Overzicht cyberaanvallen week 25-2022

Gepubliceerd op 27 juni 2022 om 16:16

Criminelen gebruiken zerodaylek in Mitel voip-server voor ransomware-aanval, It-bedrijf niet aansprakelijk voor gevolgen ransomware-aanval op Haagse stichting en telecomprovider betrokken bij zeroday-aanval tegen iPhone-gebruikers. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 5.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.


Update: 27-juni-2022 | Aantal slachtoffers: 5.733



Week overzicht

Slachtoffer Cybercriminelen Website Land
Medical University of Innsbruck Vice Society www.i-med.ac.at Austria
oak-brook.org LockBit oak-brook.org USA
Elbit Systems of America Black Basta www.elbitamerica.com USA
Napa Valley College BlackByte www.napavalley.edu USA
Prudential LTG. Ragnar_Locker www.prulite.com USA
Northern Data Systems Ragnar_Locker www.ndsys.com USA
Cpl Architects, Engineers Black Basta www.cplteam.com USA
nutis.com BlackCat (ALPHV) nutis.com USA
Alphapointe Hive www.alphapointe.org USA
FAYAT Everest www.fayat.com France
Arte Radiotelevisivo Argentino (Artear) Hive artear.com Argentina
ENTEGA.DE BlackCat (ALPHV) entega.de Germany
COUNT+CARE BlackCat (ALPHV) countandcare.com Germany
Reed Pope Law BlackCat (ALPHV) www.reedpope.ca Canada
BAHRA ELECTRIC LV www.bahra-electric.com Saudi Arabia
Electric House LV www.electric-house.com Saudi Arabia
Matco Electric BlackCat (ALPHV) matcoelectric.com USA
PT Astra Honda Motor Vice Society www.astra-honda.com Indonesia
Pilton Community College Vice Society www.piltoncollege.org.uk UK
ecos-office.com LockBit ecos-office.com Germany
coteg-azam.fr LockBit coteg-azam.fr France
GRUPO mh Black Basta www.grupmh.com Spain
Ospedale Macedonio Melloni Vice Society www.asst-fbf-sacco.it Italy
Canaropa Black Basta www.canaropa.com Canada
Mechanical Systems Company Black Basta msystemscompany.com USA
Crane Carrier Company Black Basta www.craneserviceco.com USA
PARADOX Black Basta www.paradox.com Canada
farmaciacirici.com LockBit farmaciacirici.com Spain
sigma-alimentos.com LockBit sigma-alimentos.com Mexico
agricolaandrea.com LockBit agricolaandrea.com Peru
Vinstar STORMOUS vinstar.com.sg Singapore
business.gov.om LockBit business.gov.om Oman
builditinc.com LockBit builditinc.com USA
rhenus.group LockBit rhenus.group Germany
kuwaitairways.com LockBit kuwaitairways.com Kuwait
emprint.com LockBit emprint.com USA
plagepalace.com LockBit plagepalace.com France
acac.com LockBit acac.com USA

In samenwerking met DarkTracer


Valse e-mails over inbreuk op het auteursrecht installeren LockBit ransomware

LockBit ransomware affiliates misleiden de slachtoffers om hun apparaten te infecteren door hun malware te vermommen als auteursrechtclaims. Het beoogde slachtoffer ontvangt e-mails die waarschuwen voor een schending van het auteursrecht, omdat hij mediabestanden zou hebben gebruikt zonder de licentie van de maker. Deze e-mails eisen dat de ontvanger de inbreukmakende inhoud van zijn websites verwijdert, anders worden ze geconfronteerd met juridische stappen. De e-mails, opgemerkt door analisten van AhnLab, Korea, bepalen niet welke bestanden oneerlijk zijn gebruikt in de body en vertellen de ontvanger in plaats daarvan om het bijgevoegde bestand te downloaden en te openen om de inbreukinhoud te zien. De bijlage is een met een wachtwoord beveiligd ZIP-archief met een gecomprimeerd bestand, dat op zijn beurt een uitvoerbaar bestand heeft dat is vermomd als een PDF-document, maar het is eigenlijk een NSIS-installatieprogramma. De reden voor deze wrapping en wachtwoordbeveiliging is om detectie van e-mailbeveiligingstools te ontwijken. Wanneer het slachtoffer de veronderstelde PDF opent om te weten welke afbeeldingen illegaal worden gebruikt, zal de malware het apparaat laden en versleutelen met de LockBit 2.0 ransomware. Het gebruik van claims wegens schending van het auteursrecht is niet exclusief voor de LockBit-groep, omdat veel malware-distributiecampagnes dezelfde technieken gebruiken. Auteursrechtclaims moeten serieus in overweging worden genomen door de uitgevers van inhoud, maar als de claim niet eenvoudig is, maar u in plaats daarvan vraagt om bijgevoegde bestanden te openen om de details van de schending te bekijken, is de kans groter dat het een nepclaim is.


Chinese cyberspionnen gebruiken ransomware als afleiding

Een door China gesteunde groep aanvallers heeft ransomware gebruikt als afleiding voor hun spionage. Secureworks belicht het werk van de groep, die het bedrijf Bronze Starlight noemt, in een nieuw rapport. De groep bestaat sinds midden 2021 en zou voor de Chinese overheid werken. Bronze Starlight gebruik HUI loader om verschillende vormen van ransomware te installeren, waaronder Pandora, LockFile en meer. Geld aftroggelen zou echter niet hun belangrijkste doel zijn, dat is volgens de beveiliger cyberspionage. 'De ransomware kan medewerkers die op het incident moeten beantwoorden afleiden van het eigenlijke doel van de aanvallers', schrijft het bedrijf, 'en verkleint de kans dat de activiteiten worden toegewezen aan overheidsagenten van China.' Secureworks baseert de theorie op zijn onderzoek van de groep. Die stuurt verschillende vormen varianten van ransomware uit voor korte periodes, en verandert ook al eens van model (van een meer traditioneel afpersingsmodel naar eentje waarbij het dreigt om buitgemaakte informatie vrij te geven, bijvoorbeeld). Dat zou ongewoon zijn voor meer traditionele cyberbendes, die gewoon dezelfde tactiek blijven volgen tot er geen geld meer uit te rapen valt. 'Het is mogelijk dat die veranderingen betere opties gaven om data te stelen. De aanvallers kunnen ook besloten hebben dat een meer publiek profiel effectiever is als afleiding van hun eigenlijke doelstellingen' aldus nog Secureworks. Volgens het rapport heeft de groep 21 slachtoffers gemaakt, waarvan drie-kwart een interessant doel kunnen vormen voor Beijing. Het gaat dan bijvoorbeeld om farmabedrijven, leveranciers van legerdiensten en ontwerpers van elektronische componenten.


Nieuwe Kanalia ransomware


Fast Shop Braziliaanse retailer onthult "afpersing" cyberaanval

Fast Shop, een van de grootste retailers van Brazilië, heeft te maken gehad met een "afpersing"-cyberaanval die heeft geleid tot netwerkstoringen en de tijdelijke sluiting van de online winkel. Fast Shop is een online retailer die een breed scala aan producten verkoopt, waaronder computers, smartphones, gameconsoles, meubels, schoonheidsproducten en huishoudelijke apparaten. Deze retailer is sinds 1986 aanwezig in Brazilië en exploiteert momenteel 86 fysieke winkels, met meer dan zes miljoen bezoeken per maand op hun website en app. De cyberaanval vond plaats op woensdag en had gevolgen voor de hoofdwebsite van Quick Store, de mobiele app en het online bestelsysteem toen de winkelier de systemen offline haalde als onderdeel van zijn plaatsvervangend app-protocol. De aanval treft geen fysieke winkels.


Ransomwaregroep Conti stapt onverwachts op

De servers van ransomwaregroep Conti zijn onbereikbaar. Na een periode van twee jaar en 850 slachtoffers stapt de groep onverwachts op. Ransomwaregroep Conti valt sinds 2020 overheden en bedrijven aan. De groep ontwikkelt malware om de bestanden van doelwitten te versleutelen. In twee jaar tijd maakte Conti 850 slachtoffers, waaronder acht Nederlandse woningcorporaties. Hoe meer je over een aanvaller weet, hoe beter je jezelf kan verdediging. Vandaar wordt Conti door meerdere securityleveranciers onderzocht. Zij verzamelen data om veiligheidsmaatregelen te ontwikkelen. Een van de onderzoekers is Advanced Intel. De organisatie liet onlangs weten dat de infrastructuur van Conti is uitgeschakeld. Dit betekent dat de websites waarop Conti met slachtoffers communiceert onbereikbaar zijn. De groep is onverwachts van de radar verdwenen. Alles wijst erop dat de infrastructuur vrijwillig is uitgeschakeld. Conti viel in de afgelopen weken geen nieuwe doelwitten aan. Het meest recente slachtoffer was de overheid van Costa Rica. Conti maakte 672GB aan data van overheidsinstanties buit. Kort na de aanval nam Advanced Intel geen activiteit meer waar. Een enkel lid bleef achter om de gestolen data te lekken, maar ook dit lid is inmiddels vertrokken. Volgens Advanced Intel heeft het vertrek een strategische reden. “Het enige dat Conti met deze laatste aanval wilde bereiken was om het platform te gebruiken als publiciteitsmiddel”, deelde de organisatie in een recent rapport. De leden werken niet meer onder naam van Conti, maar de groep gaat in principe nergens heen. Naamswijzigingen zijn gebruikelijk onder ransomwaregroepen. Ransomware is net zo lucratief als riskant. Cryptominers kunnen jarenlang op de achtergrond blijven, maar een ransomwaregroep moet zichzelf bekend maken om losgeld te eisen. Met verloop van tijd komen internationale politiediensten en securitybedrijven de groep op het spoor. Een naamswijziging is een van de manieren waarop cybercriminelen hen op het verkeerde been te zetten.


VS: nog steeds succesvolle aanvallen via Log4j-kwetsbaarheid

Nog altijd worden organisaties succesvol aangevallen via de Log4j-kwetsbaarheid omdat organisaties nalaten beschikbare beveiligingsupdates te installeren, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Begin december vorig jaar werd bekend dat er een kritieke kwetsbaarheid in Log4j aanwezig was. Tot dan toe niet echt heel bekende loggingsoftware waarin geen grote problemen waren gevonden. De software bleek in zeer veel programma's te worden gebruikt. Bij de aanvallen waarvoor het CISA nu waarschuwt maken de aanvallers misbruik van de Log4j-kwetsbaarheid in VMware Horizon en Unified Access Gateway (UAG) servers. Het aanvallen van VMware Horizon en UAG-servers vindt al sinds december plaats. Hoewel beveiligingsupdates beschikbaar zijn, zijn er nog altijd organisaties die deze patches een half jaar later nog altijd niet hebben geïnstalleerd. Zodra aanvallers toegang tot een server hebben verkregen proberen ze de organisatie verder te compromitteren en zich lateraal door het netwerk te bewegen. Organisaties die de VMware-updates en workarounds van afgelopen december niet hebben toegepast moeten hun VMware Horizon-servers als gecompromitteerd beschouwen, zo stelt het CISA. Het is nodig om deze systemen meteen te isoleren en te onderzoeken. Wanneer blijkt dat de systemen niet zijn getroffen moeten ze zo snel mogelijk worden gepatcht.


Hackers stelen 100 miljoen dollar aan cryptomunten van Harmony

Hackers hebben donderdag voor ongeveer 100 miljoen dollar (zo'n 95 miljoen euro) aan cryptomunten gestolen van cryptobedrijf Harmony, meldt persbureau Bloomberg. Harmony liet via een tweet weten dat de hack donderdagochtend heeft plaatsgevonden op zijn zogenoemde Horizon-bridge, dat de onderlinge handel tussen verschillende cryptomunten mogelijk maakt. Het bedrijf werkt nu samen met autoriteiten en forensische specialisten om de daders te achterhalen en het gestolen geld terug te krijgen. Geavanceerde hackers hebben zich de afgelopen tijd herhaaldelijk op cryptoplatforms gericht. In februari stalen hackers al ruim 300 miljoen dollar (zo'n 285 miljoen euro) van Wormhole, gevolgd door een kraak van 620 miljoen dollar (588 miljoen euro) bij Ronin een maand later.


"Telecomprovider betrokken bij zeroday-aanval tegen iPhone-gebruikers"

IPhone-gebruikers zijn afgelopen december het doelwit van een zeroday-aanval geworden waarbij aanvallers samenwerkten met een telecomprovider en er gebruik werd gemaakt van een malafide Vodafone-app, zo laat Google weten. De telecomprovider van het doelwit werd door de aanvallers gevraagd om de mobiele dataverbinding uit te schakelen. Vervolgens stuurden de aanvallers een sms-bericht naar het doelwit waarin werd gesteld dat de gelinkte Vodafone-app geïnstalleerd moest worden om de dataverbinding te herstellen. De malafide-app bevond zich niet in de Apple App Store, maar kon door middel van een enterprise-certificaat worden gesideload. Deze certificaten zijn voor driehonderd dollar bij Apple verkrijgbaar en zorgen ervoor dat iOS-apps buiten de controle van de App Store op iPhones zijn te installeren. "We begrijpen dat het Enterprise ontwikkelaarsprogramma is bedoeld voor bedrijven om "vertrouwde apps" onder de iOS-apparatuur van hun personeel uit te rollen, is het in dit geval gebruikt om deze malafide provider-app te sideloaden", zegt Ian Beer van Google Project Zero in een analyse. De app bleek zes exploits te bevatten, waarvan vijf voor bekende kwetsbaarheden in oudere iOS-versies. Er was echter ook een exploit voor een onbekende kwetsbaarheid in IOMobileFrameBuffer toegevoegd waardoor het uitvoeren van code met kernelrechten mogelijk is. IOMobileFrameBuffer is een kernel-extensie waarmee ontwikkelaars kunnen bepalen hoe het systeemgeheugen wordt gebruikt voor de schermweergave. Via de app werden allerlei interesse bestanden van het besmette toestel gekopieerd, waaronder de WhatsApp-berichtendatabase. Apple verhielp het probleem (CVE-2021-30983) in iOS 15.2 en iPadOS 15.2 die op 13 december vorig jaar uitkwamen. Volgens Google waren de aanvallen gericht tegen gebruikers in Italië en Kazachstan. Daarbij waren ook Android-gebruikers het doelwit. Hiervoor maakten de aanvallers echter geen gebruik van kwetsbaarheden, maar vroegen slachtoffers de zogenaamde malafide applicatie zelf te installeren. Ook bij de aanvallen tegen Androidgebruikers werd er samengewerkt met de telecomprovider van het slachtoffer en een sms verstuurd nadat de dataverbinding was uitgeschakeld, aldus Google.


De Conti Enterprise: ransomware-bende die gegevens van 850 bedrijven publiceerde

Group-IB, heeft vandaag zijn bevindingen gepresenteerd over ARMattack, een van de kortste maar meest succesvolle campagnes van de Russischtalige ransomware-bende Conti. In iets meer dan een maand tijd heeft het beruchte ransomware-collectief wereldwijd meer dan 40 bedrijven gecompromitteerd. De snelste aanval duurde slechts drie dagen volgens het rapport van Group-IB " Conti armada: armattack campaign ". In twee jaar tijd vielen de ransomware-operators meer dan 850 slachtoffers aan, waaronder bedrijven, overheidsinstanties en zelfs een heel land. Het onderzoek duikt diep in de geschiedenis en belangrijke mijlpalen van een van de meest agressieve en georganiseerde ransomware-operaties.


Criminelen gebruiken zerodaylek in Mitel voip-server voor ransomware-aanval

Criminelen hebben een zerodaylek in een de voip-serversoftware van fabrikant Mitel gebruikt bij een ransomware-aanval. Na te zijn ingelicht over de kritieke kwetsbaarheid (CVE-2022-29499) ontwikkelde Mitel een beveiligingsupdate. MiVoice Connect is een voip-platform voor organisaties dat communicatie- en collaboration tools via één interface aanbiedt. Het draait zowel op fysieke als virtuele hardware. Een kwetsbaarheid in MiVoice Connect maakt remote code execution mogelijk waardoor een aanvaller code op de server kan uitvoeren. Begin dit jaar werd het beveiligingslek gebruikt bij een ransomware-aanval tegen een niet nader genoemde organisatie, zo meldt securitybedrijf Crowdstrike. Via de gecompromitteerde voip-server werd geprobeerd om andere systemen in het netwerk van de aangevallen organisatie te compromitteren. Daarnaast bleek dat dat de aanvallers data probeerden te verwijderen om forensisch onderzoek te bemoeilijken. Het lukte de onderzoekers echter om de logbestanden te herstellen waardoor ze informatie over de aanval en gebruikte exploit ontdekten. Vervolgens konden ze Mitel waarschuwen. Het softwarebedrijf kwam eind april met een patch. Gisteren maakte Crowdstrike details over de aanval openbaar.


Microsoft: “Grootschalige Russische cyberaanvallen op bondgenoten Oekraïne”

Russische hackers voeren grootschalige cyberaanvallen uit op westerse bondgenoten van Oekraïne. Dat zegt de Amerikaanse softwarereus Microsoft. De hackers hebben het vooral gemunt op overheidsnetwerken in NAVO-landen, luidt het. Het grootste doelwit zijn de Verenigde Staten, maar Microsoft stelde cyberaanvallen vast op 128 organisaties in 42 verschillende landen naast Oekraïne. Volgens het bedrijf slaagden de Russische hackers er in 29 procent van de gevallen in om het geviseerde netwerk binnen te dringen. Bij minstens een kwart van de succesvolle aanvallen zouden ze ook data hebben buitgemaakt.


Hive claimt de aanval op Artear

Na de cyberaanval van 1 juni op Artear, het bedrijf dat eigenaar is van Canal 13, TN en andere Grupo Clarín tv-zenders, werd ontdekt wie toegang had tot het systeem. "Dat is Hive, een cybercriminele bende die werkt met ransomware, een programma dat bestanden van derden versleutelt in ruil voor losgeld."


Yodel bevestigt cyberaanval die Britse leveringen verstoort

Logistiek gigant Yodel bevestigde cyberincident dat de bezorgdiensten in het VK verstoort. Het Britse bezorgbedrijf plaatste een update op de site waarin staat dat ze eraan werken om hun activiteiten zo snel mogelijk te herstellen. Hoewel het bedrijf geen betalingsinformatie van klanten heeft, onderzoekt het momenteel of er andere persoonlijk identificeerbare informatie (PII) is gestolen. De namen, adressen, e-mailadressen en telefoonnummers van klanten die de meeste bezorgbedrijven opslaan, zouden een nuttige schat zijn voor kwaadwillende actoren die het zouden kunnen gebruiken om phishing-aanvallen uit te voeren. Het bedrijf raadt klanten aan alert te blijven op ongevraagde en onverwachte communicatie waarin om hun persoonlijke gegevens wordt gevraagd. Ze adviseren gebruikers om niet te reageren op, te klikken op links of bijlagen te downloaden van verdachte e-mailadressen. Hoewel Yodel de aard van de aanval nog moet bevestigen, wordt gespeculeerd dat het een ransomware is gezien de operationele verstoring die het bedrijf lijdt. Het bezorgbedrijf heeft contact opgenomen met de National Crime Agency (NCA), de Information Commissioner's Office (ICO) en het National Cyber Security Centre (NCSC).


Wereldwijd veel websites onbereikbaar vanwege storing bij Cloudflare

Een storing bij internetbedrijf Cloudflare zorgt er dinsdag voor dat veel diensten en websites niet of nauwelijks bereikbaar zijn. Onder meer de site van Qmusic, Thuisbezorgd, NPO Start, wachtwoordmanager Dashlane en servers van chatapp Discord zijn getroffen. Cloudflare schrijft op zijn website onderzoek te doen naar "wijdverbreide problemen" met zijn diensten en netwerken. Het bedrijf meldt dat gebruikers met foutmeldingen en uitval te maken kunnen krijgen als ze proberen diensten of websites te openen. Wat de storing veroorzaakt, is op dit moment nog niet duidelijk. Ook is onbekend hoeveel websites zijn getroffen. Wel is bekend dat miljoenen websites diensten van Cloudflare afnemen. Op websites die door de storing zijn getroffen, krijgen gebruikers een foutmelding te zien. Sommige sites lijken deels te laden, maar vele webpagina's zijn helemaal niet bereikbaar.


Auto-slang- maker Nichirin getroffen door ransomware-aanval

Nichirin-Flex U.S.A, een dochteronderneming van de Japanse auto- en motor-slangen-maker Nichirin, is getroffen door een ransomware-aanval waardoor het bedrijf het netwerk offline heeft gehaald. De aanval vond plaats op 14 juni 2022 en het bedrijf reageerde zodra het de ongeautoriseerde toegang op zijn netwerk detecteerde en de bewerkingen in de handmatige modus zette. Klanten moeten rekening houden met vertragingen bij het ontvangen van hun bestellingen, omdat de cyberaanval ook de productdistributie heeft beïnvloed en bestellingen handmatig worden uitgevoerd. In een officiële verklaring [PDF, Japans] gisteren onderstreept Nichirin dat systeemherstel prioriteit heeft gekregen om de bedrijfsvoering te hervatten. Het bedrijf onderzoekt momenteel hoe de ongeautoriseerde toegang is gebeurd en probeert "de effecten van het lekken van informatie" te bepalen.


VS pleit voor internationale grenzeloze aanpak van ransomware

Bij de aanpak van ransomware mogen er geen landsgrenzen meer zijn. In plaats daarvan moeten landen en bedrijfsleven over hun grenzen heen samenwerken, net als de verantwoordelijke cybercriminelen doen, zo stelt de Amerikaanse overheid. Vorige week vond er een workshop in Den Haag plaats waar procureurs-generaal, opsporingsinstanties en experts van bedrijfsleven en ngo's uit 27 landen afkomstig waren. Volgens assistant attorney general Kenneth Polite van het Amerikaanse ministerie van Justitie maken ransomwaregroepen bij hun operaties gebruik van de infrastructuur die zich in verschillende landen bevindt. Een mailserver in het ene land wordt gebruikt voor communicatie met slachtoffers, terwijl een server in het andere land voor de opslag van gestolen data wordt gebruikt. Vervolgens gebruiken de criminelen een cryptobeurs in weer een ander land voor het verzilveren van het losgeld dat slachtoffer betalen. Polite stelde in zijn toespraak dat criminelen geen rekening met landsgrenzen houden en autoriteiten op een zelfde manier moeten reageren, namelijk door geen grenzen te erkennen. "Er moeten geen grenzen tussen de private en publieke sector zijn", aldus Polite. "In de strijd tegen ransomware moeten er geen grenzen zijn. Geen grenzen tussen opsporingsdiensten en aanklagers", herhaalde hij vervolgens. Tijdens de workshop werden dan ook best practices gedeeld en gekeken hoe er beter bij de bestrijding van ransomware kan worden samengewerkt. Deze samenwerking is essentieel, stelde Polite. "Cybercriminelen opereren vanuit landen die zij als veilig beschouwen en buiten het bereik van uitleveringsverdragen zijn. Ze vertrouwen op de scheiding die grenzen hen bieden. Maar onze internationale coördinatie erkent geen grenzen in de strijd tegen misdaad en geeft ze geen schuilplaatsen." Afsluitend riep Polite deelnemende landen en organisaties op nauw samen te blijven werken en informatie en expertise te delen.


It-bedrijf niet aansprakelijk voor gevolgen ransomware-aanval op Haagse stichting

Een it-bedrijf uit Berkel en Rodenrijs is niet aansprakelijk voor de gevolgen van een ransomware-aanval op een Haagse stichting, zo heeft de rechtbank Rotterdam geoordeeld. De stichting wilde geen deskundigenonderzoek laten uitvoeren, waardoor de rechter niet kan vaststellen of het it-bedrijf aansprakelijk is voor het zich voordoen van de ransomware-aanval. De uitspraak van de rechtbank.


New HardItem ransomware


NCSC publiceert plan voor omgaan met ransomware-aanvallen

Ransomware-aanvallen kunnen grote gevolgen voor organisaties hebben en voor ernstige verstoringen zorgen. Het Nationaal Cyber Security Centrum (NCSC)(pdf) van het ministerie van Justitie en Veiligheid heeft eerder deze maand een incidentresponsplan gepubliceerd waarin wordt beschreven hoe organisaties met ransomware-aanvallen kunnen omgaan. "Want snelheid telt in het geval van een ransomware-aanval", aldus het NCSC. "Zeker op het moment dat je als organisatie kwaadwillenden op je netwerk aantreft en de ransomware nog niet uitgerold is. Dan is het zaak zorgvuldig – en niet overhaast - de incidentresponscyclus te doorlopen." Het incidentresponsplan gaat in op de voorbereiding op een ransomware-aanval, het identificeren van de aanval, het beperken van de ransomware, het verwijderen van de ransomware, herstellen van data en systemen en als laatste het delen van geleerde lessen. In het geval van een incident adviseert het NCSC om de afgesproken incidentrespons-procedures te volgen en planmatig te werk gaan. Volgens de overheidsinstantie hebben getroffen organisaties namelijk vaak de houding om de aanvallers zo snel mogelijk van het netwerk te verwijderen en verdere schade te beperken. "En dat moet natuurlijk ook gebeuren, maar zonder essentiële stappen over te slaan. Daarbij kan het behulpzaam zijn om vooraf al een stuk op weg te zijn met deze plannen en een ingevuld beginpunt te hebben", zo laat het NCSC weten. Het incidentresponsplan bevat ook allerlei aanbevelingen om een ransomware-aanval te voorkomen, zoals technische maatregelen. Het NCSC adviseert onder andere om macro’s in office-software centraal uit te schakelen, het openen van url's en afbeeldingen in e-mails uit te zetten, het gebruik van ongeautoriseerde usb-apparaten te blokkeren en het eenvoudig voor medewerkers te maken om verdachte e-mails te rapporteren.

Incidentenresponsplan Ransomware
PDF – 591,4 KB 243 downloads

Politie werkt aan structurele back-upvoorziening voor herstel van ransomware

Binnen de politie wordt gewerkt aan een structurele back-upvoorziening om van een ransomware-aanval te kunnen herstellen, maar het gaat hier om een meerjarig project dat nog niet is afgerond, zo laat minister Yesilgöz van Justitie en Veiligheid weten in een brief (pdf) aan de Tweede Kamer over het eerste halfjaarbericht 2022 van de politie. Het halfjaarbericht gaat over de positie van de politie in de samenleving, de toerusting van de politieorganisatie en de ontwikkeling van de politietaken. Daarnaast bevat het cijfers over de verschillende soorten misdrijven. In de kerncijfers is te zien dat het aantal slachtoffers van traditionele criminaliteit, zoals vermogens-, gewelds- en vandalismedelicten, en geregistreerde aangiften van criminaliteit net als voorgaande jaren afnemen. "Slachtofferschap van cybercrime heeft nu een omvang die vergelijkbaar is met het slachtofferschap van traditionele criminaliteit (17 procent)", aldus de minister, die opmerkt dat de verschuivingen tussen de verschillende soorten criminaliteit een aandachtspunt zijn en de komen periode om stappen zullen vragen. Minister Yesilgöz gaat ook in op de cyberveiligheid bij de politie zelf. "Voor de politie is het noodzakelijk om blijvend te anticiperen op de veranderende dreigingen in de buitenwereld. Het cybersecurityprogramma (CSP) sluit aan op het door het Nationaal Cyber Security Centrum geadviseerde acht basismaatregelen en heeft hierop de focus gelegd", zo laat ze weten. De politie heeft naar aanleiding van verschillende grote security-incidenten met Solarwinds en Log4j prioriteit gegeven aan de noodzakelijke securitymaatregelen, wat mede tot versnelling van reeds lopende projecten binnen het CSP heeft geleid. Volgens Yesilgöz zijn er inmiddels aanzienlijke slagen gemaakt in de verbetering van de cybersecurity bij de politie, maar moet er nog steeds het nodige worden verbeterd. "Hoewel de beschikbaarheid van de hiervoor benodigde financiële middelen geregeld is, ontbreekt het vaak nog aan de menskracht het werk te realiseren", zo waarschuwt de minister. Eén van de speerpunten binnen de cyberveiligheid van de politie is het kunnen herstellen na een ransomware-aanval. Het project Cyberrecovery houdt zich hiermee bezig. Er zijn binnen dit project verschillende initiatieven opgezet die voor een structurele back-up bij de politieorganisatie moeten zorgen. "Voor de korte termijn zijn maatregelen genomen, maar een structurele back-up voorziening vergt een meerjarige doorlooptijd", aldus Yesilgöz. De minister voegt verder toe dat het Security Operations Center (SOC) van de politie versneld is uitgebreid, om zo cyberaanvallen sneller te detecteren, te analyseren en passende maatregelen te nemen of te kunnen adviseren.

Eerste Halfjaarbericht 2022 Politie
Word – 97,7 KB 197 downloads

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten