Overzicht cyberaanvallen week 29-2022

Gepubliceerd op 25 juli 2022 om 15:00


Nederlands energiebedrijf via e-mailfraude voor 1,3 miljoen euro opgelicht, Russische hackers gebruiken Google Drive, Dropbox om detectie te ontwijken en CPUs van Intel en AMD kwetsbaar voor Retbleed-aanval. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 5.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes omdat ze weigerden te betalen. Als je betaald wordt er geen data gelekt en kom je niet op deze lijst.. ‘Zo'n 80% van de organisaties betaalt losgeld’ 🤔

Update: 25-juli-2022 | Aantal slachtoffers: 5.984



Week overzicht

Slachtoffer Cybercriminelen Website Land
SRM Technologies BlackCat (ALPHV) www.srmtech.com India
riken.co.jp LockBit riken.co.jp Japan
daytonsuperior.com LockBit daytonsuperior.com USA
KKJM Lawfirm BlackCat (ALPHV) kkjmlawfirm.com USA
roedeanschool.co.za LockBit roedeanschool.co.za South Africa
Hometrust Mortgage Company BlackCat (ALPHV) www.hometrust.com USA
thep**************.com BianLian Unknown Unknown
sppc.com.sa LV sppc.com.sa Saudi Arabia
WARTSILA.COM LV wartsila.com Finland
Yong Mao Environmental Tech. Co.,Ltd LockBit Unknown Taiwan
laneprint.com.au LockBit laneprint.com.au Australia
Baliwag Maritime Academy SiegedSec bma.edu.ph Philippines
osde.com.ar LockBit osde.com.ar Argentina
taylorstafford.com LockBit taylorstafford.com USA
lanormandise.fr LockBit lanormandise.fr France
townofstmarys.com LockBit townofstmarys.com Canada
bizerba.com LockBit bizerba.com Germany
Fairfax RansomHouse www.fairfax.ca Canada
Crum & Forster RansomHouse www.cfins.com  USA
CHDE POLSKA Vice Society www.eden-field.com.au Poland
HANDLER Bau GmbH BlackCat (ALPHV) handler-group.com Austria
CREMO Black Basta Unknown Unknown
a2-pas.fr LockBit a2-pas.fr France
Site-technology Cuba www.site-technology.com United Arab Emirates
ocrex.com LockBit ocrex.com Ireland
mwd.digital LockBit mwd.digital Italy
Chen Moore and Associates BlackCat (ALPHV) www.chenmoore.com USA
Edenfield Vice Society www.eden-field.com.au Australia
lexingtonnational.com LockBit lexingtonnational.com USA
mec.com LockBit mec.com USA
Tom Barrow Karakurt www.tombarrow.com USA
LaVan & Neidenberg Hive disabilityhelpgroup.com USA
COS2000 Black Basta www.cos.net.au Australia
MAI Black Basta www.maifl.com USA
The Minka Group Black Basta www.minkagroup.net USA
SPINNEYS.COM CL0P spinneys.com United Arab Emirates
competencia.com.ec LockBit competencia.com.ec Ecuador
addconsult.nl LockBit addconsult.nl Netherlands
coastalmedps.com LockBit coastalmedps.com USA
XQUADRAT GmbH Vice Society www.xquadrat.ag Germany
San Luis Coastal Unified School District Vice Society www.slcusd.org USA
GENSCO Inc. Ragnar_Locker www.gensco.com USA
An Insurance Company Cheers Unknown Unknown
hcp*******.com BianLian Unknown Unknown
keystonelegal.co.uk RedAlert keystonelegal.co.uk UK
cpicfiber.com LockBit cpicfiber.com China
madcoenergi.com LockBit madcoenergi.com Indonesia
rovagnati.it LockBit rovagnati.it Italy
clestra.com LockBit clestra.com France
crbrandsinc.com LockBit crbrandsinc.com USA
christianaspinecenter.com LockBit christianaspinecenter.com USA
columbiagrain.com LockBit columbiagrain.com USA
fedefarma.com LockBit fedefarma.com Spain
Turnberry Associates Karakurt www.turnberry.com USA
Delon Hampton & Associates, Chartered Quantum www.delonhampton.com USA
Autohaus Quantum autohaus.co.uk UK
Broshuis | Driving innovation Quantum www.broshuis.com Netherlands
Fedfina Everest www.fedfina.com South Africa
FederalBank Everest www.federalbank.co.in India
bizframe.co.za LockBit bizframe.co.za South Africa
integrate.ch LockBit integrate.ch Switzerland
aresfoods.ca LockBit aresfoods.ca Canada
An British Financial Company Cheers Unknown UK
ryanhanley.ie LV ryanhanley.ie Ireland

In samenwerking met DarkTracer


Twitter account gegevens van 5,4 miljoen gebruikers gehackt en te koop

Twitter heeft te maken gehad met een datalek waarbij de cybercriminelen een kwetsbaarheid gebruikten om een database op te bouwen met telefoonnummers en e-mailadressen van 5,4 miljoen accounts. De gegevens zijn nu te koop aangeboden op een hacker forum voor $ 30.000. De cybercriminelen die bekend staan als 'devil' melden op een gestolen datamarkt dat de database informatie bevat over verschillende accounts, waaronder beroemdheden, bedrijven en willekeurige gebruikers.


Nieuwe Kriptor ransomware


Nederlands energiebedrijf via e-mailfraude voor 1,3 miljoen euro opgelicht

Een niet nader genoemd Nederlands energiebedrijf is door middel van e-mailfraude voor een bedrag van ruim 1,3 miljoen euro opgelicht. In de zaak is een 50-jarige inwoner uit Bergen op Zoom aangehouden. Het energiebedrijf ontving een e-mail die van een leverancier afkomstig leek en waarin werd verzocht om een rekeningnummer aan te passen. Vervolgens maakte het energiebedrijf een openstaand bedrag naar deze rekening over. Volgens de politie ging het om een bedrag van ruim 1,3 miljoen euro. De exacte rol van de verdachte in dit proces wordt nog nader onderzocht. Na de aanhouding is beslag gelegd op panden van de verdachte. Daarnaast is beslag gelegd op een auto, een groot geldbedrag en een duur horloge. Het energiebedrijf is slachtoffer geworden van Business Email Compromise (BEC). Bij BEC, waar ook ceo-fraude onder valt, weten aanvallers via bijvoorbeeld phishing of zwakke of hergebruikte wachtwoorden toegang tot e-mailaccounts te krijgen. Via de gekaapte accounts, maar ook door gebruik te maken van gespoofte e-mailadressen of typosquatting, waarbij ze domeinen registreren die op die van een legitieme organisatie lijken, sturen de aanvallers malafide e-mails. Zo doen de oplichters zich bijvoorbeeld voor als leverancier en verzoeken afnemers om betalingen naar andere rekeningen over te maken, of wordt de financiële administratie van een aangevallen organisatie verzocht om bepaalde facturen te betalen, waarbij het geld moet worden overgemaakt naar door de aanvallers opgegeven rekeningen. De door BEC veroorzaakte schade bedroeg tussen juni 2016 en december 2021 ruim 43 miljard dollar, aldus de FBI afgelopen mei.


Atlassian waarschuwt voor misbruik hardcoded wachtwoord in Confluence-app

Aanvallers maken actief misbruik van een hardcoded wachtwoord in de Questions for Confluence app om toegang tot Confluence-omgevingen te krijgen, zo waarschuwt softwarebedrijf Atlassian. Confluence is een door Atlassian ontwikkeld wikiplatform waarmee teams van organisaties kunnen samenwerken. Het is mogelijk om Confluence in de cloud te hosten, maar ook op eigen servers of in een datacenter. Voor Confluence Server en Data Center zijn er allerlei uitbreidingen beschikbaar, waaronder Questions for Confluence. Via deze add-on is het mogelijk om kennis te delen en een Q&A community in Confluence op te zetten. Bij het inschakelen van de add-on wordt er een Confluence-gebruikersaccount aangemaakt bedoeld voor systeembeheerders om data van de app naar de Confluence Cloud te migreren. Het betreffende account wordt met een hardcoded wachtwoord aangemaakt en toegevoegd aan de Confluence-gebruikersgroep. Daarmee is het standaard mogelijk om alle niet-afgeschermde pagina's binnen Confluence te bekijken en wijzigen. Een ongeauthenticeerde aanvaller die het hardcoded wachtwoord weet kan zo op Confluence inloggen en pagina's bekijken waar de Confluence-gebruikersgroep toegang toe heeft. Het wachtwoord is inmiddels op Twitter gepubliceerd. Atlassian stelt dat het verwijderen van de Questions for Confluence app de kwetsbaarheid niet automatisch oplost. Het toegevoegde account wordt namelijk niet bij het verwijderen van de app verwijderd. Beheerders moeten dit account dan ook zelf uitschakelen of verwijderen. Daarnaast is er een update voor de Questions for Confluence app verschenen. De uitbreiding is volgens cijfers van Atlassian meer dan achtduizend keer geïnstalleerd.


Digitale beveiligingsgigant Entrust gehackt door ransomware-bende

Digitale beveiligingsgigant Entrust heeft bevestigd dat het te maken heeft gehad met een cyberaanval waarbij bedreigingsactoren hun netwerk binnendrongen en gegevens van interne systemen gestolen hebben. Entrust is een beveiligingsbedrijf dat zich richt op online vertrouwen en identiteitsbeheer en een breed scala aan diensten aanbiedt, waaronder gecodeerde communicatie, veilige digitale betalingen en oplossingen voor id-uitgifte. Afhankelijk van welke gegevens zijn gestolen, kan deze aanval gevolgen hebben voor een groot aantal kritieke en gevoelige organisaties die Entrust gebruiken voor identiteitsbeheer en verificatie. Dit omvat Amerikaanse overheidsinstanties, zoals het ministerie van Energie, het ministerie van Binnenlandse Veiligheid, het ministerie van Financiën, het ministerie van Volksgezondheid en Human Services, het ministerie van Veteranenzaken, het ministerie van Landbouw en nog veel meer.


Hoe Conti ransomware hackte en versleutelde de Costa Ricaanse overheid

Er zijn details naar voren gekomen over hoe de Conti ransomware-bende de Costa Ricaanse overheid heeft gehackt. Wat de precisie van de aanval en de snelheid van het verplaatsen van de eerste toegang naar de laatste fase van het versleutelen van apparaten aantoont. 

Anatomy Of Attack
PDF – 1,8 MB 212 downloads

Gegevens van tientallen miljoenen gamers te koop aangeboden

Persoonsgegevens van 69 miljoen gebruikers van de game Neopets zijn naar verluid gestolen. Cybercriminelen zouden de informatie voor vier bitcoin te koop aanbieden op internet. Dit meldt de website Jellyneo op basis van een anonieme bron. Neopets bevestigt op Twitter het datalek, al laat het bedrijf in het midden hoeveel gebruikers zijn getroffen. Wel meldt Neopets dat onder meer e-mailadressen en wachtwoorden van gebruikers zijn gestolen. Neopets is een webbrowsergame die draait om virtuele huisdieren. De game is in 1999 opgericht en bestaat ook vandaag de dag nog steeds. Het bedrijf is sinds juli 2017 in handen van het Chinese NetDragon via de overname van JumpStart. JumpStart kocht het bedrijf in 2014 van Viacom, dat de game op zijn beurt in 2005 Neopets overnam voor 160 miljoen dollar.


Franse Android- en iPhone-gebruikers doelwit van smishing-aanval

Franse Android- en iPhone-gebruikers zijn het doelwit van een smishing-aanval geworden, waarbij de aanvallers proberen om malware te installeren en inloggegevens te stelen. Mogelijk zijn bij de campagne tienduizenden telefoons besmet geraakt. Dat stelt securitybedrijf Sekoia in een analyse. De aanval begint met een sms-bericht waarin wordt gesteld dat de ontvanger een pakket heeft ontvangen. Via de meegestuurde url is er meer informatie te vinden. Deze url wijst naar een malafide website. Die controleert eerst of de gebruiker in kwestie vanaf een Frans ip-adres afkomstig is. Wanneer dit niet het geval is laat de website een 404-melding te zien. Bij een Franse iPhone-gebruiker toont de website een phishingpagina die van Apple lijkt en vraagt om met het Apple-account in te loggen. Gaat om het een Androidtelefoon in Frankrijk, dan wordt de gebruiker gevraagd een kwaadaardig APK-bestand te installeren dat claimt een browser-update te zijn. In werkelijkheid gaat het om de MoqHao-malware, een remote access trojan gebruikt voor het stelen van informatie en het bieden van een backdoor. Zodra gebruikers de malafide app installeren vraagt die toestemming voor het lezen en versturen van sms-berichten, waardoor de aanvallers bijvoorbeeld sms-berichten kunnen onderscheppen. Daarbij doet de malafide applicatie zich voor als Google Chrome om zo de gebruiker te misleiden om de permissie te geven. Verder communiceert de malware met een command & control-server. Begin dit jaar stelden securitybedrijven dat meer dan 90.000 unieke ip-adressen verbinding met deze server hadden gemaakt. Volgens Sekoia hebben de aanvallers een financieel motief en zouden bij de recente smishing-campagne mogelijk 70.000 Androidtoestellen besmet zijn geraakt.


Nieuwe Redeemer ransomware versie gepromoot op hacker forums

Cybercriminelen promoten een nieuwe versie van het gratis te gebruiken 'Redeemer'-ransomware bouwer op hacker forums, waardoor ongeschoolde cybercriminelen gemakkelijke toegang krijgen tot de wereld van door encryptie ondersteunde afpersingsaanvallen. Volgens de cybercriminelen is de nieuwe versie 2.0-release volledig geschreven in C ++ en werkt het op Windows Vista, 7, 8, 10 en 11, met multi-threaded prestaties en een gemiddelde AV-detectiesnelheid. In tegenstelling tot veel Ransomware-as-a-Service (RaaS) -bewerkingen, kan iedereen de Redeemer ransomware-builder downloaden en gebruiken om zijn eigen aanvallen te lanceren. Wanneer een slachtoffer echter besluit om het losgeld te betalen, ontvangt de cybercriminelen 20% van de kosten en deelt hij de hoofdsleutel die moet worden gecombineerd met de privé-buildsleutel die door de affiliate wordt gehouden voor decodering.


Russische hackers gebruiken Google Drive, Dropbox om detectie te ontwijken

De Russische door de staat gesponsorde hackers die bekend staan als APT29 zijn gestart met een nieuwe phishing-campagne die gebruik maakt van legitieme cloudservices zoals Google Drive en Dropbox om kwaadaardige payloads te leveren op gecompromitteerde systemen en detectie te omzeilen. De APT29-dreigingsgroep (ook bekend als Cozy Bear of Nobelium) is de Russische buitenlandse inlichtingendienst (SVR) hackdivisie. Het is gekarakteriseerd als een georganiseerde cyberspionagegroep die werkt aan het verzamelen van inlichtingen die aansluiten bij de strategische doelstellingen van Rusland. De groep heeft deze nieuwe techniek overgenomen in recente campagnes gericht op westerse diplomatieke missies en buitenlandse ambassades wereldwijd tussen begin mei en juni 2022. De lokmiddelen in deze campagnes suggereren het aanvallen van een buitenlandse ambassade in Portugal en een buitenlandse ambassade in Brazilië. Volgens analisten van Palo Alto Networks Unit 42 die de nieuwe trend hebben opgemerkt, maakt de alomtegenwoordige aard van Google Drive-cloudopslagservices en het feit dat ze worden vertrouwd door miljoenen klanten over de hele wereld het een uitdaging om te detecteren. 


VS neemt losgeld van ransomware-aanval op ziekenhuis in beslag

De Amerikaanse autoriteiten hebben losgeld dat een Amerikaans ziekenhuis vorig jaar betaalde nadat het door ransomware was getroffen in beslag genomen. Ook het losgeld van een zorginstelling kon worden teruggehaald en teruggeven. Het ging bij elkaar om een bedrag van zo'n 500.000 dollar, zo maakte plaatsvervangend minister van Justitie Lisa Monaco tijdens een internationale conferentie over cybersecurity bekend. Het ziekenhuis en de zorginstelling waren getroffen door de Maui-ransomware. Eerder deze maand stelden de Amerikaanse autoriteiten dat Noord-Korea achter aanvallen met deze ransomware zit. Nadat het ziekenhuis het losgeld betaalde begon de FBI een onderzoek en kwam vervolgens bij een groep witwassers uit. Verdere blockchain-analyse onthulde ook losgeld betalingen van andere slachtoffers, waaronder de Amerikaanse zorginstelling en mogelijk meerdere slachtoffers uit het buitenland. Een aantal weken geleden wisten de Amerikaanse autoriteiten het geld van de accounts waarmee het losgeld werd witgewassen in beslag te nemen. Dat zal nu aan de slachtoffers worden teruggegeven. Volgens Monaco laat dit zien hoe belangrijk het is dat slachtoffers van ransomware-aanvallen dit aan de autoriteiten melden, zodat er onderzoek kan worden gedaan om het geld terug te krijgen. Onlangs bleek dat de Nederlandse politie erin was geslaagd om het losgeld dat de Universiteit Maastricht na een ransomware-aanval betaalde met winst terug te geven.

Deputy Attorney General Lisa O
PDF – 187,7 KB 209 downloads

Bouwmaterialenproducent Knauf slachtoffer van ransomware-aanval

De Duitse fabrikant van bouwmaterialen Knauf is vorige maand het slachtoffer van een ransomware-aanval geworden. Het bedrijf, dat vorig jaar nog een omzet van 12,5 miljard euro had, werd op 29 juni getroffen door een cyberaanval, aldus een verklaring op de eigen website. Naar aanleiding van het incident werd besloten om proactief systemen uit te schakelen. Drie weken verder is Knauf nog altijd bezig met het herstel van systemen en het verhelpen van de gevolgen van de aanval voor klanten en partners. Vanwege het uitschakelen van de systemen heeft dit gevolgen voor het verwerken van bestellingen en bezorgingen. Op 7 juli maakte Knauf bekend dat het weer mogelijk was om pallets te retourneren. Verdere details over de aanval of updates zijn niet gegeven. De criminelen achter de Black Basta-ransomware hebben nu de aanval via hun eigen website opgeëist, zo melden verschillende onderzoekers op Twitter. Bij de aanval zijn ook gegevens buitgemaakt, waarvan een deel openbaar is gemaakt. Hoe de aanvallers toegang tot de systemen konden krijgen is onbekend.


Massale cyberaanval op openbare diensten van Albanië

Albanië werd dit weekend getroffen door een massale cyberaanval, waarbij de servers van het Nationaal Agentschap voor informatiemaatschappij (AKSHI) dat veel overheidsdiensten afhandelt, werden getroffen. De gesynchroniseerde criminele aanval vanuit het buitenland zorgde ervoor dat alle Albanese overheidssystemen werden stilgelegd. Het Albanese Nationale Agentschap voor de Informatiemaatschappij verklaarde dat ze gedwongen zijn om overheidssystemen te sluiten totdat de vijandelijke aanvallen zijn geneutraliseerd. De meeste bureaudiensten voor de bevolking werden onderbroken en slechts enkele belangrijke diensten, zoals online belastingaangifte, werkten omdat ze worden geleverd door servers die niet het doelwit zijn van de aanval. De Albanese autoriteiten werkten samen met experts van Microsoft en de in de VS gevestigde Jones Group International om het effect van de aanval te verzachten en de activiteiten te herstellen. Het blokkeren van openbare diensten heeft veel individuen en bedrijven getroffen. Er is geen officieel commentaar geweest op wie er achter de aanval zat, hoewel sommige Albanese media Rusland de schuld hebben gegeven.


CPUs van Intel en AMD kwetsbaar voor Retbleed-aanval

Processors van zowel Intel als AMD zijn kwetsbaar voor een nieuwe cyberaanval die 'Retbleed' wordt genoemd. De aanval kan worden misbruikt om gevoelige informatie uit systemen te verkrijgen. Patches zijn beschikbaar, maar deze kunnen ten koste gaan van de prestaties van de CPU's.  Retbleed is een vorm van zogeheten speculative execution-aanvallen. Speculative execution is een optimalisatie-techniek waarmee CPU's berekeningen kunnen uitvoeren nog voordat zij weten of deze vereist zijn voor taken die zij in de toekomst moeten uitvoeren. Hierbij rekenen de CPU's preventief meerdere codepaden uit. Zodra duidelijk is welk codepad nodig is, wordt deze geselecteerd en de overige codepaden verworpen. Dit is echter niet waterdicht, blijkt uit kwetsbaarheden die afgelopen jaren opdoken. Het gaat dan specifiek om Spectre en Meltdown. Hier komt nu Retbleed bij. Opvallend is dat Retbleed juist misbruik maakt van een maatregel die bedoeld is om aanvallen zoals Spectre tegen te gaan. Het gaat daarbij om Retpoline, wat een samenvoeging is van 'return' en 'trampoline'. Retpoline is ontwikkeld door Google. Retbleed is ontdekt door onderzoekers van de Zwitserse universiteit ETH Zurich. De kwetsbaarheid treft Intel Core CPU's van de zesde generatie (Skylake) tot de achtste generatie (Coffee Lake), evenals AMD Zen 1, Zen 1+ en Zen 2 CPU's die in de periode 2017 tot en met 2019 zijn uitgebracht. De onderzoekers van ETH Zurich hebben een proof of concept code ontwikkeld waarmee zij vanuit een applicatie met lage toegangsrechten data van andere software-processen kunnen benaderen. Dit doen zij door de data te extraheren uit de eerder beschreven codepaden die bij speculatieve executie worden gebruikt. In de onderstaande video geven de onderzoekers een demonstratie:


FBI: criminelen stelen miljoenen dollars via frauduleuze crypto-beleggingsapps

Criminelen hebben via frauduleuze crypto-beleggingsapps miljoenen dollars weten te stelen, zo laat de FBI via een Private Industry Notification weten. De Amerikaanse opsporingsdienst ontving aangiftes van 244 slachtoffers en schat de schade door de malafide apps op 42,7 miljoen dollar. De criminelen bieden apps aan die van legitieme bedrijven en financiële instellingen lijken en de mogelijkheid bieden voor crypto-investeringen. Zodra slachtoffers hun geld via de app willen opnemen ontvangen ze een e-mail dat er eerst belasting moet worden betaald of is het helemaal niet mogelijk om geld op te nemen. Een ander slachtoffer kreeg te horen dat hij, zonder hiervoor toestemming te hebben gegeven, deelnam aan een programma waarbij er minimaal 900.000 dollar moest worden geïnvesteerd. Het slachtoffer wilde zijn deelname stopzetten, maar kreeg te horen dat hij eerst het benodigde bedrag moest overmaken. De FBI stelt dat zowel financiële instellingen als beleggers verschillende maatregelen kunnen nemen om geen slachtoffer te worden. Zo moeten instellingen proactief voor dergelijke fraude waarschuwen en laten weten waar beleggers dit kunnen rapporteren. Verder moet er periodiek naar frauduleuze apps worden gezocht die zich als een app van de betreffende instelling voordoet. Beleggers krijgen het advies om alert te zijn op ongevraagde verzoeken om beleggingsapps te downloaden, met name van personen die men niet in persoon heeft ontmoet of waarvan de identiteit niet is geverifieerd. Verder moeten beleggers voor het downloaden verifiëren dat een app legitiem is en moeten apps met beperkte of niet werkende functionaliteit met de nodige scepsis worden behandeld (pdf).

220718
PDF – 1,1 MB 252 downloads

België beschuldigt Chinese hackers van cyberaanvallen op Defensie en Binnenlandse Zaken

België beschuldigt Chinese hackers van cyberaanvallen op Defensie en de federale overheidsdienst Binnenlandse Zaken. Belgie roept China nu op alle nodige maatregelen te nemen om de situatie te onderzoeken en aan te pakken, klinkt het in een persbericht van Buitenlandse Zaken. De overheid detecteerde cyberaanvallen tegen de FOD Binnenlandse Zaken en Defensie. Die “hebben onze soevereiniteit, democratie, veiligheid en samenleving aanzienlijk aangetast”, aldus het persbericht. Volgens Buitenlandse Zaken kunnen beide aanvallen gelinkt worden aan Chinese hackergroepen. De hackers hadden bij Binnenlandse Zaken twee jaar lang toegang tot het netwerk. Het Centrum voor Cyberveiligheid (CCB) had eerder al gesuggereerd dat de aanval het werk van een inlichtingendienst leek. Door de cyberaanval bij Defensie was het netwerk wekenlang afgesloten van het internet en was het mailverkeer met de buitenwereld onderbroken. “België veroordeelt deze kwaadaardige cyberactiviteiten met klem, die in contradictie zijn met de normen van verantwoordelijk staatsgedrag, zoals die zijn onderschreven door alle VN-lidstaten”, aldus Buitenlandse Zaken. “We blijven er bij de Chinese autoriteiten op aandringen om zich aan deze normen te houden en niet toe te laten dat hun grondgebied gebruikt wordt voor kwaadaardige cyberactiviteiten.” Ook vraagt Belgie om “alle gepaste en mogelijke maatregelen te nemen om de situatie te detecteren, onderzoeken en aan te pakken”. 


Nieuwe Luna ransomware versleutelt Windows, Linux en ESXi systemen

Een nieuwe ransomware-familie genaamd Luna kan worden gebruikt om apparaten met verschillende besturingssystemen te versleutelen, waaronder Windows-, Linux- en ESXi-systemen. Ontdekt door Kaspersky-beveiligingsonderzoekers via een darkweb ransomware-forumadvertentie die werd opgemerkt door het Threat Intelligence actieve monitoringssysteem van het bedrijf. Het lijkt dat Luna ransomware specifiek is afgestemd op gebruik door Russisch sprekende bedreigingsactoren. "In de advertentie staat dat Luna alleen werkt met Russischtalige filialen. Ook bevat de losgeldbrief die hardcoded is in het binaire bestand spelfouten. Er staat bijvoorbeeld 'a little team' in plaats van 'a small team' melde Kaspersky..

Luna And Black Basta
PDF – 2,9 MB 208 downloads

Staatsgelieerde cyberaanvallen richten zich op journalisten

Recent onderzoek van Proofpoint toont aan hoe verschillende hackersgroepen in opdracht van de overheid, zich richten op journalisten om spionage uit te voeren, malware te verspreiden en netwerken van mediabedrijven te infiltreren. Enkele bekende namen die het slachtoffer werden van deze praktijken, zijn de publicaties The Guardian en Fox News. Een doordachte, succesvolle aanval op het e-mailaccount van een journalist kan waardevolle inzichten verschaffen in gevoelige, actuele informatie en bij het blootleggen van bronnen. Journalisten en mediabedrijven zijn populaire doelwitten. Onderzoekers van Proofpoint hebben vastgesteld dat APT-actoren (Advanced Persistent Threat), met name die door de staat gesponsord of aan de staat gelieerd, zich voordoen als of zich richten op journalisten en mediabedrijven vanwege de informatie die zij kunnen bieden. Meestal worden gerichte phishing-aanvallen op journalisten gebruikt voor spionage of om belangrijke informatie te achterhalen over de overheid, de bedrijfswereld of een ander gebied dat voor de overheid belangrijk is. Uit onderzoek van Proofpoint blijkt dat vanaf begin 2021, APT-actoren worden ingezet om journalisten en mediakanalen te bereiken of te betrekken bij een cyberaanval. Het gaat onder meer om aanvallen die goed inspelen op politieke gebeurtenissen in de Verenigde Staten. Sommige cyberaanvallen zijn gericht op mediakanalen om concurrentie voor te blijven, terwijl andere zich richten op journalisten die het beleid van een land zwart hebben gemaakt. Maar ook als middel om desinformatie of propaganda te verspreiden.


Nieuwe CHAOS gebaseerde BlueKey ransomware


Grootschalige aanval op WordPress-sites met kwetsbare plug-in

Criminelen hebben de afgelopen dagen een grootschalige aanval op WordPress-sites uitgevoerd waarbij werd geprobeerd om die via een kwetsbare plug-in over te nemen en een update voor het beveiligingslek is niet beschikbaar. De aanvallers maken misbruik van een kwetsbaarheid in de Kaswara Modern WPBakery Page Builder add-on. De uitbreiding moet het eenvoudiger maken om WordPress-sites te ontwerpen. Door het lek kan een ongeauthenticeerde aanvaller kwaadaardige PHP-bestanden uploaden en zo volledige controle over de website krijgen. Het beveiligingslek, aangeduid als CVE-2021-24284, werd vorig jaar april openbaar gemaakt. De ontwikkelaars van de add-on hebben echter nooit een beveiligingsupdate uitgebracht en bieden de uitbreiding inmiddels ook niet meer aan. Daardoor zijn alle WordPress-sites waar de plug-in is geïnstalleerd nog steeds kwetsbaar. Volgens securitybedrijf Wordfence hebben tussen de vierduizend en achtduizend websites de add-on nog geïnstalleerd. Recentelijk zag het securitybedrijf dat aanvallers een exploit voor de kwetsbaarheid op 1,6 miljoen WordPress-sites uitprobeerden. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Aangezien er geen patch beschikbaar is krijgen webmasters het advies om de uitbreiding te verwijderen.


Artis betaalt geen losgeld aan hackers

Dierentuin Artis heeft de systemen die vorige maand door ransomware werden getroffen via back-ups weten te herstellen, zo heeft de dierentuin vandaag bekendgemaakt. Er is geen losgeld aan de criminelen betaald. Artis werd eind juni het slachtoffer van een ransomware-aanval. Systemen gingen offline en het was niet mogelijk om online tickets aan te schaffen. Vandaag meldt de dierentuin dat uit het onderzoek naar de aanval er geen aanwijzingen naar voren zijn gekomen dat de daders persoonsgegevens hebben gestolen of ingezien. "Dankzij veilige back-up data en extra maatregelen konden vrijwel alle ict-systemen in de dagen na de aanval weer worden opgestart", zo stelt de dierentuin, die toevoegt dat de cyberaanval is afgewend. De dierentuin stelt verder dat het door de aanval er des te meer van bewust is geworden dat het als organisatie nooit honderd procent veilig tegen dergelijke activiteiten van cybercriminelen kan zijn. "Sinds de hack hebben we ons laten bijstaan door een cybersecurityspecialist over de te nemen stappen. De bescherming en beveiliging van onze ict-systemen en achterliggende data hebben we nog een keer tegen het licht gehouden. Niet alleen om herhaling te voorkomen, maar ook om het nog beter te organiseren dan we al deden."

ARTIS Doelwit Van Cyberaanval
PDF – 97,2 KB 214 downloads

Politie Colorado onderzoekt ransomware-aanval op kleine stad

De politie van Frederick, Colorado zei dat het claims onderzoekt dat het stadsbestuur werd getroffen door een ransomware-aanval. Donderdag voegde de LockBit-ransomwaregroep de stad van ongeveer 15.000 inwoners toe aan zijn lijst met slachtoffers. Een woordvoerder van de stad vertelde The Record dat het "een melding heeft ontvangen van een mogelijke ransomware-aanval". "De Frederick Police Department werkt samen met Information Technology om de geldigheid van deze berichten te verifiëren," zei de woordvoerder. "Momenteel is er geen bewijs van inbraak in ons beveiligde netwerk." Een vertegenwoordiger van de Colorado Division of Homeland Security and Emergency Management voegde eraan toe dat het Colorado Information Analysis Center, dat opereert binnen de cybersecurity-divisie van de organisatie, ondersteuning biedt aan de stad bij het aanpakken van het incident.


New STOP247 ransomware


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten