Softwareleverancier Limburgse gemeenten getroffen door ransomware-aanval, cybercriminelen dreigen wijzigen chemische samenstelling drinkwater en IceFire Ransomware lanceert dataleksite. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Meer dan 6.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes omdat ze weigerden te betalen. Als je betaald wordt er geen data gelekt en kom je niet op deze lijst.. ‘Zo'n 80% van de organisaties betaalt losgeld’ π€
Update: 22-augustus-2022 | Aantal slachtoffers: 5.866
Week overzicht
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
Family Medicine CentersFMC Clinics | Vice Society | www.fmcclinics.com | USA |
BSA Hospice of the Southwest | Vice Society | www.hospicesouthwest.com | USA |
*.algotrader.com | IceFire | algotrader.com | Switzerland |
*.bestservers.pro | IceFire | bestservers.pro | Unknown |
*.iperactive.com.ar | IceFire | iperactive.com.ar | Argentina |
*.cco1.com | IceFire | cco1.com | Unknown |
*.vps-vds.com | IceFire | vps-vds.com | Iran |
*.guneshosting.com | IceFire | guneshosting.com | Turkey |
*.kodhosting.com | IceFire | kodhosting.com | Turkey |
*.kru.ac.th | IceFire | kru.ac.th | Thailand |
*.directfn.net | IceFire | directfn.net | Unknown |
*.feesh.ch | IceFire | feesh.ch | Switzerland |
*.skifgroup.com | IceFire | skifgroup.com | Pakistan |
DESFA | Ragnar_Locker | www.desfa.gr | Greece |
cap***-*****.com | BianLian | Unknown | Unknown |
Reiter Affiliated Companies | Hive | www.berry.net | USA |
PROSOL | Vice Society | www.prosol.ca | Canada |
Shaw & Slavsky | Quantum | www.shawandslavsky.com | USA |
Consejo Superior de Investigaciones Cientificas | Vice Society | www.csic.es | Spain |
Department of Indre-et-Loire | Vice Society | www.touraine.fr | France |
entrust.com | LockBit | entrust.com | USA |
wabteccorp.com | LockBit | wabteccorp.com | USA |
traveldoc.ca | LockBit | traveldoc.ca | Canada |
megal.com | LockBit | megal.com | USA |
Tang Capital | Ragnar_Locker | Unknown | USA |
WOOTTON ACADEMY TRUST | Hive | www.wootton.beds.sch.uk | UK |
burnettefoods.com | Industrial Spy | burnettefoods.com | USA |
Stratford University | Snatch | www.stratford.edu | USA |
Accelya | BlackCat (ALPHV) | www.accelya.com | Spain |
Apex Capital Corp | BlackByte | www.apexcapitalcorp.com | USA |
AMBE | CryptOn | ambeltd.com | USA |
porcelanosa-usa.com | LockBit | porcelanosa-usa.com | Spain |
Vygon Spain | Vice Society | www.vygon.es | Spain |
SOUTH-STAFFS-WATER.CO.UK | CL0P | south-staffs-water.co.uk | UK |
tier1techs.screenconnect.com | LockBit | tier1techs.com | USA |
altaadhod.com | LockBit | altaadhod.com | Qatar |
Methodist McKinney Hospital | Karakurt | www.methodistmckinneyhospital.com | USA |
William A. Kibbe & Associates | Karakurt | www.kibbe.com | USA |
Calin Group | Karakurt | calin.gr | Greece |
ELEFONDATI SRL | LV | www.elefondati.it | Italy |
In samenwerking met DarkTracer
WordPress-sites gehackt met valse Cloudflare DDoS-waarschuwingen
WordPress-sites worden gehackt om valse Cloudflare DDoS-beveiligingspagina's weer te geven om malware te verspreiden die de NetSupport RAT en de RaccoonStealer wachtwoordstelende Trojan installeert. DDoS-beveiligingsschermen (distributed denial of service) zijn gebruikelijk op internet en beschermen sites tegen bots die ze pingen met valse verzoeken, met als doel ze te overstelpen met afvalverkeer. Internetgebruikers beschouwen deze "welkomstschermen" als een onvermijdelijke ergernis.Helaas is deze bekendheid een uitstekende gelegenheid voor malware campagnes.
Hackers stelen crypto van Bitcoin-geldautomaten door misbruik te maken van zero-day bug
Hackers hebben misbruik gemaakt van een zero-day kwetsbaarheid in General Bytes Bitcoin ATM-servers om cryptocurrency van klanten te stelen. Wanneer klanten cryptocurrency zouden storten of kopen via de geldautomaat, zouden de fondsen in plaats daarvan worden overgeheveld naar de hackers. General Bytes is de fabrikant van Bitcoin-geldautomaten waarmee mensen, afhankelijk van het product, meer dan 40 verschillende cryptocurrencies kunnen kopen of verkopen. De Bitcoin-geldautomaten worden bestuurd door een externe Crypto Application Server (CAS), die de werking van de geldautomaat beheert, welke cryptocurrencies worden ondersteund en de aan- en verkopen van cryptocurrency op beurzen uitvoert.
Córdoba: chaos in Justitie na de ransomware-aanval
De ransomware-aanval die de gerechtelijke afdeling van Córdoba afgelopen vrijdag onderging, liet justitie van die provincie in het ongewisse. Sindsdien werkt het systeemteam te midden van chaos om de gekaapte informatie te herstellen: wachtwoord wijzigingen, USB-poortvergrendelingen, opschorting van Exchange-e-mail en onderbreking van de communicatie tussen gebruikers om de verspreiding van het virus te voorkomen.
Google weerde grootste DDoS-aanval tot op heden af
Google is erin geslaagd om een grootschalige DDoS-aanval in de kiem te smoren. DDoS-aanvallen komen steeds vaker voor, en nemen ook steeds grotere proporties aan. Het incident speelde zich af op 1 juni 2022. Rond 18u45 CET (09u45 PT) merkte Google Cloud de eerste onregelmatigheden op bij een niet nader genoemde klant, die op dat moment tienduizend verzoeken per seconde te verduren kreeg. Acht minuten later was dat aantal verzoeken al gestegen naar honderdduizend per seconde. Op zijn piek bereikte de aanval maar liefst 46 miljoen verzoeken per seconde. Om dat cijfer in perspectief te plaatsen: dat is het totale aantal verzoeken dat Wikipedia, één van de top tien meest bezochte websites ter wereld, gemiddeld per dag moet verwerken. Omdat de aanvalspoging al in zijn beginfase kon worden opgemerkt en zich niet in het hart van het Google Cloud-netwerk afspeelde, wist Google de aanval relatief snel in de kiem te smoren. 69 minuten later gooiden de aanvallers de handdoek al in de ring. Een analyse van het incident leert ons dat de verzoeken vanuit 5.256 verschillende IP-adressen verspreid over 132 landen werden verstuurd. Ook maakte de aanvallers gebruikt van versleutelde HTTPS-verzoeken in plaats van de gebruikelijke HTTP-verzoeken, wat ook al doet vermoeden dat het geen amateurs waren die achter de aanvalspoging zaten.
Estland zegt grote cyberaanval tegen te houden
De aanval, toegewezen aan de Pro-Russische groep Killnet, zou een reactie zijn op de verwijdering van een Russisch monument in het land. Estland heeft een golf van cyberaanvallen op verschillende websites tegengehouden. De grootste in tien jaar, zo zegt het land zelf. Oorzaak lijkt de pro-Kremlin groep Killnet te zijn, die eerder al DDoS-aanvallen uitvoerde op websites in Litouwen, Roemenië, Duitsland en het Eurosongfestival. De groep heeft ook deze aanval opgeëist. Killnet is boos omdat Estland een Russische tank heeft verwijderd, die als monument diende voor Sovjet-veteranen tijdens de Tweede Wereldoorlog. De DDoS-aanvallen waren gericht tegen publieke organisaties en private bedrijven, zo meldt Luukas Ilves, staatssecretaris voor Digitale Transformatie van Estland, op Twitter. Hij zegt er meteen bij dat de aanvallen weinig schade berokkenden en dat de getroffen websites, op enkele uitzonderingen na, in de lucht bleven.
VS waarschuwt voor actief aangevallen kwetsbaarheden in SAP en Windows
De Amerikaanse overheid heeft een waarschuwing gegeven voor actief misbruikte kwetsbaarheden in SAP en Windows waarvan eerder nog niet bekend was dat ze bij aanvallen werden ingezet. Federale Amerikaanse overheidsinstanties zijn verplicht om de updates voor 8 september te installeren. Begin dit jaar kwam SAP met een update voor een kwetsbaarheid (CVE-2022-22536) in SAP NetWeaver Application Server ABAP, SAP NetWeaver Application Server Java, ABAP Platform, SAP Content Server en SAP Web Dispatcher. Een onderdeel van de software is kwetsbaar voor "http request smuggling" en maakt het mogelijk voor een ongeauthenticeerde aanvaller om systemen op afstand over te nemen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Sap riep in februari organisaties op om de kwetsbaarheid direct te patchen. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security maken aanvallers inmiddels actief misbruik van dit beveiligingslek om organisaties aan te vallen. Dat geldt ook voor twee kwetsbaarheden in Windows waar Microsoft in februari en mei van dit jaar updates voor uitbracht. Via een beveiligingslek in Active Directory Domain Services (CVE-2022-26923) kan een aanvaller met toegang tot een systeem een certificaat van Active Directory Certificate Services verkrijgen en zo zijn rechten verhogen tot die van SYSTEM. Het andere beveiligingslek in Windows (CVE-2022-21971) laat een aanvaller lokaal willekeurige code uitvoeren, hoewel Microsoft spreekt over remote code execution. Aangezien het lek niet op afstand is te misbruiken heeft het een lagere impactscore en beoordeling gekregen. Verder waarschuwt het CISA federale organisaties ook voor actief aangevallen kwetsbaarheden in Google Chrome en Apple iOS en macOS, maar daarvan was al bekend dat er misbruik plaatsvindt.
LockBit claimt ransomware-aanval op beveiligingsgigant Entrust
De LockBit ransomware-bende heeft de verantwoordelijkheid opgeëist voor de cyberaanval van juni op digitale beveiligingsgigant Entrust. Vandaag vertelde beveiligingsonderzoeker Dominic Alvieri dat LockBit een speciale datalek pagina voor Entrust op hun website had gemaakt, waarin stond dat ze morgenavond alle gestolen gegevens zouden publiceren.
Break in the LockBit DDoS attack and caught the site with the adjusted post.
β Dominic Alvieri (@AlvieriD) August 22, 2022
-leak site offline again
-post showing Entrust published
-again unable to obtain Entrust file@Entrust_Corp #LockBit #cybersecurity #infosec@BleepinComputer @TheRegister https://t.co/2omx5NEchj pic.twitter.com/GY1WcbjH9V
Cyberaanval uitgevoerd op Estland na verwijderen Sovjetmonument
Gisteren is Estland het slachtoffer geworden van een cyberaanval. De aanval volgt op het besluit van de overheid om een Sovjetmonument, ter herinnering van de overwinning op nazi-Duitsland in de Tweede Wereldoorlog, te verwijderen uit het straatbeeld. Dat lag gevoelig bij een groot deel van de bevolking, dat etnisch Russisch is. Het is de ergste online aanval die het land sinds 2007 heeft gezien, meldt de Estse overheid. Er zijn meerdere private- en overheidssystemen platgelegd door middel van een DDoS-aanval. Bij een dergelijke cyberaanval proberen hackers het netwerk te overspoelen met ongebruikelijk hoge hoeveelheden dataverkeer, waardoor de systemen de data niet meer kunnen verwerken en stil komen te liggen.
The attacks were ineffective. E-Estonia is up and running. Services were not disrupted. With some brief and minor exceptions, websites remained fully available throughout the day. The attack has gone largely unnoticed in Estonia. (2/4)
β Luukas Ilves (@luukasilves) August 18, 2022
'Er moet een extra toeslag komen op het betalen van losgeld aan hackers'
Technologie-expert en jurist Danny Mekic pleit in NRC ervoor dat grote bedrijven een losgeld-toeslag zouden moeten betalen om zo kleine ondernemers weerbaarder te maken tegen ransomware-aanvallen. In Villa VdB licht hij zijn plan verder toe. Naar luisterfragment.
Nederland levert verdachte van witwassen losgeld ransomware uit aan VS
Nederland heeft een 29-jarige Russische man aan de Verenigde Staten uitgeleverd die door de Amerikaanse autoriteiten wordt verdacht van het witwassen van losgeld dat slachtoffers van ransomware-aanvallen betaalden. Het zou dan specifiek gaan om slachtoffers van de beruchte Ryuk-ransomare. Verschillende Amerikaanse overheidsinstanties en gemeenten werden door de ransomware getroffen en zagen zich gedwongen om te betalen. Zo betaalde een Amerikaans district 400.000 dollar losgeld om versleutelde bestanden ontsleuteld te krijgen. De criminelen achter de Ryuk-ransomware hebben naar schatting miljoenen euro's met de ransomware verdiend. Vorig jaar november hield de Koninklijke Marechaussee op verzoek van de FBI een Russische zakenman aan op Schiphol die wordt verdacht van het witwassen van geld voor de Ryuk-ransomware groep. De verdachte was onderweg naar Mexico voor vakantie waar hij wegens een aanhoudingsbevel geen toegang tot het land kreeg. Vervolgens werd hij op een vliegtuig naar Nederland gezet waar hij op Schiphol kon worden aangehouden. De Amerikaanse autoriteiten stellen dat wereldwijd duizenden organisaties en bedrijven door de Ryuk-ransomware zijn getroffen. De zaak tegen de verdachte begint begin op 4 oktober.
Ziekenhuis VS betaalt personeel door ransomware 2 miljoen dollar teveel loon
Een Amerikaans ziekenhuis heeft door de gevolgen van een ransomware-aanval personeel 2 miljoen dollar teveel loon betaald en wil dat bedrag nu terug. Vorig jaar december werd hr-dienstverlener Kronos het slachtoffer van een ransomware-aanval, waardoor talloze organisaties geen toegang meer tot hun online hr- en hcm-oplossingen hadden, die onder andere worden gebruikt voor het bijhouden van de door het personeel gewerkte uren en salarisverwerking. Het St. Charles ziekenhuis besloot personeel op basis van doorgegeven uren te betalen. Nu blijkt dat sommige medewerkers zijn overbetaald en anderen onderbetaald. Personeel moet het teveel betaalde geld nu terugbetalen, dat bij sommige medewerkers drieduizend dollar bedraagt. Met name verplegers kregen teveel salaris uitgekeerd. Een verplegersvakbond is nu in actie gekomen en roept personeel op het geld nog niet terug te betalen. Zo zouden er onder andere vragen zijn over hoe het teveel betaalde bedrag is berekend, zo meldt The Oregonian.
Softwareleverancier Limburgse gemeenten getroffen door ransomware-aanval
Een softwareleverancier van vijf Limburgse gemeenten is getroffen door ransomware, zo hebben de gemeenten Eijsden-Margraten, Gulpen-Wittem, Kerkrade, Meerssen en Vaals in een verklaring laten weten. Door de aanval waren bestanden van het administratiesysteem van het sociaal domein versleuteld. Er zouden geen gegevens zijn buitgemaakt, aldus de gemeenten op basis van onderzoek door een securitybedrijf. Het getroffen systeem wordt gebruikt voor de afhandeling van aanvragen van onder andere bijstandsuitkeringen, energietoeslagen en aanvragen in het kader van de Wet maatschappelijke ondersteuning (Wmo) en de Jeugdzorg. "In de afgelopen periode heeft de focus van de gemeenten en leverancier van het administratiesysteem steeds gelegen op het continueren van de dienstverlening. De dienstverlening van het sociaal domein verloopt weer zoals gebruikelijk", zo laten de gemeenten verder weten. De ransomware-aanval vond op 27 juli plaats, maar is pas vandaag bekendgemaakt. Eerder deze maand maakte ook de gemeente Noordenveld in Drenthe melding van een ransomware-aanval. Die aanval zorgde ook voor problemen met het administratiesysteem van het sociaal domein en kon er voor zorgen dat de afhandeling van aanvragen in het kader van bijvoorbeeld de Wmo, bijstandsuitkeringen en energietoeslagen langer duurden.
Gebruikers van Google Chrome opnieuw doelwit van zeroday-aanval
Gebruikers van Google Chrome zijn opnieuw het doelwit van een zeroday-aanval geworden. Google heeft een beveiligingsupdate uitgebracht die ook een kritieke kwetsbaarheid verhelpt waardoor aanvallers systemen op afstand kunnen overnemen. Alleen het bezoeken van een malafide of gecompromitteerde website of te zien krijgen van een besmette advertentie is voldoende. Details over de waargenomen aanvallen, die Google zelf ontdekte, zijn niet door het techbedrijf gegeven. Dit jaar heeft Google al meerdere zerodaylekken in Chrome verholpen die al voor het uitkomen van de update werden misbruikt. Eerder was het raak in februari, maart, april en juli. De nieuwste zeroday (CVE-2022-2856) werd vorige maand door onderzoekers van Googles Threat Analysis Group gevonden. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. De impact van de kwetsbaarheid is beoordeeld als "high". Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Een andere kwetsbaarheid in de browser maakt het echter wel mogelijk om systemen op afstand over te nemen. Volgens Google wordt er van dit kritieke beveiligingslek, aangeduid als CVE-2022-2852, voor zover bekend geen misbruik gemaakt. Ook deze kwetsbaarheid werd door Google zelf gevonden. Hoewel kritieke beveiligingslekken weinig voorkomen in Chrome staat de teller dit jaar al op zes, wat meer is dan in voorgaande jaren. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Naast het aangevallen zerodaylek en de kritieke kwetsbaarheid verhelpen Chrome 104.0.5112.101 voor Mac en Linux en Chrome 104.0.5112.102/101 voor Windows negen andere kwetsbaarheden. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren.
Nederlandse windmolens konden door ransomware-aanval niet proefdraaien
Drie Nederlandse windmolens op Windpark Oude Maas konden begin dit jaar door een ransomware-aanval op de Duitse windmolenfabrikant Nordex niet proefdraaien, zo heeft minister Jetten van Klimaat en Energie laten weten. Langs de Oude Maas realiseren Eneco en renewable factory een windpark met vijf windmolens genaamd Windpark Oude Maas. De turbines hebben lange tijd stilgestaan. In februari kreeg het Windpark met stormschade te maken, waardoor onderdelen op de locatie beschadigd raakten. In juli zijn vervolgens twee windmolens gerepareerd. Volgens Jetten staat de stormschade los van de ransomware-aanval op de windmolenleverancier Nordex van april dit jaar. De andere drie windmolens konden niet proefdraaiden omdat Nordex problemen ervoer door de ransomware-aanval. Op 31 maart kreeg Nordex naar eigen zeggen met een "cybersecurityincident" te maken, waarop het besloot om systemen op meerdere locaties en van verschillende bedrijfsonderdelen uit voorzorg uit te schakelen, waaronder de remote access van de eigen it-infrastructuur voor windmolens die het onder beheer heeft. De aanval werd opgeëist door de criminelen achter de Conti-ransomware. "De digitale aanval op Nordex had betrekking op een it-applicatie van de organisatie (kantoorautomatisering) en heeft geen impact gehad op de hardware die toegang heeft tot de besturing van de windmolens (continuïteit van de dienstverlening). Er is dus geen sprake van een directe succesvolle cyberaanval op windpark Oude Maas, Nordex is slechts een toeleverancier van het windpark", reageert Jetten op Kamervragen van JA21. JA21-Kamerlid Eerdmans wilde ook weten hoeveel cyberaanvallen op systemen en netwerken van Nederlandse windmolens het afgelopen jaar hebben plaatsgevonden, maar dat kan de minister niet zeggen. "Er bestaat geen algeheel overzicht van (pogingen tot) cyberaanvallen op specifieke sectoren zoals windenergie."
Oekraïens nucleair agentschap beticht Rusland van "ongeziene" cyberaanval
Het Oekraïense nucleaire agentschap Energoatom heeft dinsdag in een mededeling een “ongeziene Russische cyberaanval” tegen zijn site gemeld. “Op 16 augustus 2022 heeft de meest krachtige cyberaanval sinds het begin van de Russische invasie plaatsgevonden tegen de officiële website van Energoatom”, zo verklaarde het agentschap op Telegram. De site werd volgens het agentschap “aangevallen vanop Russisch grondgebied”. Volgens Energoatom zette een Russische cybergroep 7,25 miljoen bots in die gedurende drie uur de site van het agentschap hebben bestookt. De aanval heeft evenwel “geen aanzienlijke impact op de werking van de site gehad”, aldus nog het agentschap. De aanval vond plaats op een moment van grote spanningen rondom de nucleaire centrale van Zaporizja. De centrale in het zuiden van het land is sinds begin maart ingenomen door Russische troepen. Sinds eind juli hebben meerdere aanvallen de site getroffen. Moskou en Kiev wijzen hiervoor met de vinger naar elkaar. Meer cyberoorlog nieuws kunt u hier lezen.
Phishingaanval op tientallen organisaties
Tientallen organisaties en "people of interest" zijn sinds het begin van dit jaar doelwit geworden van phishingaanvallen uitgevoerd door een vanuit Rusland opererende spionagegroep, zo claimt Microsoft. De groep wordt door het techbedrijf Seaborgium genoemd en zou zich onder andere richten op het stelen van e-mails en bijlagen uit mailboxes van slachtoffers. Voordat de spionagegroep met een phishingaanval begint vindt er eerst een verkenning van het doelwit plaats, voornamelijk gericht op contacten in het sociale netwerk of de invloedssfeer van het doelwit. Zo maken de aanvallers onder andere gebruik van LinkedIn om door middel van nepprofielen contact te leggen en een vertrouwensband op te bouwen. Vervolgens sturen de aanvallers berichten met bijlagen of links die naar een phishingsite linken. Zodra slachtoffers op deze website de inloggegevens van hun e-mailaccount invullen proberen de aanvallers e-mails en bijlagen uit de mailbox te stelen. Ook stelen de aanvallers forwarding rules in zodat binnengekomen e-mail automatisch naar een opgegeven e-mailadres wordt doorgestuurd. Microsoft zegt dat de aanvallers ook toegang tot mailinglistgegevens van "gevoelige groepen" hebben weten te krijgen, waaronder die van voormalige inlichtingenfunctionarissen. Deze data wordt vervolgens voor verdere aanvallen gebruikt. Volgens Microsoft zijn sinds het begin van dit jaar meer dan dertig organisaties en de persoonlijke accounts van een niet nader genoemd aantal "people of interest" doelwit geworden. Het gaat dan met name om organisaties in de Verenigde Staten en het Verenigd Koninkrijk, alsmede de Baltische staten, Scandinavië en Oost-Europa. Om dergelijke aanvallen tegen te gaan adviseert Microsoft het gebruik van multifactorauthenticatie (MFA) voor alle gebruikers en vanaf alle locaties. Verder wordt aangeraden om veiligere MFA-implementaties te gebruiken, zoals FIDO-tokens of de Microsoft Authenticator, en sms-gebaseerde MFA te vermijden.
BlackByte ransomware-bende is terug met nieuwe afpersingstactieken
De BlackByte ransomware is terug met versie 2.0, inclusief een nieuwe dataleksite die nieuwe afpersingstechnieken gebruikt die zijn geleend van LockBit. Na een korte verdwijning promoot de ransomware-operatie nu een nieuwe dataleksite op hackerforums en via Twitter-accounts die de cybercriminelen beheren.
#BlackByte #Ransomware V2.0 Auction Link
β Lauri (@Lauri26218574) August 15, 2022
jbeg2dct2zhku6c2vwnpxtm2psnjo2xnqvvpoiiwr5hxnc6wrp3uhnad[.]onion
Cybercriminelen hacken MailChimp
Cloudprovider DigitalOcean heeft klanten gewaarschuwd voor een datalek nadat aanvallers wisten in te breken bij e-mailmarketingbedrijf MailChimp. Vanwege het datalek heeft DigitalOcean het contract met MailChimp opgezegd. Via MailChimp kunnen bedrijven en organisaties nieuwsbrieven en marketingmails versturen, maar ook andere e-mailcommunicatie. Ook DigitalOcean maakte gebruik van de diensten van het bedrijf, mede voor het uitvoeren van wachtwoordresets, versturen van mailwaarschuwingen en e-mailbevestigingen. Vorige week ontdekte de cloudprovider dat een aanvaller het eigen MailChimp-account had gecompromitteerd, wat volgens DigitalOcean vermoedelijk een groter beveiligingsincident lijkt te zijn. Zo werden transactionele e-mails van DigitalOcean die via MailChimp werden verstuurd niet meer afgeleverd bij klanten. Het ging onder andere om wachtwoordresets en e-mailbevestigingen. De aanvaller kreeg via het gecompromitteerde DigitalOcean MailChimp-account toegang tot e-mailadressen van DigitalOcean-klanten. Vervolgens probeerde de aanvaller toegang tot de accounts van deze klanten te krijgen door in naam van klanten wachtwoordresets uit te voeren. Ten tijde van de aanval liet tenminste één klant weten dat het wachtwoord van zijn account was gereset. De cloudprovider meldt dat de accounts van deze klanten inmiddels zijn beveiligd. Naast de e-mailadressen zijn er geen andere klantgegevens buitgemaakt. Na de ontdekking op 8 augustus dat het eigen MailChimp-account was gecompromitteerd nam DigitalOcean contact op met MailChimp, maar de cloudprovider stelt dat het pas op 10 augustus een echte reactie ontving. MailChimp bevestigde dat een aanvaller toegang tot de interne tools van de e-mailmarketeer had gekregen. Vervolgens wist de aanvaller voor verschillende DigitalOcean-klanten-klanten wachtwoordresets uit te voeren. Doordat een aantal van deze klanten tweefactorauthenticatie gebruikte kreeg de aanvaller geen toegang tot hun account. Vanwege het datalek heeft DigitalOcean besloten om geen gebruik meer van de diensten van MailChimp te maken. Daarnaast stelt de cloudprovider dat het incident aantoont dat meer inzicht in de veiligheid van derde partijen nodig is en het gebruik van tweefactorauthenticatie door klanten moet worden uitgebreid. Eerder dit jaar wist een aanvaller ook al toegang tot een interne tool van MailChimp te krijgen om vervolgens van meer dan honderd accounts klantgegevens te stelen.
Cybercriminelen dreigen wijzigen chemische samenstelling drinkwater
Het Britse waterbedrijf South Staffordshire Water is getroffen door een aanval van de Cl0p-ransomwaregroep, waar eerder ook de Universiteit Maastricht slachtoffer van werd. Het waterbedrijf voorziet 1,6 miljoen Britten dagelijks van drinkwater. De aanvallers stellen in een verklaring op hun eigen website dat ze geen data van het waterbedrijf hebben versleuteld, aangezien het hier om vitale infrastructuur gaat. Ook zegt de ransomwaregroep maanden in het netwerk van South Staffordshire Water te hebben gezeten. Wel claimen de aanvallers vijf terabyte aan data van het bedrijf in handen te hebben. Wanneer South Staffordshire Water geen losgeld betaalt dreigen de aanvallers gevoelige data openbaar te maken. Tevens claimen de aanvallers dat ze vergaande controle over de systemen hebben waardoor ze de chemische samenstelling van het water kunnen wijzigen, maar ze dit niet doen om geen schade aan mensen te berokkenen. In een verklaring erkent het waterbedrijf dat het slachtoffer van een "cyberaanval" is geworden en het zakelijke it-netwerk is verstoord. De levering van veilig drinkwater is echter niet in het geding. Verdere details over de aanval en hoe er toegang tot systemen is verkregen zijn niet door het bedrijf gegeven.
Among the usual stuffs like passport photos and etc, Clop ransomware gang published these screenshots in the leak page for Thames Water...
β MalwareHunterTeam (@malwrhunterteam) August 15, 2022
π
π€ pic.twitter.com/hqrPzekqbZ
Cl0p ransomware group has breached critical infrastructure in England responsible for the public water supply and waste management for London, Luton, Thames Valley, Surrey, and more.
β vx-underground (@vxunderground) August 16, 2022
They state they will not ransom it.
cl0p's official statement: https://t.co/YIvtEGCsmk pic.twitter.com/YtCgweuo7s
Argentijnse rechterlijke macht van Córdoba getroffen door PLAY ransomware-aanval
De Argentijnse rechterlijke macht van Córdoba heeft zijn IT-systemen afgesloten na een ransomware-aanval, naar verluidt door toedoen van de nieuwe 'Play'-ransomware-operatie. De aanval vond plaats op zaterdag 13 augustus, waardoor justitie IT-systemen en hun online portaal moest afsluiten. De storing dwingt ook het gebruik van pen en papier voor het indienen van officiële documenten. In een 'Cyberattack Contingency Plan' gedeeld door Cadena 3, bevestigde de rechterlijke macht dat het werd getroffen door ransomware en schakelde het samen met Microsoft, Cisco, Trend Micro en lokale specialisten om de aanval te onderzoeken. "De cyberaanval geleden door de technologische infrastructuur van de rechtbank van Córdoba op zaterdag 13 augustus 2022, voor een ransomware die de beschikbaarheid van zijn IT-diensten in gevaar heeft gebracht", luidt een Google-vertaalgedeelte van het plan. Clarín meldt dat bronnen zeiden dat de aanval de IT-systemen en databases van de rechterlijke macht trof, waardoor het de "ergste aanval op openbare instellingen in de geschiedenis" was.
IceFire Ransomware lanceert dataleksite
So, getting close to half a year when I first tweeted about this IceFire ransomware (and until now, not even one single tweet by anyone else). The gang now has a leak page too, that is a bit unusual/strange...
β MalwareHunterTeam (@malwrhunterteam) August 16, 2022
π€
Victims started to appear on BC forums: https://t.co/sQJMOt3sNw pic.twitter.com/gRFsA5iWxm
Signal waarschuwt dat 1.900 telefoonnummers zijn gelekt bij aanval op Twilio
Telefoonnummers van zo'n negentienhonderd gebruikers van Signal zijn mogelijk ingezien door hackers. Daarvoor waarschuwt de beveiligde chatapp op zijn website. Het is het gevolg van een datalek bij Twilio, een cloudcommunicatieplatform dat Signal gebruikt om telefoonnummers te verifiëren. Twilio kreeg ruim een week geleden te maken met een cyberaanval. Daarbij zijn gegevens van klanten gelekt. Hoeveel klanten zijn getroffen en welke data op straat liggen, wordt nog onderzocht. Signal schrijft dat hackers via Twilio toegang kregen tot negentienhonderd telefoonnummers en de bijbehorende verificatiecodes van gebruikers. Dat is slechts een fractie van de 40 miljoen gebruikers van Signal, maar opvallend is het wel. Signal wordt gezien als een van de veiligste chatapps. "Een aanvaller kon bij die mensen proberen een telefoonnummer opnieuw te registreren", meldt de ontwikkelaar van de chatapp. De gebruikers die het betreft, zijn per sms door Signal ingelicht. Ook zijn ze door Signal ontkoppeld, zodat ze zich opnieuw bij Signal moeten registreren. Het is niet bekend of er misbruik van de telefoonnummers is gemaakt. Een aanvaller zou bijvoorbeeld een andere telefoon kunnen koppelen om zich tegenover anderen voor te doen als de gehackte persoon. Volgens Signal hebben kwaadwillenden geen chatgeschiedenis, profielinformatie of contactenlijsten kunnen inzien. Zulke informatie kan Signal zelf ook niet inzien.
FBI waarschuwt organisaties voor aanvallen met Zeppelin-ransomware
De FBI waarschuwt organisaties voor aanvallen met de Zeppelin-ransomware, die met name tegen medische bedrijven en zorginstellingen is ingezet, maar ook defensiebedrijven, vitale infrastructuur, techbedrijven en onderwijsinstellingen. De aanvallers eisen vervolgens losgeld dat varieert van een paar duizend dollar tot meer dan een miljoen dollar. Om toegang tot de netwerken van een organisatie te krijgen maken de aanvallers achter deze ransomware gebruik van RDP (remote desktopprotocol), bekende kwetsbaarheden in firewalls van fabrikant SonicWall en phishing. Zodra er toegang is verkregen zijn de aanvallers één tot twee weken bezig om het netwerk van het doelwit in kaart te brengen, waaronder de locatie van back-ups en cloudopslag. Voordat de aanvallers overgaan tot het uitrollen van de ransomware op systemen van de betreffende organisatie wordt er eerst allerlei gevoelige informatie gestolen. Mocht het slachtoffer niet betalen dan dreigen de aanvallers deze informatie openbaar te maken, zo laat de Amerikaanse opsporingsdienst in de waarschuwing over de Zeppelin-ransomware weten. De FBI geeft organisaties ook verschillende adviezen om aanvallen te voorkomen. Zo wordt organisaties aangeraden om geen periodieke wachtwoordwijzigingen door te voeren. Dit zorgt ervoor dat personeel vaak "wachtwoordpatronen" gaat hanteren die eenvoudig door cybercriminelen te ontcijferen zijn. In plaats daarvan wordt juist het gebruik van passphrases aangeraden.
Privégegevens klanten Shitexpress gestolen door middel van SQL-injection
Een aanvaller is erin geslaagd om door middel van SQL-injection de privégegevens van klanten van ShitExpress te stelen, een website die tegen betaling een doosje dierenpoep naar een opgegeven adres bezorgt. Het gaat om e-mailadressen, een persoonlijk bericht van de afzender en andere bestelgegevens. Het zou bij elkaar om data van 29.000 bestellingen gaan. De klantendatabase was door middel van SQL-injection te downloaden. Via SQL-injection kunnen aanvallers met de database achter een website of applicatie communiceren en allerlei opdrachten uitvoeren, die eigenlijk niet uitgevoerd zouden moeten worden. Op deze manier is het mogelijk om de inhoud van databases, met bijvoorbeeld gebruikersnamen, e-mailadressen en andere gevoelige data, te stelen. SQL-injection is een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren. In een verklaring tegenover Bleeping Computer erkent de website dat een script kwetsbaar was voor SQL-injection. "Het is onze schuld, een menselijke fout die iedereen kan overkomen." Het probleem werd door een klant van de website gevonden en is inmiddels verholpen. De gelekte gegevens worden nu op internet aangeboden, maar bevatten geen betaalgegevens. Betalingen voor de website worden via een externe betaalverwerker verwerkt.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 50-2024
Reading in another language
Slachtofferanalyse en Trends van Week 49-2024
Reading in another language
Slachtofferanalyse en Trends van Week 48-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 47-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 46-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 45-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 44-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in π¬π§ or another language