Overzicht cyberaanvallen week 23-2022

Gepubliceerd op 13 juni 2022 om 15:00

E-mail over salarisverhoging gebruikt voor aanval op Europese overheden, cyberaanval op keukenfabrikant Bribus en ransomware-bendes geven slachtoffers nu de tijd om hun reputatie te redden. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 5.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.


Update: 13-juni-2022 | Aantal slachtoffers: 5.638



Week overzicht

Slachtoffer Cybercriminelen Website Land
Opal BlackByte www.opal-uk.com UK
SDZ Druck und Medien Black Basta www.sdz-medien.de Germany
slgienergy.com LockBit slgienergy.com USA
novartis.com/ch-de/ Industrial Spy novartis.com Switzerland
www.planet-biogas.com Industrial Spy www.planet-biogas.com Germany
The University of Pisa BlackCat (ALPHV) www.unipi.it Italy
Metek Plc Everest metek.co.uk UK
eivp-paris.fr BlackCat (ALPHV) eivp-paris.fr France
Tiroler Rohre GmbH Black Basta www.trm.at Austria
Worldwide Flight Services Black Basta www.wfs.aero France
cargoexperts.eu LockBit cargoexperts.eu Cyprus
www.vectorinf.com.br LockBit www.vectorinf.com.br Brazil
Samson Supplies Co. Crimson Walrus Unknown Unknown
Spencer, Daniels & Daniels Law Crimson Walrus Unknown Unknown
D.S Financial Crimson Walrus Unknown Unknown
Ascension International Crimson Walrus Unknown Unknown
kaisoten.co.jp LockBit kaisoten.co.jp Japan
CAPECODRTA LV capecodrta.org USA
Palermo Vice Society www.comune.palermo.it Italy
Livingston AvosLocker livingston.com Unknown
Goodman Campbell Brain & Spine Hive goodmancampbell.com USA
English Construction Company Black Basta www.englishconst.com USA
The O'Regan Black Basta www.oregans.com Canada
Losberger De Boer Black Basta www.losbergerdeboer.com Germany
equis.com LockBit equis.com Singapore
Yildiz Entegre USA AvosLocker yildizentegre.com Turkey
CMHA National AvosLocker cmha.ca Canada
Chimbusco AvosLocker chimbusco.com.sg China
VTVCAB Everest www.vtvcab.vn Vietnam
mandiant.com LockBit mandiant.com USA
IBRCN.COM LockBit www.szibr.com China
sesver.gob.mx LockBit sesver.gob.mx Mexico
patralogistik.com LockBit patralogistik.com Indonesia
hyatts.com LockBit hyatts.com USA
linmark.com LockBit linmark.com Hong Kong

In samenwerking met DarkTracer


Amerikaans schooldistrict annuleert eindexamens wegens ransomware

Een Amerikaans schooldistrict heeft wegens een ransomware-aanval op de schoolsystemen alle eindexamens moeten annuleren. Wegens de aanval zag het Tenafly Public School District zich gedwongen om terug te vallen op pen en papier. Het districtsbestuur besloot vanwege de aanval systemen uit te schakelen en isoleren, waardoor digitale lesmethodes niet meer beschikbaar zijn. Afgelopen dinsdag werd vervolgens besloten om alle eindexamens voor scholieren in het schooldistrict te annuleren. Er zijn geen plannen om ze opnieuw in te roosteren. Volgens het schooldistrict is de beslissing genomen omdat het gezien de huidige situatie niet eerlijk is tegenover leerlingen om de examens door te laten gaan. Leerlingen hebben sinds de aanval geen toegang tot systemen met hun aantekeningen voor de eindexamens, zoals Google Workspace en e-mail. Wie erachter de aanval zit is onbekend, zo melden verschillende Amerikaanse media. Ook laat het schooldistrict niet weten hoeveel losgeld de aanvallers eisen. Er is nog geen beslissing genomen of het geëiste losgeld zal worden betaald. Het is tevens onduidelijk wanneer alle systemen zijn hersteld. Het schooldistrict telt ruim 3700 leerlingen.


Cuba ransomware keert terug naar het afpersen van slachtoffers met bijgewerkte encryptor

De Cuba ransomware-operatie is teruggekeerd naar de reguliere activiteiten met een nieuwe versie van zijn malware gevonden gebruikt in recente aanvallen. De activiteit van de Cuba-ransomware bereikte een hoogtepunt in 2021 toen het samenwerkte met de Hancitor-malwarebende voor de eerste toegang. Tegen het einde van het jaar had het 49 kritieke infrastructuurorganisaties in de Verenigde Staten geschonden. Dit jaar begon minder indrukwekkend voor de ransomware-bende, met weinig nieuwe slachtoffers. Mandiant zag echter tekenen van tactische veranderingen en experimenten die aangaven dat de groep nog steeds actief is. De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.

Cuba Ransomware Groups New Variant Found Using Optimized Infection Techniques
PDF – 257,2 KB 290 downloads

Vice Society ransomware claimt aanval op Palermo

De Ransomware-groep Vice Society heeft de verantwoordelijkheid opgeëist voor de recente cyberaanval op de stad Palermo in Italië, die resulteerde in grootschalige serviceonderbrekingen. De cyberaanval op de stad vond afgelopen vrijdag plaats en alle op internet gebaseerde diensten werden niet meer beschikbaar, met gevolgen voor 1,3 miljoen mensen en veel toeristen die de stad bezochten. De autoriteiten gaven toe dat alle systemen offline moesten worden gehaald om de schade te beperken en waarschuwden dat de storingen nog een paar dagen zouden kunnen duren. Gisteren (9-6) beweerde de ransomware-groep Vice Society dat ze achter de aanval op Palermo zaten door een vermelding op hun darkweb dataleksite te plaatsen en dreigde alle gestolen documenten tegen zondag te publiceren als er geen losgeld wordt betaald. De gegevens die door de bende worden verzameld, kunnen de persoonlijk identificeerbare informatie van de inwoners van Palermo en de gevoelige gegevens van iedereen die de digitale diensten van de gemeente heeft gebruikt, omvatten. De ransomware-bende heeft echter geen monsters van gestolen bestanden geplaatst en dus is de geclaimde gegevensexfiltratie nog niet geverifieerd. Vice Society staat bekend om het doorbreken van netwerken door gebruik te maken van bekende kwetsbaarheden op ongepatchte systemen. Het is nu niet mogelijk om te zeggen of de computersystemen van Palermo een beveiligingslek hadden dat kon worden misbruikt voor de eerste toegang. De functionarissen in Palermo hebben geen details van de aanval bekendgemaakt, hoewel er bijna een week is verstreken sinds het hele IT-systeem werd uitgeschakeld dat alle diensten van de stad beheert.


VS meldt actief misbruik van lek in Meeting Owl videoconferentiecamera

Aanvallers maken actief misbruik van een kwetsbaarheid in videoconferentiecamera Meeting Owl Pro en whiteboardcamera Whiteboard Owl, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. De camera's worden wereldwijd door bedrijven en organisaties, onder andere in Nederland, gebruikt voor videoconferencing. Onderzoekers van modzero ontdekten verschillende kwetsbaarheden waardoor het mogelijk is om vertrouwelijke informatie van gebruikers te achterhalen of de camera's als rogue wireless gateway tot het bedrijfsnetwerk te gebruiken. De apparaten zijn namelijk door iedereen in de buurt via bluetooth als access point in te stellen. De camera creëert hierbij een nieuw wifi-netwerk terwijl het tegelijkertijd met de al geconfigureerde wifi-verbinding verbonden blijft. De onderzoekers van modzero ontdekten dat de Meeting Owl gebruikmaakt van hardcoded credentials. Hiermee kan elke gebruiker in de buurt van het apparaat via bluetooth de access point-mode inschakelen en er zo een rogue wireless gateway tot het bedrijfsnetwerk van maken. Deze kwetsbaarheid wordt aangeduid als CVE-2022-31460. Fabrikant Owl Labs werd in januari over de beveiligingslekken ingelicht. Het bedrijf liet weten dat alle problemen halverwege mei verholpen zouden zijn. Aangezien dat niet het geval was besloten de onderzoekers hun bevindingen op 31 mei openbaar te maken. Owl Labs kwam vervolgens op 3 en 6 juni met beveiligingsupdates voor zowel de camera als de Whiteboard Owl. Updates worden alleen automatisch geïnstalleerd wanneer de camera 's nachts is aangesloten op het wifi-netwerk en stopcontact. In een verklaring stelde Owl Labs dat de kans dat klanten via de kwetsbaarheden zijn aangevallen klein is. Het CISA laat nu weten dat dit wel het geval is. De Amerikaanse overheidsinstantie houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste toevoeging bevat de kwetsbaarheid in de Owl-camera's, alsmede 35 andere kwetsbaarheden. De andere beveiligingslekken zijn echter jaren oud. Amerikaanse overheidsinstanties moeten alle 36 kwetsbaarheden voor 22 juni hebben gepatcht.


VS: verkeer telecomproviders door aanvallers onderschept en gestolen

Meerdere grote telecom- en netwerkproviders zijn doelwit geworden van aanvallers die netwerkverkeer weten te onderscheppen en stelen, zo waarschuwen de Amerikaanse geheime dienst NSA, de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Daarbij zoeken de aanvallers, die volgens de Amerikaanse autoriteiten door de Chinese overheid worden gesponsord, naar bekende kwetsbaarheden in netwerkapparatuur van Cisco, Fortinet en MikroTik. Hiervoor wordt gebruikgemaakt van opensourcetools zoals RouterSploit en RouterScan waarmee kwetsbaarheden in netwerkapparatuur is te misbruiken. Zodra er toegang tot het telecombedrijf is verkregen zoeken de aanvallers naar de Remote Authentication Dial-In User Service (RADIUS) server en proberen vervolgens de inloggegevens uit de RADIUS-database te stelen. Met de inloggegevens van de RADIUS-servers loggen de aanvallers in op Cisco- en Juniper-routers en voeren daar commando's uit en verzamelen informatie over de routerconfiguratie. Met de geldige accounts en inloggegevens van de gecompromitteerde RADIUS-server en verkregen routerconfiguraties kunnen de aanvallers vervolgens het netwerk van het telecombedrijf onderscheppen, vastleggen en doorsturen naar de eigen infrastructuur. Dergelijke aanvallen tegen telecombedrijven en netwerkinfrastructuur zouden zeker sinds 2020 plaatsvinden, zo stellen de Amerikaanse diensten. Om dergelijke aanvallen te voorkomen krijgen organisaties het advies om al hun apparatuur en systemen up-to-date te houden, een gecentraliseerd patchmanagementsysteem te overwegen en gecompromitteerde apparatuur meteen van het netwerk te verwijderen of te isoleren. Verder wordt het gebruik van multifactorauthenticatie voor vpn-verbindingen aangeraden en het uitschakelen van onnodige of ongebruikte netwerkdiensten, poorten, protocollen en apparaten.


Roblox Game Pass-winkel gebruikt om ransomware-decryptor te verkopen

Een nieuwe ransomware neemt de ongebruikelijke aanpak van het verkopen van zijn decryptor op het Roblox-gamingplatform met behulp van de in-game Robux-valuta van de service. Roblox is een online gamingplatform voor kinderen waar leden hun eigen games kunnen maken en er geld mee kunnen verdienen door Game Passes te verkopen, die in-game items, speciale toegang of verbeterde functies bieden. Om deze Game Passes te betalen, moeten leden ze kopen met een in-game valuta genaamd Robux.


BlackCat - In een veranderend dreigingslandschap helpt het om op je voeten te landen: Tech Dive

Dit rapport is deel één van AdvIntel's nieuwe serie over de ALPHV (aka BlackCat) ransomware groep. In het komende deel twee zal AdvIntel een analytische lens hebben op het organisatorische, wervings- en operationele proces van BlackCat. Dit deel introduceert de context en biedt een diepe duik in de technische mogelijkheden van de groep, wat een nieuw soort bedreigingsactoren zou kunnen inluiden die het cybercriminele ecosysteem betreden. De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.

Black Cat In A Shifting Threat Landscape It Helps To Land On Your Feet Tech Dive
PDF – 2,7 MB 210 downloads

Ontsleuteld: TarRak Ransomware

De TaRRaK ransomware verscheen in juni 2021. Deze ransomware bevat veel codeerfouten, dus we besloten om er een kleine blog over te publiceren. Voorbeelden van deze ransomware werden gespot in ons gebruikersbestand, dus we hebben ook een decryptor voor deze ransomware gemaakt. De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.

Decrypted Ta R Ra K Ransomware
PDF – 984,6 KB 272 downloads

Ook Amerikaanse lokale overheid doelwit van phishing-aanvallen

Windows zero-day wordt misbruikt in phishing-campagnes tegen Europese en Amerikaanse lokale overheden. Europese overheden en lokale overheden in de VS waren het doelwit van een phishing-campagne met behulp van kwaadaardige Rtf-documenten (Rich Text Format) door misbruik te maken van een kritieke Windows zero-day-kwetsbaarheid die bekend staat als Follina. Lokale overheden in ten minste twee Amerikaanse staten waren het doelwit van deze phishing-campagne.


E-mail over salarisverhoging gebruikt voor aanval op Europese overheden

Een e-mail over een salarisverhoging is gebruikt bij een aanval op Europese overheden, zo stelt securitybedrijf Proofpoint dat meerdere van de berichten bij klanten onderschepte. De berichten hebben als onderwerp "Your new salary" en stellen dat de ontvanger een salarisverhoging van twintig procent krijgt. Om de salarisverhoging te bevestigen moet de meegestuurde arbeidsovereenkomst worden ondertekend en teruggestuurd. Het meegestuurde rtf-document bevat echter een exploit die misbruik maakt van een zerodaylek in de Windows Support Diagnostic Tool (MSDT) met de naam "Folina" of CVE-2022-30190 waar nog altijd geen beveiligingsupdate van Microsoft voor beschikbaar is. Wel heeft Microsoft een workaround gepubliceerd die bestaat uit het uitschakelen van het MSDT-protocol. Via de exploit in het document wordt een Powershell-script gedownload en uitgevoerd. Dit script steelt informatie uit browsers, e-mailclients en file servers op het systeem en stuurt die middels een zip-bestand terug naar een specifiek ip-adres. Eerder liet ook antivirusbedrijf Kaspersky weten dat het honderden aanvallen had waargenomen waarbij de exploit voor de Windows-kwetsbaarheid werd gebruikt.


Linux-versie van Black Basta ransomware richt zich op VMware ESXi-servers

Black Basta is de nieuwste ransomware-bende die ondersteuning toevoegt voor het versleutelen van VMware ESXi virtuele machines (VM's) die draaien op enterprise Linux-servers. De meeste ransomware-groepen richten hun aanvallen nu op ESXi-VM's, omdat deze tactiek overeenkomt met hun bedrijfstargeting. Het maakt het ook mogelijk om te profiteren van snellere codering van meerdere servers met een enkele opdracht. Het versleutelen van VM's is logisch omdat veel bedrijven onlangs zijn gemigreerd naar virtuele machines, omdat ze eenvoudiger apparaatbeheer en een veel efficiënter gebruik van bronnen mogelijk maken. De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.

Black Basta Ransomware Goes Cross Platform Now Targets ES Xi Systems
PDF – 826,1 KB 293 downloads

Ransomware-bendes geven slachtoffers nu de tijd om hun reputatie te redden

Bedreigingsanalisten hebben een ongebruikelijke trend waargenomen in tactieken van ransomware-groepen en melden dat de eerste fasen van afpersing van slachtoffers minder open worden voor het publiek, omdat de actoren de neiging hebben om verborgen of anonieme vermeldingen te gebruiken. Door de naam van het slachtoffer niet onmiddellijk bekend te maken, geven de ransomware-agenten hun doelwitten een uitgebreidere mogelijkheid om in het geheim over het losgeld te onderhandelen, terwijl ze nog steeds een niveau van druk behouden in de vorm van een toekomstig datalek. KELA, een Israëlische cyberintelligentiespecialist, heeft zijn Q1 2022 ransomware-rapport gepubliceerd dat deze trend illustreert en verschillende veranderingen in het veld belicht. De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.

KELA RESEARCH RANSOMWARE VICTIMS AND NETWORK ACCESS SALES IN Q 1 2022
PDF – 1,3 MB 296 downloads

Hackersgroep neemt ict overheid Karinthië onder vuur

Het zijn geen tanks die onze dorpen binnenrijden of raketten die op ons afgevuurd worden. Huizen, kerken en scholen staan nog overeind en slachtoffers zijn er niet te betreuren. Toch worden we aangevallen, zeer waarschijnlijk vanuit Rusland. Een hackersgroep die zich ”Black cat” noemt, zette enkele weken geleden de aanval in op de ict-systemen van de Karinthische overheid. Tal van digitale functies van de ambtelijke systemen werden door de cybercriminelen onklaar gemaakt. Uitkeringen konden niet worden betaald, de e-mail van het complete ambtenarenkorps deed het niet meer en websites van verschillende overheidsinstellingen lagen plat. Een nieuw paspoort of rijbewijs kon je niet meer krijgen. Het was de ambtenaren onmogelijk om te bellen. Hun werd dan ook vriendelijk verzocht om maar vakantiedagen op te nemen. Zonder computer en telefoon valt er als ambtenaar nu eenmaal niet veel te doen. De hackers legden niet alleen de systemen lam, ze maakten ook meer dan 260 gigabyte aan gevoelige data buit. Daaronder e-mails, scans van paspoorten, van visa en van bankkaarten. Om nog erger te voorkomen trokken de ict-specialisten van deelstaat Kärnten simpelweg de stekker uit alle 3000 ambtelijke systemen. Het hackerscollectief meldde zich na de aanval bij de deelstaatregering met een eis van 5 miljoen dollar in bitcoins. Weigerde de regering het geld te betalen, dan zou de geroofde data gepubliceerd worden en zouden volgende aanvallen volgen. Landeshauptmann Peter Kaiser wees de eis resoluut van de hand. „We laten ons niet afpersen en we werken niet samen met criminelen”, zei hij ferm. Vervolgens verscheen eind vorige week een deel van de data op internet en werden er nieuwe aanvallen op de ambtelijke systemen uitgevoerd. Waarom juist Karinthië doelwit is? Niemand weet het. Oostenrijk is geen partij in de oorlog tussen Rusland en Oekraïne. Het land is neutraal, geen lid van de NAVO. Vanuit het Alpenland worden geen wapens geleverd aan Oekraïne, behalve wat helmen en beschermende kleding. Een politieke aanleiding voor de aanval is dan ook onwaarschijnlijk. Waarschijnlijk zal het de cybercriminelen gewoon om het geld gaan en kiezen ze een willekeurig slachtoffer uit. Hoewel de grootste schade inmiddels hersteld is en de meeste systemen weer functioneren, is de deelstaatregering bang dat de dreiging nog lang niet afgewend is. Dat bleek zondag nog tijdens een persconferentie. De live-stream ervan, alleen toegankelijk voor journalisten, werd gehackt. Black Cat plaatste een Engelstalig dreigement dat ook de rest van de data openbaar gemaakt zal worden als de deelstaat blijft weigeren te betalen en dat nieuwe aanvallen zullen volgen.


QBot pusht nu Black Basta ransomware in bot-powered aanvallen

De Black Basta ransomware-bende werkt samen met de QBot-malware-operatie om zich lateraal te verspreiden via gehackte bedrijfsomgevingen. QBot (QuakBot) is Windows-malware die bankreferenties, Windows-domeinreferenties steelt en verdere malware-payloads levert op geïnfecteerde apparaten. Slachtoffers raken meestal besmet met Qbot via phishing-aanvallen met kwaadaardige bijlagen. Hoewel het begon als een banktrojan, heeft het talloze samenwerkingen gehad met andere ransomware-bendes, waaronder MegaCortex, ProLock, DoppelPaymer en Egregor. De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.

Mis geen enkel belangrijk rapport: https://www.cybercrimeinfo.nl/rapporten

Shining The Light On Black Basta
PDF – 1,5 MB 271 downloads

Cyberaanval op keukenfabrikant Bribus

De Achterhoekse keukenfabrikant Bribus is het slachtoffer geworden van een cyberaanval. Om schade te voorkomen heeft het in Dinxperlo gevestigde bedrijf, dat zelf spreekt van een ‘cybersecurity-event’, alle IT-systemen uit voorzorg offline gehaald. Het betreft onder meer de e-mailsystemen en de online bestelomgeving van het bedrijf. Bribus meldt dat als gevolg hiervan ‘de verwerking, productie en leveringen van orders tijdelijk vertraging’ oplevert. Vooralsnog is onbekend waar de cyberaanval precies vandaan is gekomen. Het onderzoek daarnaar is gaande en daarom wil Bribus verder geen details delen, laat financieel directeur Edwin Roos weten. ,,We houden het bij ons statement online, het is al treurig genoeg voor ons.” Bribus werkt hard aan een oplossing, maar het is nog onduidelijk wanneer het probleem voorbij is en alle systemen weer ingeschakeld kunnen worden. Bribus is één van de grootste projectmatige keukenfabrikanten van Nederland en maakt en levert keukens in serie voor bijvoorbeeld nieuwbouwprojecten en aan woningbouwcorporaties. Ook de montage van en het onderhoud aan de keukens wordt door Bribus verzorgd. Het bedrijf telt ongeveer 300 medewerkers en bouwt jaarlijks zo’n 55.000 keukens.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »