Overzicht cyberaanvallen week 30-2021

Gepubliceerd op 2 augustus 2021 om 15:00

Iraanse aanval op olietanker wraak voor Israëlische cyberaanval tegen treinsysteem, DoppelPaymer ransomware-bende verandert in de Grief-groep en Nederlandse Group of Company betaald blijkbaar Ransomware aan de Haron cybercriminelen. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


1 augustus

Slachtoffer Cybercriminele organisatie
erg.eu LockBit

Iraanse aanval op olietanker wraak voor Israëlische cyberaanval tegen treinsysteem

Israël gelooft dat Iran de dodelijke aanval op de olietanker Mercer Street heeft uitgevoerd in reactie op een recente cyberaanval in juli die toegeschreven wordt aan Israël, volgens een verslag van Channel 13 op zaterdag. De cyberaanval begin juli veroorzaakte chaos in het treinsysteem van de Islamitische Republiek nadat hackers nep-berichten plaatsten over vermeende vertragingen en annuleringen op de borden van de treinstations in Iran. Passagiers werd aangedrongen te bellen voor informatie, waarbij het telefoonnummer van het kantoor van de hoogste leider Ayatollah Ali Khamenei werd vermeld. Bij de aanval donderdagavond op de olietanker Mercer Street voor de kust van Oman kwamen twee bemanningsleden om het leven, een Brit en een Roemeen. Het schip wordt geëxploiteerd door Zodiac Maritime, een in Londen gebaseerd bedrijf dat eigendom is van de Israëlische Tycoon Eyal Ofer. Volgens Israëlische en Amerikaanse bronnen werd de aanval uitgevoerd met behulp van zelfmoorddrones.


Hackers sluiten systeem af voor het boeken van COVID-19-opnamen in de Italiaanse regio Lazio

Hackers hebben de IT-systemen aangevallen en afgesloten van het bedrijf dat de COVID-19-vaccinatieafspraken beheert voor de regio Lazio rond Rome, zei de regionale regering zondag. "Een krachtige hackeraanval op de CED (database) van de regio is aan de gang:" zei de regio in een Facebook-posting. Het zei dat alle systemen waren gedeactiveerd, inclusief die van het gezondheidsportaal en het vaccinatienetwerk van de regio en waarschuwden dat het inoculatieprogramma een vertraging zou kunnen ondergaan. "Het is een zeer krachtige hacker-aanval, zeer serieus ... alles is uit, de hele regionale CED wordt aangevallen," zei de gezondheidsmanager van Lazio Alessio d'Amato. Volgens ANSA kijken de postpolitie en Rome-officieren van Italië de kwestie en kunnen ze een onderzoek openen om erachter te komen wie achter de aanval zit. Italië volgde onlangs Frankrijk bij het aankondigen van dat bewijs van vaccinatie of immuniteit uit Covend-19 zou verplicht worden voor een reeks activiteiten. De beweging veroorzaakte een reeks protesten in het hele land tegen de introductie van de zogenaamde groene pas die toont dat mensen zijn gevaccineerd, negatief getest of teruggevonden uit Covend-19.


Decryptor vrijgegeven voor slachtoffers van Prometheus ransomware

Het Taiwanese beveiligingsbedrijf CyCraft heeft een gratis applicatie uitgebracht waarmee slachtoffers van de Prometheus-ransomware sommige van hun bestanden kunnen herstellen en decoderen. De decryptor is beschikbaar  op GitHub en werkt effectief door brute-forcering van de encryptiesleutel die wordt gebruikt om de gegevens van het slachtoffer te vergrendelen.


31 juli

Slachtoffer Cybercriminele organisatie
B&H CONSTRUCTION, L.L.C. Conti
Résidence Les Chtaigniers Hive
Advanced Geosciences Hive
Palacios & Asociados Hive
dprotege.com LockBit
kmazuckert LockBit
ymcadc.org LockBit
First Financial Mortgage LockBit
KONTRON ST GROUP Conti
AIC STEEL Everest

Hackers lekken volledige EA-gegevens na mislukte afpersingspoging

De hackers die vorige maand Electronic Arts hebben gehackt, hebben de volledige cache van gestolen gegevens vrijgegeven nadat het bedrijf niet inging op de afpersing. De gegevens, die op maandag 26 juli op een ondergronds cybercriminaliteitsforum zijn gedumpt, worden nu op grote schaal verspreid op torrent-sites. Volgens een door The Record verkregen kopie van de dump bevatten de gelekte bestanden de broncode van de voetbalgame FIFA 21, inclusief tools om de server-side services van het bedrijf te ondersteunen.


30 juli

Slachtoffer Cybercriminele organisatie
lanexmfg.com LockBit
seicom-materiais.com LockBit
merieuxnutriscienc LockBit
luzeirosfortaleza.com LockBit
Banco Pichincha & Filiales Hotarus
Petro Ecuador Hotarus
Seguridad Social(IESS)- Rentas Internas(SRI) ECUADOR Hotarus

Microsoft: ransomware-aanval via callcenters gevaarlijker dan gedacht

Een ransomware-aanval die plaatsvindt via malafide callcenters is veel gevaarlijker dan gedacht en kan ervoor zorgen dat organisaties binnen 48 uur volledig zijn versleuteld en hun intellectueel eigendom is gestolen, zo stelt Microsoft in een nieuwe analyse. Het techbedrijf waarschuwde vorige maand ook al voor de "BazaCall-campagne", maar heeft nu meer details gegeven. De aanval begint met een e-mail waarin wordt gesteld dat de ontvanger gebruikmaakt van een bepaald programma en daar binnenkort voor moet betalen. Om het zogenaamde abonnement te annuleren moet een opgegeven telefoonnummer worden gebeld. Dit telefoonnummer komt uit bij een malafide callcenter. Slachtoffers die bellen worden door een callcentermedewerker doorgestuurd naar een website waar een Excel-bestand kan worden gedownload om het abonnement op te zeggen. Dit Excel-document bevat een kwaadaardige macro. Wanneer gebruikers deze macro inschakelen wordt er malware op het systeem gedownload en uitgevoerd. Volgens Microsoft is de aanval mede succesvol doordat er geen links in het bericht aanwezig zijn en elke BazaCall-mail wordt verstuurd vanaf een andere afzender. Het gaat dan vaak om gratis e-maildiensten en gecompromitteerde e-mailaccounts. Zodra de malware actief is hebben de aanvallers "remote hands-on-keyboard control", waardoor ze zich snel door het netwerk kunnen verspreiden. Met deze directe toegang verkent de aanvaller het netwerk en zoekt naar accountgegevens van lokale systeembeheerders en domeinbeheerders. Naast het gebruik van het callcenter zorgt deze hands-on aanval die de aanvallers binnen het netwerk uitvoeren ervoor dat deze dreiging gevaarlijker is dan traditionele, geautomatiseerde malware-aanvallen, stelt Microsoft. Wanneer de aanvallers een waardevol doelwit hebben geïnfecteerd stelen ze eerst allerlei intellectueel eigendom. Hiervoor wordt er gebruikgemaakt van archiveringsprogramma 7-Zip en RClone. "In sommige gevallen lijkt datadiefstal het primaire doel van de aanval, wat vaak in voorbereiding voor toekomstige activiteiten is. In andere gevallen rolt de aanvaller na de datadiefstal ransomware uit", stelt Microsoft. Het techbedrijf merkt op dat aanvallers succesvol blijven met het gebruik van social engineering en menselijke interactie bij aanvallen. "De BazaCall-campagne vervangt links en bijlagen in verstuurde e-mails met telefoonnummers, wat voor uitdagingen bij de detectie zorgt, met name bij traditionele anti-spam- en anti-phishingoplosisngen die op dergelijke indicatoren controleren."


Hackers leggen Aerzener Maschinenfabrik lam

Na een hackeraanval op machinefabriek Aerzen hebben de daders nog geen geld geëist. Het bedrijf in de wijk Hameln-Pyrmont (D) zegt dat het aangifte heeft gedaan bij de Staatsrecherche en internationale autoriteiten. IT-professionals werken keihard om de computersystemen weer up and running te krijgen. De machinefabriek is momenteel gesloten vanwege de hackeraanval.


V-Zug bevestigt mislukte cyberaanval

Er werd een ransomware-aanval uitgevoerd op het Vaudois-bedrijf Matisa. Daarachter zou dezelfde groep zitten die onlangs Comparis heeft aangevallen. De fabrikant van huishoudelijke apparaten V-Zug is er goed vanaf gekomen. V-Zug Group bevestigd in de eerste helft van juli dat "het doelwit was van een cyberaanval". Volgens de huidige stand van zaken zou de aanval verkomen zijn "zonder de operaties te verstoren of schade aan te richten". Het bedrijf heeft aangifte gedaan tegen onbekende personen. V-Zug wil vanwege het lopende onderzoek geen verdere informatie geven over de cyberaanval.


29 juli

Slachtoffer Cybercriminele organisatie
otcqatar.com LockBit
QUALITY REPUTATION SDN BHD Ragnarok
eCapital Lorenz
CARE Fertility Lorenz

Ransomware slachtoffers t/m juni 2021


DoppelPaymer ransomware-bende verandert in de Grief-groep

Na een periode van weinig tot geen activiteit heeft de DoppelPaymer ransomware-operatie een rebranding-beweging gemaakt, nu onder de naam Grief (ook bekend als Pay of Grief). Het is onduidelijk of een van de oorspronkelijke ontwikkelaars nog steeds achter deze ransomware-as-a-service (RaaS) zit, maar aanwijzingen die door beveiligingsonderzoekers zijn ontdekt, wijzen op een voortzetting van het "project".

Doppel Paymer Ransomware Gang Rebrands As The Grief Group
PDF – 1,0 MB 386 downloads

28 juli

Slachtoffer Cybercriminele organisatie
firstinmaine.com LockBit
molicom.com LockBit
alliage-global.com LockBit
unitedmortgage.com LockBit
Maestro Digital Mine (Maestro Mine Ventilation) SynACK

Biden: VS kan door cyberaanval in echte oorlog terechtkomen

De Verenigde Staten kunnen als gevolg van een cyberaanval in een echte oorlog met een grote mogendheid terechtkomen, zo heeft de Amerikaanse president Biden gewaarschuwd. Hij wees daarbij onder andere naar recente ransomware-aanvallen in de Verenigde Staten die voor grote schade zorgden, zoals de aanval op de Colonial Pipeline en vleesverwerker JBS"We hebben gezien hoe cyberdreigingen, waaronder ransomware-aanvallen, steeds vaker schade en verstoringen in de echte wereld veroorzaken. Ik kan dit niet garanderen, en jullie weten net zoveel als ik, maar ik denk dat het waarschijnlijk is dat als we in een echte oorlog met een grote mogendheid terechtkomen, dit het gevolg is van een grote cyberaanval." De Amerikaanse president noemde vervolgens de dreiging die Rusland en China voor de Verenigde Staten vormen. Onlangs beschuldigde de VS Rusland nog voor de SolarWinds-aanval en China voor de aanval op Microsoft Exchange-servers. Biden deed zijn uitspraken tijdens een bezoek aan het Office of the Director of National Intelligence (ODNI), de overkoepelende overheidsinstantie voor Amerikaanse inlichtingendiensten.

Remarks By President Biden At The Office Of The Director Of National Intelligence
PDF – 132,2 KB 313 downloads

Amerikaanse regering voorstander van meldplicht bij ransomware-aanvallen

De Amerikaanse regering is voorstander van een meldplicht bij ransomware-aanvallen en andere cyberincidenten, zo heeft Richard Downing, een hooggeplaatste functionaris van het Amerikaanse ministerie van Justitie, tijdens een hoorzitting van een senaatscommissie laten weten. Volgens Downing moet bestaande wetgeving worden aangepast om de "explosie van ransomware-incidenten" tegen te gaan. Eén van de onderdelen waarnaar moet worden gekeken is een meldplicht voor organisaties die slachtoffer van ransomware en andere aanvallen zijn. Downing liet de senaatscommissie weten dat veel incidenten op dit moment niet bij de federale overheid worden gerapporteerd. Die kan daardoor deze aanvallen niet onderzoeken en verstoren, waardoor daders vrijuit gaan. Downing noemt dit een grote uitdaging voor het Amerikaanse antwoord op de dreiging van ransomware. Onlangs gingen er in de VS al geluiden op om een meldplicht in te voeren wanneer slachtoffers van ransomware losgeld betalen. Als het aan de Amerikaanse regering ligt worden bedrijven ook gedwongen om te laten weten wanneer ze slachtoffer zijn van een aanval. Het invoeren van een meldplicht zou het verder mogelijk maken om federale middelen in te zetten om het land tegen cyberdreigingen te beschermen en de verantwoordelijke daders te vervolgen, ging Downing verder. De overheidsfunctionaris stelt dat er een gestroomlijnd proces moet komen voor het melden van aanvallen, waarna de betreffende informatie direct met alle noodzakelijke federale diensten wordt gedeeld.

Downing Statement
PDF – 305,8 KB 360 downloads

IDC: veel organisaties bereid om losgeld te betalen bij ransomware

Veel organisaties die door ransomware worden getroffen zijn bereid, zowel direct of via hun verzekering, het gevraagde losgeld te betalen om hun bestanden terug te krijgen. Dat stelt marktvorser IDC op basis van eigen onderzoek onder ruim 260 bedrijven wereldwijd, waaronder in Duitsland, het Verenigd Koninkrijk en de Verenigde Staten. Van de ondervraagde bedrijven zegt gemiddeld 44 procent dat ze in het geval van een ransomware-aanval waarschijnlijk zullen betalen. Met name grote organisaties met meer dan 50.000 medewerkers zijn bereid de portemonnee te trekken. Van deze groep is 64 procent bereid het losgeld over te maken. Ook Australische bedrijven staan met een betalingsbereidheid van zestig procent bovenin het overzicht. Ook een meerderheid van de ondervraagde financiële instellingen en zorginstanties denkt voor het ontsleutelen van hun data te zullen betalen. Hoewel de afgelopen maanden verschillende Amerikaanse bedrijven in het nieuws kwamen omdat ze miljoenen dollars losgeld na een ransomware-aanval hadden overgemaakt, zegt 59 procent van de Amerikaanse organisaties niet aan de losgeldeisen te zullen voldoen. In Duitsland en het Verenigd Koninkrijk is dit respectievelijk 63 en 64 procent. Ransomwarecriminelen hebben bij overheidsinstanties de kleinste kans op een betaling. Van de ondervraagde overheden stelt 73 procent geen losgeld te zullen betalen. "Hoewel een ransomwarebetaling een bepaald incident op een bepaald moment kan oplossen, zijn de daadwerkelijke voordelen voor de beveiliging van de organisatie marginaal", zegt IDC-analist Jeff Xie. Volgens de marktvorser hebben organisaties meer aan gestructureerde investeringen in het versterken van hun cyberweerbaarheid en incidentmanagement dan het betalen van losgeld.


Nederlandse Group of Company betaald blijkbaar Ransomware aan de Haron cybercriminelen

"We hebben toegang gekregen tot alle servers op uw netwerk. Op dit moment is alle informatie op uw servers versleuteld.
We hebben ook alle informatie ontvangen die u op servers en NAS-opslagplaatsen hebt opgeslagen. We hebben meer dan 1TB van uw documentatie tot onze beschikking. Personeelsdocumenten, ID-paspoorten, boekhoudkundige documenten, contracten, enz. Als u geen contact met ons opneemt, is alle informatie openbaar." aldus de cybercriminelen.


Cyberaanval op Matisa: Hackergroep Grief slaat weer toe in Zwitserland

Nadat de vergelijkingsdienst Comparis het slachtoffer werd van de Grief-hackergroep, wordt nu een ander Zwitsers bedrijf gechanteerd door ransomware. De daders braken in op het systeem bij het West-Zwitserse spoorbouwbedrijf Matisa. Iedereen die momenteel de website van het spoorbouwbedrijf Matisa Matérial Industriel SA van Crissier VD bezoekt, wordt begroet met informatie over cyberaanvallen. Het bedrijf maakt bekend dat het op 20 juli 2021 het slachtoffer is geworden van een ransomware-aanval. Sommige IT-systemen zijn om veiligheidsredenen geblokkeerd. Ik betreur ten zeerste het ongemak veroorzaakt door het incident.


Nieuw Russisch forum - Een nieuwe plek voor RaaS?

Een nieuw Russisch sprekend forum genaamd RAMP werd in juli 2021 gelanceerd en kreeg veel aandacht van onderzoekers en cybercriminelen. Het forum ontstond op het domein dat eerder de Babuk ransomware-dataleksite en later de Payload.bin-leksite hostte. KELA heeft de inhoud van de nieuwe site onderzocht en de kans op succes beoordeeld.

*Alle foruminhoud wordt beschreven op basis van wat KELA op RAMP heeft waargenomen tot 27 juli 2021, toen de toegang werd beperkt.

New Russian Speaking Forum
PDF – 2,1 MB 307 downloads

Platformonafhankelijke ransomware de nieuwe trend

Lange tijd waren ransomware-bendes vooral gericht op Microsoft Windows-besturingssystemen. Ja, we zagen af ​​en toe speciale op Unix of Linux gebaseerde ransomware, maar platformonafhankelijke ransomware was er nog niet. Cybercriminelen slapen echter nooit en de afgelopen maanden merkten we dat verschillende ransomware-bendes experimenteerden met het schrijven van hun binaire bestanden in de platformonafhankelijke taal Golang (Go).

Rp Babuk Moving To Vm Nix Systems
PDF – 1,6 MB 410 downloads

Rapport Cyberverzekeringsclaims

Het landschap van cyberaanvallen is in 2021 aanzienlijk geëvolueerd met de opkomst van nieuwe ransomware-varianten, de toenemende gevaren van aanvallen op de toeleveringsketen en de aanhoudende risico's van veilig blijven tijdens het werken op afstand.

DLC 2021 07 Coalition Cyber Insurance Claims Report 2021 H 1
PDF – 2,4 MB 327 downloads

Een samenvatting van de gebeurtenissen aanval op Kaseya

De REvil ransomware-groep voerde een geavanceerde supply chain-aanval uit op Kaseya's VSA-product. De aanval zou tussen de 50 en 60 MSP's hebben getroffen, en tussen de 1.500 en 2.000 van hun klanten.


27 juli

Slachtoffer Cybercriminele organisatie
Coghlin Electrical Contractors AvosLocker
City of the Saloniki Grief
LENSBURY LIMITED Grief
vandh.net LockBit
mack.com LockBit
MPS Credit Union Lorenz
THREE RIVERS REGIONAL COMMISSION Conti
Lemeks Grupp Ragnarok
Otto Pachmayr GmbH Ragnarok

Kaseya: geen losgeld betaald voor decryptiesleutel REvil-ransomware

Softwarebedrijf Kaseya heeft op geen enkele manier losgeld betaald voor de decryptiesleutel waarmee het slachtoffers van de recente wereldwijde ransomware-aanval kan helpen, zo laat het bedrijf via de eigen website weten. Begin deze maand werden verschillende kwetsbaarheden in de software van Kaseya gebruikt om klanten van managed serviceproviders met de REvil-ransomware te infecteren. Het ging volgens Kaseya om maximaal vijftienhonderd bedrijven wereldwijd. De criminelen achter de REvil-ransomware eisten vervolgens 70 miljoen dollar voor een generieke decryptiesleutel waarmee alle slachtoffers hun bestanden kunnen ontsleutelen. Vorige week maakte Kaseya bekend dat het van een niet nader genoemde derde partij een decryptiesleutel had ontvangen voor het ontsleutelen van de data bij alle slachtoffers. In samenwerking met antivirusbedrijf Emsisoft werden getroffen bedrijven vervolgens met het herstellen van hun bestanden geholpen. Volgens Kaseya zijn er de afgelopen dagen berichten verschenen waarin wordt gesteld dat de stilte van het bedrijf of het wel of geen losgeld heeft betaald mogelijk andere ransomware-aanvallen kan aanmoedigen. "Hoewel elk bedrijf zelf moet beslissen of ze losgeld betalen, heeft Kaseya na overleg met experts besloten om niet met de criminelen achter de aanval te onderhandelen en is daar niet van afgeweken", aldus het bedrijf. Dat laat in de gegeven verklaring verder weten dat het geen losgeld voor de decryptiesleutel heeft betaald, niet direct en ook niet via een derde partij.


LockBit ransomware versleutelt nu Windows-domeinen met behulp van Active Directory

Er is een nieuwe versie van de LockBit 2.0-ransomware gevonden die de versleuteling van een Windows-domein automatiseert met behulp van Active Directory-groepsbeleid. De LockBit ransomware-operatie werd in september 2019 gelanceerd als een ransomware-as-a-service, waarbij bedreigingsactoren worden gerekruteerd om netwerken te doorbreken en apparaten te versleutelen. In ruil daarvoor verdienen de aangeworven partners 70-80% van het losgeld, en de LockBit-ontwikkelaars houden de rest. In de loop der jaren is de ransomware-operatie zeer actief geweest, waarbij een vertegenwoordiger van de bende de activiteit promootte en ondersteuning bood op hackforums. Nadat ransomware-onderwerpen waren verbannen op hackforums , begon LockBit de nieuwe LockBit 2.0 ransomware-as-a-service-operatie te promoten op hun dataleksite.


Cybercriminelen patchen REvil-ransomware

Revil ransomware blijft actief, maar deze keer in de vorm van gepatchte uitvoerbare bestanden.


26 juli

Slachtoffer Cybercriminele organisatie
Matisa Matériel Industriel S.A. Grief
Colliers Management Services LV Blog
pldolawblog.com LockBit
yilteksenerji.com LockBit
southsteel.com LockBit
GROUPE PROFIL FRANCE Ragnarok

Decryptietools No More Ransom-project politie 6 miljoen keer gedownload

Vijf jaar geleden lanceerden de Nederlandse politie, Europol en antivirusbedrijven Kaspersky Lab en McAfee het No More Ransom-project als initiatief tegen ransomware. De decryptietools die via No More Ransomware worden aangeboden en waarmee slachtoffers van ransomware kosteloos hun bestanden kunnen ontsleutelen zijn sindsdien meer dan zes miljoen keer gedownload, zo laat Europol vandaag weten. De decryptietools op de website van No More Ransom zijn van verschillende antivirusbedrijven afkomstig en maken het mogelijk om bestanden van 140 verschillende ransomware-families te ontsleutelen. Ook het aantal deelnemers aan No More Ransom is door de jaren heen gegroeid. In totaal bestaat het project uit honderdzeventig partners. Het gaat voornamelijk om antivirusbedrijven, opsporingsdiensten en computer emergency response teams (CERTs). De website is in 37 talen beschikbaar. Door ransomware getroffen gebruikers kunnen er de "Crypto Sheriff" downloaden. Die kijkt of de ransomware op het systeem bekend is en biedt in dit geval een link naar de gratis decryptietool. "De beste manier om gezond te blijven is door niet ziek te worden. Een opmerking die ook van toepassing is op ransomware-aanvallen", aldus Europol. De opsporingsinstantie adviseert om back-ups te maken, voorzichtig te zijn met het klikken op links en e-mailbijlagen en in het geval van een infectie geen losgeld te betalen.


Vrees voor cyberaanvallen rond Olympische Spelen

De Amerikaanse inlichtingendienst FBI en de Japanse beveiligingsfirma MBSD waarschuwen in aparte mededelingen voor het gevaar van cyberaanvallen en phishing die specifiek gericht zijn tegen de Olympische Spelen van Tokio. Alsof de organisatie van Tokyo 2020 nog niet genoeg zorgen had, houden experts rekening met cyberaanvallen die de live uitzendingen kunnen verstoren of gevoelige gegevens van atleten willen stelen. De FBI roept de bedrijven die aan de Zomerspelen meewerken op extra waakzaam te zijn voor cybercriminelen die mogelijk de live uitzendingen willen verstoren of blokkeren, gevoelige persoonlijke data willen hacken of de security ter plaatse in Tokio in de war willen brengen. Ze kunnen daartoe verscheidene technieken gebruiken, zoals DDOS-aanvallen (met massaal internetverkeer servers overbelasten), gijzelsoftware of phishing. De Amerikaanse inlichtingendienst zegt geen directe bedreiging op de radar te hebben, maar waarschuwt er in een notificatie aan de privésector voor dat “Tokyo 2020 extra aantrekkelijk kan zijn voor cyberaanvallers, omdat het om de eerste Zomerspelen gaat die alleen via broadcast- en digitale platformen te zien zullen zijn, als gevolg van het verbod op toeschouwers”.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten