Overzicht cyberaanvallen week 08-2022

Gepubliceerd op 28 februari 2022 om 17:17

Mc Donald's slachtoffer van Russische cybercriminelen, VS en VK waarschuwen voor nieuw wapen van Russische staatshackers en verzekeraars keren mogelijk niet uit bij Russische cyberaanval. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 4.500 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.

Status op 28 februari 2022 : 4.663


Week overzicht

Slachtoffer Cybercriminelen Website Land
Caldwell Marine International, LLC Conti www.caldwellmarine.com USA
Israeli pilot LeakTheAnalyst Unknown Israel
richmondmonroe.com LockBit richmondmonroe.com USA
ugcorp.com LockBit ugcorp.com USA
us.jll.com LockBit us.jll.com USA
lakeview.com LockBit lakeview.com USA
https://ivchenko-progress.com/ STORMOUS ivchenko-progress.com Ukraine
ffnm.org LockBit ffnm.org USA
https://www.hospitalfatima.es/ STORMOUS www.hospitalfatima.es Spain
CHERMET AgainstTheWest chermet29.ru Russia
The Russian Department of Digital Development and Communications of the Administration of the Pskov Region AgainstTheWest Unknown Russia
magnit.ru AgainstTheWest magnit.ru Russia
Brandquad AgainstTheWest brandquad.com Russia
Russia Air AgainstTheWest Unknown Russia
AIP of the Russian Federation AgainstTheWest www.caiga.ru Russia
Ministry of Transport of Russia AgainstTheWest government.ru Russia
Russian Space Forces AgainstTheWest Unknown Russia
University of Neuchâtel Conti unine.ch Switzerland
MADRID CALLE 30 SA BlackCat (ALPHV) www.mc30.es Spain
NVIDIA LAPSUS$ nvidia.com USA
HF Group Conti www.hf-group.co.uk UK
IDEAL Fensterbau Conti www.ideal-fensterbau.de Germany
Research Partnership Conti www.researchpartnership.com UK
Amazon Regional Government STORMOUS Unknown Peru
McDonald's* Snatch www.mcdonalds.com USA
Ids97 Cuba ids97.com USA
GEMS Education BlackCat (ALPHV) gemseducation.com United Arab Emirates
JDAVIDTAXLAW.COM CL0P jdavidtaxlaw.com USA
The Spine Diagnostic Conti www.spinediagnostic.com USA
fehrs.com LockBit fehrs.com USA
JinkoSolar.com (NYSE: JKS) BlackCat (ALPHV) jinkosolar.com China
Colli del Soligo Conti www.collisoligo.com Italy
JOB AG Conti www.job-ag.com Germany
KRACHT GmbH Conti www.kracht.eu Germany
Primex Manufacturing Inc Conti www.primex.com Canada
Midas Pharma GmbH Conti www.midas-pharma.com Germany
ITS InfoCom Hive www.itsinfocom.com Costa Rica
Apollo Conti www.apollocorp.com Canada
Schultze and Braun Conti www.schultze-braun.de Germany
THENOC.NET CL0P thenoc.net USA
trauma.lbg.ac.at LockBit trauma.lbg.ac.at Austria
komeg.de LockBit komeg.de Germany
blueocean.consulting LockBit blueocean.consulting New Zealand
ZISSERFAMILYLAW.COM CL0P zisserfamilylaw.com USA
SA1SOLUTIONS.COM CL0P sa1solutions.com UK
OAKDELL.COM CL0P oakdell.com USA
photolitto.com LockBit photolitto.com Belgium*
EBM Hive ebmpapst.com Germany
Tudi Mechanical Systems (TMS) Conti www.tudi.com USA
RAMSAUER Conti ramsauer.at Austria
Phyllis Browning Company BlackCat (ALPHV) phyllisbrowning.com USA
Serta STORMOUS www.serta.com USA
SOUTHWARK METAL MANUFACTURING Haron www.southwarkmetal.com USA
Royal Smilde Suncrypt www.royalsmilde.com Netherlands*
Doner Hive www.doner.com USA
Eurocoin Interactive B.V. Hive www.vandervinne.nl Netherlands*
Hyundai Samho Heavy Industries Co.,Ltd. Hive www.hshi.co.kr South Korea
Verint LeakTheAnalyst www.verint.com USA
Powerhouse1 Hive powerhouse1.com USA
CENTRAL BAPTIST COLLEGE Suncrypt cbc.eu USA
gpvivienda.com LockBit gpvivienda.com Mexico
groupe-sobotram.fr LockBit groupe-sobotram.fr France

In samenwerking met DarkTracer


Hackgroep nam Facebook-accounts van Oekraïense politici en legerofficieren over

Meerdere prominente Oekraïners zijn op Facebook het doelwit geworden van een hackersgroep die accounts overnam en desinformatie verspreidde. Volgens Meta gaat het om accounts van onder anderen journalisten, politici en legerofficieren. De hackers die toegang tot de accounts hadden, plaatsten onder meer YouTube-video's waarin het Oekraïense leger als zwak wordt afgeschilderd. Ook zouden de filmpjes laten zien dat militairen zich overgeven aan het Russische leger. Uit veiligheidsoverwegingen maakt Meta geen gedetailleerde informatie over de aanvallen bekend. Zo is onduidelijk hoeveel personen zijn getroffen en wie de gehackte prominente figuren zijn. De groep achter de aanvallen heet Ghostwriter. De hackers versturen e-mails met een link om inloggegevens te stelen. Vervolgens nemen ze het mailaccount over om binnen te dringen op sociale media en codes voor tweestapsverificatie te onderscheppen. In een persbericht van de Europese Unie uit september vorig jaar blijkt dat meerdere lidstaten Ghostwriter aan Rusland hebben gelinkt. Ook toen waren politici en journalisten het doelwit van de hackers. Meta heeft verder een netwerk van veertig nepaccounts, -pagina's en -groepen op Facebook en Instagram verwijderd. De gebruikers van de accounts deden zich voor als bijvoorbeeld journalisten en werden gebruikt om Oekraïners te benaderen. Ook waren de accounts gelinkt aan een nepnieuwswebsite. Daarop stond onder meer de bewering dat het Westen Oekraïne heeft bedrogen. Sociale media hebben tijdens de oorlog in Oekraïne wederom te kampen met de verspreiding van desinformatie. Meta heeft gezegd meer factcheckers in te zetten en media die door de staat worden gecontroleerd te labelen. Ook zijn advertenties van Russische staatsmedia niet langer welkom. Rusland heeft als antwoord op die maatregelen de toegang tot Facebook gedeeltelijk beperkt. Volgens de Russische toezichthouder voor telecommunicatie heeft Facebook "fundamentele mensenrechten" geschonden door de gecontroleerde media aan banden te leggen.


Oekraïne bouwt IT-leger om ddos-aanvallen op Rusland uit te voeren

De Oekraïense vicepremier Mykhailo Fedorov heeft zaterdag op Twitter de oprichting van een zogenoemd IT-leger aangekondigd. Dat leger moet via een speciaal Telegram-kanaal ddos-aanvallen op belangrijke Russische websites coördineren. Op het kanaal hebben zich inmiddels meer dan 100.000 mensen aangemeld. "We hebben digitale talenten nodig. Alle operationele taken zullen hier worden uitgedeeld: https://t.me/itarmyofurraine. Voor iedereen zal er wel iets te doen zijn. We gaan door met het gevecht aan het cyberfront. De eerste opdracht op het kanaal is voor de cyberspecialisten", aldus de tweet van Fedorov. Op het Telegram-kanaal staan onder meer de namen van Russische bedrijven die grotendeels in handen van de staat zijn, zoals Gazprom en Lukoil. Ook meerdere banken en overheidswebsites zijn aangemerkt als doelwitten. Het IT-leger wordt ook opgeroepen klachten in te dienen over YouTube-kanalen van Russische media die "openlijk liegen over de oorlog in Oekraïne". De website van het Kremlin werd zaterdag platgelegd door hackers. Vermoedelijk was dat het werk van de groep Anonymous, die al gezegd had computeraanvallen op de Russische regering voor te bereiden.


Oekraïne doet oproep aan IT'ers: vecht mee aan het cyberfront

De Oekraïense vicepremier Michailo Fedorov heeft aangekondigd dat het land een nieuw cyberleger heeft gevormd. Vrijwilligers kunnen zich aanmelden via chatdienst Telegram. Via een speciaal Telegram-kanaal moet het nieuwe IT-leger DDoS-aanvallen op belangrijke Russische websites coördineren. Op het kanaal hebben zich inmiddels meer dan 100.000 mensen aangemeld. "Voor iedereen zal er wel iets te doen zijn. We gaan door met het gevecht aan het cyberfront. De eerste opdracht op het kanaal is voor de cyberspecialisten", aldus FedorovOp het Telegram-kanaal staan onder meer de namen van Russische bedrijven die grotendeels in staatshanden zijn, zoals Gazprom en Lukoil. Ook meerdere banken en overheidswebsites zijn aangemerkt als doelwitten. Het IT-leger wordt ook opgeroepen klachten in te dienen over YouTube-kanalen van Russische media die "openlijk liegen over de oorlog in Oekraïne". Zaterdag nam YouTube al maatregelen tegen enkele grote YouTube-kanalen van Russische staatsmedia, die nu geen geld meer kunnen verdienen.


Mc Donald's slachtoffer van Russische cybercriminelen

Een ransomware-groep die banden heeft met Rusland heeft een cyberaanval op McDonald's Corporation opgeëist. De hackers bende Snatch beweerde vrijdag 500 gigabyte aan gegevens te hebben gestolen van de fastfoodgigant met hoofdkantoor in Chicago en plaatste hun eis voor een niet-openbaar gemaakt losgeld op het darkweb. Een woordvoerder van McDonald's reageerde niet meteen op een verzoek om commentaar van DailyMail.com. Het iconische bedrijf, dat de Amerikaanse economie en cultuur over de hele wereld betekent met meer dan 38.000 locaties in 100 landen, heeft een marktkapitalisatie van $ 186 miljard.

De vermeende McDonald's-inbreuk komt op het moment dat het Amerikaanse Cybersecurity and Infrastructure Security Agency een 'shields up'-waarschuwing afgeeft aan alle Amerikaanse bedrijven en organisaties, en hen aanspoort om maatregelen te nemen om zichzelf te beschermen tegen mogelijke Russische cyberaanvallen.


'Cyberaanval op chipgigant Nvidia is ransomware, geen verband met Oekraïne'

De Amerikaanse chipfabrikant Nvidia is getroffen door een grote aanval met ransomware. Die gijzelsoftware zou een deel van het bedrijf hebben lamgelegd. Het is nog niet duidelijk wie de hacker is, schrijft de Britse krant The Telegraph. In een statement aan de krant zegt de Amerikaanse hardwaremaker dat het nog weinig details heeft en het incident "onderzocht wordt". Nvidia zou mogelijk al twee dagen grotendeels offline zijn. Het bedrijf zou meerdere systemen uit de lucht hebben moeten halen. Het is niet duidelijk of er iets aan informatie gestolen is tijdens de aanval, noch wanneer alle problemen verholpen zouden zijn. Een bron van persbureau Bloomberg die bekend is met de situatie zegt dat het waarschijnlijk gaat om een aanval met ransomware, die geen verband houdt met de oorlog in Oekraïne. Sinds de Russische inval in dat land donderdagochtend zijn er in meerdere landen grote cyberaanvallen gaande. Nvidia is met een beurswaarde van ruim 600 miljard dollar een van de grootste chipbedrijven ter wereld.

British Airways

Vrijdagavond kampte de Britse luchtvaartmaatschappij British Airways ook met urenlange technische problemen. Meerdere vliegtuigen stonden op het Londense vliegveld Heathrow aan de grond, terwijl andere luchtvaartmaatschappijen wel vanaf de luchthaven vertrokken. British Airways maakte eerder vandaag bekend dat het zijn samenwerking met de Russische maatschappij Aeroflot stillegt. De beslissing werd gemaakt nadat Rusland op donderdag Oekraïne binnenviel. Het was niet duidelijk of de storing ging om een cyberaanval die iets met de situatie in Oekraïne te maken had.


Anonymous voert cyberaanvallen op Rusland verder op

Het hackersgroep Anonymous voert momenteel nieuwe cyberaanvallen op de Russische regering uit. Het hackerscollectief begon gisteren met de cyberaanvallen op Russische overheden en bedrijven, waaronder het netwerk van de staatstelevisie RT en meerdere internetproviders. Ook de websites van het Kremlin, het Russische parlement, het ministerie van Defensie en andere overheidsdiensten worden aangevallen. Vrijdagmiddag zegt de groep de site van het Russische ministerie van defensie te hebben platgelegd.  "We zijn ervan overtuigd dat sancties geen effect hebben op het criminele regime van Poetin. We roepen landen die Oekraïne steunen op om de banden met Rusland te verbreken en Russische ambassadeurs uit te zetten", aldus Anonymous. De strijd in Oekraïne is volgens de groep geen gevecht tussen de NAVO en Rusland, 'maar tussen democratie en fascisme'. "We zullen de levens die verloren zijn gegaan onder het regime van Poetin niet vergeten", schrijft een van de Anonymous-leden.


Russische overheidssites aangevallen door Belgische hackers

Een kleine groep Belgische hackers heeft donderdag onder meer de websites van Russia Today en het Kremlin platgelegd. Het gaat om een spontane maar gecoördineerde actie. Onder meer Russia Today (het door de Russische regering gefinancierde mediakanaal), mil.ru, Russia.gov en de website van het Kremlin werden getroffen met een DDoS-aanval en waren daardoor even onbeschikbaar. De daders komen uit België, een handvol occasionele hackers contacteerden elkaar en werkten samen om de sites uit de lucht te krijgen. 'Het gaat om mensen die met cybersecurity bezig zijn, soms professioneel, en iets wilden doen in dit conflict,' zegt een betrokkene anoniem aan Data News. Volgens HLN heeft Rusland zelf intussen wel maatregelen genomen. Door geoblocking toe te passen krijgen bezoekers buiten Rusland een foutcode te zien. Dat maakt dat een DDoS-aanval, waarbij een site of dienst wordt overspoeld met honderdduizenden bezoeken tegelijk, moeilijk kan werken. Het zou niet de bedoeling zijn om de DDoS-aanval te beperken tot één nacht. Wel wordt er door de hackers afgewogen welke doelwitten het interessantst en haalbaar zijn. Schrik voor een gerichte tegenaanval is er niet. 'Bij een DDoS wordt er aangevallen vanuit IP-adressen uit verschillende landen. Vanuit welk adres dat exact wordt aangestuurd valt moeilijk te achterhalen.'


Ook verschillende Russische overheidswebsites lagen plat

De website van het Kremlin en verschillende andere websites van de Russische overheid waren donderdag urenlang uit de lucht. Ze konden door een nog onbekende reden niet worden geladen. Bezoekers van Kremlin.ru konden de pagina niet bezoeken. Zij kregen een melding te zien dat de website niet bereikbaar is. Dezelfde problemen speelden bij andere websites, bijvoorbeeld die van de Staatsdoema, het lagerhuis van de Russische Federatie. Woensdag waren meerdere websites van Oekraïense banken en overheidsinstanties, zoals die van het ministerie van Buitenlandse Zaken, al niet bereikbaar. Volgens Oekraïne zit Rusland achter de cyberaanvallen. Ook de VS en het VK zeiden informatie te hebben dat de aanvallen uit Rusland kwamen. Waarom later ook verschillende Russische websites offline waren, is niet duidelijk. Het is onbekend of er sprake is van nieuwe cyberaanvallen en door wie deze dan zouden zijn uitgevoerd.


Agressieve malware had al maanden toegang tot cruciale systemen in Oekraïne

De makers van 'Hermetic Wiper', malware die erop gericht is systemen plat te leggen in luchtvaart, IT, finance en andere sectoren, hebben al maanden toegang tot cruciale systemen in Oekraïne. Tot nu toe houdt Oekraïne op digitaal gebied echter goed stand. Volgens Dave Maasland, CEO van het bedrijf ESET dat een belangrijke rol speelde bij de ontdekking van 'Hermetic Wiper', is de impact van de malware enorm. 'Van alle incidenten die we de afgelopen dagen op digitaal gebied hebben gezien, maakt de gemeenschap van beveiligers zich het meeste zorgen om deze ontwikkeling', zegt Maasland. 'Deze malware heeft maar één doel, en dat is data verwijderen en systemen stuk maken. Bij gijzelsoftware heb je nog een kans om weer online te komen, maar met dit soort malware heb je geen kans.' Volgens Maasland gaat het om misschien wel de meest agressieve vorm van malware die er bestaat. Of Hermetic Wiper van Russische komaf is, is lastig te zeggen. 'Dat blijft het nare van digitale middelen, het is niet direct technisch te linken aan een land of staat. Maar één ding is zeker: dit raakt Oekraïne. Grote instellingen worden hiermee geraakt. En men was al een aantal maanden binnen, dus dat geeft wel aan dat deze aanval een tweetrapsraket is.' Zo werd bij aanvang van de Russische invasie het betalingssysteem in het land platgelegd, waardoor Oekraïners niet meer bij hun geld konden. Ondanks dat de malware breed dus verspreid is over instellingen in Oekraïne, zijn het internet en de communicatielijnen in het land nog niet platgelegd. 'Je zou zeggen dat de focus op vitale infrastructuur ligt, en we weten dat dat soort bedrijven ook kwetsbaar zijn. Tot nu toe moeten we zeggen dat Oekraïne op digitaal gebied goed stand houdt, en dat is hoopvol nieuws.' Nederland zou Oekraïne ondersteunen bij de cyberaanvallen door een team van experts naar het land te sturen, maar heeft daarvan afgezien omdat de oorlog in het land is uitgebroken. 'Dat is best schrijnend, omdat we er vroeg bij waren om dat te roepen', aldus Maasland. 'We kunnen in Nederland echt wat op dat gebied, dus het is schrijnend dat die hulp niet lijkt te komen. De hackersgemeenschap in Oekraïne is groot en sterk, en ook daarin lijkt het land nu dus op zichzelf aangewezen om te verdedigen en aan te vallen.'


Oekraïne vraagt vrijwillige hulp van hackers en cybersecurityexperts

De Oekraïense overheid vraagt op hackerforums om vrijwilligers die de vitale infrastructuur van het land kunnen beschermen tegen aanvallen van Rusland. Dat schrijft persbureau Reuters vrijdag op basis van ingewijden. Ook is Oekraïne op zoek naar mensen die kunnen helpen bij de inzet van cyberspionage tegen Russische troepen. Sinds donderdag verschijnen verschillende oproepen van Oekraïne op hackerforums. Daarin wordt gezegd dat het voor de "Oekraïense cybercommunity" tijd is om zich te mengen in de digitale verdediging van het land. Hackers en cybersecurityexperts wordt verzocht zich op te geven via een formulier op Google Docs. Daarin kunnen ze hun specialisme vermelden, zoals het ontwikkelen van schadelijke software. De vrijwilligers moeten uiteindelijk worden opgedeeld in een team dat aanvalt en een team dat verdedigt. Het verdedigende team zou onder meer cyberaanvallen op energiecentrales en watersystemen moeten pareren. Wat het aanvallende team gaat doen, is onduidelijk. Onder meer het cybersecuritybedrijf Cyber Unit Technologies heeft de oproepen op hackerforums geplaatst. Volgens oprichter Yegor Aushev kreeg hij daartoe opdracht van het ministerie van Defensie. Aushevs bekende bedrijf beschermt de digitale vitale infrastructuur van Oekraïne in opdracht van de regering.

Aanvallen op Oekraïense websites

De afgelopen tijd heeft Oekraïne te kampen met veel cyberaanvallen. Zo lagen verschillende sites van overheidsinstellingen en banken plat. Eerder deze week werd ook een nieuwe vorm van malware ontdekt, die honderden computers in Oekraïne besmette.

Daarnaast werd duidelijk dat de door Europa geboden cyberhulp is uitgesteld nu de oorlog tussen Oekraïne en Rusland is uitgebroken. Ook Nederland zou een bijdrage leveren aan dat team van cybersecurityexperts.

Heeft u tips... neem contact op via meld formulier.


Europese cyberhulp aan Oekraïne uitgesteld door losbarsten oorlog

De inzet van een Europees team om Oekraïne op digitaal terrein te ondersteunen is uitgesteld omdat de oorlog is losgebarsten. De bedoeling was dat deskundigen naar Oekraïne zouden afreizen, maar nu Rusland is begonnen met aanvallen gaat dat niet door, zeggen twee bronnen tegen NU.nl. Dinsdag werd bekend dat het team ingezet zou worden, al bleef nog onduidelijk hoe de hulp er precies uit zou zien. Na weken van oplopende spanningen heeft Rusland in de nacht van woensdag op donderdag Oekraïne aangevallen. Ook zijn Russische troepen het land binnengevallen. Daardoor is de fysieke inzet van de CRRT-experts uitgesteld, bevestigt het Litouwse ministerie van Defensie aan NU.nl. Litouwen coördineert het CRRT. Naast Nederland zijn ook Kroatië, Estland, Polen en Roemenië onderdeel van het samenwerkingsverband.


WatchGuard-firewalls doelwit van geavanceerde Cyclops Blink-malware

Firewalls van fabrikant WatchGuard zijn het doelwit van een geavanceerde firmware-aanval waarbij aanvallers de systemen met persistente malware infecteren genaamd Cyclops Blink, zo waarschuwen de Amerikaanse en Britse autoriteiten, die van professioneel ontwikkelde malware spreken. Volgens de FBI, NSA, het Cybersecurity and Infrastructure Security Agency (CISA) en het Britse National Cyber Security Centre (NCSC) is de malware ontwikkeld door een groep genaamd Sandworm, die aan de Russische geheime dienst GRU gelieerd zou zijn. De Amerikaanse en Britse diensten denken dat Cyclops Blink de opvolger is van VPNFilter. Deze malware werd in 2018 ontdekt en had honderdduizenden routers van Linksys, MikroTik, NETGEAR en TP-Link en NAS-systemen van QNAP geïnfecteerd. De Cyclops Blink-malware, die sinds juni 2019 actief is, infecteert voor zover bekend alleen WatchGuard-firewalls. Het gaat dan specifiek om WatchGuard-apparaten waarvan remote management is ingeschakeld. Iets wat geen standaardinstelling is. Hoe de aanvallers toegang tot de firewall krijgen is onbekend. Wel is duidelijk dat ze het legitieme updateproces gebruiken om malafide firmware te installeren. "De ontwikkelaars hebben duidelijk het firmware-updateproces van de WatchGuard Firebox gereverse engineerd en een specifieke zwakte in dit proces gevonden, namelijk de mogelijkheid om de HMAC-waarde gebruikt voor het verifiëren van een firmware-update-image opnieuw te berekenen", aldus het NCSC (pdf). Op deze manier kunnen de aanvallers de WatchGuard-firewall blijvend besmetten, aangezien de infectie in de firmware aanwezig is. Volgens het NCSC is Cyclops Blink professioneel ontwikkelde en zeer geavanceerde malware. Organisaties die van WatchGuard-firewalls gebruikmaken moeten ervan uitgaan dat alle wachtwoorden op het apparaat zijn gecompromitteerd. WatchGuard stelt dat minder dan 1 procent van de firewalls vermoedelijk besmet is geraakt. Vooralsnog lijkt er geen data via de gecompromitteerde firewalls te zijn gestolen. WatchGuard heeft een detectietool ontwikkeld en geeft op deze pagina meer informatie van organisaties kunnen doen om de malware op hun apparaten te detecteren en verwijderen.

Cyclops Blink Malware Analysis Report
PDF – 441,1 KB 318 downloads

Schadelijke software gevonden in honderden computers in Oekraïne

Een nieuwe vorm van schadelijke software waart rond in Oekraïne. Onderzoekers van cybersecuritybedrijven ESET en Symantec zeggen tegen persbureau Reuters dat de malware inmiddels op honderden computers in Oekraïne is geïnstalleerd. De software is ontworpen om computers kapot te maken. Volgens ESET moet de aanval op Oekraïense computers zijn voorafgegaan door maanden aan voorbereiding. Symantec zegt aanwijzingen te hebben dat de malware inmiddels ook op computers in Letland en Litouwen is geïnstalleerd. Het programma zou antivirusprogramma's hebben omzeild om op de computers terecht te komen. Wie achter het verspreiden van de schadelijke software zit, is nog niet met zekerheid te zeggen. Volgens Reuters wordt er vanwege de oorlog in Oekraïne gewezen naar Rusland, maar dat land ontkent elke vorm van betrokkenheid. In de afgelopen tijd werden al verschillende websites van overheidsinstellingen en banken in Oekraïne aangevallen. De sites raakte overbelast, waardoor ze niet meer bereikbaar waren voor bezoekers. De Oekraïense datatoezichthouder zegt dat het aantal hackaanvallen onlangs flink is toegenomen. Als voorbeeld noemt de toezichthouder phishingaanvallen op overheidsinstanties en vitale infrastructuur, het verspreiden van malware en pogingen om netwerken van bedrijfssectoren binnen te dringen. De Verenigde Staten en het Verenigd Koninkrijk zeiden eerder overtuigend bewijs te hebben dat Rusland achter de aanvallen zit. Mark Warner, voorzitter van de inlichtingencommissie in de Amerikaanse Senaat, zei dat deze aanvallen maar een schijntje waren van waartoe Rusland in staat is.


VS en VK waarschuwen voor nieuw wapen van Russische staatshackers

Hackers die in opdracht van Rusland cyberaanvallen uitvoeren, hebben een nieuw en gevaarlijk digitaal wapen in handen. Daarvoor waarschuwen het Britse cybersecuritycentrum (NCSC) en de Amerikaanse overheidsdiensten CISA, NSA en FBI. Het wapen wordt Cyclops Blink genoemd. Cyclops Blink is een vorm van schadelijke software die sinds juni 2019 actief is, zeggen de Verenigde Staten en het Verenigd Koninklijk. De software besmet netwerkapparaten van het bedrijf WatchGuard die computernetwerken zouden moeten beveiligen. Ook andere systemen zijn mogelijk vatbaar. De gebruiker zelf kan het doelwit van de hackers zijn, maar het kan ook zijn dat getroffen apparatuur wordt gebruikt om anderen aan te vallen. Als de hackers eenmaal binnengedrongen zijn, is het heel moeilijk om de besmetting ongedaan te maken. "Als jouw apparaat besmet is met Cyclops Blink, moet je ervan uitgaan dat elk wachtwoord is buitgemaakt", schrijven de VS en het VK in een gezamenlijke verklaring. "Die wachtwoorden moeten dan vervangen worden." Cyclops Blink zou zijn ontwikkeld door een groep staatshackers die 'Sandworm' of 'Voodoo Bear' wordt genoemd. De hackers zouden in dienst zijn van de Russische militaire inlichtingendienst GRU. Sandworm wordt onder meer verantwoordelijk gehouden voor de gijzelsoftware NotPetya. Die trof in 2017 Oekraïense bedrijven, maar de infectie verspreidde zich naar andere landen. Twee containerterminals in de haven van Rotterdam lagen daardoor ook plat. In december 2015 zou Sandworm delen van het Oekraïense elektriciteitsnet hebben platgelegd met een cyberaanval. Honderdduizenden mensen zaten daardoor urenlang zonder stroom. In 2018 zou Sandworm de openingsceremonie van de Olympische Winterspelen hebben verstoord, omdat Rusland was geschorst voor die Spelen. Het Britse NCSC had Britse bedrijven en organisaties al opgeroepen om hun digitale beveiliging op te voeren vanwege het conflict rond Oekraïne.

New Sandworm Malware Cyclops Blink Replaces VPN Filter
PDF – 114,9 KB 243 downloads

Cyberaanval op pannenfabrikant Meyer lekt vaccinatiestatus en andere privé data personeel

De Amerikaanse pannenfabrikant Meyer heeft personeel gewaarschuwd voor een datalek waarbij allerlei privégegevens zijn gestolen, waaronder vaccinatiestatus en de resultaten van drugstests. Meyer is één van de grootste pannenfabrikanten ter wereld en produceert naar eigen zeggen meer dan 120.000 pannen per dag. Het bedrijf, dat verschillende merken heeft waaronder KitchenAid, telt meer dan 3500 werknemers. In een brief aan het personeel laat Meyer weten dat het op 25 oktober vorig jaar slachtoffer van een aanval is geworden waarbij een ongeautoriseerde partij toegang tot systemen kreeg. Het onderzoek dat volgde liet zien dat de aanvaller mogelijk ook toegang tot personeelsgegevens heeft gekregen. Het gaat onder andere om naam, adresgegevens, geboortedatum, geslacht, etniciteit, social-securitynummer, resultaten van drugstests, coronavaccinatiestatus, immigratiestatus en kopie van rijbewijs en paspoort. Details over de aanval zijn niet gegeven, maar vorig jaar november stelde de Conti-ransomwaregroep dat het Meyer had aangevallen. Daarbij zou naar verluidt ook bijna dertien gigabyte aan data zijn buitgemaakt. De groep publiceerde twee procent van deze gegevens, maar heeft de resterende data nooit openbaar gemaakt. In een datalekmelding aan de procureur-generaal van de Amerikaanse staat Maine stelt Meyer dat bijna 2800 medewerkers door de aanval zijn getroffen.


Meerdere Oekraïense overheidswebsites liggen plat, vermoedelijk cyberaanval

Meerdere websites van Oekraïense banken en overheidsinstanties, zoals die van het ministerie van Buitenlandse Zaken, zijn woensdag onbereikbaar. Dat melden internationale media zoals persbureau Reuters. Volgens het Russische persbureau Interfax wordt het land getroffen door een nieuwe cyberaanval. De sites zouden zijn getroffen door een zogeheten ddos-aanval. Daardoor raken sites zodanig overbelast dat nieuwe belangstellenden de websites niet meer kunnen bereiken. Oekraïense autoriteiten hadden eerder deze week al gewaarschuwd voor nieuwe cyberaanvallen. Volgens de deskundigen zouden hackers een nieuwe 'actie op grote schaal' voorbereiden, die gericht zou zijn op Defensie, overheidsinstanties en banken. Volgens het land zit Rusland achter de cyberaanvallen. Ook de VS en het VK zeiden informatie te hebben dat de aanvallen uit Rusland kwamen. Bij eerdere cyberaanvallen speelde ook een server in Nederland een rol, zo bleek eerder. De twee Nederlandse bedrijven die betrokken waren bij de aanval, zijn door de politie gevraagd om de server offline te halen.


Linux ransomware toegenomen met maar liefst 146%

IBM Security heeft zijn jaarlijkse X-Force Threat Intelligence index bekendgemaakt. Deze index moet nieuwe trends en aanvalspatronen in kaart brengen. Het afgelopen jaar toont een toename van 33% in cyberaanvallen, waarvan 47% is veroorzaakt omdat organisaties hun patchbeheer niet goed op orde hebben. Phishing is over het algemeen nog steeds de eerste en meest voorkomende stap bij cyberaanvallen, maar opvallend genoeg heeft zelfs Linux te lijden onder een enorme toename aan ransomware-bedreigingen. Met name de industriesector (23%) heeft het zwaar te verduren gekregen en meer ransomware-aanvallen rond zijn oren gehad dan welke andere sector ook. In Nederland gaat het hierbij vooral om retailers en fabrikanten. Teneinde problemen met de supply chain te voorkomen, zijn veel organisaties overgegaan tot het betalen van losgeld. Het percentage Linux ransomware met unieke (nieuwe) code laat zelfs een groei zien van maar liefst 146%, wat betekent dat het niveau van Linux ransomware-innovatie stijgt. De reden voor de toename op Linux-systemen ligt allereerst in het feit dat ze steeds vaker worden gebruikt voor het implementeren van software voor cryptominers. Soms worden zelfs complete serverparken aangevallen. Omdat Linux servers vaak worden uitgerold met een golden image als basis zijn met name ook de zwakheden binnen meerdere servers aanwezig en zijn ze daarmee een eenvoudige prooi. Een tweede reden wordt gevormd door de cloud. X-Force ziet een trend dat steeds meer cybercriminelen zich focussen op containers zoals Docker, veruit de meest dominante container runtime-engine volgens RedHat. Aanvallers zien dat organisaties dankzij containers gebruik kunnen maken van verschillende public cloudomgevingen. Wanneer zij malware over meerdere platforms verspreiden, kunnen zij deze als springplank gebruiken naar andere componenten binnen de infrastructuur. Het zijn met name gevirtualiseerde systemen die vaak worden aangevallen, temeer het eenvoudiger is om een virtuele machine te encrypten.

X Force Threat Intelligence Index 2022 Full Report
PDF – 3,6 MB 238 downloads

Cyberaanvallen op Oekraïne werden aangestuurd vanuit Wormer

Twee weken nadat Nederland had laten weten dat het cyberspecialisten naar Oekraïne zal sturen om de strijd tegen Russische cyberaanvallen te ondersteunen, blijkt dat vanuit het Noord-Hollandse Wormer werd geprobeerd Oekraïense websites plat te leggen, schrijft NRC. Verschillende websites van Oekraïense overheidsinstanties en banken waren vorige week urenlang niet bereikbaar door cyberaanvallen. Veiligheidsdiensten van de Verenigde Staten, het Verenigd Koninkrijk en Oekraïne gaan ervan uit dat de Russische inlichtingendienst GRU achter de praktijken zit. De aanvallen zijn volgens NRC uitgevoerd door "een netwerk van geïnfecteerde computers". De server die een sleutelrol speelde bij de aansturing van dat netwerk, blijkt te zijn verhuurd door een Nederlands bedrijf dat werkt vanuit een datacentrum in het Noord-Hollandse dorp Wormer, aldus de krant. Het gaat om het bedrijf van internetondernemer Sijmen Karel Bakker (22). Hij bevestigt aan de krant dat zijn server, die hij verhuurt, betrokken is geweest bij de aanval op de Oekraïense websites van overheidsinstanties en banken. Hij zegt de server meteen offline te hebben gehaald nadat hij was ingelicht door de politie.


'Verzekeraars keren mogelijk niet uit bij Russische cyberaanval'

Nederlandse bedrijven lopen het risico dat hun verzekeraar niet uitkeert bij een cyberaanval door Russische hackers. Dat zeggen experts op het gebied van cyberbeveiliging en -verzekeringen tegen BNR. Verzekeraars kunnen zo'n aanval als oorlogsdaad bestempelen waardoor ze niet hoeven te betalen. 'Als er een virus uit Rusland komt, gericht is op Oekraïne en schade aanricht in West-Europa is de kans groot dat verzekeraars zeggen: dat risico ligt niet bij ons', zegt Job Kuijpers, ceo van cybersecuritybedrijf EYE en oud-directeur cyber security bij inlichtingendienst AIVD. 'Je komt in een grijs gebied waarin onduidelijk is wat verzekeraars gaan doen.' Zo werd Oekraïne in 2017 getroffen door cyberaanval NotPetya. Dat virus maakte ook in het buitenland slachtoffers. Het legde wereldwijd computersystemen van multinationals plat, onder andere die van de Amerikaanse farmaceut Merck. De verzekeraar weigerde de schade te vergoeden omdat die vond dat de NotPetya-aanval een oorlogsdaad van Rusland tegen Oekraïne was. Merck stapte daarop naar de rechter. Maar ook als Russische hackers direct een aanval uitvoeren op Nederlandse bedrijven is sprake van een dunne scheidslijn, zegt Kuijpers. 'De ene keer zijn ze voor de overheid aan het werk, de andere keer werken ze voor zichzelf. Wanneer is er sprake van oorlogsvoering en wanneer van een puur criminele daad?' Daarover moet de rechter zich buigen. Het is moeilijk om vast te stellen wat een oorlogsdaad is en wat niet, erkent Dave Maasland van IT-beveiligingsbedrijf ESET. Ook hij ziet dat verzekeraars bij schade door oorlog niet altijd uitkeren: 'Juist die onzekerheid maakt het lastig voor bedrijven.' Volgens Maasland kunnen de sancties tegen Rusland leiden tot een toename van digitale aanvallen. 'Het verhoogt ons risicoprofiel. Als je ons vanaf een afstand wil raken zijn digitale aanvallen een handig middel, waar je je goed achter kunt verschuilen.' In de polisvoorwaarden van cyberverzekeringen staat nu vaak dat oorlogssituaties zijn uitgesloten, zegt Marie-Louise de Smit van risico- en verzekeringsadviseur Aon. Al zijn er volgens haar verzekeraars die een uitzondering maken voor cyberterrorisme: 'Dan staat er dat er geen dekking is voor schade die voortvloeit uit oorlogsoperaties, tenzij dit cyberterrorisme betreft.' Maar dit soort uitzonderingen zie je vaak alleen bij grote bedrijven, weet Kuijpers van cyberbedrijf EYE. 'Denk aan de Shells en ASML's van deze wereld, die dwingen hun polisvoorwaarden af. Mkb-bedrijven kunnen dat niet.' Als het aantal aanvallen verder toeneemt is het volgens cyberexpert Tom Rijgersberg van Meijers Assurantiën aannemelijk dat verzekeraars zichzelf 'meer gaan beschermen door extra clausules te introduceren die dekking uitsluiten'.


Gebruikers Asustor-nassystemen melden infecties met Deadbolt-ransomware

Verschillende gebruikers melden dat hun Asustor-nassystemen zijn geïnfecteerd met ransomware. Het gaat om de Deadbolt-ransomware, die eerder systemen van QNAP trof. Gebruikers wordt aangeraden om deze af te sluiten van internet totdat er een patch is. Verschillende gebruikers op Reddit en het forum van Asustor melden dat hun Asustor-systemen zijn getroffen door de Deadbolt-ransomware. Gebruikers melden dat ze hoge schijfactiviteit zagen. Toen ze probeerden in te loggen op hun nas, kregen ze een bericht te zien dat hun bestanden zijn versleuteld, waarbij wordt gevraagd om een betaling met cryptocurrency. Gebruikers speculeren dat de gijzelsoftware toegang tot de nas krijgt via EZ Connect, waarmee ze via internet kunnen inloggen op hun systeem. Asustor heeft zelf nog niet gereageerd op de ransomwareberichten en dus is de oorzaak niet bevestigd. Gebruikers die nog niet getroffen zijn, wordt op Reddit en het forum aangeraden om hun nassysteem uit te schakelen in afwachting van een oplossing door Asustor. Gebruikers wordt in ieder geval aangeraden om EZ Connect, auto-updates en ssh uit te schakelen. Het is ook verstandig om de poorten die de nas gebruikt, af te sluiten via een router en om communicatie met de nas alleen toe te staan via lan. Los van de lokale bestanden op de nas schrijft een gebruiker dat ook bestanden van de nas die zijn gesynchroniseerd naar Google Drive en OneDrive, werden versleuteld, merkte Tom's Hardware op. De gebruiker kon zijn of haar OneDrive-bestanden herstellen, maar op Google Drive was dat niet het geval. Het is niet bekend wanneer Asustor een eventuele patch uitrolt. Tweakers heeft hierover vragen uitstaan bij het bedrijf. Het is ook niet bekend of alle Asustor-nassystemen kwetsbaar zijn. 

Update, 12.16 uur: Asustor vertelt aan Tweakers dat het op de hoogte is van de ransomwareberichten en dat het bedrijf onderzoek doet naar het probleem. Het bedrijf verwacht uiterlijk morgen met een herstelfirmware te komen, waarmee getroffen gebruikers hun nas weer kunnen gebruiken. Verloren bestanden kunnen daarmee echter niet worden hersteld. Of de herstelfirmware ook het eventuele beveiligingslek oplost, is niet bekend.


Logistieke gigant Expeditors door cyberaanval wereldwijd platgelegd

De logistieke gigant Expeditors is door een cyberaanval wereldwijd platgelegd. Het zou mogelijk om een ransomware-aanval gaan, maar dat is nog niet door het Fortune 500-bedrijf bevestigd. Expeditors telt meer dan 18.000 medewerkers in meer dan honderd landen. Het verzorgt logistieke en douanediensten voor lucht- en zeevracht. Het bedrijf had in het derde kwartaal van vorig jaar een omzet van 4,3 miljard dollar. Na ontdekking van de aanval besloot Expeditors de meeste systemen wereldwijd uit te schakelen. Daardoor is de bedrijfsvoering ernstig beperkt, aldus een verklaring. "Aangezien het nog zeer vroeg in het proces is, kunnen we geen voorspellingen doen wanneer we mogelijk weer operationeel zijn, maar we zullen updates verstrekken wanneer dit mogelijk is." Verder stelt Expeditors dat de cyberaanval voor een schadepost zal zorgen vanwege het onderzoek en herstel. Afhankelijk van de duur dat het bedrijf plat ligt kan het een aanzienlijke impact op de bedrijfsvoering, omzet en reputatie hebben, zo laat de verklaring verder weten. De aanval deed zich afgelopen zondag voor. Gisteren meldde het bedrijf via de eigen website dat de bedrijfsvoering nog altijd getroffen is.


Witte Huis beschuldigt Rusland van ddos-aanvallen tegen Oekraïense banken

Het Witte Huis heeft Rusland beschuldigd van ddos-aanvallen tegen Oekraïense banken die vorige week plaatsvonden. Door de aanvallen waren websites van het Oekraïense ministerie van Defensie en verschillende banken enige tijd onbereikbaar. Ook ontvingen bankklanten sms-berichten waarin stond dat geldautomaten niet meer functioneerden. "We denken dat de Russische overheid verantwoordelijk is voor grootschalige cyberaanvallen tegen Oekraïense banken deze week", stelde Anne Neuberger, veiligheidsadviseur voor "cyber en opkomende technologie" van het Witte Huis, tijdens een persconferentie. Neuberger voegde toe dat de VS over technische informatie beschikt dat infrastructuur van de Russische geheime dienst GRU grote hoeveelheden verkeer naar Oekraïense ip-adressen en domeinen heeft verstuurd. Neuberger erkende dat de snelheid waarmee Rusland als verantwoordelijke voor de aanvallen wordt aangewezen zeer uitzonderlijk is. "We hebben dit gedaan vanwege de noodzaak om dit gedrag snel te benoemen als onderdeel van het verantwoordelijk houden van landen wanneer ze verstorende of destabiliserende cyberactiviteit uitvoeren." Informatie over de aanvallen waarover de VS beschikt zou inmiddels met Oekraïne en "Europese partners" zijn gedeeld, liet Neuberger verder weten. Ze waarschuwde dat de impact van de aanvallen beperkt was, maar dat dit wel de basis kan vormen voor meer verstorende cyberaanvallen die tijdens een mogelijke invasie van de Oekraïne zouden kunnen plaatsvinden.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten