Overzicht cyberaanvallen week 32-2022

Gepubliceerd op 15 augustus 2022 om 15:00

Winkelketen Casa slachtoffer van ransomware aanval, Cloudflare meldt diefstal van inloggegevens na phishingaanval op personeel en VS looft 10 miljoen dollar uit voor informatie over Conti-ransomwaregroep. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 6.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes omdat ze weigerden te betalen. Als je betaald wordt er geen data gelekt en kom je niet op deze lijst.. ‘Zo'n 80% van de organisaties betaalt losgeld’ πŸ€”

Update: 15-augustus-2022 | Aantal slachtoffers: 6.084



Week overzicht

Slachtoffer Cybercriminelen Website Land
TriState HVAC Equipment Hive www.tristatehvac.com USA
vsainc.com LockBit vsainc.com USA
qualitymedicalinc.com LockBit qualitymedicalinc.com USA
pinnick.co.uk LockBit pinnick.co.uk UK
Fast Pace Health BlackCat (ALPHV) fastpacehealth.com USA
okcu.edu LockBit okcu.edu USA
whitworth.edu LockBit whitworth.edu USA
Cisco Yanluowang www.cisco.com USA
Gannon Associates Karakurt www.gannonassociates.com USA
8 Italy Districts RansomHouse Unknown Italy
ah-a.de LockBit ah-a.de Germany
ISTA International GmbH Daixin www.ista.com Germany
FOSUN.COM LockBit fosun.com China
valverdehotel.com LV valverdehotel.com Portugal
An Turkey Certified Public Accountancy Firms Cheers Unknown Turkey
Freyr Solutions Quantum www.freyrsolutions.com USA
Artic Building Services BlackCat (ALPHV) www.articbuildingservices.com UK
Borough of Union Beach Onyx www.ubnj.net USA

In samenwerking met DarkTracer


VS looft 10 miljoen dollar uit voor informatie over Conti-ransomwaregroep

De Amerikaanse overheid heeft een beloning van 10 miljoen dollar uitgeloofd voor informatie over leden achter de Conti-ransomwaregroep. Eerder dit jaar stelden de Amerikaanse autoriteiten dat meer dan duizend organisaties wereldwijd zijn aangevallen met de Conti-ransomware. Voor de eerste keer is er nu een foto van een vermeend Conti-groepslid openbaar gemaakt. Volgens de FBI hanteert Conti een ransomware-as-a-service (RaaS)-model, maar is er wel een verschil met andere groepen. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. In het geval van de Conti-groep betalen de ontwikkelaars de criminelen die de ransomware verspreiden geen percentage maar een loon. Om toegang tot de netwerken van hun slachtoffers te verkrijgen maken aanvallers gebruik van algemeen bekende methodes zoals het gebruik van spearphishing met Microsoft Office-documenten en malafide links, gestolen RDP-inloggegevens. Daarnaast worden slachtoffers ook gebeld, gebruiken de aanvallers malafide software die via zoekmachineresultaten wordt verspreid en andere malware die al op het systeem aanwezig is. Volgens de Amerikaanse diensten wordt bij Conti-aanvallen vooral gebruikgemaakt van de Trickbot-malware. De Amerikaanse overheid looft vaker hoge beloningen uit voor informatie over cybercrimegroepen. Zo werd er laatst nog 10 miljoen dollar uitgeloofd voor informatie over de Lazarus-groep. Nu wordt er informatie gezocht over leden van de Conti-groep. Tips kunnen ook via de Tor-site van het Amerikaanse ministerie van Buitenlandse Zaken worden gerapporteerd.

Conti Ransomwarebende
Afbeelding – 258,1 KB 213 downloads

Nieuwe FileRec ransomware


Deense supermarkten 7-Eleven sloten deuren wegens ransomware-aanval

De Deense supermarkten van keten 7-Eleven moesten eerder deze week wegens een ransomware-aanval de deuren sluiten, zo heeft ceo Jesper Ostergaard tegenover DR bekendgemaakt. Eerder werd er nog gesproken over een cyberaanval. Vanwege de aanval waren kassasystemen niet meer door personeel te gebruiken en konden klanten niet meer afrekenen. Ostergaard bevestigt dat de aanvallers systemen met ransomware wisten te infecteren, waardoor alles "op zwart" ging. Het bedrijf heeft, op basis van extern advies, niet met de aanvallers gecommuniceerd en besloot alle systemen zelf opnieuw te installeren. Dankzij de beschikbaarheid van back-ups waren gisteren 169 van de winkels weer open.


Ista International haalt systemen offline na ransomware-aanval; Daixin Team claimt duizenden versleutelde servers

Ista International GmbH is een multinationale onderneming die gegevens en processen beheert die gebouwen klimaatvriendelijk, veilig en comfortabel maken. Zoals ze zichzelf omschrijven: We zien de toekomst van ons succes in het Internet of Things (IoT). Zeer binnenkort zullen miljarden apparaten rechtstreeks met elkaar praten. Deze communicatie zal grotendeels plaatsvinden in en rond gebouwen. Met onze digitale infrastructuur zijn we uitstekend gepositioneerd om eigenaren en bewoners van onroerend goed te ondersteunen met slimme en intelligente oplossingen. Vandaag hebben we al 400.000 gateways in gebruik voor onze klanten die meer dan 25 miljoen verbonden apparaten met elkaar verbinden.

Beste ista-klanten,
Momenteel is het IT-systeem van ista het slachtoffer van een externe cyberaanval. Als onmiddellijke maatregel en om schade aan onze IT-infrastructuur te helpen voorkomen, zijn alle mogelijk getroffen IT-systemen van het bedrijf offline gehaald. Hierdoor zult u tijdelijk beperkt of niet in staat zijn om gebruik te maken van bepaalde functies en diensten. Het spijt ons zeer voor het ongemak dat dit voor u kan veroorzaken en vragen om uw geduld terwijl we proberen het probleem op te lossen. We hebben de Rijksdienst voor Gegevensbescherming op de hoogte gebracht en aangifte gedaan bij de politie. Een gespecialiseerd team van interne en externe experts doet momenteel een grondig onderzoek naar het incident en werkt op volle toeren om de storing zo snel mogelijk te verhelpen. Dit kan echter enige tijd duren.


Duizend Zimbra-mailservers bij grootschalige aanval voorzien van backdoor

Aanvallers zijn erin geslaagd om bij een grootschalige aanval meer dan duizend Zimbra-mailservers van een backdoor te voorzien. Dat stelt securitybedrijf Volexity, dat begin vorig jaar ook een grote aanval op Exchange-servers ontdekte. De getroffen Zimbra-mailservers zijn onder andere van overheden, ministeries, legeronderdelen en multinationals. Begin dit jaar kwam Zimbra met een beveiligingsupdate voor een path traversal-kwetsbaarheid (CVE-2022-27925). Via een malafide zip-bestand is het mogelijk om willekeurige bestanden op het systeem te overschrijven. In eerste instantie werd gemeld dat het beveiligingslek alleen is te misbruiken wanneer aanvallers over de inloggegevens van de beheerder beschikken. Volexity ontdekte bij onderzoek naar gecompromitteerde servers dat de kwetsbaarheid echter ook door een ongeauthenticeerde aanvaller is te misbruiken, wat de kans op misbruik vele malen groter maakt. Verder onderzoek wees uit dat aanvallers op grote schaal misbruik maakten van het lek om webshells op kwetsbare servers te installeren. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren. Volgens Volexity maakten eerst op spionage gerichte aanvallers misbruik van de kwetsbaarheid, maar hebben inmiddels ook andere actoren zich hierop gestort. Zimbra kwam eind juli met een update voor het lek (CVE-2022-37042) dat het mogelijk maakt om de authenticatie te omzeilen. De Zimbra-software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt.


Cybercrimineel gebruikt nieuwe RAT-malware in Cuba Ransomware-aanvallen

Een lid van de Cuba ransomware-operatie maakt gebruik van voorheen ongeziene tactieken, technieken en procedures (TTP's), waaronder een nieuwe RAT (remote access trojan) en een nieuwe lokale privilege escalation tool. De cybercrimineel werd door onderzoekers van Palo Alto Networks Unit 42 'Tropical Scorpius' genoemd en is waarschijnlijk een filiaal van de Cuba ransomware-operatie. Cuba ransomware onderging een kleine vernieuwing in Q1 2022, met behulp van een bijgewerkte encryptor met meer genuanceerde opties en het toevoegen van quTox voor live slachtofferhulp. Tropical Scorpius markeert echter een verschuiving naar nieuwe tactieken, waardoor de Cuba-operatie potentieel gevaarlijker en opdringeriger wordt. Volgens Unit 42 hebben de hackers een exploitatiestrategie geïmplementeerd die lijkt te zijn geïnspireerd door een gedetailleerd artikel van beveiligingsonderzoeker Sergey Kornienko.


Door ransomware geraakte tandartsketen heropent vandaag eerste praktijken

De door ransomware geraakte tandartsketen Colosseum Dental Benelux heropent vandaag de eerste praktijken. De keten, die honderdtwintig praktijken in Nederland telt, werd vorige week getroffen door een ransomware-aanval en zou naar verluidt meer dan twee miljoen euro losgeld hebben betaald voor het ontsleutelen van data en voorkomen dat gestolen gegevens online werden gepubliceerd. "Het herstel van onze systemen verloopt voorspoedig, waardoor onze eerste praktijken morgenochtend worden geopend", aldus Colosseum Dental in een gisteren gepubliceerde update over het incident. "Naar onze huidige inzichten beschikken wij over al onze gegevens en werken met heel ons team aan het veilige herstel van onze systemen, zodat we zo spoedig mogelijk weer al onze patiënten kunnen voorzien van mondzorg en de veiligheid van hun data kunnen borgen", zo laat de tandartsketen verder weten. Of er inderdaad een losgeldbedrag van twee miljoen euro is betaald wil het bedrijf niet zeggen.


Automotive leverancier gehackt door 3 ransomware bendes in 2 weken

Van een leverancier in de auto-industrie zijn de systemen gehackt en bestanden versleuteld door drie verschillende ransomware-bendes gedurende twee weken in mei, twee van de aanvallen vonden plaats binnen slechts twee uur. De aanvallen volgden op een eerste inbreuk op de systemen van het bedrijf door een waarschijnlijke initial access broker (IAB) in december 2021, die een verkeerde configuratie van de firewall misbruikte om de domeincontrollerserver te doorbreken met behulp van een Remote Desktop Protocol (RDP) -verbinding. Hoewel dubbele ransomware-aanvallen steeds vaker voorkomen, "is dit het eerste incident dat we hebben gezien waarbij drie afzonderlijke ransomware-actoren hetzelfde toegangspunt gebruikten om een enkele organisatie aan te vallen", aldus Sophos X-Ops-incidentresponders in een rapport dat woensdag is gepubliceerd.


Cisco eerder dit jaar getroffen door aanval van ransomwaregroep

Cisco is eerder dit jaar getroffen door een aanval van een ransomwaregroep, waarbij de aanvallers toegang kregen tot systemen van de netwerkgigant, zo heeft het bedrijf zelf bekendgemaakt. Bij de aanval zijn geen gegevens versleuteld, maar wel gestolen. De aanval werd eind mei door Cisco ontdekt maar is nu pas naar buiten gebracht. De aanvaller wist via het persoonlijke Google-account van een Cisco-medewerker toegang tot het Cisco-vpn te krijgen. Deze medewerker had wachtwoordsynchronisatie via Google Chrome ingesteld en zijn Cisco-inloggegevens in de browser opgeslagen. Daardoor werden deze gegevens met het Google-account gesynchroniseerd. Hoe het account van de medewerker kon worden gecompromitteerd laat Cisco niet weten. Nadat de aanvaller erin was geslaagd om de inloggegevens te bemachtigen gebruikte de aanvaller verschillende methodes om de tweefactorauthenticatie van Cisco te omzeilen, waaronder telefonische phishing en “MFA fatigue”, waarbij een doelwit wordt bestookt met pushnotificaties om de inlogpogingen van de aanvaller goed te keuren.

Nadat de aanvaller toegang had verkregen wisten ze verschillende eigen systemen voor tweefactorauthenticatie aan te melden en konden zo toegang tot het Cisco-van te krijgen. De aanvaller wist vervolgens adminrechten te krijgen, waardoor hij op meerdere Cisco-systemen kond inloggen. Dit veroorzaakte een waarschuwing waarop Cisco een onderzoek startte. De aanvaller bleek meerdere tools te gebruiken, waaronder LogMeIn en TeamViewer, en tools zoals Cobalt Strike, PowerSploit, Mimikatz en Impacket. Ook voegde de aanvaller zijn eigen backdoor-accounts toe. De aanvaller probeerde vervolgens data te stelen. Dat is volgens Cisco beperkt tot alleen een "Box folder" van de in eerste instantie gecompromitteerde medewerker. Er is geen ransomware uitgerold, zo laat het netwerkbedrijf verder weten. De aanval zou door de Yanluowang-ransomwaregroep zijn uitgevoerd. Naar aanleiding van de aanval heeft Cisco in een blogposting allerlei technische details gedeeld en in mei van alle medewerkers het wachtwoord gereset.


'Tandartsen keten betaalde ruim 2 miljoen euro losgeld aan hackers'

Tandartsen organisatie Colosseum Dental, met de hoofdvestiging in Oosterhout, zou ruim twee miljoen euro aan losgeld hebben betaald om een eind te maken aan een cyberaanval. Dat meldt de Volkskrant. Het bedrijf zelf wil dat niet bevestigen, meldt de krant. Eerder maakte het bedrijf wel bekend geld te hebben betaald aan criminelen om weer toegang te krijgen tot de systemen. Volgens de Volkskrant dreigden hackers onder meer gevoelige data van klanten openbaar te maken. Vaak gaat het dan om persoonsgegevens, zoals adressen en bankgegevens. Om wat voor data het precies gaat wil het bedrijf echter niet bevestigen. Eerder was bekend geworden dat het bedrijf de digitale veiligheidsbreuk heeft gemeld bij de Autoriteit Persoonsgegevens. Het bedrijf zou door een gebrek aan back-up servers geen andere uitweg meer hebben gezien. Eind vorige week werd bekend dat de praktijken van Colosseum Dental Nederland waren getroffen door een hack. Het ging om zogenoemde ransomware: software die de systemen van een bedrijf gijzelt en pas vrijgeeft tegen betaling, vaak met cryptovaluta. In de hele Benelux telt Colosseum Dental meer dan honderd vestigingen, waarvan 38 in Brabant. Het bedrijf liet maandag weten dat er contact was gelegd met de cyberaanvallers en dat er afspraken zijn gemaakt over teruggave en veiligheid van gegevens. Er werden externe specialisten in de arm zijn genomen om de gevolgen van de cyberaanval zo snel mogelijk te pareren. Ook werd besloten om aangifte te doen. Eerder was bekend geworden dat het bedrijf de digitale veiligheidsbreuk direct heeft gemeld bij de Autoriteit Persoonsgegevens. "De zorg voor onze patiënten heeft onze allerhoogste prioriteit en was aanleiding voor Colosseum Dental om contact te leggen met de cyberaanvallers en afspraken te maken over teruggave en veiligheid van onze data. Alleen op deze manier konden wij op deze korte termijn het risico voor alle betrokkenen minimaliseren en de praktijkvoering relatief snel weer herstellen", zo stelde Colosseum Dental in een reactie op de eigen website. Verdere details over de aanval wil het bedrijf niet geven, behalve dat alle gegevens weer terug lijken te zijn. De aanval zou zijn uitgevoerd met de LV-ransomware, die eerder ook tegen de Duitse halfgeleiderfabrikant Semikron zou zijn ingezet. Deze ransomware is volgens onderzoekers een aangepaste versie van de beruchte REvil-ransomware.


Cloudflare meldt diefstal van inloggegevens na phishingaanval op personeel

Aanvallers zijn er via een phishingaanval in geslaagd om gebruikersnamen en wachtwoorden van medewerkers van Cloudflare te stelen en probeerden hiermee vervolgens op systemen van het internetbedrijf in te loggen. Doordat Cloudflare het gebruik van een fysieke beveiligingssleutel voor alle medewerkers als tweefactorauthenticatie vereist kregen de aanvallers geen toegang, zo laat het bedrijf in een blogposting weten. Vermoedelijk is de aanval uitgevoerd door dezelfde aanvallers die eerder via een succesvolle phishingaanval wisten in te breken op interne systemen van cloud communicatie platform Twilio. Net als bij de aanval op Twilio werd er bij de aanval op Cloudflare gebruikgemaakt van sms-berichten (smishing). De berichten linkten naar een phishingsite. Drie medewerkers van Cloudflare vulden daar hun inloggegevens in. Met de verkregen gegevens werd geprobeerd om op systemen va Cloudflare in te loggen. Aangezien de aanvallers niet over de vereiste fysieke beveiligingssleutel beschikten kregen ze geen toegang, aldus Cloudflare. De phishingwebsite in kwestie was niet alleen opgezet om inloggegevens van personeel te stelen, maar probeerde ook de remote administration software AnyDesk geïnstalleerd te krijgen. Daarmee hadden de aanvallers systemen van de betreffende medewerkers op afstand kunnen overnemen, maar dat is niet het geval geweest, zo laat Cloudflare verder weten. Naar aanleiding van het incident heeft Cloudflare onder andere de wachtwoorden van getroffen medewerkers gereset en de infrastructuur van de aanvallers samen met hostingprovider Digital Ocean offline gehaald. Verder laat de aanval volgens het internetbedrijf zien hoe belangrijk het gebruik van fysieke beveiligingssleutels is. Cloudflare claimt dat er sinds de invoering van dergelijke sleutels geen enkele succesvolle phishingaanval heeft plaatsgevonden.


VS waarschuwt voor actief aangevallen kwetsbaarheid in UnRAR

De Amerikaanse overheid waarschuwt federale overheidsinstanties in het land voor een actief aangevallen beveiligingslek in archiveringssoftware UnRAR. Een path traversal-kwetsbaarheid in UnRar maakt het mogelijk voor een aanvaller om door middel van een malafide RAR-bestand bestanden naar locaties te schrijven waar dat niet de bedoeling is. In juni demonstreerden onderzoekers hoe het beveiligingslek is te gebruiken om Zimbra-mailservers over te nemen. Destijds werd er nog geen misbruik van de kwetsbaarheid gemaakt. Dat is nu wel het geval, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Details over de aanvallen zijn niet gegeven. Wel is een exploit om het beveiligingslek te kunnen misbruiken toegevoegd aan Metasploit, een opensourceframework voor het testen van de beveiliging van systemen en netwerken en is erg geliefd bij penetratietesters en securityprofessionals. Federale overheidsinstanties die van UnRAR gebruikmaken zijn opgedragen om de kwetsbaarheid voor 30 augustus te patchen. Het probleem is in UnRAR 6.12 (opensourceversie 6.1.7) en nieuwer verholpen.


Cyberaanval treft website van het Finse parlement

De website van het Finse parlement is dinsdag ten prooi gevallen aan cybercriminelen. Dat heeft het parlement zelf bekendgemaakt. Het ging om een “denial-of-service-aanval”, zo klonk het. Rond 14.30 uur Finse tijd werd de toegang tot de site vertraagd of zelfs volledig platgelegd. Enkele uren na de aanval, was er nog steeds geen officiële informatie over de aanval en over vermoedelijke daders. Eind juli werd het Finse persagentschap STT al het slachtoffer van een grote cyberaanval, waardoor het meerdere dagen geen artikels of foto’s kon publiceren. Maar ook eerder, in april, richtten cybercriminelen zich op de sites van het Finse ministerie van Defensie en van de Finse regering. De Finse veiligheids- en inlichtingendienst (SUPO) waarschuwde in mei al dat Rusland “bereid zou zijn” om de Finse NAVO-aanvraagprocedure te beïnvloeden en dat het “verschillende pogingen” daartoe verwachtte.


E-mailmarketeer Klaviyo meldt diefstal crypto-mailinglists na phishingaanval

Een aanvaller is er via een phishingaanval in geslaagd om in te breken op interne systemen van e-mailmarketingbedrijf Klaviyo en kon zo mailinglists van crypto-gerelateerde klanten stelen. Dat heeft het bedrijf aangekondigd. Klaviyo biedt klanten oplossingen voor het versturen van marketingberichten via e-mail en sms. Het beschikt zodoende over mailinglists van allerlei partijen. Een medewerker van Klaviyo trapte in een phishingaanval waardoor inloggegevens in handen van de aanvaller kwamen. Die kon zo inloggen op interne supporttools van de e-mailmarketeer. Via de interne systemen van het bedrijf zocht de aanvaller met name naar crypto-gerelateerde klantaccounts. Voor zover nu bekend zijn mailinglists van 44 klantaccounts bekeken en van 38 accounts ook daadwerkelijk gedownload. De gedownloade informatie bestaat uit namen, e-mailadressen, telefoonnummers en accountspecifieke profielinformatie. Klaviyo heeft alle getroffen klanten gewaarschuwd. Verder wist de aanvaller ook interne lijsten van Klaviyo zelf te downloaden die het bedrijf gebruikt voor product- en marketingupdates. Het gaat om namen, adresgegevens, e-mailadressen en telefoonnummers. Klaviyo verwacht dat aanvallers de gestolen informatie voor phishingaanvallen zullen gebruiken.


Winkelketen Casa slachtoffer van ransomware aanval

De winkelketen Casa is op 1 augustus het slachtoffer geworden van een ransomware aanval. Dat melden ze in een bericht aan klanten. Door de aanval zouden bepaalde persoonsgegevens van klanten gelekt zijn. “Op 1 augustus is Casa slachtoffer geworden van een ransomware aanval door een hackersgroep. Dit werd door onze beveiligingssystemen op korte termijn opgepikt. Deze konden niet voorkomen dat onze IT-systemen werden versleuteld en bepaalde persoonsdata zijn gelekt”, klinkt het in een bericht dat Casa aan hun klanten stuurt. Door de aanval zijn mogelijk gegevens zoals namen, adressen, e-mailadressen en telefoonnummers van klanten gelekt. Casa waarschuwt klanten er dan ook voor dat zij nu mogelijk het slachtoffer kunnen worden van phishing bijvoorbeeld. Bank- en betaalgegevens zouden niet gelekt zijn, omdat Casa die niet zelf verwerkt, maar werkt met een externe provider. Na de aanval heeft Casa een crisisteam geactiveerd en staan ze in contact met de nodige instanties. Ook dienden ze een klacht in tegen onbekenden.


7-Eleven Denemarken sluit winkels vanwege cyberaanval

Deense vestigingen van 7-Eleven sluiten de deuren vanwege een cyberaanval die het landelijke kassasystemen verstoort. De aanval vond op de ochtend van maandag 8 augustus plaats. “We vermoeden dat we zijn blootgesteld aan een cyberaanval”, liet de winkelketen op Facebook weten. 7-Eleven is een Amerikaanse multinational met meerdere vestigingen in Denemarken“Dit betekent dat we geen gebruik kunnen maken van kassa’s en/of betalingen kunnen ontvangen”, vervolgde de organisatie. “We houden de winkels gesloten totdat we meer over de omvang van de aanval weten. We hopen natuurlijk dat we de winkels binnenkort weer kunnen openen.”


Cyberaanval raakt Twilio, klantgegevens in gevaar

Cybercriminelen kregen toegang tot de klantgegevens van Twilio door medewerkers te misleiden. Dat bevestigt de organisatie in een verklaring. Twilio ontwikkelt communicatie- en securitysoftware. De organisatie werkt voor meer dan 150.000 klanten, waaronder Facebook en Uber. Twilio laat in een recente blogpost weten dat cybercriminelen toegang hebben gekregen tot de gegevens van “een beperkt aantal klanten”. De cybercriminelen braken in met de inloggegevens van medewerkers. De gegevens werden gestolen door middel van phishing (smishing). Medewerkers ontvingen onlangs sms-berichten van afzenders die zich voordeden als IT-personeel van Twilio. De cybercriminelen beweerden dat de wachtwoorden van medewerkers waren verlopen. Medewerkers werden verzocht om in te loggen op een kwaadaardige website. De cybercriminelen logden de inloggegevens en kregen toegang tot interne systemen. Twilio bevestigde niet of en hoeveel gegevens de cybercriminelen stalen. Ook de identiteit van de aanvallers is onbekend. Twilio werkt samen met providers en operators om de berichten en websites te stoppen. De aanvallers blijven online door continu tussen providers en operators te wisselen. “Vanwege deze factoren geloven we dat de aanvallers georganiseerd, geavanceerd en methodisch te werk gaan”, verklaart Twilio.


Organisaties succesvol aangevallen via vijf jaar oud Office-lek

Tientallen organisaties zijn het slachtoffer van een aanval geworden waarbij aanvallers wisten binnen te dringen omdat een beveiligingsupdate voor een vijf jaar oude kwetsbaarheid in Microsoft Office niet was geïnstalleerd en gebruikers een malafide document openden, zo stelt antivirusbedrijf Kaspersky. De aanvallen waren gericht tegen fabrieken, defensiebedrijven, ontwerpbureaus, onderzoeksinstellingen, overheidsinstanties en ministeries in Belarus, Oekraïne en Rusland. Volgens Kaspersky wisten de aanvallers bij tientallen bedrijven binnen te dringen en van een aantal de compelte it-infrastructuur over te nemen. De aanvallers maakten gebruik van spearphishingmails, voorzien van niet-publieke informatie over de aangevallen organisatie. Dit houdt in dat de aanvallers mogelijk bij eerdere aanvallen informatie hebben bemachtigd. De spearphishingmails waren voorzien van een document met een exploit voor een vijf jaar oude kwetsbaarheid in Microsoft Office. Zodra gebruikers met een kwetsbare Office-installatie het document openden konden de aanvallers malware op het systeem installeren. Vervolgens werd geprobeerd om zich lateraal door het netwerk te bewegen en domaincontroller te worden. Voor het beveiligingslek in Office (CVE-2017-11882) is sinds 14 november 2017 een update beschikbaar. Waarom organisaties de update niet hadden geïnstalleerd is niet bekend. Volgens Kaspersky zijn de aanvallen zeer waarschijnlijk door een Chineestalige spionagegroep uitgevoerd. De virusbestrijder adviseert organisaties onder andere om personeel te trainen, met name op het herkennen van phishingmails en veilig omgaan met Microsoft Office.


Maui ransomware operatie gelinkt aan Noord-Koreaanse 'Andariel' hackers

De Maui ransomware-operatie is gekoppeld aan de door de Noord-Koreaanse staat gesponsorde hackgroep 'Andariel', bekend om het gebruik van kwaadaardige cyberactiviteiten om inkomsten te genereren en onenigheid te veroorzaken in Zuid-Korea. Door de staat gesponsorde Noord-Koreaanse hackers zijn berucht om het orkestreren van campagnes met financiële motieven, dus het uitvoeren van hun eigen ransomware-operatie komt overeen met hun algemene strategische doelen. De link tussen Maui en Andariel werd gelegd door onderzoekers van Kaspersky. Andariel is in het recente verleden in verband gebracht met ransomware-aanvallen, gericht op Zuid-Koreaanse bedrijven in media, bouw, productie en netwerkdiensten.


Bedrijf Henny de Haas 'balanceerde op rand van de afgrond' na cyberaanval

Het is de nachtmerrie voor elke ondernemer: je bedrijf aangevallen zien worden door hackers. Het overkwam Henny de Haas van het bedrijf Hoppenbrouwers Techniek vorig jaar zomer. Zijn bedrijf balanceerde in de uren daarna 'aan de rand van de afgrond'. Met de hulp van talloze medewerkers en een speciaal cyberteam konden de aanvallers teruggedrongen worden. Maar een jaar later laat de aanval De Haas nog niet los. Hij wil andere ondernemers waarschuwen en schreef onlangs een brief naar minister Yesilgöz met als titel: Minister, red ondernemers van cybercriminelen!


Losgeld betaald aan hackers na grote cyberaanval tandartspraktijken, maar duizenden patiënten nog steeds de dupe

Tandartsbedrijf Colosseum Dental, waar in Nederland 120 tandartsenpraktijken bij zijn aangesloten, heeft losgeld betaald aan internetcriminelen. Vorige week werd het tandartsbedrijf getroffen door een ransomware-aanval, waarbij computerbestanden versleuteld werden. De tandartspraktijken zijn dicht sinds afgelopen donderdag. Patiënten konden niet geholpen worden omdat hun dossiers door de aanval niet beschikbaar waren. Een bron wist aan techwebsite Tweakers te melden dat backups verwijderd waren en dat de internetcriminelen dreigden om patiëntgegevens openbaar te maken. Het losgeld dat de aanvallers eisten, is door het tandartsbedrijf betaald. "Alleen op deze manier konden wij op deze korte termijn het risico voor alle betrokkenen minimaliseren en de praktijkvoering relatief snel weer herstellen", schrijft het bedrijf op zijn eigen website. De tandartsen zeggen niet hoeveel geld ze hebben overgemaakt.


Nieuwe World2022 ransomware


Noodnummer Britse zorg valt wegens cyberaanval terug op pen en papier

Het noodnummer van de Britse gezondheidszorg 111 moest vorige week terugvallen op pen en papier nadat serviceprovider Advanced het doelwit van een cyberaanval werd. De landelijke telefoondienst voorziet mensen onder andere van medisch advies, helpt bij herhaalrecepten en laat weten hoe een noodvoorraad van voorgeschreven medicijnen zijn te verkrijgen. Het systeem wordt ook gebruikt voor het sturen van ambulances naar patiënten en het maken van afspraken voor spoedgevallen en huisartszorg buiten kantooruren. Daarnaast verzorgt Advanced ook anderen systemen voor zorginstellingen, waaronder elektronische patiëntendossiersoftware waar meer dan veertigduizend artsen gebruik van maken. onbereikbaar moest zorgpersoneel op pen en papier terugvallen. In eerste instantie werd gesproken over een storing, maar later verklaard het bedrijf tegenover de BBC dat het om een cyberaanval ging. Verdere details over de aanval zijn niet gegeven. Naar verwachting zullen de ontstane problemen tot in ieder geval morgen aanhouden.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


Oktober 2024

Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »
September 2024
Augustus 2024