Conti-ransomware gebruikt dertig bekende kwetsbaarheden bij aanvallen, systeem Italiaanse spoorwegen plat door Russische hackers en ransomware versleutelt 100.000 bestanden in gemiddeld 42 minuten. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Meer dan 4.500 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.
Status op 28 maart 2022 : 4.969
Week overzicht
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
Oklahoma City Indian Clinic | Suncrypt | okcic.com | In progress |
Centris | Conti | www.centrisinfo.com | USA |
Diamond Pet Foods | BlackByte | www.diamondpet.com | USA |
UNITEK Contracting Group | Conti | unitekhawaii.com | USA |
qarch.nl | LockBit | qarch.nl | Netherlands* |
zentrum-dreilinden.ch | LockBit | zentrum-dreilinden.ch | Switzerland |
pirsonholland.com | LockBit | pirsonholland.com | Netherlands* |
DC Solutions | BlackCat (ALPHV) | dcsolution.ch | Switzerland |
Royal Brunei Airlines Sdn Bhd | Conti | www.flyroyalbrunei.com | Brunei |
Hochschild Mining | Conti | www.hochschildmining.com | Peru |
MIGROS | STORMOUS | www.migros.ch | Switzerland |
Scott Manufacturing, LLC | Conti | scott-mfg.com | USA |
microflex-services.de | LockBit | microflex-services.de | Germany |
Konradin Mediengruppe GmbH | Hive | www.konradin.de | Germany |
Azimut Benetti Group | Conti | www.azimutbenetti.it | Italy |
Automobil Holding AS | Conti | mobile.no | Norway |
Critical Content | Conti | www.criticalcontent.com | USA |
ctigas.com | LockBit | ctigas.com | USA |
centuryaluminum.com | LockBit | centuryaluminum.com | USA |
VOYAGER DISTRIBUTING COMPANY PTY. LTD. | BlackCat (ALPHV) | Unknown | Australia |
Pollmann | Hive | pollmann.at | Austria |
Relationships Australia | BlackCat (ALPHV) | relationships.org.au | Australia |
Passero Associates | Hive | www.passero.com | USA |
UCC COFFEE UK LIMITED | Karakurt | www.ucc-coffee.co.uk | UK |
Bounce Interactive Ltd | Karakurt | www.bounceinteractive.co.uk | UK |
DK Engineering | Karakurt | www.dkeng.co.uk | UK |
Cabinet médical de groupe de Courtepin | LockBit | Unknown | Switzerland |
guazzini.it | LockBit | guazzini.it | Italy |
japoauto.com | LockBit | japoauto.com | Spain |
serilization-services.com | LockBit | serilization-services.com | USA |
stt-logistique.fr | LockBit | stt-logistique.fr | France |
KONECTA SERVICIOS ADMINISTRATIVOS | Hive | www.grupokonecta.com | Argentina |
LW Group | BlackCat (ALPHV) | Unknown | USA |
I-SEC International Security | Conti | www.i-sec.com | Germany |
Establishment of the Agency | Vice Society | www.arpa.marche.it | Italy |
intouchgroup.net | LockBit | intouchgroup.net | Senegal |
credenceid.com | LockBit | credenceid.com | USA |
ignitarium.com | LockBit | ignitarium.com | India |
redgwick.com | LockBit | redgwick.com | USA |
3S Standard Sharing Software | STORMOUS | www.3s.com.tn | Tunisia |
Haltonhills | Cuba | www.haltonhills.ca | Canada |
NetCompany | Haron | www.netcompany.com | Denmark |
confindustriacaserta.it | LockBit | confindustriacaserta.it | Italy |
crich.it | LockBit | crich.it | Italy |
Banco Caribe | Hive | bancocaribe.com.do | Dominican Republic |
Asphalion | Hive | www.asphalion.com | Spain |
Wibag Bau Ag | Hive | www.wibag-bau.ch | Switzerland |
Instituto De Gesto Estratégica De Sade Do Distrito Federal | Hive | igesdf.org.br | Brazil |
avidoc.fr | LockBit | avidoc.fr | France |
Powertech | Cuba | www.powertech.co.kr | South Korea |
LPA Design | AvosLocker | www.lpadesign.com | USA |
ICEHOTEL | Vice Society | www.icehotel.com | Sweden |
Griggsville-Perry High School | Vice Society | www.griggsvilleperry.org | USA |
lazpiur.com | LockBit | lazpiur.com | Spain |
Afghanistan Breshna Sherkat | KelvinSecurity | main.dabs.af | Afghanistan |
CHINA Government and Social Capital Cooperation Center | KelvinSecurity | www.cpppc.org | China |
ITECOR International SA | Conti | www.itecor.com | Switzerland |
edukgroup.com | LockBit | edukgroup.com | Puerto Rico |
Sav-Rx Prescription Services | Conti | www.savrx.com | USA |
WELCOME HOTELS | Conti | www.welcome-hotels.com | Germany |
Sanoh America Inc. | Conti | sanoh-america.com | USA |
Anac | Conti | www.anac.nl | Netherlands* |
Satz Kontor GmbH | STORMOUS | www.satzkontor.de | Germany |
ca.daiyafoods.com | LockBit | ca.daiyafoods.com | Canada |
Maintainco Inc. | BlackCat (ALPHV) | maintainco.com | USA |
KELLY,REMMEL&ZIMMERMAN | BlackCat (ALPHV) | www.krz.com | USA |
Rotoplas | Hive | www.rotoplas.com | Mexico |
apec-capital.com | LockBit | apec-capital.com | Hong Kong |
Polynt Group | Hive | www.polynt.com | Italy |
FAIR-RITE.COM | CL0P | fair-rite.com | USA |
Centerline Communication Llc | Hive | centerlinecommunications.com | USA |
School District Of Janesville | Hive | www.janesville.k12.wi.us | USA |
Centurion Stone | Hive | centurionstone.com | USA |
Dayton T. Brown, Inc | Hive | dtb.com | USA |
Otto Dörner GmbH & Co. KG | Hive | www.doerner.de | Germany |
GomeA | Hive | www.gome.com.cn | China |
Ministry For Foreign Affairs Of The Republic Of Indonesia | Hive | www.kemlu.go.id | Indonesia |
UCSI University | Hive | www.ucsiuniversity.edu.my | Malaysia |
Okta.com | LAPSUS$ | okta.com | USA |
MS | LAPSUS$ | azure.microsoft.com | USA |
LGE.com | LAPSUS$ | lge.com | South Korea |
Bradsby Group | BlackCat (ALPHV) | bradsbygroup.com | USA |
UAV Engines LTD | LeakTheAnalyst | uavenginesltd.co.uk | UK |
ENOS PROPERTIES | STORMOUS | www.enos-properties.com | Greece |
Rubinstein Company | Black Shadow | Unknown | Unknown |
stormous | Arvin club | Unknown | Unknown |
Bigmtransport | Haron | www.bigm.com | USA |
Nestle | KelvinSecurity | www.nestle.com | Switzerland |
Banco do Brasil | KelvinSecurity | www.bb.com.br | Brazil |
Confederation of Indian Industry (CII) | KelvinSecurity | www.cii.in | India |
CORT | KelvinSecurity | www.cort.com | USA |
BERITASATUMEDIA.COM | BlackCat (ALPHV) | beritasatumedia.com | Indonesia |
Herbert Slepoy Co | Karakurt | www.slepoycorp.com | USA |
STUDIO PEREGO S.R.L. | LockBit | studioperego.pro | Italy |
rh-europe.com | LockBit | rh-europe.com | France |
onglesdor.com | LockBit | onglesdor.com | Canada |
besp-oak.com | LockBit | besp-oak.com | UK |
tomlinsonelectric.com | LockBit | tomlinsonelectric.com | USA |
chicagosteelgroup.com | LockBit | chicagosteelgroup.com | USA |
GRS Group | Conti | www.grsroadstone.co.uk | UK |
ROXCEL Trading GmbH | Conti | www.roxcel.at | Austria |
zabel-group.de | LockBit | zabel-group.de | Germany |
LAPSUS$ cyberaanvallen
Slachtoffer | LAPSUS$ | Website | Land |
---|---|---|---|
Okta.com | LAPSUS$ | okta.com | USA |
MS | LAPSUS$ | azure.microsoft.com | USA |
LGE.com | LAPSUS$ | lge.com | South Korea |
SAMSUNG | LAPSUS$ | www.samsung.com | South Korea |
NVIDIA | LAPSUS$ | nvidia.com | USA |
Localiza | LAPSUS$ | localiza.com | Brazil |
SIC | LAPSUS$ | sic.pt | Portugal |
Claro | LAPSUS$ | www.claro.com | Mexico |
Ministério da Saúde | LAPSUS$ | www.gov.br | Brazil |
In samenwerking met DarkTracer
Hackersgroep Anonymous claimt Russische centrale bank gehackt te hebben
Hackers die opereren onder de vlag van hackerscollectief Anonymous beweren meer dan 35.000 gevoelige bestanden te hebben gestolen van de Centrale Bank van Rusland, schrijft de groep donderdag op Twitter. De aanval is onderdeel van de cyberoorlog die het collectief voert tegen de Russische staat, als reactie op de Russische invasie van Oekraïne. De claim van de hackgroep kan niet onafhankelijk gecontroleerd worden, maar eerdere hackaanvallen van het collectief op Rusland waren succesvol. De groep dreigt de gestolen bestanden binnen 48 uur openbaar te maken. Onder de bestanden zouden ook "geheime afspraken" van de bank zijn. Eind februari hackte Anonymous verschillende systemen van de Russische overheid. Onder meer de website van het Russische ministerie van Defensie werd daarbij uit de lucht gehaald.
JUST IN: The #Anonymous collective has hacked the Central Bank of Russia. More than 35.000 files will be released within 48 hours with secret agreements. #OpRussia pic.twitter.com/lop140ytcp
— Anonymous TV 🇺🇦 (@YourAnonTV) March 23, 2022
Conti-ransomware gebruikt dertig bekende kwetsbaarheden bij aanvallen
De Conti-ransomwaregroep maakt bij aanvallen op organisaties gebruik van meer dan dertig bekende kwetsbaarheden, zo blijkt uit chatgesprekken die onlangs op internet werden gelekt. Begin deze maand stelden de FBI, de Amerikaanse geheime dienst NSA en het Cybersecurity and Infrastructure Security Agency (CISA) dat meer dan duizend organisaties wereldwijd zijn aangevallen met de Conti-ransomware. Conti hanteert net als verschillende andere ransomware-exemplaren een ransomware-as-a-service (RaaS)-model, maar er is volgens de Amerikaanse diensten wel een verschil. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. In het geval van de Conti-groep betalen de ontwikkelaars de criminelen die de ransomware verspreiden geen percentage maar een loon. Om toegang tot de netwerken van hun slachtoffers te krijgen en de ransomware te verspreiden maken aanvallers gebruik van algemeen bekende methodes zoals het gebruik van spearphishing met Microsoft Office-documenten en malafide links, gestolen RDP-inloggegevens en bekende kwetsbaarheden. Eind februari verschenen interne chatlogs van de Conti-groep op internet, die inzicht geven in de opzet en werkwijze van de groep. Zo blijkt dat de aanvallers bij hun aanvallen van meer dan dertig bekende kwetsbaarheden gebruikmaken, melden securitybedrijven Tenable en BreachQuest. Via negen van deze beveiligingslekken, aanwezig in Fortinet FortiOS, Microsoft Exchange Server, Windows, VMware vSphere en VMware vCenter Server wordt er op afstand toegang tot systemen verkregen. De overige 24 beveiligingslekken, allemaal aanwezig in Windows, maken het mogelijk voor de aanvallers om hun rechten op het systeem te verhogen om zich uiteindelijk lateraal door het netwerk te bewegen. "Gegeven dat de groep en diens partners naast kwetsbaarheden verschillende manieren hebben om organisaties binnen te dringen, maar hogere rechten nodig hebben om schade aan te richten, is het niet verrassen dat de meeste kwetsbaarheden in hun toolkit is gericht op het verhogen van rechten", zegt onderzoeker Satnam Narang. Een groot deel van deze kwetsbaarheden is al jaren oud. Organisaties worden dan ook opgeroepen om hun software up-to-date te houden.
Cryptobedrijven en it-leveranciers aangevallen via Chrome-zeroday
Amerikaanse nieuwsmedia, domeinregistrars, it-leveranciers, cryptobedrijven, softwareontwikkelaars en hostingproviders zijn aangevallen via een zerodaylek in Google Chrome, zo heeft Google bekendgemaakt. De kwetsbaarheid werd op 10 februari ontdekt en op 14 februari via een beveiligingsupdate in Chrome verholpen. Volgens Google maakten twee verschillende aanvalsgroepen, gelieerd aan de Noord-Koreaanse overheid, gebruik van het beveiligingslek. Via de kwetsbaarheid is het mogelijk om code op het systeem van gebruikers uit te voeren. Bij de eerste aanval ontvingen meer dan 250 personen, werkzaam voor media, domeinregistrars, hostingproviders en softwareleveranciers, een e-mail die zogenaamd van een recruiter van Disney, Google of Oracle afkomstig leek en naar een zogenaamde vacature leek te wijzen. De aanvallers hadden hierbij vacaturesites zoals Indeed en ZipRecruiter nagemaakt. Deze nagemaakte websites waren voorzien van een exploit die Chrome-gebruikers met vermoedelijk malware infecteerde. De tweede groep, die dezelfde kwetsbaarheid gebruikte, had het voorzien op cryptobedrijven en fintech-organisaties. Hierbij wisten de aanvallers de websites van twee legitieme fintech-bedrijven te compromitteren en van malafide code te voorzien die Chrome-gebruikers aanviel. Google is er niet in geslaagd om de code te achterhalen die na het uitvoeren van de exploit werd uitgevoerd. Het is echter aannemelijk dat het om malware gaat. Verder heeft Google alleen een exploit voor het aanvallen van Chrome-gebruikers gevonden, maar trof het techbedrijf naar eigen zeggen ook bewijs dat de aanvallers keken of bezoekers van Safari of Firefox gebruikmaakten, om hen vervolgens naar bekende exploit-servers door te sturen. Google heeft echter geen exploits van deze servers weten te achterhalen. Nadat Google een beveiligingsupdate voor de kwetsbaarheid op 14 februari uitrolde, bleven de aanvallers hun exploit gebruiken, wat volgens het techbedrijf aantoont hoe belangrijk het is om updates te installeren zodra die beschikbaar komen.
VDL-topman: computerkraak kost miljoenen; of losgeld is betaald laat hij in het midden
De schade van de computergijzeling die VDL vorig jaar trof loopt ‘in de miljoenen’ euro’s. Dat zegt topman Willem van der Leegte in een toelichting op de jaarcijfers van het Eindhovense bedrijf.
Rusland zat volgens VS achter cyberaanval op Viasat-internet
Analisten van Amerikaanse inlichtingendiensten hebben geconcludeerd dat Rusland achter de cyberaanval op satellietinternetdienst Viasat zat. Dat vertellen Amerikaanse functionarissen aan The Washington Post. De cyberaanval op het netwerk van Viasat viel samen met het begin van de Russische invasie in Oekraïne. Inlichtingenanalisten van de VS hebben volgens The Washington Post geconcludeerd dat Russische staatshackers deze uitval hebben uitgevoerd. De aanval zou zijn uitgevoerd door de militaire spionagedienst GRU, vertellen anonieme Amerikaanse functionarissen die bekend zijn met de zaak aan krant. Reuters meldde eerder al dat westerse inlichtingendiensten onderzoek deden naar de oorsprong van de aanval. De overheid van de VS heeft nog geen publieke mededelingen gedaan over haar conclusies, schrijft The Washington Post. Een woordvoerder van de Amerikaanse National Security Council zei 'nog geen toeschrijvingen te kunnen delen'. "Zoals we al hebben gezegd, maken we ons zorgen over het kennelijke gebruik van cyberoperaties om communicatiesystemen in Oekraïne en in heel Europa te verstoren, en de toegang van bedrijven en personen tot internet te beïnvloeden", voegde de woordvoerder daaraan toe. De aanval begon op 24 februari, de dag dat Rusland Oekraïne binnenviel, en werd gericht op de grondinfrastructuur van het KA-SAT-netwerk van Viasat. De cyberaanval verstoorde communicatie van het Oekraïnse leger en overheidsorganisaties, maar had ook gevolgen voor de rest van Europa. 'Tienduizenden' klanten hadden na de aanval geen toegang tot het internetsatellietennetwerk van Viasat, meldde het bedrijf. Een paar weken na de aanval waren bepaalde modems nog steeds offline, schreef Reuters eerder.
Cyberaanval op gokbedrijven in Zuidoost-Azië
Er vindt een langdurige cyberaanval plaats gericht op gokbedrijven in Zuidoost-Azië. Met name online casino’s in Taiwan, de Filipijnen, en Hong Kong zijn het doelwit van de Chinees-sprekende hackers, aldus beveiligingsbedrijf Avast. Cybersecurity bedrijf Avast heeft onlangs een Advanced Persistent Thread (APT), een langdurige cyberaanval, ontdekt. Het bedrijf heeft de aanval de naam Operation Dragon Castling gegeven. Tijdens deze cyberaanval waren gokbedrijven uit Taiwan, Hong Kong, en de Filipijnen het doelwit. Wie de precieze personen zijn achter de aanval zijn weet Avast niet, maar ze stellen wel vast dat het om een Chinese APT gaat. Avast meldt op de website dat de code in de aanval overeenkomstigheid kent met modules die door deze APT-groep wordt gebruikt, de MulCom-backdoor. De gebruikte aanvalstechniek is alles behalve nieuw is want het BlackBerry Cylance Threat Research Team schreef eerder over deze code in hun rapport uit 2017. Ook een rapport uit 2015 van Palo Alto Networks gaat al in op deze methode. Avast bevestigde in een e-mail aan Casino.org dat het de gamingsector als doelwit had geïdentificeerd via een e-mail die was ontvangen door een anoniem gamingbedrijf. In de e-mail verzocht de aanvaller het bedrijf “te controleren op een bug in hun software,” wat als basis diende voor de conclusie van Avast. Het bedrijf geeft ook aan dat meerdere bedrijven in de gamingindustrie een doelwit zijn geweest. Vanwege het bedrijfsbeleid maken ze echter geen namen bekend van de bedrijven. Cyberaanvallen op online casino’s zijn niet uniek voor Zuid-Oost Azië. Ook in Europa en Amerika opererende online casino’s zijn veelvuldig het doelwit van aanvallen. In veel gevallen gaat het om digitaal afpersen waarbij online casino’s losgeld moeten betalen om niet langer aangevallen te worden. De aanvallen vinden op verschillende manieren plaats. Een DDOS-aanval is een veelvoorkomende aanvalstechniek waarbij een server zoveel verkeer te verwerken krijgt, dat die bezwijkt. Als een bedrijf echt gehackt wordt, kunnen bestanden versleuteld worden waardoor een website niet meer kan functioneren. In beide gevallen wordt het doelwit uiteindelijk afgeperst; het moet losgeld betalen om weer te kunnen opereren. Of het bij deze aanval gaat om afpersing of dat er gezocht wordt naar informatie over bedrijven of haar spelers, is niet bekend. Avast doet geen verdere uitspraken over de cyberaanval op de gokbedrijven, het gaat meer in op de specifieke kwetsbaarheden en de codes die deze exploiteren.
Amerikaanse Senaat: organisaties kunnen meer doen tegen ransomware
Organisaties kunnen meer doen om infecties door ransomware te komen, zo stelt een commissie van de Amerikaanse Senaat in een rapport over drie bedrijven die slachtoffer werden van de REvil-ransomware (pdf). Het gaat dan om zaken als het updaten van software, maken van back-ups, gebruik van multifactorauthenticatie en toepassen van netwerksegmentatie. Volgens het Senate Homeland Security and Governmental Affairs Committee laat het rapport de dreiging zien die ransomware voor de Verenigde Staten vormt. "Alle organisaties, ongeacht omvang of complexiteit, zijn kwetsbaar voor ransomware-aanvallen." De commissieleden spraken met drie verschillende organisatie die het slachtoffer van REvil werden. Het eerste bedrijf kon worden geinfecteerd doordat de REvil-groep een bekende kwetsbaarheid in een legacy server van een leverancier gebruikte. Vervolgens stuurden de aanvallers hiervandaan een e-mail naar een medewerker van het eerste bedrijf waarin ze zich voordeden als de leverancier. De medewerker opende de e-mailbijlage waardoor de bedrijfsnetwerken werden versleuteld. Het tweede bedrijf raakte met de REvil-ransomware besmet omdat een medewerker een malafide e-mail opende waarvan hij dacht dat die van de bank afkomstig was. Bedrijf drie kon via een bekende "Microsoft-kwetsbaarheid" worden besmet. Volgens de commissie kunnen organisaties het lastiger voor ransomwaregroepen maken door kwetsbaarheden te patchen, offline back-ups te maken, multifactorauthenticatie te gebruiken en sterke wachtwoorden te verplichten. "Het volgen van deze best practices vergroot de kans dat aanvallers voor minder voorbereide doelwitten kiezen", aldus de aanbeveling.
Cyberaanval op Amerikaanse satelliet is na een maand nog steeds voelbaar. Zeker 2000 Duitse windmolens zijn nog steeds offline
Vorige maand werd de satelliet van het Californische Viasat door hackers offline gehaald. Als gevolg van de aanval werden tienduizenden klanten in Europa en Oekraïne geraakt, waaronder 2000 Duitse windmolens die nog steeds niet hersteld zijn. Meerdere inlichtingendiensten doen onderzoek naar de aanval, maar de ogen zijn uiteraard gericht op Rusland. De satelliet van Viasat raast al sinds 2011 in een baan rond de aarde, terwijl hij particulieren, bedrijven en militaire voorzieningen van internet voorziet. Toen Rusland op 24 februari Oekraïne aanviel, werd de satelliet-verbinding echter verstoord. Een mysterieuze cyberaanval maakte de satelliet onklaar. In de allereerste dagen van de oorlog veroorzaakte de aanval op de satelliet een verlies van cruciale communicatie van het Oekraïense leger, waardoor Rusland al snel als mogelijke dader werd gezien. Veel details van de hack zijn nog niet boven tafel gekomen, maar de gevolgen zijn algemeen voelbaar. Satellieten spelen namelijk een belangrijke rol tijdens de oorlog in Oekraïne. Zo worden ze gebruikt om informatie over Russische troepenbewegingen vast te leggen en zijn ze een essentiële manier om te communiceren. De cyberaanval lijkt een goed voorbeeld te zijn van een zogenaamde “spillover”, waarbij de gevolgen voelbaar zijn voor actoren buiten het doelwit om. Door het offline halen van de satelliet werd namelijk ook de Duitse energiesector geraakt. Bijna een maand na de aanval gaan de verstoringen nog steeds door. Zeker 2000 windmolens van het Duitse Tobi Windenergie Verwaltungs zijn momenteel nog steeds offline. De turbines kunnen gelukkig nog wel draaien, maar ze kunnen niet van afstand gereset worden als er een storing is. Een woordvoerder van het bedrijf schat er een totale capaciteit van 11 gigawatt onbruikbaar was in de eerste uren na de aanval. Ook satelliet-internetproviders in Duitsland, het Verenigd Koninkrijk, Frankrijk en Tsjechië zagen hun diensten offline gaan door de aanval op Viasat. Het EU-agentschap voor cyberbeveiliging zegt op de hoogte te zijn van 27.000 gebruikers die getroffen zijn door de storing. De satellietverbindingen worden vaak gebruikt in gebieden met een lage kabeldekking, zoals in afgelegen gebieden waar windmolens staan. Ook in Oekraïne worden satellietverbindingen veel gebruikt. Naast de huidige militaire toepassing, worden de verbindingen gebruikt voor het volgen van overheidsuitgaven en in 2012 – tijdens de parlementsverkiezingen – om het stemmen te controleren. Geen enkele regering heeft de aanval op de Viasat-satelliet officieel toegeschreven aan Rusland. Echter stellen experts dat de hack in overeenstemming zou zijn met het Russische aanvalsplan. De Amerikaanse National Security Agency (NSA) onderzoekt de hack momenteel. Indien de hack inderdaad aan het Kremlin wordt toegeschreven, zou dat een nieuw licht schijnen op een mogelijke cyberoorlog tussen het Westen en Rusland. Cyberexperts vinden het namelijk opvallend dat het land nog geen grote succesvolle digitale aanvallen heeft kunnen uitvoeren. Mogelijk houdt Rusland zich bewust gedeisd of mist het de digitale slagkracht. Eerder deze week waarschuwde de Amerikaanse president Joe Biden al voor mogelijke Russische aanvallen op de infrastructuur van de VS.
‘Systeem Italiaanse spoorwegen plat door Russische hackers’
De Italiaanse spoorwegen zijn vandaag getroffen door een cyberaanval. Reizigers kunnen al de hele dag geen kaartjes kopen. Volgens Italiaanse media gaat het om Russische hackers. Grote problemen voor de Italiaanse spoorwegen vandaag. Door een cyberaanval zijn alle fysieke verkoopkanalen geblokkeerd. De loketten en zelfbedieningsmachines werken niet meer, als gevolg van een zogenaamde cryptoblokker. Dat is een computervirus dat persoonsgegevens kan blokkeren en stelen uit de databank van getroffen bedrijven. Volgens Italiaanse media zouden de hackers 5 miljoen euro hebben geëist van de Italiaanse spoorwegen, te betalen binnen drie dagen. De spoorwegen beweren dat ze uit voorzorg een deel van de verkoop hebben stilgelegd. Het is onduidelijk wie precies achter de aanval zit, volgens de krant La Republica is de aanval het werk van Russische hackers, andere media houden het op cybercriminelen. Feit is wel dat Italiaanse treinreizigers grote moeite hadden de trein te pakken. Vandaag was het toegestaan om ouderwets een papieren kaartje te kopen bij de conducteur. Vorige week hadden de Italiaanse spoorwegen ook al grote softwareproblemen, het hogesnelheidsnet tussen Florence en Rome lag lange tijd plat. Er ontstonden in het hele land vertragingen die opliepen tot wel vijf uur. De Italiaanse spoorwegen wilden niet zeggen of die problemen ook het gevolg waren van een cyberaanval.
Ransomware versleutelt 100.000 bestanden in gemiddeld 42 minuten
Dagelijks worden organisaties getroffen door ransomware, maar hoelang duurt het voordat systemen zijn versleuteld? Onderzoekers van softwarebedrijf Splunk besloten dit te onderzoeken en lieten honderd ransomware-exemplaren 100.000 bestanden versleutelen. Bij elkaar ging het om 53 gigabyte aan data. Gemiddeld nam dit 42 minuten in beslag. Er zitten echter grote verschillende tussen de verschillende ransomware-exemplaren. Voor het onderzoek werden honderd exemplaren van tien bekende ransomwarefamilies genomen. De snelste ransomware, LockBit, had iets meer dan vier minuten nodig, terwijl de traagste variant ruim 3,5 uur bezig was met het versleutelen van de 100.000 bestanden. De onderzoekers keken ook of betere hardware voor een snellere versleuteling zorgt. Dan blijkt dat meer werkgeheugen niet veel uitmaakt. De processorsnelheid kan wel een impact hebben, maar sommige ransomware-exemplaren zijn niet in staat om van multithreaded processors gebruik te maken. Een snellere harde schijf kan wel een verschil maken, maar waarschijnlijk in combinatie met een ransomware-exemplaar dat meerdere cpu-cores kan gebruiken. Gezien de snelheid waarmee ransomware grote hoeveelheden data kan versleutelen laat dit volgens de onderzoekers zien dat organisaties weinig tijd hebben om in actie te komen voordat de versleuteling is afgerond.
Okta geeft details over inbraak op systeem van support-engineer
Authenticatieprovider Okta heeft meer details gegeven over een beveiligingsincident dat in januari plaatsvond met het systeem van een externe support-engineer. Aanvallers wisten toegang tot het systeem te krijgen en konden zo screenshots van de Okta-omgeving maken. Okta biedt oplossingen voor identity en access management en heeft naar eigen zeggen meer dan 15.000 klanten wereldwijd. Onlangs publiceerde een groep aanvallers die zichzelf Lapsus$ noemt verschillende screenshots die leken te suggereren dat er toegang tot systemen van Okta was verkregen. In een analyse van het incident verklaart Okta dat de aanvallers wisten in te breken op het systeem van een externe support-engineer. Okta maakt gebruik van verschillende externe partijen voor klantondersteuning. Een van deze partijen, Sitel, levert helpdeskmedewerkers. Op 20 januari ontving het Okta-securityteam dat er was geprobeerd om een nieuwe multifactorauthenticatie aan het Okta-account van een Sitel-helpdeskmedewerker toe te voegen. De poging was onsuccesvol. Okta resette het account en waarschuwde Sitel, dat een forensisch bedrijf een onderzoek liet uitvoeren. Hoewel Sitel op 21 januari werd ingelicht ontving Okta het onderzoeksrapport pas op 22 maart. Uit het onderzoek blijkt dat de aanvallers via RDP toegang tot het systeem van de support-engineer hadden gekregen en zo screenshots van de machine konden maken. Volgens Okta hebben support-engineers beperkte toegang en kunnen ze geen gebruikers verwijderen of toevoegen, geen klantendatabases downloaden of broncode bekijken. Door het gecompromitteerde Sitel-account hebben de aanvallers mogelijk toegang tot de Okta-omgevingen van 366 klanten gekregen. Hoe het account van de support-engineer kon worden gecompromitteerd wordt niet vermeld.
Update
Lapsus$ laat in een reactie op de verklaring van Okta weten dat het bedrijf niet de waarheid spreekt. De groep claimt dat ze waren ingelogd op een superuser portal met de mogelijkheid om het wachtwoord en multifactorauthenticatie van 95 procent van de klanten te resetten. Daarnaast zou de gecompromitteerde support-engineer toegang tot 8600 Slack-kanalen hebben.
FBI: gemelde schade door cybercrime vorig jaar 6,9 miljard dollar
Cybercrime heeft vorig jaar voor miljarden dollars schade veroorzaakt, zo stelt de FBI op basis van de meldingen die het Internet Crime Complaint Center (IC3) ontving. Het ging om een bedrag van meer dan 6,9 miljard dollar en bijna 850.000 meldingen die wereldwijd werden gedaan. Een sterke stijging ten opzichte van 2020, toen het gemelde schadebedrag nog 4,2 miljard dollar bedroeg en 792.000 slachtoffers melding maakten. Het grootste deel van de schade, 2,4 miljard dollar, wordt net als voorgaande jaren veroorzaakt door business e-mail compromise (BEC), waaronder ook ceo-fraude valt. Het gaat hierbij om een misdrijf waarbij oplichters slachtoffers zover weten te krijgen om grote bedragen naar de verkeerde rekening over te maken. De FBI ontving zo'n 20.000 klachten van BEC-slachtoffers die voor 2,4 miljard dollar waren gedupeerd. Investeringsfraude volgt met bijna 1,5 miljard dollar op de tweede plek. Vorig jaar was er veel aandacht voor ransomware-aanvallen. Het aantal slachtoffers dat melding maakte bij de FBI bedroeg zo'n 3700 met een schadebedrag van 49 miljoen dollar. De FBI merkt op dat in dit bedrag geen rekening is gehouden met zaken als misgelopen inkomsten en herstelkosten. Daarnaast gaat het hier alleen om meldingen bij het IC3 en niet de schade die slachtoffers direct bij FBI-kantoren of -agenten rapporteerden. De opsporingsdienst stelt dan ook dat het om een kunstmatig laag schadecijfer bij ransomware gaat. De schade door phishing bedroeg vorig jaar 44 miljoen dollar. Het is echter deze vorm van cybercrime die het meest werd gerapporteerd. Bijna 324.000 mensen maakten melding bij het IC3 dat ze slachtoffer van phishing waren geworden. Verder lieten zo'n 52.000 mensen weten dat ze met een persoonlijk datalek te maken hadden gekregen.
Microsoft bevestigt gehackt te zijn door hackgroep Lapsus$
Microsoft heeft maandag bevestigd dat hackers van de Lapsus$-hackgroep bij een hackaanval beperkte toegang hebben gekregen tot een intern account van de techgigant. De hackgroep, die onlangs aanvallen op NVIDIA, Okta en Samsung uitvoerde, maakte maandag bekend dat ze broncode van Microsoft had gestolen bij een aanval. Lapsus$ claimt dat het na het binnendringen in de systemen van Microsoft stukken software heeft gestolen die afkomstig waren uit de Bing-zoekmachine van het bedrijf. Ook code van Bing Maps en Microsoft Cortana, de spraakassistent van Microsoft, zou zijn buitgemaakt. Volgens de Microsoft is de schade beperkt gebleven, doordat het bedrijf de groep al enige tijd in de gaten hield en zodoende kon ingrijpen toen de criminelen de systemen binnendrongen. Lapsus$ is de laatste tijd veel in het nieuws, omdat het onder andere succesvolle aanvallen lijkt te hebben uitgevoerd op NVIDIA, Samsung en Okta, een bedrijf dat authenticatiesoftware maakt. De hackgroep opereert vanuit Zuid-Amerika.
Guardia Civil waarschuwt voor botnet op ASUS-routers
De Guardia Civil waarschuwt via Twitter voor een cyberbeveiligingsdreiging voor degenen die ASUS-routers gebruiken. Dit naar aanleiding van een rapport over een onderzoek door cybersecuritybedrijf TrendMicro.
⚠️#ALERTA❗
— Guardia Civil 🇪🇸 (@guardiacivil) March 18, 2022
Investigadores de TrendMicro han publicado un informe que alerta de las vulnerabilidades de los routers de ASUS y que estarían siendo objetivo de la botnet “Cyclops Blink”. Una botnet es una red de dispositivos infectados con el mismo #malwarehttps://t.co/WFINS3YvVB pic.twitter.com/6tBAT9pUrE
Kremlin verwerpt Amerikaanse waarschuwing voor Russische cyberaanvallen
De Russische regering verwerpt de waarschuwing van de Amerikaanse president Joe Biden dat Rusland cyberaanvallen op bedrijven kan gaan uitvoeren, uit wraak voor de harde westerse sancties vanwege de oorlog in Oekraïne. Volgens het Kremlin laat Rusland zich niet in met "banditisme". Biden zei maandag dat er informatie van de inlichtingendiensten is dat Moskou naar manieren kijkt om cyberaanvallen uit te voeren op Amerikaanse ondernemingen. Hij drong er dan ook bij bedrijven op aan de cyberverdediging onmiddellijk te versterken. Maar volgens Kremlin-woordvoerder Dmitri Peskov is daar geen sprake van. "De Russische federatie, in tegenstelling tot veel westerse landen, doet niet aan banditisme op staatsniveau." Rusland is al vaker beschuldigd van cyberaanvallen op de Verenigde Staten en andere landen, maar dat wordt steevast door Moskou ontkend. Volgens het Witte Huis lopen bedrijven die actief zijn met belangrijke infrastructuur risico doelwit te worden van cyberaanvallen. De Amerikaanse overheid zegt tot dusver nog geen signalen te hebben gezien van grote Russische cyberaanvallen op infrastructuur of overheidsinstellingen.
Diverse bedrijven getroffen door cyberaanval op HubSpot
HubSpot is getroffen door een datalek, meldt het bedrijf op zijn website. Data van zo'n dertig klanten zijn gestolen. Onder meer Circle Internet Financial, BlockFi Lending, Pantera Capital, New York Digital Investments Group (NYDIG) en Swan Bitcoin melden getroffen te zijn. De aanval vond plaats via een gecompromitteerd account van een medewerker van HubSpot. De aanval wordt nog onderzocht. Vooralsnog lijkt het erop dat zo'n dertig klanten van HubSpot zijn getroffen. Deze klanten zijn inmiddels door het bedrijf geïnformeerd. HubSpot spreekt over een gericht incident, waarbij de focus lijkt te liggen op de cryptosector. HubSpot meldt maatregelen te hebben genomen om verdere escalatie te voorkomen. Zo is het gekraakte account geblokkeerd en zijn daarnaast ook bepaalde acties die andere medewerkers in klantaccounts kunnen uitvoeren geblokkeerd. Welke data precies is uitgelekt is niet bekend. HubSpot meldt in een FAQ dat de aanvallers leken te zoeken naar contactgegevens. Het bedrijf meldt getroffen klanten verdere details te hebben verstrekt over de data die is getroffen. HubSpot adviseert klanten van getroffen bedrijven contact op te nemen met deze bedrijven voor verdere informatie over eventuele maatregelen die zij moeten nemen. Meer informatie is hier beschikbaar.
Hackergroep Lapsus$ claimt broncode Bing en Cortana te hebben gestolen
De hackergroep Lapsus$ claimt dat het de broncode van Bing en Cortana in handen heeft. De groep zegt dat het Microsoft heeft gehackt, waarbij de hackers naar eigen zeggen 37GB data hebben buitgemaakt. De data zou van een interne Azure DevOps-server komen bij Microsoft. Lapsus$ maakte zondag bekend dat ze Microsoft hebben gehackt en broncode van onder andere Bing en Cortana in handen hebben gekregen. De groep heeft een deel van de data online gezet en volgens BleepingComputer lijkt in elk geval een deel van de data afkomstig van Microsoft te zijn. Microsoft heeft tegenover BleepingComputer laten weten dat de zaak wordt onderzocht. De data bevat voornamelijk code en documentatie van Bing en Cortana. Daarnaast zouden de gelekte bestanden ook informatie bevatten over andere projecten bij Microsoft, zoals Bing Maps. Naast de broncode hebben de hackers mogelijk ook interne e-mails en documentatie in handen gekregen. Het lijkt voornamelijk om informatie over mobiele en web-apps te gaan. De dataset bevat volgens BleepingComputer geen data van bijvoorbeeld Windows of Microsoft Office. Het is de tweede hack in korte tijd die Lapsus$ wereldkundig maakt. De hackergroep claimde eerder deze week ook dat het Okta zou hebben gehackt. Het authenticatieplatform heeft bevestigd dat het is getroffen door ransomware. De schade kan mogelijk groot zijn, omdat Okta de beveiliging van andere bedrijven verzorgt. Eerder werden Nvidia en Samsung slachtoffer van de hackersgroep. Ook bij deze hacks werd broncode gestolen en online gezet door Lapsus$
Griekse post haalt systemen offline wegens ransomware-aanval
De Griekse post heeft de eigen systemen wegens een ransomware-aanval offline gehaald. Gisteren maakte Hellenic Post bekend dat het vanwege de aanval zich genoodzaakt zag om het gehele datacentrum te isoleren, waardoor de informatiesystemen van alle postkantoren niet meer werkten. Vandaag laat de organisatie weten dat bij de aanval vitale bedrijfssystemen zijn versleuteld. Voor het herstel van het netwerk moeten meer dan 2500 computers één voor één worden gecontroleerd. Het uitschakelen van systemen heeft geen gevolgen voor de postbezorging. Het is echter niet mogelijk om in de postkantoren post te versturen, rekeningen te betalen of van andere financiële diensten gebruik te maken. Wanneer de systemen en voorzieningen zijn hersteld is nog altijd onbekend. De Griekse post vraagt om begrip en zegt het publiek te zullen informeren over de voortgang van het herstel van het probleem.
Deadbolt-ransomware maakt comeback en versleutelt 1100 NAS-systemen
De Deadbolt-ransomware die in januari nog vijfduizend NAS-systemen van fabrikant QNAP infecteerde en aanwezige data voor losgeld versleutelde is terug en heeft de afgelopen dagen elfhonderd NAS-systemen besmet. Dat meldt securitybedrijf Censys op basis van eigen onderzoek. Deadbolt maakte bij de aanvallen van januari gebruik van een bekende kwetsbaarheid in het besturingssysteem van de NAS-systemen. De update voor dit beveiligingslek was op 23 december vorig jaar beschikbaar gemaakt. Op 27 januari besloot QNAP om deze update als "aanbevolen versie" te bestempelen, waardoor die automatisch op NAS-systemen werd geïnstalleerd waar automatisch updaten stond ingeschakeld. Wat Deadbolt volgens Censys uniek maakt is de communicatie met het slachtoffer. In plaats van het gehele systeem te versleutelen, waardoor het niet meer werkt, richt de ransomware zich alleen op specifieke directories en laat een bericht in de webinterface achter met instructies. Vanwege deze aanpak kon Censys het aantal besmette NAS-systemen op het internet achterhalen. Eind januari telde Censys 130.000 QNAP NAS-systemen op internet, waarvan er 5.000 waren besmet. Nadat QNAP de update uitrolde daalde het aantal besmette systemen onder de driehonderd. De afgelopen dagen is er opeens een stijging zichtbaar en telt Censys ruim 1100 geïnfecteerde QNAP-systemen. Net als bij de aanval van januari eisen de aanvallers zo'n 1200 euro voor het ontsleutelen van de data. Het is echter onbekend of bij deze nieuwste aanval van een andere exploit gebruik wordt gemaakt, of dat het hier gaat om ongepatchte NAS-systemen die via de originele exploit besmet zijn geraakt. Op het forum van QNAP zijn nog steeds nieuwe mensen te vinden die melding van versleutelde NAS-systemen maken.
Authenticatiesoftwaremaker Okta gehackt
Okta, een start-up uit San Francisco die authenticatiesoftware maakt voor het beveiligen van applicaties, onderzoekt of het gehackt is. Onder meer Amazon en Apple gebruiken de software van Okta. Een groep hackers die bekend staat als LAPSUS$ plaatste maandagavond afbeeldingen op Telegram, die de interne werkomgeving van Okta lieten zien. In een begeleidend bericht zegt de groep dat het zich 'alleen op Okta-klanten' focust. Waar LAPSUS$ precies op uit is, is niet bekend. Okta onderzoekt of de hackers daadwerkelijk hebben ingebroken in hun systeem, schrijft Reuters dinsdag. Het bedrijf belooft meer informatie te geven, zodra het meer weet. Een hack bij Okta zou grote gevolgen kunnen hebben. Duizenden bedrijven gebruiken hun authenticatiesoftware, waaronder de techbedrijven Amazon en Apple. Verschillende cybersecurityexperts vermoeden dat de screenshots echt zijn. "Er zijn tijdstippen en data zichtbaar in de screenshots. Die geven 21 januari van dit jaar aan, wat suggereert dat ze mogelijk twee maanden lang toegang hebben gehad", schrijft beveiligingsexpert Dan Tentler in een mail aan Reuters.
Amerikanen 'hacken' benzinestations en vullen tank voor schijntje
Vier Amerikanen zijn gearresteerd nadat zij tankstations 'hackten' en voor een schijntje de tank vulden. De politie spreekt van 'geraffineerde fraude' en waarschuwt pomphouders voor vrachtwagens die er opvallend lang over doen om de tank vol te gooien. Zij zouden deel uit kunnen maken van de criminele bende. De mannen werden gearresteerd nadat zij werden gesnapt bij zeker twee tankstations in de Amerikaanse staat Florida, schrijft onder meer The New York Post. Ze waren erin geslaagd de benzineprijs terug te brengen tot slechts enkele centen per liter. De criminelen gebruikten daarvoor een apparaatje dat ze in het vulpistool van het tankstation wisten te plaatsen. Met dat apparaat slaagden ze erin de hoeveelheid benzine die door de slang vloeide te manipuleren. Het leek daardoor net alsof er minder getankt werd dan in werkelijkheid het geval was. In één geval was het apparaatje in het vulpistool zelfs op afstand bestuurbaar. De mannen werkten nauw samen en vulden de tank van een vrachtwagen – of ander groot type voertuig – maar betaalden daar nauwelijks voor. De benzine werd vervolgens duur doorverkocht. De autoriteiten zeggen streng op te treden tegen de fraudeurs en vrezen vergelijkbare incidenten nu de benzineprijs zo snel stijgt. Pomphouders zijn opgeroepen scherp te zijn op de fraude, die lastig is op te sporen. Pas als blijkt dat er méér benzine bij een tankstation is gepompt dan waarvoor is afgerekend, komt het bedrog aan het licht.
Ransomwaregroep lekt privédata geestelijke gezondheidsorganisatie
Een ransomwaregroep die toegang wist te krijgen tot systemen van de Schotse geestelijke gezondheidsorganisatie SAMH heeft buitgemaakte privégegevens op internet gepubliceerd. Het gaat onder andere om foto's van rijbewijzen en paspoorten, e-mailadressen, namen, adresgegevens en telefoonnummers van vrijwilligers en in sommige gevallen wachtwoorden en creditcardgegevens. Bij de aanval op de Scottish Association for Mental Health (SAMH) is volgens de aanvallers 12,5 gigabyte aan data gestolen en vervolgens gepubliceerd. Vorige week meldde de organisatie dat het met een incident te maken had waardoor er geen toegang meer was tot e-mail en er ook problemen met de telefoonlijnen waren. Gisteren maakte SAMH bekend dat het slachtoffer was geworden van een cyberaanval. Details over de aanval, zoals hoe de aanvallers toegang tot systemen konden krijgen, zijn niet gegeven.
Dirty work from #RansomEXX #ransomware group who just added SAMH (Scottish Association for Mental Health) to their victim's list. +12Gb of data leaked@Ransomwaremap @SOSIntel @Cyberknow20 pic.twitter.com/YUf3doqLFQ
— Soufiane Tahiri (@S0ufi4n3) March 21, 2022
Biden waarschuwt bedrijven voor Russische cyberaanvallen
De Amerikaanse president Joe Biden heeft bedrijven in de Verenigde Staten gewaarschuwd voor Russische cyberaanvallen vanwege de westerse sancties tegen Rusland over de oorlog in Oekraïne. Volgens Biden is er informatie van de inlichtingendiensten dat Moskou naar manieren kijkt om cyberaanvallen uit te voeren op Amerikaanse ondernemingen. Biden dringt er dan ook bij bedrijven op aan de cyberverdediging onmiddellijk te versterken. Volgens de president zorgen de harde sancties voor ongekende schade aan de Russische economie. Hij zegt dat de meeste belangrijke infrastructuur in de Verenigde Staten in handen is van private bedrijven en dat zij meer moeten doen om hun "digitale deuren" te sluiten. Volgens Biden behoren cyberaanvallen op infrastructuur tot de middelen van Rusland om terug te slaan in een conflict.
Cyberaanval op Oekraïense ondernemingen met behulp van DoubleZero destructor programma (CERT-UA#4243)
Op 17 maart 2022 ontdekte het overheidsteam dat reageerde op computernoodgevallen in Oekraïne CERT-UA verschillende ZIP-archieven, waarvan er één "Virus ... extreem gevaarlijke !!!. Rits". Elk van de archieven bevat een verduisterd .NET-programma. Als gevolg van de analyse worden de geïdentificeerde programma's geclassificeerd als DoubleZero - een kwaadaardig destructor programma dat is ontwikkeld met behulp van de programmeertaal C #.
Griekse post slachtoffer van cyberaanval
Het Griekse postbedrijf Elta is slachtoffer geworden van een cyberaanval, zo meldt het zelf. Een aantal diensten is tijdelijk niet beschikbaar. Het overheidsbedrijf werd naar eigen zeggen slachtoffer van malware op zijn IT-systemen. Het zou er wel in geslaagd zijn om de impact van de aanval beperkt te houden. Uit voorzorg werden bepaalde systemen stilgelegd, met gevolgen voor de dienstverlening. Er zouden geen persoonsgegevens gelekt zijn.
Werknemers Nvidia gebruikten 'Nvidia' als wachtwoord
Werknemers van hardwarefabrikant Nvidia gebruikten veel zwakke wachtwoorden, waaronder het woord 'nvidia'. Dat schrijft passwordmanagementbedrijf SpecOps naar aanleiding van gelekte wachtwoorden uit een recente hack. Nvidia werd eind februari gehackt door LAPSUS$, een groep die gijzelsoftware verspreidt. De wachtwoorden van minstens 30.000 werknemers lekten kort daarop uit. "Ons onderzoeksteam was in staat om de Nvidia-bestanden te analyseren voor patronen in de wachtwoorden", schrijft SpecOps op zijn site. "Het resultaat toont aan hoe veel zwakke wachtwoorden nog binnen organisaties gebruikt worden." Het meest gebruikte wachtwoord bleek de naam van het bedrijf zelf, 'nvidia'. Ook 'Nvidia3d', 'mynvidia3d' en 'nvda' scoorden hoog, net als 'mellanox', de naam van een dochterbedrijf van Nvidia. Andere veelvoorkomende wachtwoorden waren 'ready2wrk', 'welcome', 'password' en 'qwerty'. De wachtwoorden zijn sinds de hack allemaal aangepast.
Het Duitse gamehostingbedrijf ZAP-Hosting is slachtoffer geworden van meerdere hackpogingen
Dit meldt het bedrijf in een mail aan klanten, die ook in een blog te lezen is. Bij de hacks zijn klantengegevens buitgemaakt en op internet gepubliceerd. Het gaat onder meer om e-mailadressen en gebruikersnamen. Mogelijk zijn ook adresgegevens gelekt. ZAP-Hosting schrijft doelwit te zijn geweest van verschillende “zeer gerichte aanvallen” op interne diensten van de infrastructuur. Deze aanvallen vonden plaats tussen 13 maart en 15 maart 2022. Vanwege snel handelen van het team is de schade voor een groot deel beperkt gebleven, schrijft directeur van ZAP-Hosting Marvin Kluck. Wel heeft het bedrijf als veiligheidsmaatregel delen van de infrastructuur tijdelijk stilgelegd. Bij de hacks zijn klantgegevens buitgemaakt. Waarschijnlijk is er gebruikgemaakt van een databasedumpvan de klantportaal van het bedrijf. Deze bevat gegevens van klanten en is gepubliceerd op het internet. Er zou zijn geprobeerd schade aan te brengen door middel van brute forceen door middel van deze publicatie, aldus ZAP-Hosting. De gestolen dataset dateert van 22 november 2021. Volgens ZAP-Hosting hebben de cybercriminelen de dataset pas op 13/14 maart openbaar gemaakt. Het bedrijf zegt voor die tijd van niets te weten. Het onderzoek naar de datadiefstal is nog gaande. ZAP-Hosting heeft haar excuses aangeboden. Het bedrijf geeft haar klanten een waardebon van twintig euro als compensatie.
FBI waarschuwt voor ransomware-aanvallen op vitale sector via Exchange-lekken
De FBI heeft organisaties in de vitale infrastructuur gewaarschuwd voor aanvallen met de AvosLocker-ransomware waarbij gebruik gemaakt zou worden van bekende kwetsbaarheden in Microsoft Exchange. Volgens de Amerikaanse opsporingsdienst is de ransomware onder andere ingezet tegen financieel dienstverleners, vitale productie en overheidsvoorzieningen. Net als veel andere ransomwaregroepen versleutelt AvosLocker niet alleen bestanden, maar steelt die ook. Wanneer slachtoffers het gevraagde losgeld niet betalen dreigt de groep deze data openbaar te maken. Ook dreigt de groep met het uitvoeren van ddos-aanvallen wanneer er niet wordt betaald. AvosLocker heeft daarbij een voorkeur voor betalingen met cryptovaluta Monero. De groep accepteert ook Bitcoin, maar dit kost slachtoffers 10 tot 25 procent extra. Verder stelt de FBI dat de criminelen achter AvosLocker hun slachtoffers bellen om naar de betaalsite te gaan, om daar te onderhandelen. Meerdere slachtoffers lieten weten dat AvosLocker-onderhandelaars na onderhandelingen een lager losgeldbedrag accepteerden. Verschillende slachtoffers verklaarden aan de FBI dat de aanvallers vermoedelijk zijn binnengekomen via kwetsbaarheden in Microsoft Exchange. Het zou daarbij onder andere gaan om drie kwetsbaarheden die bij elkaar bekendstaan als ProxyShell, alsmede een kritiek beveiligingslek dat begin 2021 werd gebruikt bij zeroday-aanvallen. Voor alle vier de kwetsbaarheden die de FBI in de waarschuwing noemt zijn beveiligingsupdates beschikbaar (pdf).
Russische vleesproducent getroffen met Windows BitLocker-coderingsaanval
De in Moskou gevestigde vleesproducent en distributeur Miratorg Agribusiness Holding heeft te maken gehad met een grote cyberaanval die zijn IT-systemen heeft versleuteld, volgens een rapport van Rosselkhoznadzor - de Russische federale veterinaire en fytosanitaire toezichtsdienst. Volgens het agentschap lijkt de reden achter de aanval sabotage te zijn en niet financieel, aangezien Miratorg een van de grootste en voedselleveranciers van Rusland is.
Antivirusbedrijf ontwikkelt gratis decryptietool voor Diavol-ransomware
Antvirusbedrijf Emsisoft heeft een gratis decryptietool voor de Diavol-ransomware ontwikkeld. Slachtoffers die over een versleuteld bestand en het originele onversleutelde bestand beschikken kunnen zo kosteloos al hun data terugkrijgen. Begin dit jaar kwam de FBI nog met een waarschuwing voor de Diavol-ransomware, die door de groep achter de beruchte Trickbot-malware zou zijn ontwikkeld. Eenmaal actief op een systeem versleutelt Diavol bestanden en eist een losgeldbedrag dat tussen de 10.000 en 500.000 dollar ligt. De aanvallers gaan in overleg met hun slachtoffers en hebben daarbij ook lagere betalingen geaccepteerd, zo laat de FBI weten. Ook is de Amerikaanse opsporingsdienst niet bekend met het lekken van gestolen informatie, ook al dreigen de aanvallers hier wel mee. Emsisoft is er met hulp van onderzoekers in geslaagd om een decryptietool voor de ransomware te ontwikkelen. De software vereist het originele bestand en de versleutelde versie en zal aan de hand hiervan een decryptiesleutel genereren, waarmee alle data is te ontsleutelen. "De encryptiesleutel is 2048 bytes lang en wordt willekeurig gegenereerd, maar de encryptie bestaat uit het XORren van bestanden in delen van 2048. Aangezien de encryptiesleutel voor meerdere bestanden wordt gebruikt en een XOR-operatie is, kunnen we bekende plaintext kwetsbaarheden gebruiken om de bestanden te herstellen", aldus onderzoekers van Walmart Global Tech.
We've released a decryptor for #Diavol #ransomware, which is believed to be associated with the Russia-based #Trickbot Group. Big thanks to @sysopfb and the threat intel team @walmart. #NoMoreRansom 1/3https://t.co/WszUzKw53o
— Emsisoft (@emsisoft) March 18, 2022
Lorenz ransomware rebound: corruptie en onherstelbare bestanden
In juli 2021 kwamen we de Lorenz ransomware tegen. Lorenz is een ransomware-stam die zich richt op organisaties en honderdduizenden dollars aan losgeld eist. In de analyse van Tesorion in 2021 ontdekten we dat de ransomware bugs bevatte en dat het mogelijk was om een decryptor te bouwen. Als gevolg hiervan publiceerden we een gratis decryptor voor Lorenz via het NoMoreRansom-initiatief.
In Belgie waren twee derde van de aanvallen met ransomware afkomstig uit Rusland
Liefst 83 Belgische doelwitten kregen vorig jaar een aanval met ransomware te verduren. In de meeste gevallen zijn de daders Russische criminelen. Dat schrijft De Standaard maandag. De cijfers komen van het Centrum voor Cybersecurity. Aanvallen met ransomware zijn een van de belangrijkste dreigingen omdat ze de volledige werking van het doelwit stil kunnen leggen. “Ongeveer twee derde van de ransomwaregevallen is vermoedelijk het werk van Russische groeperingen”, zegt Miguel De Bruycker, directeur van het CCB. “Door het conflict in Oekraïne volgt onze afdeling Cytris (Cyber Threat Research and Intelligence Sharing, red.) dat met extra aandacht op. De oorlog heeft geleid tot spanningen onder die hackergroepen op het darkweb. Een aantal, zoals Conti, schaart zich openlijk achter het Kremlin. Maar binnen die groepen is er ook verdeeldheid. Sommigen scheuren zich af en lekken de “toolbox” en andere interne informatie van hun compagnons.” Doordat de dreiging toeneemt, breidt ook het CCB uit. De dienst, die onder de kanselarij van de eerste minister valt, telt nu ongeveer vijftig mensen en groeit alvast naar 85 personen. Het plan is om daarna tot 120 te gaan. Daarmee blijft het naar Europese normen een relatief kleine dienst.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 50-2024
Reading in another language
Slachtofferanalyse en Trends van Week 49-2024
Reading in another language
Slachtofferanalyse en Trends van Week 48-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 47-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 46-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 45-2024
Reading in 🇬🇧 or another language
Wekelijks programma Cybercrimeinfo.nl
Dagelijks nieuwe artikelen op Cybercrimeinfo.nl, een overzicht van de actuele aanvallen en wekelijks terugkerende onderwerpen, hier het programma: