Overzicht cyberaanvallen week 10-2022

Gepubliceerd op 14 maart 2022 om 15:00

Geheime Amerikaanse operatie voorkwam cruciale cyberaanval van Rusland, Roemeense tankstations van Rompetrol doelwit van ransomware en Samsung bevestigt diefstal van broncode Galaxy-telefoons. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 4.500 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.

Status op 14 maart 2022 : 4.777



Week overzicht

Slachtoffer Cybercriminelen Website Land
Ondeck Pandora www.ondeck.com USA
Rosewd Pandora rosewd.com USA
etrps.de LockBit etrps.de Germany
ambujaneotia.com LockBit ambujaneotia.com India
danubiushotels.com LockBit danubiushotels.com Hungary
ikk-group.com LockBit ikk-group.com Saudi Arabia
scanvogn.com LockBit scanvogn.com Denmark
denso Pandora www.denso.com Japan
SENADO Argentina Vice Society www.senado.gob.ar Argentina
Neocyber Everest neocyber.fr France
snteseccion30sartet.org.mx LockBit snteseccion30sartet.org.mx Mexico
inibsa.com BlackCat (ALPHV) inibsa.com Spain
orientalaromatics.com LockBit orientalaromatics.com India
etg.digital LockBit etg.digital USA
cachibi.co LockBit cachibi.co Colombia
bedfordshire.police.uk Arvin club bedfordshire.police.uk UK
sysmac.com.sg LockBit sysmac.com.sg Singapore
PK Simpson Conti www.pksimpson.com.au Australia
AllOffice Conti www.alloffice.se Sweden
tingtong.com.cn LockBit tingtong.com.cn China
SOVOS Conti sovos.com USA
bioskin.sg LockBit bioskin.sg Singapore
Blackmon Mooring Conti www.bmscat.com USA
IMT GROUP Conti www.imtcorporation.com Canada
bridgestoneamericas.com LockBit bridgestoneamericas.com USA
Beaulieu Canada Conti beaulieucanada.com Canada
RAWLE and HENDERSON LLP Conti rawle.com USA
Epic Games STORMOUS www.epicgames.com USA
Aluminerie Alouette Conti www.alouette.com Canada
Great HealthWorks Conti www.greathealthworks.com USA
TST Logistics Conti tst-logistics.com USA
Myron Corp. Conti www.myron.com USA
Fuchs North America Conti fuchsna.com USA
INVIMA BlackByte www.invima.gov.co Colombia
Get-integrated Cuba www.get-integrated.com USA
Xtera Snatch www.xtera.com USA
Warren Resources Snatch warrenresources.com USA
SRI International LeakTheAnalyst www.sri.com USA
stanthonys.slough.sch.uk LockBit stanthonys.slough.sch.uk UK
jrichard-paysage.fr LockBit jrichard-paysage.fr France
Carpenter & Zuckerman BlackCat (ALPHV) cz.law USA
brownsville-pub.com LockBit brownsville-pub.com USA
EUROPA GROUP Conti www.europa-group.co.uk UK
Fujioka Eletro Imagem SA Conti www.fujioka.com.br Brazil
Beeline Russia AgainstTheWest www.beeline.ru Russia
X5 Retail Group AgainstTheWest www.x5.ru Russia
CTM AgainstTheWest ctm.ru Russia
KosmoLab LCC AgainstTheWest kosmolab.ru Russia
Development of Territories of the Russian Academy of Sciences AgainstTheWest www.vscc.ac.ru Russia
Lars.tech AgainstTheWest lars.tech Russia
Nauchnyy Tsentr Prikladnoy Elektrodinamiki AgainstTheWest Unknown Russia
BAUCENTER BlackCat (ALPHV) ujhazbudapest.hu Hungary

In samenwerking met DarkTracer


Roemeense tankstations van Rompetrol doelwit van ransomware

Rompetrol, een bedrijf dat in Roemenië tankstations beheert, is getroffen door een ransomware aanval. Door de aanval zijn de websites en zijn Fill&Go service niet bereikbaar. De aanval is het werk van de Hive ransomwaregroep. De groep zou miljoenen euro's aan losgeld eisen van het getroffen bedrijf. Door de aanval is de website van Rompetrol en moederbedrijf KMG niet bereikbaar. Ook is de Fill&Go service van Rompetrol niet beschikbaar. Dit is een dienst gericht op fleet managers die informatie geeft over de voertuigen in hun wagenpark. Denk hierbij aan onderhoud, belastingen en verzekeringen. Rompetrol benadrukt dat zijn tankstations wel gewoon open en bruikbaar zijn. Klanten kunnen met zowel cash geld als bankpassen betalen. 


Ubisoft vorige week getroffen door cyberaanval

Game-uitgever Ubisoft heeft vorige week te maken gehad met een cyberbeveiligingsincident waardoor sommige games, systemen en diensten van het bedrijf tijdelijk werden verstoord. Details over het incident zijn niet bekend. Volgens Ubisoft wijst op dit moment niets erop dat persoonlijke gegevens van spelers zijn ingezien. Het incident is inmiddels opgelost en de storingen zijn verholpen. Het bedrijf heeft wel alle wachtwoorden binnen het bedrijf opnieuw ingesteld. Dat is uit voorzorg gedaan. Veel details geeft Ubisoft niet vrij. Zo is onbekend wat de hack voor gevolgen heeft gehad en wie erachter zit. Ubisoft is uitgever van populaire games op verschillende spelcomputers. Zo heeft het Franse bedrijf games als Far Cry, Assassin's Creed en Watch Dogs op de markt gebracht.


Verdachte achter NetWalker-ransomware uitgeleverd aan Verenigde Staten

Een Canadese man die onlangs in Canada werd veroordeeld voor het wereldwijd aanvallen van organisaties met de NetWalker-ransomware is uitgeleverd aan de Verenigde Staten. Volgens de Amerikaanse autoriteiten verdiende de man met zijn aanvallen meer dan 27 miljoen dollar. NetWalker werd aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. De Canadese man was één van de partners van de NetWalker-groep en voerde wereldwijd aanvallen uit. Zo bekende hij zeventien Canadese organisaties met de ransomware te hebben geïnfecteerd. Ook maakte hij allerlei gegevens buit. Als slachtoffers niet betaalden publiceerde hij de gestolen data op internet. Op de apparatuur van de man die in beslag werd genomen trof de politie twintig terabyte aan data aan. Begin februari veroordeelde een Canadese rechter hem tot een gevangenisstraf van bijna zeven jaar. De man werd echter ook gezocht door de Amerikaanse autoriteiten, die om zijn uitlevering hadden gevraagd. Gisteren meldde het Amerikaanse ministerie van Justitie dat de Canadees aan de VS is uitgeleverd. Tijdens een huiszoeking van de woning van de man die eind januari plaatsvond werden 719 bitcoin in beslag genomen, die een waarde van 28,1 miljoen dollar hebben, alsmede 790.000 Canadese dollars. De Amerikaanse autoriteiten willen het geld van de man verbeurd verklaren.


Hoogleraar: 'Russen gaan wraak nemen op Nederland'

Nederland moet alert zijn op Russische wraak omdat het Stingerraketten levert aan Oekraïne waarmee Russische gevechtsvliegtuigen en helikopters worden neergehaald. Dat zegt hoogleraar Security, Privacy en Identity Bart Jacobs van de Radboud Universiteit in BNR Digitaal. Volgens Jacobs moeten de Nederlandse veiligheidsdiensten bedacht zijn op hacks en andere cyberaanvallen. 'We kennen allemaal de beelden van Russische straaljagers en helikopters die uit de lucht geschoten zijn, en het is heel aannemelijk dat die met Nederlandse Stingerraketten uit de lucht neergehaald zijn. De wraak daarvoor moet nog komen, en erop rekenen dat de Russen vergevingsgezind zijn lijkt me niet heel verstandig', zegt Jacobs. 'Ik ga ervan uit dat de Nederlandse diensten nu in opperste staat van waakzaamheid zijn als het gaat om de verdediging van de digitale infrastructuur. Als ze zien dat er hackoperaties plaatsvinden, moeten ze in staat zijn om die snel te kunnen volgen.' Het probleem is alleen dat hackers van server naar server en van het ene naar het andere hostingbedrijf springen om digitale achtervolgers, zoals een veiligheidsdienst, af te schudden. Diensten die dat willen volgen, moeten een aanvraag doen, volgens Jacobs kost dat soms een week tijd. Door de Russische invasie staan die bevoegdheden van de Nederlandse veiligheidsdiensten AIVD en MIVD weer sterk in de belangstelling. En dan met name de beperkingen die deze diensten ervaren met het verkrijgen van toestemming voor zaken als kabelinterceptie en automatische data-analyse. Een Kamermeerderheid stemde vorige week al in met het aanpassen van de veelbesproken Wet op de inlichtingen- en veiligheidsdiensten 2017: de WIV, ook wel de ‘sleepnet-wet’ genoemd. Dat stuit echter op verzet bij de toezichthouders. Die voelen zich buitenspel gezet als de huidige toetsing zomaar wordt afgeschaft. 'Blijf altijd kijken naar wat wel en niet mag', zegt oud-Kamerlid en IT-ondernemer Kees Verhoeven daarover. Volgens Verhoeven handelt de Kamer vooral uit emotie, hij pleit ervoor dat we blijven nadenken over een wet. 'De Tweede Kamer weet niet goed wat er speelt, en heeft een sterke veiligheidsemotie.' Volgens hem geeft de Kamer daardoor te makkelijk, te veel ruimte voor bevoegdheden en heeft het daarbij te weinig oog voor het toezicht.


Geheime Amerikaanse operatie voorkwam cruciale cyberaanval van Rusland

Nu pas is bekendgemaakt dat een team Amerikaanse experts afgelopen najaar zeer gevaarlijke 'wiper-malware' afkomstig van Rusland uitschakelde. Deze cyberaanval was gericht op de spoorwegen van Oekraïne, met cruciale gevolgen voor de vluchtelingenstroom. In een artikel van de Financial Times wordt de Amerikaanse militaire operatie beschreven. Dave Maasland, directeur van cyber-securitybedrijf ESET Nederland, licht de situatie toe.


VS: duizend organisaties wereldwijd aangevallen met Conti-ransomware

Meer dan duizend organisaties wereldwijd zijn aangevallen met de Conti-ransomware, zo claimen de FBI, de Amerikaanse geheime dienst NSA, het Cybersecurity and Infrastructure Security Agency (CISA) en de United States Secret Service. De diensten hebben hun initiële waarschuwing voor deze specifieke ransomware van nieuwe informatie voorzien. De diensten stellen dat Conti een ransomware-as-a-service (RaaS)-model hanteert, maar er wel een verschil is. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. In het geval van de Conti-groep betalen de ontwikkelaars de criminelen die de ransomware verspreiden geen percentage maar een loon. Om toegang tot de netwerken van hun slachtoffers maken aanvallers gebruik van algemeen bekende methodes zoals het gebruik van spearphishing met Microsoft Office-documenten en malafide links, gestolen RDP-inloggegevens. Daarnaast worden slachtoffers ook gebeld, gebruiken de aanvallers malafide software die via zoekmachineresultaten wordt verspreid en andere malware die al op het systeem aanwezig is. Volgens de Amerikaanse diensten wordt bij Conti-aanvallen vooral gebruikgemaakt van de Trickbot-malware. De waarschuwing van de diensten bevat nu ook honderd domeinnamen die mogelijk door groepen zijn gebruikt die de Conti-ransomware verspreiden. Met deze indicators of compromise kunnen organisaties kijken of zij mogelijk ook doelwit zijn, of zijn geweest. Onder andere de Noorse hotelketen Nordic Choice, Ierse gezondheidzorg HSE, elektronicafabrikant JVC Kenwood en de Belgische MSP ITxx werden slachtoffer van de Conti-ransomware.


Verdachte achter wereldwijde ransomware-aanval via Kaseya uitgeleverd aan VS

Een 22-jarige Oekraïense man die wordt verdacht van de wereldwijde ransomware-aanval via de software van Kaseya is door Polen uitgeleverd aan de Verenigde Staten. Hij kan tot een gevangenisstraf van maximaal 115 jaar worden veroordeeld, zo laat het Amerikaanse ministerie van Justitie weten. Kaseya levert software voor managed serviceproviders, die daarmee de systemen van hun klanten kunnen beheren. Vorig jaar juli werden verschillende kwetsbaarheden in de software van Kaseya gebruikt om klanten van managed serviceproviders met de REvil-ransomware te infecteren. Het ging volgens Kaseya om maximaal vijftienhonderd bedrijven wereldwijd. De criminelen achter de REvil-ransomware eisten vervolgens 70 miljoen dollar voor een generieke decryptiesleutel waarmee alle slachtoffers hun bestanden kunnen ontsleutelen. Een aantal weken na de aanval maakte Kaseya bekend dat het van een niet nader genoemde derde partij een decryptiesleutel had ontvangen voor het ontsleutelen van de data bij alle slachtoffers. Later bleek dat de FBI de decryptiesleutel in handen had gekregen. Volgens de aanklacht was de 22-jarige man verantwoordelijk voor het verspreiden van de REvil-ransomware via de Kaseya-software. Hij is aangeklaagd voor het beschadigen van beschermde computers, fraude en witwassen. Indien schuldig bevonden kan de Oekraïner worden veroordeeld tot een gevangenisstraf van maximaal 115 jaar. Hij werd vorig jaar oktober in Polen aangehouden en vorige week uitgeleverd.


Samsung bevestigt diefstal van broncode Galaxy-telefoons

Criminelen zijn erin geslaagd om toegang te krijgen tot de systemen van Samsung en daar onder andere broncode van Galaxy-telefoons te stelen, zo heeft de elektronicagigant bevestigd. De aanval is opgeëist door dezelfde groep die eerder op systemen van chipfabrikant NVIDIA wist in te breken. Persbureau Bloomberg meldt dat de groep op het eigen Telegram-kanaal een torrentbestand plaatste met 190GB aan gestolen data. Het zou onder andere om algoritmen voor de biometrische authenticatie van Samsung-telefoons gaan en de broncode van de Galaxy-bootloader. Volgens Samsung is er geen persoonlijke informatie van klanten en medewerkers buitgemaakt, maar wel broncode met betrekking tot de werking van Galaxy-telefoons. Samsung verwacht echter niet dat de datadiefstal gevolgen voor het eigen bedrijf of klanten zal hebben. Tevens claimt de elektronicagigant dat het maatregelen heeft genomen om herhaling te voorkomen. Om wat voor maatregelen het precies gaat is niet bekendgemaakt. Samsung laat ook niet weten hoe de aanvallers toegang tot de data konden krijgen.


Hackers bedreigen Oekraïne vanuit Rusland, Belarus en China

Russische hackers hebben de afgelopen weken spionage, phishingcampagnes en andere aanvallen uitgevoerd tegen Oekraïne en zijn Europese bondgenoten, schrijft de Threat Analysis Group (TAG) van Google maandag in een blog. TAG, dat zich richt op het hinderen van computerhackers en het waarschuwen van computergebruikers, beschuldigde in die blog de Russische hackgroep Fancy Bear van het verzenden van phishingmails naar het Oekraïense mediabedrijf UkrNet. Met phishingberichten kunnen inloggegevens van gebruikers gestolen worden, zodat hackers kunnen binnendringen in de computers en online accounts van een doelwit. Rusland ontkent hackers in te zetten tegen vijanden. Google beschuldigde ook andere hackers. Zo heeft de hackgroep Ghostwriter vanuit Belarus geprobeerd om met phishing accountgegevens te bemachtigen bij Poolse en Oekraïense overheids- en militaire organisaties. Daarnaast heeft de groep Mustang Panda vanuit China met virussen geïnfecteerde bijlagen verzonden naar "Europese entiteiten". Oekraïense cybersecurityexperts zeiden vorige maand dat hackers uit het naburige Belarus het gemunt hebben op de privémailadressen van Oekraïens militair personeel en gerelateerde personen.

Google zegt niet of een van deze aanvallen succesvol is geweest.


RagnarLocker-ransomware besmet geen systemen in Oost-Europa

Sinds het begin van dit jaar zijn meer dan vijftig organisaties in de vitale infrastructuur getroffen door de criminelen achter de RagnarLocker-ransomware, maar systemen in Oost-Europese en Centraal-Aziatische landen worden ontzien, zo stelt de FBI in een waarschuwing. De groep is sinds april 2020 actief en wist sindsdien onder andere drankenproducent Campari, gameontwikkelaar Capcom, geheugenfabrikant ADATA en reisorganisatie CWT te infecteren. CWT betaalde naar verluidt 4,5 miljoen dollar losgeld. De afgelopen twee maanden wist de groep tenminste 52 organisaties in vitale sectoren te infecteren, waaronder energie, financiële diensten, overheid, vitale productie en it. Zodra de ransomware op een systeem actief wordt gebruikt die een Windows API om de locatie van de besmette machine te achterhalen. Als blijkt dat het slachtoffer zich bevindt in Azerbeidzjan, Armenië, Belarus, Kazachstan, Kirgizië, Moldavië, Tadzjikistan, Rusland, Turkmenistan, Oezbekistan, Oekraïne of Georgië, dan schakelt de ransomware zichzelf uit. In de waarschuwing geeft de FBI verschillende indicators of compromise, zoals ip-adressen, domeinen, e-mailadressen en bitcoinadressen, die organisaties kunnen gebruiken om te kijken of ze slachtoffer zijn geworden. Daarnaast worden ook algemene beschermingsmaatregelen gegeven, zoals het patchen van systemen en maken van back-ups (pdf).

220307
PDF – 1,3 MB 238 downloads

Onbekend hoeveel ziekenhuizen door cyberaanvallen zijn geraakt

Het is onbekend hoeveel Nederlandse ziekenhuizen en andere zorginstellingen de afgelopen jaren door cyberaanvallen zijn geraakt, zo laat minister Kuipers van Volksgezondheid weten. De minister reageerde op Kamervragen van de VVD, die opheldering had gevraagd naar aanleiding van berichtgeving in de media dat Nederlandse ziekenhuizen kwetsbaar zijn voor cyberaanvallen. "Ik deel de zorgen dat er een toename is aan veiligheidsdreigingen voor zorginstellingen door een toename van cyberaanvallen. Tegelijkertijd kunnen cyberaanvallen nooit helemaal worden voorkomen", antwoordt Kuipers op vragen van VVD-Kamerleden Rajkowski en Tielen. Volgens de minister zijn zorgaanbieders, zoals ziekenhuizen, verantwoordelijk voor het op orde hebben en houden van hun informatiebeveiliging. "Onderdeel daarvan is het voldoen aan de wettelijk verplichte NEN 7510-norm die de kaders stelt om beschikbaarheid, integriteit en vertrouwelijkheid van medische gegevens te borgen." Rajkowski en Tielen wilden ook weten hoeveel Nederlandse ziekenhuizen en andere zorginstellingen de afgelopen jaren zijn getroffen door cyberaanvallen, om wat voor soort aanvallen het ging en in hoeveel gevallen de continuïteit van de zorg in gevaar is gekomen als gevolg van een cyberaanval. "Het is niet bekend hoeveel zorginstellingen in 2021, 2020 en 2019 precies geraakt zijn door cyberaanvallen. Daarvan is geen meldingsplicht", reageert de minister. Hij voegt toe dat Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorg, de afgelopen drie jaar ruim dertienhonderd hulpverzoeken en meldingen van (cyber)incidenten heeft ontvangen. Zo lieten vorig jaar vijf zorginstellingen weten dat ze waren geraakt door een ransomware-aanval, vier meer dan in 2020. Verder stelt Kuipers dat hij met de sector en Z-CERT samenwerkt om de zorg weerbaarder te maken.

Len Over Het Bericht Ziekenhuizen Kwetsbaar Voor Cyberaanval Wachten Totdat Het Misgaat
Word – 64,7 KB 231 downloads

Cyberaanval legde Expeditors vrijwel plat, jaarcijfers uitgesteld

De Amerikaanse logistieke dienstverlener Expeditors moest zijn activiteiten ‘grotendeels’ staken na de cyberaanval op 20 februari. Het bedrijf komt langzaam weer online, maar verwacht forse financiële gevolgen. Expeditors heeft beleggers al laten weten dat de publicatie van de jaarrekening is uitgesteld. De beursgenoteerde expediteur meldt in een bericht aan investeerders dat het de afgelopen weken forse uitgaven heeft moeten doen om de cyberaanval te onderzoeken, de schade te herstellen en de systemen weer online te brengen. Die kosten zullen in de toekomst verder oplopen, zo verwacht het bedrijf. Hoewel de dienstverlening inmiddels weer deels op gang is, is het volgens Expeditors niet mogelijk om in te schatten wanneer het bedrijf weer volledig operationeel zal zijn. Expeditors  verwacht verder dat ‘de impact van de activiteitenstop de doorlopende schade door de cyberaanval materiële, negatieve gevolgen zullen hebben voor de omzet, uitgaven, resultaten, cashflow en reputatie’ van het concern. Hoe groot die directe en indirecte schade is, kan Expeditors nog niet inschatten, zo schrijft de directie in het bericht aan beleggers. Omdat ook de financiële systemen van het bedrijf langere tijd offline zijn geweest, lukt het Expeditors bovendien niet om op tijd de jaarrekening op te leveren. Eerder publiceerde het beursgenoteerde concern wel zijn cijfers over het vierde kwartaal, waaruit blijkt dat de omzet in 2021 16,5 miljard dollar bedroeg (+72%). Daarvan is 6,7 miljard dollar afkomstig uit de luchtvrachtactiviteiten. De zeevracht is goed voor 5,5 miljard dollar. De netto winst kwam uit op 1,4 miljard dollar, dat is een ruime verdubbeling ten opzichte van een jaar eerder. Expeditors meldde op 20 februari dat het getroffen was door ‘een gerichte cyberaanval’, die de systemen van de beursgenoteerde expediteur wereldwijd had platgelegd. Een week later stelde het bedrijf dat de dienstverlening voor een belangrijk deel weer op gang was gekomen en dat het werkte volgens een ‘continuïteitsplan’. Ondanks die geruststellende berichten is het lek voorlopig nog niet boven, zo blijkt nu. Expeditors heeft 350 vestigingen in honderd landen. Het hoofdkantoor staat in de Amerikaanse stad Seattle. Expeditors heeft wereldwijd een kleine 20.000 medewerkers, waarvan bijna 4.000 in Europa. Het concern staat op plek 299 in de Fortune 500, de lijst met grootste Amerikaanse ondernemingen.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten