie is echter ook bekend met verschillende gevallen waarbij het installeren van de patch "niet het gewenste beschermende effect" had. Zo kan het voorkomen dat servers al voor de installatie van een update gecompromitteerd zijn.


FBI neemt 2 miljoen euro in beslag van vermeende partner REvil-ransomware

De FBI heeft zo'n 2 miljoen euro aan bitcoins in beslag genomen van een Russische man die verdacht wordt van het uitvoeren van aanvallen met de REvil-ransomware. Dat blijkt uit een openbaar geworden document van een Texaanse rechtbank (pdf). Het gaat om bijna veertig bitcoins die zich in een Exodus-wallet bevinden. Via deze walletsoftware kunnen gebruikers hun cryptovaluta opslaan en beheren. Hoe de FBI de wallet in handen heeft gekregen staat niet in het document. Volgens de Amerikaanse autoriteiten speelde de Russische verdachte tussen april 2019 en juli 2021 een rol bij aanvallen die met de REvil-ransomware wereldwijd werden uitgevoerd. Hij zou daarbij organisaties met de ransomware hebben aangevallen en geld hebben witgewassen dat van REvil-slachtoffers afkomstig was. In 2019 publiceerde antivirusbedrijf McAfee al een analyse van de activiteiten van de verdachte met het alias Lalartu. "Twee jaar geleden ontmaskerde McAfee Lalartu en traceerde een deel van zijn illegale inkomsten. Het is fantastisch dat de FBI nu bijna 2,2 miljoen dollar van Lalartu in beslag heeft genomen", zegt John Fokker van McAfee. Ook onderzoeker Alon Gal maakte een analyse van de verdachte. REvil opereert als een ransomware-as-a-service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. De REvil-ransomware kwam deze zomer groot in het nieuws toen het wereldwijd door een beveiligingslek in de software van Kaseya werd verspreid. Het is niet de eerste keer dat de FBI geld van vermeende ransomware criminelen in beslag neemt. In juni lukte het de opsporingsdienst om het grootste deel van de 4,4 miljoen dollar die de Amerikaanse Colonial Pipeline Company aan de DarkSide-groep betaalde in beslag te nemen. Daarnaast kwam losgeld dat slachtoffers van de NetWalker-ransomware betaalden in handen van de opsporingsdienst.

Gov Uscourts Txnd 356369 1 0 1
PDF – 242,7 KB 219 downloads

Nieuwe Hello Ransomware

Siri vond een nieuwe ransomware die zichzelf 'Hello' noemt en die een interessante losgeldbrief gebruikt en de .hello-extensie toevoegt.


KPN Security deelt data over ransomware-infecties met politie en FBI

KPN Security deelt realtime data over ransomware-besmettingen met de Nederlandse politie en buitenlandse opsporingsdiensten zoals de FBI, zo laat het bedrijf zelf weten. Het gaat onder andere om data over de REvil-ransomware, waar het bedrijf in 2019 voor het eerst onderzoek naar deed. "We kwamen erachter dat REvil bij een bepaalde configuratie statistieken verzendt naar een lange lijst met domeinnamen”, vertelt beveiligingsonderzoeker Jordi Scharloo. “Waarschijnlijk gebruikt de REvil-bende deze functie om het overzicht te behouden en voor de afdracht van commissies. In de lijst stonden allerlei websites, waarvan een deel niet eens geregistreerd was." KPN Security registreerde deze domeinen waarop mondjesmaat informatie vanaf besmette systemen binnendruppelde. Deze informatie was alleen versleuteld. De ip-adressen waarvandaan de informatie afkomstig was maakte het echter mogelijk om REvil-infecties vroegtijdig te signaleren. Zo konden bedrijven ingrijpen voordat de ransomware geactiveerd werd. In eerste instantie waarschuwde KPN Security zelf een aantal Nederlandse bedrijven die met de ransomware waren besmet. “Maar dat was tijdrovend en voelde een beetje als dweilen met de kraan open. Bovendien ontvingen we ook veel informatie over buitenlandse organisaties die KPN Security niet kennen. Daarom besloten we de samenwerking te zoeken met het Team High Tech Crime van de Nederlandse politie. Via hen kwamen we in contact met Europol en buitenlandse opsporingsdiensten zoals de FBI", merkt Scharloo op. Inmiddels is er sprake van een structurele samenwerking waarbij er realtime data over REvil-besmettingen met opsporingsdiensten wordt gedeeld. "Op deze manier krijgen de diensten een beeld van de omvang van het probleem. Daarnaast kunnen ze bedrijven in een vroegtijdig stadium waarschuwen en zo de impact van een aanval beperken", stelt Scharloo. De onderzoeker is positief over de samenwerking met politie. "We horen regelmatig dat een buitenlandse opsporingsdienst met behulp van onze data een grootschalige besmetting heeft weten te voorkomen."


De Spaanse Correos Express lijkt aangevallen door Hive ransomware bende

De Spaanse specialist in exprespakketbezorging Correos Express lijkt problemen te ondervinden bij het leveren van zijn diensten. Een voorbeeld van Hive ransomware suggereert een cyberaanval die plaatsvond rond 27 november. Op Twitter klagen klanten van Correos Express, een specialist in expresbezorging, de Spaanse tegenhanger van een Chronopost of een DHL, over problemen met de levering van hun pakketten. Een van hen zegt dat hij de klantenservice niet kon bereiken: "Noch de telefoon, niets werkt", zegt hij. En om te vragen: "Wat is er aan de hand?"


Microsoft Exchange-servers gehackt om BlackByte-ransomware te implementeren

De BlackByte ransomware-bende maakt nu inbreuk op bedrijfsnetwerken door gebruik te maken van Microsoft Exchange-servers met behulp van de ProxyShell-kwetsbaarheden. ProxyShell is de naam voor een reeks van drie Microsoft Exchange-beveiligingslekken waardoor niet-geverifieerde externe code kan worden uitgevoerd op de server wanneer deze aan elkaar is geketend.

Proxy Shell Exploitation Leads To Black Byte Ransomware
PDF – 503,8 KB 311 downloads

Cisco en Duitse overheid melden actief misbruik van Apache-kwetsbaarheid

Aanvallers maken actief misbruik van een recent gepatchte kwetsbaarheid in Apache HTTP Server, zo waarschuwen Cisco en het Computer Emergency Response Team van de Duitse overheid (CERT-Bund). De kwetsbaarheid, aangeduid als CVE-2021-40438, is aanwezig in Apache HTTP Server 2.4.48 en eerder. De Apache Software Foundation bracht op 16 september een update uit om het beveiligingslek te verhelpen. De "mod_proxy" module van de Apache-server fungeert als een proxy/gateway en ondersteunt verschillende protocollen en mechanismes voor het loadbalancen van webservices zoals videoconferencing. Door middel van Server-Side Request Forgery is het mogelijk voor een ongeauthenticeerde aanvaller om de Apache-server bepaalde requests te laten doorsturen naar een willekeurige server. "Door het versturen van een speciaal geprepareerd request kunnen aanvallers de mod_proxy-module (wanneer ingeschakeld) dwingen om verbindingen naar een server naar keuze te routeren, waardoor aanvallers geheimen kunnen stelen, zoals infrastructuur-metadata of keys, of toegang tot andere interne servers kunnen krijgen", aldus internetbedrijf Fastly dat vorige maand nog 500.000 kwetsbare Apache-servers via de zoekmachine Shodan vond. Volgens het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, maken aanvallers gebruik van de kwetsbaarheid voor het stelen van wachtwoordhashes. Onder andere de videoconferentiesoftware Cisco Expressway Series is kwetsbaar, zo stelt het BSI (pdf). Cisco meldt dat het ook misbruik van het beveiligingslek heeft waargenomen, maar geeft geen verdere details. Wel onderzoekt het bedrijf welke producten risico lopen. Onlangs werd er ook misbruik van een andere Apache-kwetsbaarheid gemaakt. Volgens internetbedrijf Netcraft draait 26 procent van alle websites op internet op Apache HTTP Server.

2021 270312 10 F 2
PDF – 160,9 KB 308 downloads

Nieuwe Blue Locker Ransomware

Siri heeft een nieuwe Blue Locker gevonden die de extensie .blue toevoegt aan gecodeerde bestanden.


Duizenden WordPress-sites gebruikt voor verspreiding FluBot-malware

De FluBot-malware waar de Nederlandse politie onlangs nog voor waarschuwde wordt via duizenden gecompromitteerde WordPress-sites verspreid. Internetbedrijf Netcraft stelt dat het bijna tienduizend websites heeft gevonden die een rol spelen bij de verspreiding van de beruchte Androidmalware. FluBot is een banking Trojan die onder andere gegevens probeert te stelen om bankfraude mee te kunnen plegen. Eenmaal geïnstalleerd door de gebruiker kan Flubot sms-berichten onderscheppen en versturen, het adresboek uitlezen, telefoonnummers bellen en Google Play Protect uitschakelen. Het voornaamste doel is echter phishing. De malware kijkt hiervoor welke applicaties erop het toestel geïnstalleerd staan. In het geval van bankapplicaties zal Flubot hiervoor een aparte phishingpagina downloaden. Zodra het slachtoffer de legitieme bank-app start plaatst Flubot de phishingpagina hierover. Inloggegevens die gebruikers vervolgens op de phishingpagina invullen worden naar de aanvaller gestuurd. Daarnaast kan de malware phishingpagina's voor creditcardgegevens tonen en besmette toestellen nieuwe sms-berichten laten versturen. Om FluBot te verspreiden maken criminelen gebruik van sms-berichten die een zogenaamde trackinglink bevatten. Deze links wijzen naar de gecompromitteerde WordPress-sites waarop een script is geïnstalleerd. Dit script toont bezoekers een melding dat ze een zogenaamde app van DHL of UPS moeten installeren om de trackinginformatie te kunnen zien. In werkelijkheid gaat het om de FluBot-malware. Volgens Netcraft zijn de WordPress-sites door middel van kwetsbare plug-ins en themes gecompromitteerd, waardoor vervolgens de malafide code kon worden toegevoegd. "De omvang van deze operatie is indrukwekkend, waarbij soms meer dan duizend nieuwe websites per week met FluBot-scripts worden geïnfecteerd. Dat is een gemiddelde van één site per tien minuten", zegt Sean Gebbett van Netcraft.

FluBot gerelateerde artikelen 》


Yanluowang ransomware operatie rijpt met ervaren filialen

Een filiaal van de onlangs ontdekte Yanluowang ransomware-operatie richt zijn aanvallen op Amerikaanse organisaties in de financiële sector met behulp van BazarLoader-malware in de verkenningsfase. Op basis van waargenomen tactieken, technieken en procedures heeft de bedreigingsacteur ervaring met ransomware-as-a-service (RaaS) -operaties en kan deze worden gekoppeld aan de Fivehands-groep.

New Yanluowang Ransomware Used In Targeted Attacks
PDF – 1,9 MB 308 downloads
Yanluowang Further Insights On New Ransomware Threat
PDF – 51,1 KB 319 downloads

Hackers hadden toegang tot gegevens van Panasonic

Panasonic is betrokken bij een datalek, meldt TechCrunch maandag. Criminelen hebben gegevens ingezien nadat zij toegang hadden verkregen tot het netwerk van het Japanse bedrijf. Panasonic meldt op zijn website dat de hack plaatsvond op 11 november, maar een woordvoerder van het bedrijf zegt tegen TechCrunch dat dit de dag is waarop het lek werd ontdekt. De hackers zouden tussen 22 juni en 3 november toegang tot het netwerk hebben gehad. Het bedrijf heeft niet bekendgemaakt welke gegevens de hackers hebben ingezien. Wel meldt Panasonic met een specialist samen te werken om te achterhalen of ook persoonsgegevens van klanten zijn bekeken. Panasonic zegt na het ontdekken van het lek meteen de autoriteiten te hebben ingeschakeld. Ook heeft het bedrijf veiligheidsmaatregelen getroffen om dergelijke hacks in te toekomst te voorkomen.


Deense fabrikant van windturbines herstelt van gijzelsoftware

Alles draait weer op volle toeren bij Vestas. De Deense fabrikant van windturbines is erin geslaagd om gijzelsoftware van haar interne systemen te verwijderen. Het bedrijf onderzoekt nog steeds of en welke data de aanvallers hebben weten buit te maken. Dat bevestigt Anders Riis, vicepresident van de communicatieafdeling bij Vestas, in een persverklaring. Op 20 november meldde de maker van windturbines dat ze een dag eerder geraakt was door een ‘cybersecurityincident’. Uit voorzorg sloot de IT-afdeling meerdere systemen op meerdere locaties af. Samen met externe partners deed het bedrijf er alles aan om de systemen zo snel mogelijk te herstellen. Meer details over de gebeurtenissen kon de fabrikant op dat moment niet geven. Enkele dagen later meldde Vestas dat een deel van de IT-infrastructuur getroffen was bij een cyberaanval. Naar eigen zeggen waren er geen aanwijzingen dat de aanval impact zou hebben op de keten van toeleveranciers of klanten. “De productie-, constructie- en serviceteams van Vestas kunnen hun werkzaamheden voortzetten, hoewel een deel van de operationele systemen uit voorzorg is stilgelegd”, zo schreef het bedrijf in een update. Vestas was zelfs al begonnen met de eerste herstelwerkzaamheden van het bedrijfsnetwerk.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten

Iedere maandag om 15:00 het complete overzicht van de afgelopen week. Wil je deze in de mail ontvangen zodat je geen enkel overzicht mist? Laat het ons dan weten via het volgende e-mailadres aanmelden.cybercrimeinfo.nl@gmail.com onder de vermelding van 'Aanmelding overzicht cyberaanvallen'