Overzicht cyberaanvallen week 24-2022

Gepubliceerd op 20 juni 2022 om 15:00

Exchange-servers aangevallen om BlackCat-ransomware te verspreiden, Zwitsers luchtruim tijdlang gesloten door computer storing bij luchtverkeersleiding en Ransomwarebende maakt een website waarop werknemers naar hun gestolen gegevens kunnen zoeken. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 5.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.


Update: 20-juni-2022 | Aantal slachtoffers: 5.673



Week overzicht

Slachtoffer Cybercriminelen Website Land
htijobs.com Industrial Spy htijobs.com USA
hfi-inc.com Industrial Spy hfi-inc.com USA
SOCOTEC Suncrypt www.socotec.us USA
CR2 AvosLocker cr2.com Ireland
Bechstein AvosLocker bechstein.com Germany
Spy Ballon Moses Staff Unknown Unknown
www.tb-kawashima.co.jp/en/ LockBit www.tb-kawashima.co.jp Japan
www.lundinroof.com LockBit www.lundinroof.com USA
RG Alliance Group Quantum rgalliance.com USA
www.cmz.com Industrial Spy www.cmz.com Spain
Novelty Group Vice Society www.novelty-group.com France
MOLTOLUCE LV www.moltoluce.com Austria
vanderpol's BlackCat (ALPHV) www.vanderpolseggs.com Canada
Israeli power companies​ Moses Staff iec.co.il Israel
RadiciGroup Black Basta www.radicigroup.com Italy
Magnum Vice Society www.magnum.fr France
genusplc.com LockBit genusplc.com UK
medcoenergi.com LockBit medcoenergi.com Indonesia
dgi.gouv.ml LockBit www.dgi.gouv.ml Mali
gruppowasteitalia.it LockBit gruppowasteitalia.it Italy
www.kinexia.it LockBit www.kinexia.it Italy
YMCA Quantum www.ymcasouthflorida.org USA
Shred Station Quantum www.shredstation.co.uk UK
M. Green and Company LLP Quantum mgreencpas.com USA
Medlab Pathology Quantum medlab.com.au Australia
Purvis Industries BlackCat (ALPHV) purvisindustries.com USA
SHOPRITE HOLDINGS LTD RansomHouse www.shopriteholdings.co.za South Africa
Plainedge Public Schools BlackCat (ALPHV) www.plainedgeschools.org USA
SCHIFFMANS LV schiffmans.com USA
MOTOLUCLE.COM LV motolucle.com Unknown
theallison.com BlackCat (ALPHV) theallison.com USA
Bernd Hösele Group Black Basta www.hoesele.com Austria
Grand Valley State University Vice Society www.gvsu.edu USA
Etron Cuba www.etron.com Taiwan
ptg.com.au LockBit ptg.com.au Australia

In samenwerking met DarkTracer


Poetin ‘beveelt tot 50 spionnen van slaapagenten die zich in Groot-Brittannië verbergen om zich voor te bereiden op cyberaanvallen tegen het VK’

Vladimir Poetin heeft tot 50 slapende agenten in Groot-Brittannië bevolen om zich voor te bereiden op een aanval  tegen het VK, zo wordt beweerd. MI5 is van mening dat de Russische leider undercoveragenten opdracht heeft gegeven klaar te staan ​​om cyberaanvallen uit te voeren te midden van oplopende spanningen met Moskou over de oorlog in Oekraïne. Inlichtingenfunctionarissen vrezen dat de speciale troepen ook proberen militaire informatie te stelen en zich richten op Oekraïense activisten en dissidenten in Rusland. Bronnen vertelden aan The Mirror dat Russische spionnen waren geïnfiltreerd in alle sectoren van de Britse samenleving, inclusief de hoogste staatsscholen en het ambtenarenapparaat. Een hoge inlichtingenfunctionaris zei: 'We moeten aannemen dat Rusland nu actief is op alle niveaus van de Britse samenleving. (Binnenkort hier meer over op Cybercrimeinfo)


Cyberaanval op een NAVO land

Een cyberaanval wordt binnenkort misschien wel gezien als een gewapende aanval, die artikel 5 van de NAVO in werking kan treden. Kortom: een cyber-aanval op 1 NAVO-land, is een aanval op alle NAVO-landen. Het kabinet is het eens met dat idee, dat in het nieuwe Strategisch Concept van de NAVO staat. CEO van ESET Nederland Dave Maasland weet wat de gevolgen hiervan zijn.


Supermarktketen Shoprite getroffen door ransomware

De grootste supermarktketen van Afrika, Shoprite Holdings, met bijna 3.000 winkels in 12 landen op het continent, is aangevallen met ransomware. Shoprite heeft een omzet van $ 5,8 miljard en 149.000 medewerkers. De retailer heeft 2.943 winkels en bedient miljoenen klanten in Zuid-Afrika, Nigeria, Ghana, Madagaskar, Mozambique, Namibië, DRC, Angola en andere landen. Het bedrijf maakte bekend dat het afgelopen vrijdag een beveiligingsincident heeft meegemaakt en waarschuwde klanten in Eswatini, Namibië en Zambia dat hun persoonlijke gegevens mogelijk in gevaar zijn gebracht na een cyberaanval. Volgens de verklaring van de supermarkt zijn er aanvullende beveiligingsmaatregelen genomen om gegevensverlies verder te voorkomen door de authenticatieprocessen en strategieën voor fraudepreventie en -detectie aan te passen om gegevens van klanten te beschermen. Ze zorgen ervoor dat ook de toegang tot relevante delen van het netwerk wordt afgesloten. De gecompromitteerde records hadden namen en identificatiegegevens, maar er waren geen financiële informatie of bankrekeningnummers bij betrokken. Nu heeft een ransomwarebende genaamd RansomHouse de verantwoordelijkheid voor de aanval opgeëist en een steekproef van 600 GB aan gegevens vrijgegeven waarvan ze denken dat ze tijdens de aanval van een winkelier hebben gestolen.


Microsoft: Exchange-servers aangevallen om BlackCat-ransomware te verspreiden

Microsoft zegt dat hackers actief proberen om Microsoft Exchange-servers aan te vallen om vervolgens BlackCat-ransomware te verspreiden. BlackCat is ransomware die door meerdere partijen wordt gebruikt. Volgens Microsoft proberen hackers in te breken door ongepatchte kwetsbaarheden te misbruiken. Eens dat lukt, gaan ze in het bedrijfsnetwerk inloggegevens en bedrijfsgegevens stelen, later wordt BlackCat uitgerold. Zo kan het bedrijf zowel worden afgeperst door toestellen te versleutelen, als met de dreiging om de bedrijfsgegevens publiek te maken. BleepingComputer merkt op dat het niet om één groep gaat, maar vermoedelijk om meerdere groepen, gezien BlackCat wordt aangeboden als ransomware as a service. Daarbij gaan de makers van de ransomware hun software aanbieden aan meerdere spelers die vervolgens zelf hun doelwit kiezen en mogelijk afpersen. BlackCat zelf is sinds november 2021 actief? Microsoft zegt dat het op verschillende toestellen en besturingssystemen wordt gebruikt, zowel Linux, Windows als VMWare omgevingen.

The Many Lives Of Black Cat Ransomware
PDF – 838,1 KB 283 downloads
Slachtoffers BlackCat
vanderpol's PhoenixPackagingPA Relationships Australia Medical Staff SNOP GROUP
Purvis Industries Alliant Physical Therapy LW Group Scherr Legate Uriach
Plainedge Public Schools Davis Law Group, P.C. Maintainco Inc. NorthEast Coverages Ballester Hermanos
theallison.com j-w-anderson.com KELLY,REMMEL&ZIMMERMAN Quantel Medical Lincoln Industries
The University of Pisa FRISA.com Bradsby Group bishopeye.com van Eupen Logistik
eivp-paris.fr innotecgroup.com  BERITASATUMEDIA.COM chemtech.net RCMS
land karnten Calvetti Ferguson HAVI Logistic hk-callcentre New City Commercial Corporation (NCCC)
Alexandria. (LA) Abrams & Bayliss LLP vri.maniberia.net Albany Bank and Trust Company Strataworldwide.com
Nelsonslaw LLP North View Escrow Corp Noble Oil Royal Laser Kellersupply
AMS-Gruppe Secova Inc unapen.internal mainland.com.hk
CMC Electronics Barakat Travel and Private Jet M.T.B. CGT S.p.A.
Klasner Solomon & Partners Chartered Professional Accountants eNoah it solutions Bullfrog International SVA Jean Rozé
Whitehall. (OH) Wally Edgar Chevrolet Monteleone & McCrory LLP themisautomation.com
GREEN MOUNTAIN ELECTRIC SUPPLY tgs.com.ar inibsa.com ipec.ro
Horwitz Law, Horwitz & Associates Florida International University Carpenter & Zuckerman Brookson Group 
Imagen Television AIT.th BAUCENTER Moncler
SYSOL North Carolina A&T State University Assimoco Group D.F. Chase
Boom Logistics (boomlogistics.com.au) bet9ja.com Waller Lansden Dortch & Davis, LLP Redbadge
Tecnopack goldbet.it Long Fence CSEG.CN
M+A Partners Enoah Isolutions MADRID CALLE 30 SA Detroit Stoker
Campbell & Partners Consulting DC ADVISORY GEMS Education The Grand Bahama Port Authority
The People's Federal Credit Union Favoris Holding AG JinkoSolar.com (NYSE: JKS) FrenchGourmet
BRITISH LINK KUWAIT Trace Midstream Phyllis Browning Company CED Group
Sarasin & partners LLP WKPZ Law www.pccua.edu NanoFocus
Richardson & Pullen, PC CASTGROUP.COM.BR threesixtysourcing.com Centaris.com
IKPT Dober Doherty Cella Keane Douglas Shaw & Associates
NECSUM SSW Consulting Southwark Metal Manufacturing Co. Unified Technologies
NECSUM TRISON Rudsak Inc HyLife Hunter Douglas
Innotec, Corp. DC Solutions Swissport Buffers USA
quito.gob.ec VOYAGER DISTRIBUTING COMPANY PTY. LTD. ecostampa.it Solaris Management Consultants

Zwitsers luchtruim tijdlang gesloten door computer storing bij luchtverkeersleiding

Het luchtruim van Zwitserland was woensdagochtend omwille van veiligheidsredenen “tot nader order” gesloten, wegens een informaticapanne bij luchtverkeersleider Skyguide. Volgens de luchthaven van Genève en Zürich is het probleem ondertussen opgelost en kan het vliegverkeer weer opstarten. Op de luchthaven van Genève zijn alle vertrekkende en inkomende vluchten tot zeker 11 uur opgeschort. Vanaf Brussels Airport zijn woensdagochtend twee vluchten naar Genève gepland, waarvan er één geannuleerd werd en een andere met vertraging aangekondigd is. Het luchtverkeer is sinds 8.30 uur geleidelijk hervat. Verschillende vluchten blijven geannuleerd, waardoor reizigers verzocht wordt om bij hun luchtvaartmaatschappij na te gaan of hun vlucht nog doorgaat. Heel wat vluchten naar Genève of Zürich werden woensdagochtend omgeleid naar luchthavens in buurlanden, waaronder die van Lyon, Milaan en Wenen. De woordvoerder van Skyguide, Vladi Barrosa, liet aan het Duitse persagentschap dpa weten dat het bedrijf niet uitgaat van een cyberaanval, maar dat een hardwareprobleem wellicht aan de basis van de panne lag.


Ransomware-aanval gemeente Buren via gestolen inloggegevens leverancier

De ransomware-aanval op de gemeente Buren vanwege afgelopen april waarbij gevoelige informatie van inwoners werd gestolen en gepubliceerd kon plaatsvinden doordat de aanvallers over de inloggegevens van een leverancier beschikten. Voor dit account was geen tweefactorauthenticatie (2FA) ingesteld, waardoor de aanvallers alleen aan een gebruikersnaam en wachtwoord voldoende hadden. Verdere details over het soort account en de leverancier in kwestie zijn niet gegeven. Bij de aanval werd zeker honderddertig gigabyte aan data buitgemaakt. Het ging onder andere om identiteitsbewijzen. Op de getroffen systemen stonden kopieën van ruim 1300 identiteitsbewijzen. Om misbruik te voorkomen geeft de gemeente getroffen inwoners de mogelijkheid om hun identiteitsbewijs kosteloos te vervangen. Op dit moment zijn er al ruim duizend inwoners aangeschreven met het aanbod hun identiteitsbewijs te laten vervangen. De gemeente Buren zegt dat het op advies van specialisten niet is ingegaan op verzoeken van de aanvallers tot contact. "Naar alle waarschijnlijkheid zou er om losgeld zijn gevraagd. Er is daarover niet met de hackers onderhandeld. Ook omdat de Rijksoverheid zich uitgesproken heeft tegen betaling van losgeld bij datadiefstal", zo laat de gemeente weten. De aanvallers claimen dat ze vijf terabyte aan data hebben buitgemaakt. "Bij onze beveiliging volgen we de richtlijnen van de Baseline Informatiebeveiliging Overheid (BIO). De gemeente kon na de ransomware-aanval meteen doordraaien, omdat de back-upstrategie op juiste wijze is ingericht. Ten aanzien van de monitoring liep ten tijde van de hack nog een inkooptraject dat nog niet was afgerond. Samen met de experts hebben we inmiddels de monitoring van systemen ingericht", zegt burgemeester Josan Meijers. De aanvallers publiceerden honderddertig gigabyte aan gestolen data op internet. "Helaas kunnen we niet uitsluiten dat meer gegevens opduiken op het darkweb. De gemeente is alert op signalen van schendingen van vertrouwelijkheid van gegevens als gevolg van de hack", zo laat Meijers verder weten. De gemeente werkt nog aan een openbare versie van het onderzoeksrapport naar de aanval.


Nieuwe Sheeva ransomware


FBI: slachtoffers Netwalker-ransomware betaalden 60 miljoen dollar losgeld

Bedrijven en organisaties die slachtoffer van de Netwalker-ransomware werden betaalden bijna zestig miljoen dollar losgeld aan de criminelen achter de aanvallen. Slechts een kwart van de slachtoffers deed hier echter aangifte van en het percentage ligt vermoedelijk nog veel lager. Deze aangiftes zijn echter nodig om onderzoeken naar ransomware criminelen te kunnen starten, zo liet de FBI tijdens de afgelopen RSA Conferentie weten. NetWalker werd aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Vorig jaar werd de Netwalker-operatie mede door toedoen van de FBI uit de lucht gehaald. Een Canadese man die van de Netwalker-ransomware gebruikmaakte, en hier 27 miljoen dollar mee zou hebben verdiend, werd door de VS aangeklaagd. Bij de operatie tegen de ransomware criminelen werden door de Bulgaarse autoriteiten verschillende backend-servers in beslag genomen. Daarop werden meer dan duizend Netwalker-versies aangetroffen, die voor elk slachtoffer uniek waren aangepast. Aan de hand van de informatie op de servers kon de FBI meer dan 450 slachtoffers identificeren. Slechts 115 hiervan hadden aangifte gedaan. In totaal werden er vijftienhonderd "builds" van de Netwalker-ransomware geïdentificeerd, dus het werkelijke aantal ligt volgens de FBI tussen de vierhonderd en vijftienhonderd, zo meldt The Record. De slachtoffers die aangifte deden verklaarden dat ze in totaal 6,7 miljoen dollar losgeld hadden betaald. Maar aan de hand van de cryptowallets die de ransomwaregroep gebruikte en informatie op de in beslag genomen servers blijkt dat de criminelen bijna 60 miljoen dollar van hun slachtoffers kregen, aldus de FBI. Slechts vijftien slachtoffers vertelden de FBI dat ze losgeld hadden betaald. Het werkelijke aantal ligt volgens de opsporingsdienst boven de tweehonderd. De hoogste betaling die de FBI kon achterhalen bedroeg drie miljoen dollar. Het gemiddelde losgeldbedrag bedroeg 196.000 dollar. De Netwalker-groep wordt verantwoordelijk gehouden voor aanvallen op 270 organisaties wereldwijd.


Ransomwarebende maakt een website waarop werknemers naar hun gestolen gegevens kunnen zoeken

De ALPHV-ransomwarebende, ook wel bekend als BlackCat, heeft afpersing naar een hoger niveau getild door een speciale website te maken waarmee klanten en werknemers van slachtoffers kunnen controleren of hun gegevens zijn gehackt uit aanvallen. De gestolen gegevens worden vervolgens gebruikt in dubbele chantage waarin hackers losgeld eisen om de decryptor te leveren en de openbaarmaking van de bedrijfsgegevens te voorkomen. Om slachtoffers te dwingen te betalen, creëren ransomwarebendes websites voor datalekken, waar ze langzaam stukjes gestolen gegevens vrijgeven of klanten en werknemers e-mailen dat informatie is gestolen.


Emotet-malware steelt creditcardgegevens uit Google Chrome

Er is een nieuwe versie van de beruchte Emotet-malware ontdekt die creditcardgegevens uit Google Chrome steelt. Andere browsers laat de malware met rust. Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, wachtwoorden steelt en zelf zeer lastig te verwijderen is. Om zich te verspreiden maakt Emotet gebruik van e-mails die als bijlage doc-bestanden met kwaadaardige macro's bevatten. Zodra de ontvanger van de e-mail de macro's in het document inschakelt wordt Emotet geïnstalleerd en zal vervolgens proberen om andere machines in het netwerk te infecteren. Emotet kan aanvullende malware downloaden en was verantwoordelijk voor een aantal zeer ernstige ransomware-uitbraken bij grote organisaties. Onderzoekers van securitybedrijf Proofpoint en de Japanse politie melden dat Emotet van een nieuwe module gebruikmaakt waarmee in Google Chrome opgeslagen creditcardgegevens worden gestolen en teruggestuurd naar de aanvallers. De creditcardmodule werkt alleen tegen Chrome. Naast creditcardgegevens beschikt Emotet ook over modules voor het stelen van inloggegevens voor verschillende e-mailclients, waaronder Outlook en Thunderbird. Verder kan Emotet in Internet Explorer, Mozilla Firefox, Google Chrome, Safari en Opera opgeslagen wachtwoorden stelen. Vorig jaar vond er een internationale politie-operatie tegen het Emotet-botnet plaats. Door ingrijpen van de Nederlandse en Duitse politie werd de malware van een miljoen computers verwijderd. Inmiddels is de malware bezig met een comeback en weer begonnen met het op grote schaal versturen van malafide documenten om nieuwe slachtoffers te maken.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »