Nederland betaalt op een na hoogste losgeld voor ransomware, Deadbolt-ransomware infecteert honderden QNAP NAS-apparaten en Cisco waarschuwt voor actief aangevallen zerodaylek in IOS XR. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Meer dan 5.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.
Update: 30-mei-2022 | Aantal slachtoffers: 5.565
Week overzicht
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
gpmlife.com | LockBit | gpmlife.com | USA |
An Technology Company | Cheers | Unknown | Unknown |
An Financial Company | Cheers | Unknown | Unknown |
An Belgium Hospital | Cheers | Unknown | Belgium |
An International Maritime Company | Cheers | Unknown | Unknown |
GREEN MOUNTAIN ELECTRIC SUPPLY | BlackCat (ALPHV) | gmes.com | USA |
koenigstahl.pl | LockBit | koenigstahl.pl | Poland |
foxconnbc.com | LockBit | foxconnbc.com | Mexico |
pauly.de | LockBit | pauly.de | Germany |
hospitalsanjose.es | LockBit | hospitalsanjose.es | Spain |
Travira Air | Hive | travira-air.com | Indonesia |
XEIAD | Hive | www.xeiad.com | UK |
BLAIR inc. | Black Basta | www.blairinc.com | USA |
PRICEDEX.COM | CL0P | pricedex.com | Canada |
FERRAN-SERVICES.COM | CL0P | ferran-services.com | USA |
LATOURNERIE-WOLFROM.COM | CL0P | latournerie-wolfrom.com | France |
ENSSECURITY.COM | CL0P | enssecurity.com | USA |
Florida Department of Veterans' Affairs | Quantum | www.floridavets.org | USA |
ATAPCOPROPERTIES.COM | CL0P | atapcoproperties.com | USA |
ils.theinnovatecompanies.com | LockBit | ils.theinnovatecompanies.com | USA |
SPERONI SpA | Everest | speronispa.com | Italy |
edm-stone.com | LockBit | edm-stone.com | USA |
Mebulbs | Lorenz | www.mebulbs.com | USA |
SOUCY | Hive | www.soucy-group.com | Canada |
Guardian Fueling Technologies | Hive | guardianfueltech.com | USA |
ChemStation International | Hive | www.chemstation.com | USA |
NUAIRE | Hive | nuaire.co.uk | UK |
Yachiyo Of America | Hive | yachiyo-of-america.com | USA |
XYTECH | LV | www.xytechsystems.com | USA |
AGCO | Black Basta | www.agcocorp.com | USA |
LCRD | Conti | www.co.linn.or.us | USA |
The Contact Company | Conti | thecontactcompany.co.uk | UK |
pointsbet.com | LockBit | pointsbet.com | USA |
Love, Barnes & McKew Insurance Adjusters | Black Basta | www.lbmadjusters.com | USA |
TRANSCONTRACT | KelvinSecurity | Unknown | Unknown |
Mansfield Energy | KelvinSecurity | mansfield.energy | USA |
vitalprev.com.br | LockBit | vitalprev.com.br | Brazil |
Central Restaurant Products | Conti | www.centralrestaurant.com | USA |
pet-link.com | LockBit | pet-link.com | Hong Kong |
Horwitz Law, Horwitz & Associates | BlackCat (ALPHV) | www.horwitzlaw.com | USA |
architectenbureaugofflo.be | LockBit | architectenbureaugofflo.be | Belgium |
erdwaerme-gruenwald.de | LockBit | erdwaerme-gruenwald.de | Germany |
kuwaitflourmills.com | LockBit | kuwaitflourmills.com | Kuwait |
Allports Group | Black Basta | www.allportsgroup.co.uk | UK |
Imagen Television | BlackCat (ALPHV) | www.imagentv.com | Mexico |
virtus-advocaten.be | LockBit | virtus-advocaten.be | Belgium |
www.intertabak.com | LockBit | www.intertabak.com | Switzerland |
RateGain | Hive | rategain.com | USA |
RateGain | Conti | rategain.com | USA |
detego.com | Industrial Spy | detego.com | UK |
AMETHYST | LV | amethyst-radiotherapy.com | Netherlands |
VMT-GmbH | Ragnar_Locker | vmt-gmbh.de | Germany |
Active Communications International | Quantum | www.wplgroup.com | UK |
Transsion Holdings | Quantum | www.transsion.com | China |
Eurocept | Quantum | www.eurocept.nl | Netherlands |
Omicron Consulting S.r.L | Conti | www.omicronconsulting.it | Italy |
Pianca | Conti | www.pianca.com | Italy |
Allcat Claims Service | Conti | www.allcatclaims.com | USA |
berschneider.de | LockBit | berschneider.de | Germany |
In samenwerking met DarkTracer
10.000 QNAP-eigenaren gewaarschuwd dat NAS vanaf internet toegankelijk is
Het Dutch Institute for Vulnerability Disclosure (DIVD) heeft zo'n tienduizend eigenaren van een QNAP-NAS gewaarschuwd dat het apparaat vanaf internet toegankelijk is en zo risico loopt om te worden aangevallen. Aanleiding is een recente waarschuwing van QNAP voor een nieuwe variant van de Deadbolt-ransomware. De ransomware infecteert NAS-systemen die vanaf het internet toegankelijk zijn en QTS versie 4.3.6 of QTS versie 4.4.1 draaien. Eenmaal actief versleutelt de ransomware bestanden voor losgeld. Naast het updaten van de QTS-versie adviseerde QNAP ook om de NAS-apparaten niet direct vanaf internet toegankelijk te maken. Het DIVD doet onderzoek naar kwetsbaarheden in software en waarschuwt organisaties wanneer ze kwetsbare software draaien of systemen verkeerd hebben geconfigureerd. Naar aanleiding van de nieuwe aanvalscampagne tegen QNAP-gebruikers heeft het DIVD een online scan uitgevoerd naar online toegankelijk NAS-apparaten. Gisteren werd naar zo'n tienduizend hosts een bericht gestuurd dat hun NAS vanaf het internet bereikbaar is. Daarnaast wordt deze gebruikers geadviseerd om port forwarding uit te schakelen om zo het probleem te verhelpen.
Deadbolt-ransomware infecteert honderden QNAP NAS-apparaten
Zo'n vijfhonderd NAS-apparaten van fabrikant QNAP zijn vorige week versleuteld door de Deadbolt-ransomware. QNAP waarschuwde op 19 mei voor een nieuwe aanval door de Deadbolt-ransomware, waarvan begin dit jaar de eerste variant verscheen. De nieuwste versie richt zich op NAS-apparaten die een oudere versie van QNAPs QTS-besturingssysteem draaien. De NAS-fabrikant heeft niet laten weten via welk beveiligingslek de aanvallers toegang tot de apparaten weten te krijgen. Gebruikers wordt opgeroepen om naar de nieuwste QTS-versie te updaten en hun NAS niet vanaf het internet toegankelijk te maken. Analysebedrijf Censys voerde in de periode van 11 tot 18 mei een online scan uit en ontdekte bijna vijfhonderd besmette NAS-apparaten. De meeste besmette NAS-systemen bevinden zich in de Verenigde Staten, gevolgd door Duitsland en het Verenigd Koninkrijk. In plaats van het gehele systeem te versleutelen, waardoor het in principe offline gaat, richt de ransomware zich alleen op specifieke back-updirectories en voorziet de beheerdersinterface van een boodschap waarin staat dat slachtoffers losgeld moeten betalen als ze hun data terug willen. Op basis van de door de ransomware genoemde bitcoinwallets stelt Censys dat 132 slachtoffers bij elkaar een bedrag van 188.000 dollar hebben betaald, wat neerkomt op een gemiddeld losgeld van ruim 1400 euro per slachtoffer.
Hackers Twitter-account Beeple maken vier ton buit
Hackers hebben voor ruim 400 duizend euro mensen opgelicht nadat ze het Twitter-account van de bekende kunstenaar Beeple hadden gekaapt. De cybercriminelen tweetten een link naar een malafide site. De hackers plaatsten op het Twitter-account van Beeple een link naar een zogenaamde loting voor NFT-kunst die de kunstenaar samen met modemerk Louis Vuitton zou hebben opgezet. De bezoekers van die malafide site werden bedragen in cryptomunten afhandig gemaakt. In totaal maakten de cybercriminelen in nog geen vijf uur tijd omgerekend 410.000 euro buit, meldden experts. De hackers maakten misbruik van het feit dat Beeple vorig jaar een collectie NFT's heeft gemaakt voor een game rond het 200-jarig bestaan van Louis Vuitton. Beeple kreeg later op de dag zijn Twitter-account met 637 duizend volgers weer terug. "Alles wat te mooi lijkt om waar te zijn, is oplichting", schreef Beeple, die in het echt Mike Winkelmann heet. "Er zal nooit een verrassingsrelease zijn die ik maar op één platform aankondig."
Stay safe out there, anything too good to be true IS A FUCKING SCAM.
β beeple (@beeple) May 22, 2022
And as side note, there will never be a SURPRISE MINT I mention one time in one place starting at 6am Sunday morning. π€¦ββοΈ
Franse overheid hielp vierhonderd door ransomware getroffen organisaties
De Franse overheid heeft de afgelopen twee jaar vierhonderd organisaties geholpen die het slachtoffer van ransomware waren geworden. Het ging met name om bedrijven en lokale autoriteiten, zoals gemeenten en provincies. In 2020 was het Franse nationale bureau voor beveiliging van informatiesystemen (ANSSI) bij 192 incidenten betrokken, vorig jaar waren dat er 203. Volgens het ANSSI maakten het mkb en lokale overheden in 2020 nog 58 procent van de slachtoffers uit. Dat was vorig jaar 71 procent. Met name bij het mkb was er een stijging van het aantal getroffen ondernemingen te zien. De Franse overheidsdienst monitorde vorig jaar veertig verschillende ransomwareprogramma's. In de meeste gevallen gaan aanvallers opportunistisch te werk en zoeken doelwitten met weinig security, veel geld en die zich geen verstoring van de bedrijfsactiviteiten kunnen veroorloven. Vorig jaar juni, mede vanwege een aantal grote ransomware-aanvallen, besloten opsporingsdiensten wereldwijd achter ransomwaregroepen aan te gaan. Daarbij werden botnets ontmanteld en personen aangehouden. Het ANSSI denkt dat alleen de ransomwaregroepen die buiten bereik van opsporingsdiensten weten te blijven, soms met behulp van de staat, door blijven gaan met hun aanvallen. Andere ransomwaregroepen zullen mogelijk voor een ander businessmodel kiezen, waarbij ze geen data meer versleutelen, maar alleen stelen en dreigen te publiceren wanneer er geen losgeld wordt betaald.
Nederland betaalt op een na hoogste losgeld voor ransomware
Bedrijven en organisaties betalen de hoogste sommen aan losgeld voor ransomware en moet alleen Japan voor zich laten. Dat blijkt uit een onderzoek van AtlasVPN. De gemiddelde som die Nederlandse organisaties betalen bedraagt 2 miljoen US dollar. Japanse bedrijven betalen maar liefst gemiddeld 4,3 miljoen US dollar. De top vijf wordt verder gecompleteerd door Filipijnen (1,6 miljoen US dollar), Israël (1,3 miljoen) en India (1,2 miljoen). Volgens het onderzoek focussen criminelen zich steeds meer op media en entertainmentbedrijven. 79% van de ondervraagde bedrijven in die sector hadden te maken met ransomware in 2021. Ook de retail heeft meer dan gemiddeld last van aanvallen (77%) gevolgd door de energiesector (75%) en de transportsector (74%).
Van Huffelen kan nieuwe ransomware-aanval op gemeente niet uitsluiten
Staatssecretaris van Huffelen van Digitalisering kan niet uitsluiten dat een Nederlandse gemeente opnieuw het slachtoffer van een ransomware-aanval wordt. Nieuwe maatregelen om gemeenten tegen dergelijke aanvallen te beschermen worden niet uitgesloten. Dat laat de bewindsvrouw weten naar aanleiding van de aanval op de gemeente Buren. Bij deze gemeente wisten aanvallers gigabytes aan vertrouwelijke data buit te maken, waaronder de identiteitsbewijzen van driehonderd burgers. Naar aanleiding van de aanval vroeg VVD-Kamerlid Rajkowski de staatssecretaris om opheldering. Zo wilde ze onder andere weten welke andere Nederlandse gemeente het slachtoffer van ransomware geworden. Daarbij noemt Van Huffelen de gemeente Lochem in 2019 en de gemeente Hof van Twente in 2020. "Daarbij was geen sprake van datadiefstal. Deze gemeenten hebben hier transparant over gecommuniceerd en lessen gedeeld", voegt de staatssecretaris toe. "Hoe groot acht u de kans dat soortgelijke aanvallen bij andere gemeentes plaatsvinden? Welke stappen worden vanuit de Rijksoverheid genomen om gemeentes cyberweerbaar te maken tegen ransomware-aanvallen en andere digitale aanvallen?", vroeg Rajkowski verder. Van Huffelen merkt op dat het niet is te voorspellen of en wanneer soortgelijke aanvallen plaatsvinden. "Ik kan in elk geval niet uitsluiten dat een dergelijke aanval opnieuw zal plaatsvinden, noch bij een gemeente, noch bij een andere organisatie in een geheel andere sector." De gemeente Buren zal naar aanleiding van de aanval de onderzoeksrapportage en evaluatie openbaar maken. Beide zijn er echter nog niet. "Het is daarom nu nog te vroeg om aan te geven welke concrete lessen uit de aanpak van de gemeente Buren kunnen worden getrokken", stelt Van Huffelen. Afsluitend meldt de staatssecretaris dat de gemeente Buren voldoet aan de Baseline Informatiebeveiliging Overheid (BIO) en het onderzoek moet aantonen hoe het incident heeft kunnen gebeuren. "Ik hecht eraan te vermelden dat de gemeente nu midden in een grote crisis verwikkeld is en dat het belangrijk is de uitkomsten van het lopend onderzoek en evaluatie af te wachten." Afhankelijk van het onderzoek en de evaluatie moet volgens Van Huffelen blijken hoe dergelijke aanvallen in de toekomst zijn te voorkomen en of het nodig is om aanvullende maatregelen te treffen.
Gemeente Buren gaat bij ransomware-aanval gestolen id-bewijzen vervangen
De gemeente Buren gaat driehonderd identiteitsbewijzen die bij een ransomware-aanval op 1 april werden gestolen kosteloos vervangen. Getroffen inwoners en oud-inwoners hebben een brief ontvangen voor het aanvragen van een nieuw identiteitsbewijs. "De komende tijd blijven we onze bestanden nalopen. Als er tijdens dit onderzoek meer identiteitsbewijzen worden aangetroffen, die op het darkweb staan, dan krijgen betrokkenen hierover een persoonlijk bericht", aldus de gemeente. Criminelen achter de SunCrypt-ransomware wisten toegang te krijgen tot systemen van de gemeente Buren en daar naar eigen zeggen vijf terabyte aan data buit te maken. Het gaat onder andere om gevoelige persoonsgegevens en vertrouwelijke informatie van inwoners. Honderddertig gigabyte aan gestolen data is inmiddels online gezet. Hoe de aanvallers binnen wisten te dringen is nog altijd niet bekendgemaakt. Het digitaal forensisch onderzoek naar de exacte oorzaak loopt nog. Wel heeft de gemeente naar eigen zeggen extra maatregelen getroffen. Wat die precies inhouden wordt niet gemeld. "De hacker zit niet meer in ons systeem en kan hier ook niet meer opnieuw binnenkomen. Anders waren we niet opnieuw opengegaan", zo laat de gemeente verder weten, die tevens opmerkt dat inwoners niet hun telefoonnummer, e-mailadres of IBAN hoeven aan te laten passen.
Cisco waarschuwt voor actief aangevallen zerodaylek in IOS XR
Cisco waarschuwt organisaties en netwerkbeheerders voor een actief aangevallen zerodaylek in IOS XR waardoor een ongeauthenticeerde aanvaller toegang tot de Redis-database kan krijgen die binnen een container van het systeem draait. Een aanvaller kan zo informatie binnen de Redis-database aanpassen, willekeurige bestanden naar het container bestandssysteem schrijven en informatie over de Redis-database achterhalen. Vanwege de configuratie van de container waarin de Redis-database draait kan een aanvaller geen willekeurige code uitvoeren. De impact van de kwetsbaarheid, aangeduid als CVE-2022-20821, is op een schaal van 1 tot en met 10 beoordeeld met een 6.5. Volgens Cisco wordt het probleem veroorzaakt doordat op systemen waar het health check package is geïnstalleerd standaard tcp-poort 6379 wordt geopend. Om misbruik van de kwetsbaarheid te voorkomen kan de health check worden uitgeschakeld of tcp-poort 6379 via een Infrastructure Access Control List (iACL) worden geblokkeerd. Daarnaast zijn er beveiligingsupdates uitgebracht. Cisco ontdekte de kwetsbaarheid bij het onderzoeken van een supportcase. Vanwege het waargenomen misbruik adviseert de netwerkgigant om de genoemde workarounds toe te passen of de update te installeren.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 46-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 45-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 44-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 38-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 37-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 36-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 35-2024
Reading in π¬π§ or another language