Overzicht cyberaanvallen week 01-2022

Gepubliceerd op 10 januari 2022 om 15:00

Night Sky is de nieuwste ransomware gericht op bedrijfsnetwerken, duizenden schoolsites offline door ransomware-aanval op hostingprovider en Portugese mediagigant Impresa offline na aanval door ransomwaregroep. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 4.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.

Status op 10 januari 2022 : 4.286


Week overzicht

Slachtoffer Cybercriminelen Website Land
U.FORM SRL Grief www.uform.eu Italy
Detroit Stoker BlackCat (ALPHV) www.detroitstoker.com USA
Ezz Steel Hive www.ezzsteel.com Egypt
Carthage R-9 School District Vice Society www.carthagetigers.org USA
SAVANNAH State University Vice Society www.savannahstate.edu USA
Union County Utilities Authority LV www.unioncountyutilitiesauthority.org USA
Sectrio Ragnar_Locker www.sectrio.com USA
Subex Ragnar_Locker www.subex.com India
Abdi ibrahim ROOK www.abdiibrahim.com.tr Turkey
Huhtamaki Everest www.huhtamaki.com Finland
Amaveca Salud Vice Society amavecasalud.es Spain
mcsmorandi.com LockBit mcsmorandi.com Italy
Caribbean Broadcasting Corporation Grief www.cbc.bb Barbados
Mecanico Cairo SL Grief www.mcairoaplitex.com Spain
The Grand Bahama Port Authority BlackCat (ALPHV) gbpa.com Bahamas
chervongroup.com LockBit chervongroup.com China
cbibanks.com LockBit cbibanks.com USA
salesiancollege.com LockBit salesiancollege.com UK
PAUL BEUSCHER PUBLICATIONS Grief www.paul-beuscher.com France
Polen Implement Grief www.polenimplement.com USA
UTC Uniformes Town & Country Inc, Les Grief tcuniforms.com Canada
NORDFISH SRL Grief www.nordfish.it Italy
aquila.ch Payload.bin aquila.ch Switzerland
FrenchGourmet BlackCat (ALPHV) www.frenchgourmet.com USA
DURA | Innovation Driven by Inspiration Conti www.duraauto.com USA
Premium Transportation Group Snatch premiumdrivers.com USA
snapmga.com LockBit snapmga.com USA
bricofer.it LockBit bricofer.it Italy
Summit College 54BB47H (Sabbath) summitcollege.edu USA
atsair.com LockBit atsair.com USA
EDSI Karakurt edsiinc.com USA
Visit Montréal Karakurt mtl.org Canada
Info-Excavation Karakurt info-ex.com Canada
Western Information Management Inc Karakurt westernim.com Canada
Little Giant Karakurt littlegiantladders.com USA
The Public Safety Credit Union Karakurt publicsafetycu.org USA
Division-D Karakurt divisiond.com USA
BainUltra Karakurt bainultra.com Canada
Cree Nation of Waskaganish Karakurt waskaganish.ca Canada
Weldco Beales Karakurt weldco-beales.com Canada
Atlantic Asphalt Karakurt atlanticasphalt.com USA
NASS USA North American Substation Services Hive www.nassusa.com USA
thalesgroup.com LockBit thalesgroup.com France

FBI waarschuwt voor criminelen die usb-sticks met ransomware rondsturen

De FBI waarschuwt voor criminelen die malafide usb-sticks per post versturen om zo organisaties en bedrijven met ransomware te infecteren. In een waarschuwing die met verschillende instanties werd gedeeld stelt de Amerikaanse opsporingsdienst dat het sinds augustus vorig jaar meerdere meldingen heeft ontvangen waarbij malafide usb-sticks naar Amerikaanse transport-, verzekerings- en defensiebedrijven waren verstuurd. De verstuurde pakketten lijken afkomstig van het Amerikaanse ministerie van Volksgezondheid en stellen dat de meegestuurde usb-stick informatie over coronamaatregelen bevat. Bij een andere variant lijkt het pakket van Amazon te zijn en arriveert in een cadeauverpakking met een bedankbrief, vervalste cadeaubon en de malafide usb-stick. Zodra de usb-stick op het systeem wordt aangesloten voert die een BadUSB-aanval uit. Hoewel het apparaat op een usb-stick lijkt is het in werkelijkheid een usb-apparaat dat een usb-toetsenbord emuleert. De computer denkt in dit geval dat het aangesloten usb-apparaat een toetsenbord is. Dit nep-toetsenbord kan allerlei commando's op het systeem uitvoeren. Bij de BadUSB-aanval voert het usb-apparaat een PowerShell-commando uit dat aanvullende PowerShell-code van internet downloadt. Deze code is weer verantwoordelijk voor het installeren van malware die als backdoor voor de aanvallers fungeert. In de gevallen die de FBI onderzocht wisten de aanvallers via de malafide usb-stick uiteindelijk beheerderstoegang te krijgen en konden zich lateraal door het netwerk bewegen om uiteindelijk systemen met ransomware te infecteren, meldt The Record. De Amerikaanse opsporingsdienst stelt dat een groep criminelen bekend als FIN7 voor de aanvallen verantwoordelijk is. FIN7 staat ook bekend als Carbanak en wordt verdacht van het inbreken bij meer dan honderd banken wereldwijd, waarbij 1 miljard euro zou zijn gestolen. Ook wordt de groep verantwoordelijk gehouden voor het aanvallen van meer dan honderd Amerikaanse bedrijven en het stelen van miljoenen creditcardgegevens die vervolgens werden doorverkocht aan andere criminelen. Vorig jaar waarschuwde de FBI ook al voor malafide usb-sticks die de FIN7-groep rondstuurde. Destijds leken de usb-sticks afkomstig van elektronicaketen Best Buy.


QNAP waarschuwt gebruikers voor ransomware-aanvallen

Netwerkapparaten zijn regelmatig het doelwit van brute force attacks en ransomware-aanvallen. Iedereen die zijn beveiligingsinstellingen niet op orde heeft, riskeert om aangevallen te worden door hackers. QNAP adviseert haar klanten dan ook om onmiddellijk alle instellingen na te lopen. Dat schrijft De Taiwanese producent van netwerk- en opslagapparatuur QNAP in een zogeheten Product Security Statement, dat vrijdag gepubliceerd is.


Night Sky is de nieuwste ransomware gericht op bedrijfsnetwerken

Het is een nieuw jaar, en daarmee komt een nieuwe ransomware om in de gaten te houden genaamd 'Night Sky' die zich richt op bedrijfsnetwerken en gegevens steelt in dubbele afpersingsaanvallen. Volgens MalwareHunterTeam, die de nieuwe ransomware voor het eerst zag, begon de Night Sky-operatie op 27 december en heeft sindsdien de gegevens van twee slachtoffers gepubliceerd. Een van de slachtoffers heeft een eerste losgeld geëist van $ 800.000 om een decryptor te verkrijgen en om gestolen gegevens niet te publiceren.


Duizenden schoolsites offline door ransomware-aanval op hostingprovider

Door een ransomware-aanval op cloudhostingprovider Finalsite zijn duizenden schoolwebsites offline gegaan. Finalsite biedt een eigen contentmanagementsysteem (CMS) waarmee scholen hun websites kunnen onderhouden en beheren. De hostingprovider heeft naar eigen zeggen meer dan achtduizend scholen als klant. Op 4 januari meldde Finalsite dat het met een storing te maken had waardoor gehoste websites onbereikbaar waren. Gisteren liet de hostingprovider weten dat het om een ransomware-aanval gaat waarbij verschillende systemen zijn getroffen. Bij de aanval zou voor zover bekend geen data zijn gestolen. Inmiddels werkt Finalsite aan het herstel en online brengen van de getroffen websites. Exacte details over de aanval, zoals hoe die kon plaatsvinden, zijn nog niet door het bedrijf gegeven. Dat zegt op een later moment met meer details te komen. Wel stelt Finalsite dat het maatregelen neemt om herhaling van een dergelijk incident te voorkomen. Daarnaast laat het bedrijf weten dat het over back-ups beschikt om de schade te herstellen. Door de aanval zijn scholen die van Finalsite gebruikmaken niet in staat om ouders via e-mail of de website te informeren. Een klant van Finalsite klaagt op Reddit dat scholen door de aanval niet meer in staat zijn om hun gemeenschappen over sluitingen vanwege het weer of corona te waarschuwen en dat de impact van de storing veel groter is dan de aandacht die het incident heeft gekregen.


Hackers stalen 1,1 miljoen klantaccounts van 17 bedrijven

Criminelen hebben door middel van hergebruikte wachtwoorden 1,1 miljoen accounts bij zeventien bedrijven weten te kapen, zo stelt minister Letitia James van Justitie van de Amerikaanse staat New York. Volgens James konden de accounts door middel van credential stuffing-aanvallen worden overgenomen. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken. "Helaas hergebruiken gebruikers hetzelfde wachtwoord voor meerdere online diensten. Dit maakt het mogelijk voor cybercriminelen om wachtwoorden die bij het ene bedrijf zijn gestolen voor andere online accounts te gebruiken", aldus het ministerie. Dat monitorde over een periode van meerdere maanden verschillende online gemeenschappen die zich met credential stuffing bezighouden. Het ministerie ontdekte duizenden berichten met inloggegevens die aanvallers bij credential stuffing-aanvallen hadden getest en konden worden gebruikt om op gebruikersaccounts bij websites en apps in te loggen. Aan de hand van deze berichten kwam het ministerie met een lijst van zeventien bekende online winkels, restaurantketens en voedselbezorgdiensten. In totaal ging het om meer dan 1,1 miljoen gebruikersaccounts die bij credential stuffing-aanvallen zijn gecompromitteerd. De zeventien bedrijven werden over de gecompromitteerde bedrijven ingelicht en opgeroepen maatregelen te treffen, die inmiddels ook zijn genomen. Uit onderzoek van de getroffen bedrijven bleek dat de meeste van de credential stuffing-aanvallen niet waren opgemerkt. Naar aanleiding van het onderzoek en de aanvallen heeft het ministerie een document gepubliceerd (pdf) met advies om credential stuffing tegen te gaan, zoals het detecteren van bots, het gebruik van multifactorauthenticatie, wachtwoordloze authenticatie, webapplicatie-firewalls en het tegengaan van het hergebruik van gecompromitteerde wachtwoorden.

Businessguide Credentialstuffingattacks
PDF – 633,9 KB 244 downloads

New Mexico county 'eerste' lokale overheid ransomware slachtoffer van 2022

Overheidsgebouwen in Bernalillo County, New Mexico, werden woensdag gesloten voor het publiek als reactie op wat de eerste ransomware-aanval dit jaar lijkt te zijn tegen een lokale overheid in de Verenigde Staten. Ambtenaren in de provincie, waaronder Albuquerque, melden dat computersystemen offline werden gehaald als reactie op het incident, dat niet is toegeschreven aan een bekende kwaadwillende acteur. Een losgeldeis is ook niet geïdentificeerd. De websites van de provincie lijken ook offline te zijn, hoewel het kantoor van de sheriff en de brandweer- en reddingsdiensten "back-up onvoorziene omstandigheden" gebruikten om hun noodhulp operaties voort te zetten, meldde de Associated Press. Een woordvoerder van de provincie ging niet in op een oproep om commentaar te vragen over de situatie.


Ransomwaregroep steelt personeelsgegevens vanaf 1998 bij hotelketen VS

Bij een ransomware-aanval op de Amerikaanse hotelketen McMenamins zijn personeelsgegevens gestolen die teruggaan tot 1 januari 1998. Het gaat om namen, adresgegevens, telefoonnummers, e-mailadressen, geboortedata, ras, etnische afkomst, geslacht, invaliditeit, medische opmerkingen, prestaties en disciplinaire opmerkingen, social security-nummers en zorgverzekerings-, salaris- en pensioengegevens. Het is ook mogelijk dat de aanvallers rekeninggegevens in handen hebben gekregen, maar er zijn op dit moment geen duidelijke aanwijzingen dat dit het geval is, zo stelt McMenamins in een persbericht. Door de ransomware-aanval, die vorige maand plaatsvond, had de hotelketen tijdelijk geen toegang tot e-mail en reserveringssystemen. Ook de creditcardscanners waren door de aanval offline gegaan. McMenamins exploiteert 56 hotels, bioscopen, bars en restaurants in de regio van Portland. De hotelketen waarschuwt personeel om alert te zijn en verdachte activiteiten direct bij hun bank of zorgverlener te melden. McMenamins telt 2700 medewerkers en had in 2017 nog een omzet van 170 miljoen dollar. Bij de aanval zijn geen klantgegevens buitgemaakt. Inmiddels loopt er een onderzoek waarbij de FBI en een extern securitybedrijf betrokken zijn. Zo wordt naar de oorzaak gekeken en welke maatregelen moeten worden doorgevoerd om herhaling te voorkomen.


Solana (SOL) opnieuw slachtoffer van een grootschalige cyberaanval

Dinsdagochtend zijn er opnieuw problemen geweest op het netwerk van Solana. Solana (SOL) werd opnieuw het slachtoffer van een grootschalige aanval. Hierbij is er opnieuw een DDoS aanval toegepast op het netwerk. Het netwerk werd overbelast met vele spam transactie en is zelfs even uit de lucht geweest. Vanwege de nieuwe problemen is er opnieuw kritiek over de stabiliteit van het platform.


Portugese mediagigant Impresa offline na aanval door ransomwaregroep

Meerdere websites van de Portugese mediagigant Impresa zijn offline gegaan na een aanval door een ransomwaregroep. Deze groep, die eerder een aanval op het Braziliaanse ministerie van Volksgezondheid opeiste, claimt allerlei data van Impresa te hebben buitgemaakt en dreigt die openbaar te maken, zo melden Portugese media. De aanvallers plaatsten hun boodschap op de websites van de Portugese krant Expresso en de Portugese televisiezender SIC. Inmiddels heeft het mediabedrijf weer de controle over de websites die nu laten weten dat ze tijdelijk offline zijn. Op Twitter meldt Impresa dat het bezig is om de situatie te verhelpen. Het mediabedrijf beheert acht tv-zenders en de grootste krant in Portugal. Verdere details over de aanval zijn op dit moment niet bekend.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten