Overzicht van slachtoffers cyberaanvallen week 27-2023

Gepubliceerd op 10 juli 2023 om 15:00

Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


In de afgelopen week hebben we wederom een golf van cyberaanvallen gezien die verschillende sectoren en regio's wereldwijd heeft getroffen. Van de bekende uitgever Wolters Kluwer, slachtoffer van CLOP ransomware, tot het oliegigant Shell, die personeel waarschuwde voor een datalek na een aanval op hun MOVEit Transfer. Daarnaast werd de haven van Nagoya, de grootste containerhaven van Japan, getroffen door een verwoestende ransomware-aanval, wat aantoont dat geen enkele industrie veilig is voor deze dreiging.

Europa werd evenmin gespaard, met Chinese hackers die Europese overheidsinstanties targeten in een gesofisticeerde SmugX-phishingcampagne. Bovendien zagen we een opkomst van de 'Big Head' ransomware, die neppe Windows-updatewaarschuwingen verspreidt om onoplettende gebruikers te misleiden.

Deze incidenten benadrukken de voortdurende urgentie voor organisaties van elke omvang en uit elke sector om hun cyberbeveiliging serieus te nemen. In dit artikel geven we een uitgebreid overzicht van de cyberaanvallen van de afgelopen week, waarin we dieper ingaan op elke aanval en wat we ervan kunnen leren om toekomstige incidenten te voorkomen.



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
roys.co.uk LockBit roys.co.uk UK Merchandise Stores 9-jul.-23
Evergreen Seamless Pipes & Tubes BianLian evergreenseamless.com India Miscellaneous Manufacturing Industries 9-jul.-23
M****** ***** BianLian Unknown USA Personal Services 9-jul.-23
Tracker de Colombia SAS Medusa detektor.com.co Colombia IT Services 8-jul.-23
Lane Valente Industries PLAY www.canadalvi.com Canada Construction 7-jul.-23
Industrial Heat Transfer Rancoz iht-inc.com USA Machinery, Computer Equipment 7-jul.-23
DELARUE.COM CL0P delarue.com UK Security And Commodity Brokers, Dealers, Exchanges, And Services 7-jul.-23
ENERGYTRANSFER.COM CL0P energytransfer.com USA Electric, Gas, And Sanitary Services 7-jul.-23
PAYCOR.COM CL0P paycor.com USA IT Services 7-jul.-23
NETSCOUT.COM CL0P netscout.com USA IT Services 7-jul.-23
WOLTERSKLUWER.COM CL0P wolterskluwer.com Netherlands IT Services 7-jul.-23
CADENCEBANK.COM CL0P cadencebank.com USA Depository Institutions 7-jul.-23
BANKWITHUNITED.COM CL0P bankwithunited.com USA Depository Institutions 7-jul.-23
NEWERATECH.COM CL0P neweratech.com USA IT Services 7-jul.-23
Lazer Tow PLAY www.lazertow.com USA Miscellaneous Services 6-jul.-23
Star Island Resort PLAY www.star-island.com USA Lodging Places 6-jul.-23
Indiana Dimension PLAY www.indianadimension.com USA Lumber And Wood Products 6-jul.-23
Lawer SpA PLAY www.lawer.com Italy Machinery, Computer Equipment 6-jul.-23
NST Attorneys at Law PLAY www.nstlaw.com USA Legal Services 6-jul.-23
Uniquify PLAY www.uniquify.com USA Electronic, Electrical Equipment, Components 6-jul.-23
Geneva Software PLAY www.genevasi.com USA IT Services 6-jul.-23
MUJI Europe Holdings Limited PLAY www.muji.eu UK Merchandise Stores 6-jul.-23
Betty Lou's PLAY www.bettylousinc.com USA Food Products 6-jul.-23
Capacity LLC PLAY www.capacityllc.com USA Motor Freight Transportation 6-jul.-23
Wesco Equipment PLAY www.wescopbe.com USA Machinery, Computer Equipment 6-jul.-23
Safety Network PLAY www.safetynetworkinc.com USA Construction 6-jul.-23
Centex Personnel BianLian centexpersonnel.com USA Business Services 6-jul.-23
Encore Pro Staffing BianLian encoreprostaffing.com USA Business Services 6-jul.-23
Carvin Software BianLian carvinsoftware.com USA IT Services 6-jul.-23
Ella Insurance Brokerage BianLian ellabrokerage.com USA Insurance Carriers 6-jul.-23
A** ************** BianLian Unknown India Real Estate 6-jul.-23
chasc.org LockBit chasc.org USA Real Estate 6-jul.-23
cls-group.com LockBit cls-group.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 6-jul.-23
gacegypt.net LockBit gacegypt.net Egypt Transportation Services 6-jul.-23
siegfried.com.mx LockBit siegfried.com.mx Mexico Chemical Producers 6-jul.-23
betalandservices.com LockBit betalandservices.com USA Real Estate 6-jul.-23
Pinnergy Akira www.pinnergy.com USA Oil, Gas 6-jul.-23
eyedoc.com.na LockBit eyedoc.com.na Namibia Health Services 6-jul.-23
Bangladesh Krishi Bank BlackCat (ALPHV) www.krishibank.org.bd Bangladesh Depository Institutions 6-jul.-23
ASIC Soluciones Qilin asicamericas.com Colombia IT Services 6-jul.-23
TRANSPERFECT.COM CL0P transperfect.com USA Miscellaneous Services 6-jul.-23
QUORUMFCU.ORG CL0P quorumfcu.org USA Security And Commodity Brokers, Dealers, Exchanges, And Services 6-jul.-23
MERATIVE.COM CL0P merative.com USA IT Services 6-jul.-23
NORGREN.COM CL0P norgren.com UK Machinery, Computer Equipment 6-jul.-23
CIENA.COM CL0P ciena.com USA IT Services 6-jul.-23
KYBURZDRUCK.CH CL0P kyburzdruck.ch Switzerland Publishing, printing 6-jul.-23
UNITEDREGIONAL.ORG CL0P unitedregional.org USA Health Services 6-jul.-23
TDECU.ORG CL0P tdecu.org USA Security And Commodity Brokers, Dealers, Exchanges, And Services 6-jul.-23
BRADYID.COM CL0P bradyid.com USA Machinery, Computer Equipment 6-jul.-23
BARRICK.COM CL0P barrick.com Canada Mining 6-jul.-23
Avalign Technologies BlackByte www.avalign.com USA Miscellaneous Manufacturing Industries 5-jul.-23
Portugal Scotturb Ragnar_Locker www.scotturb.com Portugal Passenger Transportation 5-jul.-23
guestgroup.com.au LockBit guestgroup.com.au Australia Furniture 5-jul.-23
Murphy Akira www.murphyplywood.com USA Lumber And Wood Products 5-jul.-23
recamlaser.com LockBit recamlaser.com Spain Fabricated Metal Products 5-jul.-23
eurosupport.com LockBit eurosupport.com Netherlands Chemical Producers 5-jul.-23
mitr.com LockBit mitr.com Thailand Construction 5-jul.-23
DURR.COM CL0P durr.com Germany Machinery, Computer Equipment 5-jul.-23
Hoosier Equipment company Medusa Locker www.hoosierequipment.com USA Construction 4-jul.-23
Yunus Emre Institute Turkey Medusa www.yee.org.tr Turkey Miscellaneous Services 4-jul.-23
Peroni Pompe D0N#T (Donut Leaks) www.peronipompe.com Italy Machinery, Computer Equipment 3-jul.-23
**** I******** ********* BianLian Unknown USA Insurance Carriers 3-jul.-23
Jefferson County Health Center Karakurt jeffersoncountyhealthcenter.org USA Health Services 3-jul.-23
Townsquare Media Inc BlackCat (ALPHV) www.townsquaremedia.com USA Communications 3-jul.-23
oneexchangecorp.com LockBit oneexchangecorp.com Canada Security And Commodity Brokers, Dealers, Exchanges, And Services 3-jul.-23
snjb.net LockBit snjb.net USA Miscellaneous Services 3-jul.-23
Duncan Disability Law BlackCat (ALPHV) www.duncandisability.com USA Legal Services 3-jul.-23
Mutuelle LMP Medusa www.mutuellelmp.fr France Insurance Carriers 3-jul.-23
Luna Hotels & Resorts Medusa www.lunahoteis.com Portugal Lodging Places 3-jul.-23

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum
WOLTERSKLUWER.COM CL0P wolterskluwer.com Netherlands IT Services 7-jul.-23
eurosupport.com LockBit eurosupport.com Netherlands Chemical Producers 5-jul.-23

In samenwerking met DarkTracer


Cyberaanvallen nieuws


10-juli-2023 om 09:30

Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


Nieuwe 'Big Head' ransomware verspreidt nep Windows-updatewaarschuwing

Beveiligingsonderzoekers hebben de 'Big Head' ransomware geanalyseerd, een recent opgekomen ransomware-stam die zich mogelijk verspreidt via malvertising. Deze malvertising promoot nep-Windows-updates en Microsoft Word-installatieprogramma's. De ransomware, een .NET-binair bestand, installeert drie AES-gecodeerde bestanden op het doelsysteem. Het verspreidt zich, communiceert via een Telegram bot en versleutelt bestanden. Daarnaast kan de ransomware de gebruiker een nep Windows-update laten zien. De malware voert verschillende acties uit, zoals het maken van een autorun-sleutel, overschrijven van bestanden en het uitschakelen van de taakbeheer. Big Head verwijdert ook shadow copies om systeemherstel te voorkomen. De ransomware richt zich op bepaalde bestandstypen en voegt de extensie ".poop" toe aan versleutelde bestanden. Het vermijdt het versleutelen van specifieke systeemdirectories en controleert of het op een virtuele omgeving draait. Na het versleutelen toont de ransomware een scherm dat lijkt op een legitieme Windows-update. Big Head heeft ook verschillende varianten, waaronder een die gevoelige gegevens steelt en een andere met een bestandsinfectie-component. Hoewel de ransomware niet geavanceerd is, is het belangrijk om waakzaam te zijn voor de trucs en beveiligingsrisico's die het met zich meebrengt. De ontwikkelaars blijven de malware echter voortdurend verbeteren en verfijnen.


Twee Google Play apps sturen gegevens van 1,5M gebruikers naar China: een grootschalige gegevensinbreuk ontdekt

Beveiligingsonderzoekers hebben twee kwaadaardige bestandsbeheerapps op Google Play ontdekt, genaamd File Recovery en Data Recovery, die samen meer dan 1,5 miljoen installaties hebben. Deze apps verzamelen meer gebruikersgegevens dan nodig is voor hun functionaliteit en sturen deze gegevens naar servers in China. Hoewel de apps op Google Play verklaren geen gebruikersgegevens te verzamelen, ontdekte Pradeo dat de apps gevoelige informatie verzamelen zoals contactlijsten, afbeeldingen, audio en video, real-time locatie, netwerk- en simproviderinformatie en apparaatdetails. Deze gegevens worden verzameld zonder toestemming van de gebruiker. Bovendien verbergen de apps hun pictogrammen om ontdekking en verwijdering te bemoeilijken. Ondanks melding aan Google zijn de apps nog steeds beschikbaar op Google Play.


Nieuwe Truebot-malwarevarianten verspreiden zich via Netwrix Auditor-kwetsbaarheid

CISA en de FBI hebben gewaarschuwd voor nieuwe varianten van de Truebot-malware die worden gebruikt bij aanvallen op organisaties in de Verenigde Staten en Canada. Deze malware wordt ingezet op netwerken die zijn gecompromitteerd door een kritieke kwetsbaarheid in de Netwrix Auditor-software, waardoor aanvallers kwaadaardige code kunnen uitvoeren met de privileges van de SYSTEM-gebruiker. De Truebot-malware is gekoppeld aan de Silence-cybercriminaliteitsgroep en wordt gebruikt door hackers van de TA505- en FIN11-groepen om Clop-ransomware op gecompromitteerde netwerken te installeren. Organisaties wordt geadviseerd om te letten op tekenen van een Truebot-infectie en passende maatregelen te nemen om het beveiligingslek aan te pakken.


Personeel van Shell op de hoogte gesteld van datalek na aanval op MOVEit Transfer

Shell heeft personeel in onder andere Nederland gewaarschuwd voor een datalek nadat criminelen toegang kregen tot het MOVEit Transfer-systeem van de olie- en gasgigant. MOVEit Transfer is een applicatie voor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. Een zerodaylek in deze software werd eind mei bij een wereldwijde aanval gebruikt, waarbij criminelen achter de Clop-ransomware toegang tot de MOVEit-servers van meer dan honderdvijftig organisaties kregen en daarbij allerlei gegevens buitmaakten. Op de eigen website publiceerde de Clop-groep vervolgens de namen van getroffen organisaties, waaronder Shell. Vorige maand bevestigde Shell dat het inderdaad slachtoffer was geworden. Op de eigen website meldt het bedrijf dat de aanvallers toegang tot persoonlijke informatie van personeel hebben gekregen. Om wat voor gegevens het gaat is niet bekendgemaakt. Medewerkers die zich zorgen maken en meer informatie over hun situatie willen kunnen via een speciaal telefoonnummer contact opnemen.


TeamsPhisher-tool maakt gebruik van bug in Microsoft Teams voor malware-aanvallen

Een lid van de Amerikaanse marine heeft een tool genaamd TeamsPhisher gepubliceerd, die gebruik maakt van een beveiligingsprobleem in Microsoft Teams om beperkingen voor inkomende bestanden van externe gebruikers te omzeilen. De tool maakt gebruik van een probleem dat eerder werd benadrukt door beveiligingsonderzoekers van Jumpsec. Het probleem stelt aanvallers in staat om malware van een extern account te leveren door de client-side beveiliging van de applicatie te misleiden. TeamsPhisher is een op Python gebaseerde tool die geautomatiseerde aanvallen mogelijk maakt. Het controleert eerst of de doelgebruiker externe berichten kan ontvangen en stuurt vervolgens een bericht met een Sharepoint-bijlage-link naar het doel. Microsoft heeft het beveiligingsprobleem nog niet opgelost en raadt organisaties aan om de communicatie met externe gebruikers uit te schakelen of een toegestane lijst met vertrouwde domeinen te maken om het risico op exploitatie te beperken.


Ransomware treft haven van Nagoya, grootste containerhaven van Japan

De grootste containerhaven van Japan is getroffen door een ransomware-aanval, die de containeroverslag heeft stilgelegd. De aanval op de haven van Nagoya deed zich gisterenavond voor. Door de systeemuitval kunnen minder containerschepen de haven aandoen, wat weer gevolgen heeft voor de in- en uitvoer van containers. De haven van Nagoya verwerkt elk jaar tweehonderd miljoen ton aan goederen. Volgens de Japanse publieke omroep NHK hebben de aanvallers via de printers hun losgeldboodschap verspreid, waarin staat dat gegevens zijn versleuteld en er losgeld moet worden betaald. Details over de aanval zijn niet gegeven, maar de autoriteiten verwachten dat werkzaamheden bij de getroffen containerterminals morgen kunnen worden hervat, zo meldt The Asahi Shimbun. Autofabrikant Toyota Motor, dat via de haven van Nagoya de meeste auto's verscheept, stelt dat de aanval nog geen gevolgen heeft voor de leveringen van nieuwe auto's, maar dat te importeren en exporteren onderdelen niet kunnen worden geladen op de haven totdat het probleem is verholpen. Een woordvoerder laat aan The Business Times weten dat er op dit moment geen impact op de productie is.


Microsoft ontkent datalekken en diefstal van 30 miljoen klantenaccounts

Microsoft heeft de beweringen van hacktivisten genaamd "Anoniem Sudan" ontkend dat ze de servers van het bedrijf hebben gehackt en inloggegevens hebben gestolen voor 30 miljoen klantaccounts. Anoniem Sudan is eerder verantwoordelijk geweest voor DDoS-aanvallen tegen Westerse entiteiten. Vorige maand heeft Microsoft toegegeven dat Anonymous Sudan verantwoordelijk was voor verstoringen van verschillende diensten, waaronder Azure, Outlook en OneDrive. De hacktivisten beweerden gisteren dat ze succesvol Microsoft hadden gehackt en toegang hadden tot een database met miljoenen Microsoft-accounts, e-mails en wachtwoorden. Microsoft heeft deze claims echter botweg ontkend en zegt dat er geen bewijs is dat klantgegevens zijn benaderd of gecompromitteerd. Het is nog onduidelijk of het onderzoek van Microsoft is afgerond en hoe het bedrijf zal reageren op de mogelijke openbare vrijgave van de gegevens.


Chinese hackers targeten Europese overheidsinstanties in SmugX-phishingcampagne

Sinds december 2022 heeft een phishingcampagne genaamd SmugX Europese ambassades en ministeries van Buitenlandse Zaken in het VK, Frankrijk, Zweden, Oekraïne, Tsjechië, Hongarije en Slowakije aangevallen. Onderzoekers van Check Point hebben vastgesteld dat de campagne gerelateerd is aan Chinese dreigingsactoren en overlapt met eerdere activiteiten van geavanceerde aanhoudende dreigingsgroepen zoals Mustang Panda en RedDelta. De aanvallen maken gebruik van HTML-smokkeltechnieken om kwaadaardige ladingen te verbergen in gecodeerde HTML-documenten. De malware die wordt verspreid, omvat de PlugX remote access trojan (RAT), die wordt gebruikt voor spionageactiviteiten. De campagne wijst erop dat Chinese dreigingsgroepen steeds meer geïnteresseerd zijn in Europese doelen, hoogstwaarschijnlijk voor spionagedoeleinden.


NCTV waarschuwt voor voortdurende en evoluerende digitale dreiging in Nederland

De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) heeft in het Cybersecuritybeeld Nederland 2023 gewaarschuwd dat de digitale dreiging voor Nederland onverminderd groot is en voortdurend verandert. Het rapport benadrukt dat het nemen van basismaatregelen nog steeds een effectieve barrière vormt tegen verschillende soorten cyberaanvallen. NCTV Pieter-Jaap Aalbersberg wijst erop dat cybercriminelen steeds slimmer worden en dat het vergroten van de weerbaarheid essentieel is. Het rapport waarschuwt ook voor de dreigingen van nieuwe technologieën, zoals generatieve AI, die het ontwikkelen van malware gemakkelijker kunnen maken en de geloofwaardigheid van phishingmails kunnen vergroten. Organisaties worden aangemoedigd om basismaatregelen te treffen om digitale incidenten te voorkomen of tijdig te detecteren. Desondanks benadrukt de NCTV dat cyberincidenten niet altijd te voorkomen zijn en dat het belangrijk is om het onverwachte te verwachten.

Cybersecuritybeeld Nederland 2023
PDF – 1,7 MB 140 downloads

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


Oktober 2024

Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »
September 2024