Overzicht cyberaanvallen week 18-2022

Gepubliceerd op 9 mei 2022 om 15:00

Schoonmaakbedrijf CWS getroffen door cyberaanval, populaire ransomware door middel van kwetsbaarheid uit te schakelen en forse premiestijging cyberverzekeringen door ransomware-aanvallen. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 5.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.


Update: 9-mei-2022 | Aantal slachtoffers: 5.413



Week overzicht

Slachtoffer Cybercriminelen Website Land
J.F. Taylor, Inc. Black Basta www.jfti.com USA
realestateconsulting.com LockBit realestateconsulting.com USA
Cabase KelvinSecurity www.cabase.org.ar Argentina
nipmo.dst.gov.za LockBit nipmo.dst.gov.za South Africa
fnoutlet.com LockBit fnoutlet.com Thailand
PTC Industries KelvinSecurity www.ptcil.com India
Rollecate Group Black Basta www.rollecate.nl Netherlands*
Sole Technology Black Basta www.soletechnology.com USA
FIBERTEL PERÚ SAC KelvinSecurity www.fibertelperu.com Peru
delcourt.fr LockBit delcourt.fr France
Tosoh Corporation Lorenz www.tosoh.com Japan
Atron Solutions, LLC KelvinSecurity atronsolutions.com USA
ELTA Hellenic Post Vice Society www.elta.gr Greece
Haynes Manuals Vice Society www.haynes.com UK
Grohmann Aluworks GmbH & Co Black Basta www.welcome-to-grohmann.de Germany
Zito Media Black Basta www.zitomedia.net USA
Faw-Volkswagen Automobile Co., Ltd. Hive www.faw-vw.com China
Tosoh Bioscience Lorenz www.tosohbioscience.com Japan
aref.government.bg LockBit aref.government.bg Bulgaria
nizing.com.tw LockBit nizing.com.tw Taiwan
rogz.com LockBit rogz.com South Africa
EYP Conti www.eypae.com USA
BRITISH LINK KUWAIT BlackCat (ALPHV) blk.com.kw Kuwait
Asia Pacific University Vice Society www.apu.edu.my Malaysia
Unicity International Sodinokibi (REvil) www.unicity.com USA
UNIWELL Rohrsysteme GmbH & Co. Black Basta uniwell-rohrsysteme.de Germany
Sarasin & partners LLP BlackCat (ALPHV) sarasinandpartners.com UK
apsmsystems.com Industrial Spy apsmsystems.com USA
Municipality of Posadas KelvinSecurity posadas.gov.ar Argentina
bfclcoin KelvinSecurity bfclcoin.com United Arab Emirates
Instance IT Solutions India KelvinSecurity instanceit.com India
PRGX Global Inc. Black Basta www.prgx.com USA
Jameco Electronics Black Basta www.jameco.com USA
Wilks Tire & Battery Service Black Basta www.wilkstire.com USA
The Scholz Group Black Basta www.scholz-recycling.com Germany
erediriva.it LockBit erediriva.it Italy
cwaengineers.com LockBit cwaengineers.com Canada
agenilsen.no LockBit agenilsen.no Norway
Richardson & Pullen, PC BlackCat (ALPHV) richardsonandpullen.com USA
CPQD - BANCO CENTRAL OF BRASIL BLOCKHAIN LV www.cpqd.com.br Brazil
Jasper County Sheriff's Office ONYX jaspercountysheriffoffice.com USA

In samenwerking met DarkTracer


Schoonmaakbedrijf CWS getroffen door cyberaanval

Schoonmaakbedrijf CWS is getroffen door een cyberaanval. Op de eigen website meldt het bedrijf dat de systemen door een "technische oorzaak" niet naar behoren werken. In een e-mail aan klanten spreekt CWS over een cyberaanval en dat het gehele datacenter is afgesloten en ontkoppeld om systemen en data te beschermen en de gevolgen van het incident te beperken. "Het incident heeft tot gevolg dat een onbevoegde derde partij mogelijk toegang heeft gehad tot onze systemen en data. Bovendien kunnen wij door het afsluiten en ontkoppelen van ons datacenter op dit moment niet volledig gebruik maken van onze systemen. Hierdoor beschikken wij nu niet over de meest actuele klantinformatie", aldus het schoonmaakbedrijf. Doordat actuele informatie niet voorhanden is beschikt CWS naar eigen zeggen ook niet over de laatste bestellings- en leveringsgegevens voor nieuwe kleding, toenames en vervangingen. Ook de uitlevering van de schone was (bedrijfskleding en linnengoed (zoals theedoeken) kan eventueel afwijken van de normaal geplande momenten. Het bedrijf zegt verder alles in het werk te stellen om de service naar klanten zo snel en nauwkeurig mogelijk te herorganiseren. Het onderzoek naar de aanval loopt nog. "We bieden onze oprechte excuses voor het eventuele ongemak en staan klaar om u op alle mogelijke manieren te helpen. Wij begrijpen het als u meer informatie wenst te ontvangen, of vragen heeft. Wij doen er alles aan om bereikbaar te zijn voor u, maar zullen minder goed bereikbaar zijn dan u van ons gewend bent", zo sluit CWS de e-mail aan klanten af.


Fancy Bear heeft de afgelopen weken aanvallen via e-mail uitgevoerd

Een spionagegroep die bekendstaat als APT28 en Fancy Bear heeft de afgelopen weken aanvallen via e-mail uitgevoerd waarbij geprobeerd werd om doelwitten met malware te infecteren die cookies en wachtwoorden uit browsers steelt, zo stelt Google op basis van eigen onderzoek. Volgens Googles Threat Analysis Group (TAG) waren de aanvallen gericht tegen Oekraïense gebruikers en bestonden uit e-mails die als bijlage een met wachtwoord beveiligd zip-bestand hadden. Het bestand bevat in werkelijkheid malware die wanneer geopend cookies en wachtwoorden uit Chrome, Edge en Firefox steelt en vervolgens via e-mail naar een al gecompromitteerd e-mailaccount stuurt. Google geeft periodiek een overzicht van aanvallen waarvan het stelt dat die door statelijke actoren en "Advanced Persistent Threats" (APTs) zijn uitgevoerd. In het overzicht van deze maand blijkt dat dergelijke aanvallers basale technieken gebruiken, zoals het gebruik van malafide linkjes en phishingdomeinen, om zo inloggegevens van doelwitten te stelen. Verder laat het techbedrijf weten dat een spionagegroep die aan het Chinese leger is gelieerd succesvolle aanvallen tegen Russische defensieleveranciers en -fabrikanten en een Russisch logistiek bedrijf heeft uitgevoerd.


Nieuwe Odaku-ransomware


Ransomwaregroep steelt data bij luchthavenbeveiligingsbedrijf I-SEC

Criminelen achter de Conti-ransomwaregroep zijn erin geslaagd om gegevens bij luchthavenbeveiligingsbedrijf I-SEC te stelen en hebben daarvan een deel op internet gepubliceerd. Volgens I-SEC zijn er zipbestanden van in totaal 23 gigabyte online gezet, waaronder persoonsgegevens uit de personeelsadministratie, zo laat een woordvoerder tegenover NU.nl weten. De bestanden verschenen vorige maand al op de website van de Conti-groep. I-SEC heeft het datalek inmiddels bij de Autoriteit Persoonsgegevens gemeld. Verder stelt de luchthavenbeveiliger dat het "beveiligingsmaatregelen" heeft genomen, maar geeft geen verdere details. Het onderzoek naar de datadiefstal loopt nog. Er is ook niet bekendgemaakt hoe de criminelen de gegevens konden stelen. In maart lieten de FBI, de Amerikaanse geheime dienst NSA, het Cybersecurity and Infrastructure Security Agency (CISA) en de United States Secret Service weten dat al meer dan duizend organisaties wereldwijd door de Conti-groep zijn aangevallen. Conti hanteert een ransomware-as-a-service (RaaS)-model. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. In het geval van de Conti-groep betalen de ontwikkelaars de criminelen die de ransomware verspreiden een vast loon en geven geen percentage van het losgeld. Om toegang tot de netwerken van hun slachtoffers maken aanvallers gebruik van algemeen bekende methodes zoals het gebruik van spearphishing met Microsoft Office-documenten en malafide links, gestolen RDP-inloggegevens. Daarnaast worden slachtoffers ook gebeld, gebruiken de aanvallers malafide software die via zoekmachineresultaten wordt verspreid en andere malware die al op het systeem aanwezig is. Volgens de Amerikaanse diensten wordt bij Conti-aanvallen vooral gebruikgemaakt van de Trickbot-malware.


Ransomware gebruikt Avast-driver om virusscanner uit te schakelen

De criminelen achter de AvosLocker-ransomware maken gebruik van een driver van antivirusbedrijf Avast om virusscanners en andere beveiligingssoftware op aangevallen systemen uit te schakelen. Dat laat antivirusbedrijf Trend Micro weten. De driver in kwestie moet systemen tegen rootkits beschermen. In het geval van AvosLocker gebruikt de ransomware de driver om aanwezige beveiligingssoftware te neutraliseren en detectie te voorkomen. Het gaat hierbij om de software van andere antivirusleveranciers. Volgens Trend Micro laat dit zien dat aanvallers, zodra ze toegang tot systemen hebben, steeds geraffineerder worden in het gebruik van legitieme tools om hun malafide activiteiten te verbergen. Trend Micro waarschuwde Avast. Het antivirusbedrijf stelt dat er een kwetsbaarheid in een oude versie van de driver aswArPot.sys aanwezig is. Dit beveiligingslek is vorig jaar juni verholpen. Avast heeft met Microsoft samengewerkt om ervoor te zorgen dat Windows 10 en 11 de oudere versie van de driver blokkeren, zodat die niet in het geheugen geladen kan worden. De Windows-update die hiervoor zorgt werd afgelopen februari als optionele update aangeboden en vorige maand als beveiligingsupdate. Windowsmachines die up-to-date zijn, zijn dan ook niet meer kwetsbaar voor deze aanval, aldus Avast in een reactie tegenover Trend Micro.

Avos Locker Ransomware Variant Abuses Driver File To Disable Anti
PDF – 1,5 MB 274 downloads

Populaire ransomware door middel van kwetsbaarheid uit te schakelen

Beveiligingsonderzoeker John Page heeft een kwetsbaarheid in verschillende populaire ransomware-exemplaren ontdekt waardoor het mogelijk is om de malware voordat het versleutelen van bestanden begint uit te schakelen. Dat meldt de onderzoeker op Twitter en laat hij in verschillende YouTube-video's zien. Het beveiligingslek in kwestie betreft dll-hijacking. De ransomware-exemplaren zoeken in de huidige directory waar ze worden uitgevoerd naar dll-bestanden en voeren die uit. Door een speciaal geprepareerd dll-bestand in deze directory te plaatsen is het mogelijk om de ransomware uit te schakelen voordat die met het versleutelen van bestanden begint aldus de onderzoeker. "Antivirussoftware is voor het uitvoeren van de malware uit te schakelen, maar niet deze methode, aangezien er niets uit te schakelen is, Het dll-bestand staat gewoon op de harde schijf. Vanuit verdedigingsperspectief kun je, als onderdeel van een meerlaagse beveiligingsaanpak, het dll-bestand toevoegen aan een specifieke netwerkmap die belangrijke data bevat", merkt Page op. De onderzoeker maakte een proof-of-concept exploit om het beveiligingslek te demonstreren, maar merkt op dat het gebruik op eigen risico is. De kwetsbaarheid is onder andere aanwezig in de ransomware-exemplaren AvosLocker, REvil, LockBit en Conti.


Duizenden Amerikaanse studenten door ransomware-aanval geen les

Ruim achtduizend studenten van het Kellogg Community College in de Verenigde Staten hebben gisteren en vandaag door een ransomware-aanval geen les. De hogeschool besloot alle lessen te schrappen en alle campussen te sluiten. Wanneer de scholen precies weer opengaan is nog onbekend, maar de onderwijsinstelling hoopt dat dit later deze week zal zijn. De exacte omvang en impact van de aanval worden nog onderzocht. Afgelopen vrijdag 29 april vond de aanval plaats en kreeg de hogeschool te maken met systeemproblemen. Uit voorzorg werden vervolgens alle systemen offline gehaald. Daardoor zijn allerlei diensten van het Kellogg Community College niet toegankelijk voor studenten en medewerkers, waaronder e-mail, online lessen en informatie. Pas wanneer het veilig is zegt de hogeschool de lessen te hervatten. Details over de aanval en hoe die kon plaatsvinden zijn niet gegeven. De hogeschool, die 8400 studenten telt, heeft besloten om van alle studenten en medewerkers het wachtwoord te resetten.


Grootste supermarktketen Trinidad moet winkels wegens cyberaanval sluiten

De grootste supermarktketen van Trinidad heeft alle winkels wegens een cyberaanval meerdere dagen moeten sluiten. Het ging in totaal om 21 supermarkten van Massy Stores, waarvan een aantal ook als apotheek fungeert. De aanval deed zich vorige week voor en zorgde ervoor dat alle kassasystemen niet meer bruikbaar waren. Hierdoor konden klanten hun boodschappen en medicijnen niet afrekenen. Om wat voor aanval het precies gaat en hoe die kon plaatsvinden is niet bekendgemaakt. Volgens Massy Stores zijn erop dit moment geen aanwijzingen dat de aanvallers klant- , leveranciers- of personeelsgegevens hebben buitgemaakt. Vanwege de aanval werd besloten om de winkels op 28 april te sluiten, zodat personeel de getroffen systemen kon herstellen. Het herstel duurde echter langer dan in eerste instantie werd aangekondigd. Het plan was namelijk om alle supermarkten op 29 april te openen, maar pas op 1 mei konden alle supermarkten weer worden geopend. Het bonuskaartsysteem van de supermarkt is echter nog niet operationeel. De Zweedse supermarktketen Coop moest wegens een ransomware-aanval vorig jaar zo'n achthonderd winkels sluiten.


Criminelen stelen via phishingaanval ruim 23 miljoen dollar van Pentagon

Criminelen zijn erin geslaagd om door middel van een phishingaanval ruim 23 miljoen dollar van het Amerikaanse ministerie van Defensie te stelen. Een verdachte in deze zaak is vorige week schuldig bevonden en kan worden veroordeeld tot een gevangenisstraf van tientallen jaren. Bedrijven die met het Pentagon zaken doen moeten in de "System for Award Management" (SAM)-database staan. Via de website login.gov kunnen leveranciers op de database inloggen en hun gegevens wijzigen. De criminelen registreerden een domeinnaam die op die van het Defense Logistics Agency (DLA) leek. Vervolgens verstuurden ze naar leveranciers phishingmails die van de overheidsinstantie afkomstig leken met een link die naar een phishingsite wees. Deze phishingsite leek op de website login.gov. Met gegevens die slachtoffers op deze website invulden konden de criminelen inloggen op de SAM-database. Een medewerker van een bedrijf dat vliegtuigbrandstof aan het Amerikaanse leger levert trapte in de phishingmail en vulde zijn gegevens in. De criminelen gebruikten deze gegevens om op de SAM-database in te loggen en gegevens te wijzigen, zodat geld voor de defensieleverancier naar een andere rekening werd overgemaakt. Het Pentagon maakte uiteindelijk 23,5 miljoen dollar naar de criminelen over. Een veertigjarige Amerikaan bekende vorig jaar schuld in deze zaak en is vorige week schuldig bevonden en veroordeeld voor zes aanklachten. Op vijf van deze aanklachten staat elk een gevangenisstraf van maximaal dertig jaar. Voor de zesde aanklacht kan de Amerikaan een celstraf van maximaal tien jaar krijgen. De rechter maakt de strafmaat op 21 juni bekend (pdf).

Gov Uscourts Njd 425924 1 0
PDF – 556,4 KB 275 downloads

Forse premiestijging cyberverzekeringen door ransomware-aanvallen

De cyberverzekeringsmarkt blijft ook in 2022 hoogst uitdagend. De enorme toename van ransomware-aanvallen zorgt ervoor dat het acceptatieproces van cyberverzekeraars steeds uitvoeriger en arbeidsintensiever is geworden in vergelijking met voorgaande jaren. Als gevolg hiervan verwacht Aon voor de eerste helft van dit jaar flinke prijsstijgingen, met in de tweede helft van 2022 kans op lichte stabilisatie.

Aon
PDF – 963,4 KB 222 downloads

Amerikaanse fabrikant van landbouwmachines AGCO getroffen door ransomware-aanval

AGCO, een toonaangevende Amerikaanse producent van landbouwmachines, heeft aangekondigd dat het werd getroffen door een ransomware-aanval die een aantal van zijn productiefaciliteiten trof. "AGCO onderzoekt nog steeds de omvang van de aanval, maar de verwachting is dat de bedrijfsactiviteiten enkele dagen en mogelijk langer nadelig zullen worden beïnvloed om alle diensten volledig te hervatten, afhankelijk van hoe snel het bedrijf in staat is om zijn systemen te repareren. Het bedrijf zal updates geven naarmate de situatie vordert." -AGCO . _


Pegasus-spyware steelt 2,7 gigabyte aan data van telefoon Spaanse premier

Bij twee aanvallen met de Pegasus-spyware op de mobiele telefoon van de Spaanse premier Pedro Sánchez is 2,7 gigabyte aan data buitgemaakt. Ook de telefoon van de Spaanse minister van Defensie Margarita Robles raakte met de spyware besmet. Daar gingen de aanvallers er met negen megabyte aan data vandoor. Het is onduidelijk wat voor data de aanvallers buitmaakten, zo meldt de Spaanse krant El Pais. De aanvallen op de Spaanse premier vonden vorig jaar mei en juni plaats. De Defensieminister was in juni het doelwit, aldus onderzoek van het Spaanse National Cryptologic Centre. Tijdens een persconferentie werd bekendgemaakt dat de autoriteiten weten hoeveel data er van de telefoons is gestolen, maar niet om wat voor soort data het gaat. Het is onduidelijk wie er precies achter de aanvallen zit. Pegasus is door NSO Group ontwikkelde spyware waarmee het mogelijk is om slachtoffers via hun microfoon en camera te bespioneren en gesprekken en communicatie via WhatsApp, Gmail, Viber, Facebook, Telegram, Skype, WeChat en andere apps af te luisteren en onderscheppen, alsmede de locatie te bepalen. De spyware wordt al zeker sinds 2016 via zeroday-aanvallen verspreid. Onlangs meldde het Canadese Citizen Lab dat het 63 Catalaanse personen had geïdentificeerd die met de Pegasus-spyware van de NSO Group geïnfecteerd waren. Het gaat om leden van het Europees Parlement, Catalaanse presidenten, wetgevers, juristen en leden van maatschappelijke organisaties. In sommige gevallen werden ook familieleden met de spyware besmet. De onderzoekers merkten op dat het onderzoek naar de besmette telefoons arbeidsintensief is en van veel meer personen de toestellen niet zijn gecontroleerd. Daarnaast hebben de onderzoekers met de door hun gebruikte onderzoeksmethodes minder inzicht in Androidbesmettingen, terwijl er veel meer Androidgebruikers in de Catalaanse regio zijn. Er wordt dan ook vermoed dat het werkelijke aantal slachtoffers vele malen hoger is.


Het merk van de Conti-ransomware stopt ermee?!


Nieuwe ransomware-stammen gekoppeld aan Noord-Koreaanse overheidshackers

Verschillende soorten ransomware zijn in verband gebracht met APT38, een door Noord-Korea gesponsorde hackgroep die bekend staat om zijn focus op het targeten en stelen van fondsen van financiële instellingen over de hele wereld. Ze staan ​​ook bekend om het inzetten van destructieve malware op de netwerken van hun slachtoffers tijdens de laatste fase van hun aanvallen, waarbij waarschijnlijk alle sporen van hun activiteit worden vernietigd. Christiaan Beek, een hoofdonderzoeker op het gebied van bedreigingen bij het cyberbeveiligingsbedrijf Trellix, zei dat de operators van de groep (onderdeel van Unit 180 van het Noord-Koreaanse cyberleger Bureau 121) ook de Beaf-, PXJ-, ZZZZ- en ChiChi-ransomwarefamilies hebben gebruikt om een ​​deel van hun slachtoffers. De links naar APT38 werden gevonden tijdens het analyseren van code en artefact-overeenkomsten met VHD-ransomware die, net als  TFlower-ransomware, was  gekoppeld aan de Noord-Koreaanse Lazarus APT-groep. Onderzoekers van Kaspersky en Sygnia legden de verbinding nadat ze zagen dat de twee soorten werden ingezet op de netwerken van slachtoffers via het  platformonafhankelijke MATA-malwareframework, een kwaadaardige tool die exclusief wordt gebruikt door Lazarus-operators, aldus Kaspersky. Beek onthulde woensdag dat PXJ, Beaf en ZZZZ - op basis van het visualiseren van de code met Hilbert-curve mapping - een opmerkelijke hoeveelheid broncode en functionaliteit delen met VHD en TFlower ransomware, waarbij Beaf en ZZZZ bijna exacte klonen van elkaar zijn. "Je hoeft geen malwarespecialist te zijn om meteen te herkennen dat de ZZZ- en BEAF Ransomware-afbeeldingen bijna identiek zijn", aldus  de Trellix-onderzoeker.

The Hermit Kingdom
PDF – 926,2 KB 202 downloads

Cyberaanval treft autoverhuurder Sixt: klantendienst al dagenlang plat

In verscheidene Europese landen, waaronder België en Nederland, was het centrale telefoonnummer van autoverhuurbedrijf Sixt de voorbije dagen onbereikbaar. Dat leidde tot grote ergernis bij de klanten, want het bedrijf heeft geen lokale back-up telefoonnummers. Hoewel de problemen zich al sinds vrijdag voordeden, kwam Sixt pas zondagavond met een verklaring. Het gaat niet om een grote IT-panne, maar om een cyberaanval. “De IT-beveiliging van Sixt heeft op 29 april IT-onregelmatigheden ontdekt. Er werden onmiddellijk responsmaatregelen geïmplementeerd volgens de beveiligingsprotocollen. Vervolgens is bevestigd dat Sixt het slachtoffer was van een cyberaanval, die het in een vroeg stadium heeft weten in te dammen”, zegt het Duitse beursgenoteerde bedrijf. Een belangrijke vraag is of de hackers tot aan de financiële gegevens van de klanten geraakt zijn. Sixt, wereldwijd goed voor 242.000 voertuigen in 2.180 stations, blokkeert bij de verhuur doorgaans een bedrag op de kredietkaart van zijn klanten. Onder meer in België wordt alle klantencommunicatie gecentraliseerd, met slechts één contactnummer. Die centralisatie speelt de huurders van auto’s en bestelwagens nu zwaar parten, want ze kunnen hun lokale verkooppunt ook niet via een ander nummer bereiken. Op sociale media doen klanten hun beklag over onbereikbare callcenters, terwijl ze online hun boeking ook niet kunnen aanpassen. Het bedrijf zelf zegt evenwel dat “veel centrale systemen, in het bijzonder de website en apps, operationeel gehouden werden, waardoor de gevolgen voor het bedrijf, zijn activiteiten en diensten tot een minimum beperkt zijn.” Sixt erkent wel dat “er op korte termijn waarschijnlijk tijdelijke verstoringen kunnen optreden, met name in de klantenservicecentra en selectieve filialen” en vraagt de klanten daarom om “begrip en geduld”.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »