Overzicht cyberaanvallen week 40-2022

Gepubliceerd op 10 oktober 2022 om 15:00

First click here and then choose your language with the Google translate bar at the top of this page ↑


Persoonsgegevens gestolen bij cyberaanval op online dierenwinkel Zooplus, bank is slachtoffer van ransomware en betaalt $1 miljoen en Hack van 568 miljoen dollar bij cryptobeurs Binance. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 6.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes omdat ze weigerden te betalen. Als je betaald wordt er geen data gelekt en kom je niet op deze lijst.. ‘Zo'n 80% van de organisaties betaalt losgeld’ 🤔


LAATSTE WIJZIGING: 10-oktober-2022 | Aantal slachtoffers: 6.400



Week overzicht

Slachtoffer Cybercriminelen Website Land
securityalliancegroup.com LockBit securityalliancegroup.com USA
dragages-ports.fr LockBit dragages-ports.fr France
alliedusa.com LockBit alliedusa.com USA
cedemo.com LockBit cedemo.com Monaco
buydps.com LockBit buydps.com USA
Município De Loures Hive www.cm-loures.pt Portugal
Home Dynamix BlackCat (ALPHV) www.homedynamix.com USA
Deutsche Saatveredelung AG BlackCat (ALPHV) www.dsv-saaten.de Germany
Notos Com BlackCat (ALPHV) In progress In progress
Electricity company Everest In progress South Africa
Bevolution Group Karakurt bevolutiongroup.com USA
SPERONI S.P.A Everest speronispa.com Italy
Circles of Care BlackCat (ALPHV) www.circlesofcare.org USA
Clarion Communication Management Ltd BlackCat (ALPHV) clarioncomms.com UK
Knoll BlackCat (ALPHV) www.knoll.com USA
Pinnacle Incorporated BlackCat (ALPHV) www.pinnacle.co.nz New Zealand
MERCOLA Black Basta www.mercola.com USA
ScinoPharm Taiwan Qilin scinopharm.com Taiwan
Robert Bernard Qilin robertbernard.com Canada
Contempo Card Qilin contempocard.com USA
Lojas Torra Qilin lojastorra.com.br Brazil
EMTELCO Qilin www.emtelco.com.co Colombia
Dialog Information Technology Qilin dialog.com.au Australia
Rundle Eye Care Everest Unknown USA
MARCELSOLUTION.COM CL0P marcelsolution.com Dominican Republic
OPPLE Lighting Snatch www.opple.com China
Empower Insurance Snatch www.empowerins.com USA
Unicity Snatch www.unicity.com USA
Oil India Limited Snatch www.oil-india.com India
Avalon luxury transport Ragnar_Locker avalonluxurytransport.com USA
Willemen Group Black Basta www.willemen.be Belgium
apunipima.org.au LockBit apunipima.org.au Australia
National Stores Inc. Karakurt www.fallasstores.net USA
Batesville Products  Karakurt batesvilleproducts.com USA
APSM Systems Karakurt apsmsystems.com USA
Peter Duffy Ltd BianLian www.peterduffyltd.com UK
Sunflower Farms Distributors, Inc BianLian www.isunflower.com USA
Aarti Drugs Ltd BianLian www.aartidrugs.co.in India
Berg Kaprow Lewis BianLian www.bkl.co.uk UK
Feldman, Holtzman & Company, LLC BianLian www.fhccpa.com USA
Läderach BianLian laderach.com Switzerland
Seanic Ocean Systems BianLian www.seanicusa.com USA
Bartelt BianLian www.bartelt.at Austria
Gate Precast Black Basta gateprecast.com USA
The UNITED GRINDING Group Black Basta www.grinding.ch Switzerland
Grupo Jaime Camara Vice Society www.gjccorp.com.br Brazil
ALVAC SA AvosLocker alvac.es Spain
AudioQuest Ragnar_Locker www.audioquest.com USA
Malayan Flour Mills Bhd. Ragnar_Locker www.mfm.com.my Malaysia

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land
Willemen Group Black Basta www.willemen.be Belgium

In samenwerking met DarkTracer

Top 3 cybercrime groepen met de meeste slachtoffers

Groepering Aantal slachtoffers
1 LockBit 1162 Nog actief
2 Conti 674 Niet meer actief
3 REvil 246 Niet meer actief

Cyberaanval legt informatiesystemen van zorgcentra Barcelona plat

Het computersysteem van drie ziekenhuizen in Barcelona heeft platgelegen na een cyberaanval met ransomware. De aanval was op vrijdagnacht gepleegd en zaterdagavond was het systeem nog steeds niet operatief. Het gaat om de informatiesystemen van alle diensten van het Consorci Sanitari Integral (CSI), waaronder meerdere gezondheidscentra, verpleeghuizen en ziekenhuizen vallen. Hieronder drie ziekenhuizen in het grootstedelijk gebied van Barcelona: El Dos de Maig in Barcelona, Moisès Broggi in Sant Joan Despí en Hospital General in L'Hospitalet. De aanval was van het type ransomware. Dit infecteert een systeem en gijzelt data in ruil voor een geldbedrag. Wordt dat betaalt, dan wordt de aanval opgeheven.  Bronnen bij het Catalaanse agentschap voor Cyberveiligheid hebben zaterdag tegen persbureau EFE bevestigd dat het om een 'zware' aanval gaat en aangegeven dat hun technici onvermoeibaar doorwerken om het incident op te lossen. Op hun beurt zeiden bronnen bij de Catalaanse politiedienst Mossos d'Esquadra dat ook daar onderzoek wordt gedaan naar de oorsprong van de aanval.  De cyberaanval heeft het functioneren van de zorgcentra belemmerd. Het personeel kon geen persoonsgegevens en ziektegeschiedenissen bekijken of tests uitvoeren met apparaten die op het systeem draaien. Denk hierbij aan scans en derdelijke. "Het is een chaos. We schrijven nu de rapporten met de hand", zeggen de gedupeerde artsen. De spoedeisende hulpdiensten zijn wel gegarandeerd zei een woordvoerder van ziekenhuis Moisès Broggi. De eerstelijnsdiensten werken wel alleen zonder hun informatiediensten. Dit ziekenhuis was een paar jaar geleden ook al slachtoffer van een gelijksoortige cyberaanval met het type ransomware. Aangezien de informatie die ziekenhuizen verzamelen en opslaan zeer gevoelig is, zijn deze een gewild doel van cybercriminelen. In tegenstelling tot toen zijn dit keer alle backups van het ziekenhuis volledig up to date, volgens een woordvoerder van de het systeembeheer. Het is nog onbekend of de criminelen in contact staan met de besturen van de ziekenhuizen of de zorgautoriteiten om de aanval op te heffen. 


Aanvallers maken actief misbruik van zerodaylek in Zimbra Collaboration Suite

Aanvallers maken actief misbruik van een zerodaylek in Zimbra Collaboration Suite om mailservers over te nemen. Een beveiligingsupdate is nog niet beschikbaar, een workaround wel. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt. Zimbra-mailservers zijn geregeld het doelwit van aanvallen, zo kwam de Amerikaanse overheid in augustus nog met een waarschuwing om de software up-to-date te houden. Zimbra maakt gebruik van antivirussoftware Amavis om archiefbestanden om malware te scannen. Het nu aangevallen probleem doet zich voor bij Zimbra-mailservers die archiveringstool cpio gebruiken voor het controleren van de inhoud van archiefbestanden. Door het versturen van een speciaal geprepareerd archiefbestand dat door cpio wordt uitgepakt kan een aanvaller naar elk pad op het filesystem schrijven waar de Zimbra-gebruiker toegang toe heeft. Op deze manier is het mogelijk om een webshell te installeren en zo willekeurige code op de mailserver uit te voeren. Dat het gebruik van cpio een beveiligingsrisico kan zijn, is al sinds 2015 bekend. Vorige maand kwam Zimbra zelf met een waarschuwing en advies om cpio te vervangen door archiveringstool pax. Pax is standaard geïnstalleerd op Ubuntu. Ubnuntu-gebaseerde installaties van Zimbra zijn dan ook niet kwetsbaar. Dat is wel het geval bij Zimbra-installaties gebaseerd op Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 en CentOS 8, zo meldt securitybedrijf Rapid7. Volgens het securitybedrijf is de overstap naar pax de beste optie, aangezien cpio niet veilig is te gebruiken omdat verschillende besturingssystemen een beveiligingsupdate voor het probleem met de archiveringstool hebben verwijderd. Zimbra heeft aangegeven dat het van plan is om de afhankelijkheid van cpio te verwijderen en pax de standaard te gaan maken.


Hackers aan de haal met gegevens van 300.000 klanten van Toyota

Hackers hebben waarschijnlijk gegevens van bijna 300.000 klanten van Toyota gestolen. Dat heeft de wagenbouwer vrijdag in Japan gemeld. Toyota stelde vast dat 296.019 e-mailadressen van klanten en de bijhorende klantennummers gecompromitteerd kunnen zijn, luidde het in een persbericht. Het gaat om gegevens van klanten die Toyota’s onlinedienst T-Connect gebruiken. Bij Toyota Duitsland klinkt het dat er nog geen oplijsting van de gestolen gegevens per land of regio is. Toyota meldde nog dat andere gegevens zoals namen, telefoonnummers, kredietkaartnummers of nog andere informatie niet gestolen kunnen zijn. Anderzijds waarschuwen cyberexperten wel dat basisgegevens volstaan om iemand te bestoken met een phishing-aanval (online fraude via valse berichten). Het datalek situeerde zich volgens Toyota bij een toeleverancier. Die had eind 2017 per abuis een deel van de programmacode gedeeld op het platform Github. Die code bevatte de toegangssleutel voor een dataserver, waarop de e-mailadressen en klantennummers in kwestie stonden. In 2019 werden al eens de gegevens van zowat 3,1 miljoen klanten van Toyota gestolen door hackers. Eerder dit jaar moest Toyota de productie pauzeren nadat toeleveranciers het slachtoffer werden van een cyberaanval.


Meta waarschuwt 1 miljoen mogelijke slachtoffers over gestolen inloggegevens

Meer dan vierhonderd malafide apps in de officiële appstores van Apple en Google zijn ontwikkeld om inloggegevens van Facebook-gebruikers te stelen, zo claimt Meta. De malafide apps doen zich vaak voor als fotobewerkings-app, games en vpn's. Eenmaal geïnstalleerd vragen de apps aan gebruikers om via Facebook in te loggen om de app te kunnen gebruiken. De ingevoerde inloggegevens worden vervolgens naar de aanvallers gestuurd die daarmee toegang tot het Facebook-account van de gebruiker kunnen krijgen. Volgens Meta plaatsen de aanvallers ook allerlei positieve reacties bij de malafide apps, om anderen zover te krijgen die te downloaden. Het bedrijf waarschuwt gebruikers om te letten wanneer het gebruik van de "Login With Facebook" feature verplicht is om de app te kunnen gebruiken. Meta zegt dat het Apple en Google over de malafide apps heeft ingelicht en dat de bedrijven begonnen zijn met het verwijderen ervan uit hun appstores. Het grootste deel van de malafide apps werd in de Google Play Store gevonden. Zo'n vijftig apps ontdekte Meta in de Apple App Store. Via de vandaag gegeven waarschuwing wil Meta ook het publiek waarschuwen en heeft daarbij de namen van de betreffende apps gepubliceerd.


Data toegangspassen Tweede Kamerleden op straat na hack bij IT-bedrijf

Een ransomwaregroep die vorige maand wist in te breken op systemen van it-bedrijf ID-ware heeft daarbij ook privégegevens van duizenden rijksambtenaren buitgemaakt en inmiddels online gezet, waaronder ook Tweede Kamerleden. Eind september en vorige week verschenen op Twitter berichten dat de ALPHV-ransomwaregroep had ingebroken op systemen van ID-ware. Het bedrijf levert toegangssystemen aan bedrijven en overheden, inclusief de Eerste en Tweede Kamer. Het gaat om de Rijkspas, die leden van de Eerste en Tweede Kamer, de staf van die organisaties, en rijksambtenaren toegang verschaft tot de Kamergebouwen en rijkspanden. Dat laat staatssecretaris Van Huffelen vandaag in een brief (pdf) aan de Tweede Kamer weten. Op 21 september meldde ID-ware dat er een aanval heeft plaatsgevonden op haar systemen. Het ging om een ransomware-aanval waarbij bestanden werden versleuteld. ID-ware stelt dat de schade snel hersteld kon worden, maar dat er ook een grote hoeveelheid data is gestolen en gepubliceerd. Uit onderzoek blijkt dat de databaseservers die gebruikt worden bij de uitgifte van passen niet zijn getroffen door de aanval. Of er gegevens van Rijkspasgebruikers staan op de fileservers die wel geraakt zijn wordt onderzocht. Tot nu toe is bekend dat van bijna 3500 medewerkers van de Rijksoverheid naam, rijkspasnummer en paraaf is gelekt vanuit de thuisbezorgservice van de kaart. "De persoonsgegevens die aanwezig zijn bij het bedrijf beperken zich tot de voor productie van de kaart noodzakelijke gegevens: naam, geboortedatum, geslacht, rijkspasnummer en pasfoto. Voor de meeste pasgebruikers zal dit, als toch blijkt dat deze gelekt zijn, een beperkte impact hebben, waarbij met name aan het risico van gebruik bij phishing moet worden gedacht. Niettemin betreur ik dit incident zeer, evenals de mogelijke gevolgen voor betrokken personen", aldus Van Huffelen. De staatssecretaris merkt op dat met de gelekte informatie geen pas worden kan worden gemaakt die toegang tot gebouwen geeft, het hiervoor benodigde sleutelmateriaal wordt niet verwerkt bij ID-ware. De interne systemen van Rijkspasbeheer, Eerste Kamer en Tweede Kamer zijn door de aanval op ID-ware niet geraakt. De verbindingen worden gemonitord, aldus Van Huffelen. De personen van wie is vastgesteld dat er gegevens zijn gelekt zijn persoonlijk geïnformeerd of worden binnenkort ingelicht. ID-ware levert soortgelijke toegangssystemen ook aan andere klanten in Nederland en Duitsland en heeft hen eveneens op de hoogte gesteld. Ook is een melding gedaan bij Autoriteit Persoonsgegevens en heeft het bedrijf aangifte gedaan bij de politie.

Hack Bij ID Ware
Word – 92,5 KB 220 downloads

Hack van 568 miljoen dollar bij cryptobeurs Binance

Bij Binance, het belangrijkste handelsplatform voor cryptomunten ter wereld, hebben hackers de hand kunnen leggen op 568 miljoen dollar aan digitale valuta. Daarvan konden ze maximaal 100 miljoen dollar te gelde maken. De grootste cryptobeurs ter wereld is vrijdag het doelwit geworden van een cyberaanval. Dat geeft Binance-oprichter en CEO Changpeng Zhao toe op Twitter. Hackers slaagden erin om de controle te krijgen over 2 miljoen tokens van de digitale munt Binance Coins. Tegen de huidige koers zijn die tokens ongeveer 568 miljoen dollar waard. Zeker 87 miljoen dollar kon weggesluisd worden, maar voor de overige tokens lukte dat niet omdat Binance 'ongewone activiteiten' op het spoor kwam. Het bedrijf legde meteen zijn Binance Smart Chain - de interne blockchain die alle transacties registreert - tijdelijk stil om erger te vermijden. Minstens 7 miljoen dollar aan gestolen fondsen is bevroren. 'Het probleem is onder controle. Uw fondsen zijn veilig', zegt Changpeng Zhao in een mededeling. Volgens de CEO bedraagt de impact van de hack ongeveer 100 miljoen dollar.

Zonder de kordate ingreep waren de gevolgen van de hack nog veel zwaarder geweest, zeggen experts. Eerder dit jaar maakten hackers voor 600 miljoen dollar cryptomunten buit op het Ronin-netwerk, dat gelinkt is aan de populaire onlinevideogame 'Axie Infinity'. Net zoals nu ging het toen om een aanval op een 'bridge' in het netwerk. Zo'n digitale brug garandeert dat gebruikers hun cryptomunten makkelijk kunnen verplaatsen van de ene blockchain naar de andere. Die digitale bruggen tussen blockchains - een relatief nieuw fenomeen - zijn populaire doelwitten vanwege hun kwetsbaarheid voor diefstallen. Volgens het persagentschap Bloomberg ging er dit jaar al ongeveer 2 miljard dollar verloren bij cryptohacks, veelal gepleegd door groeperingen die aan Noord-Korea gelinkt zijn.


Bank is slachtoffer van ransomware en betaalt $1 miljoen

De Bank of Brazilia is slachtoffer geworden van een ransomware van LockBit. Hackers vroegen om 50 BTC aan losgeld. Als de bank het geld niet zou betalen, zouden persoonsgegevens van klanten worden gelekt. Er zat dus niet veel op voor de financiële instelling: ze hebben het bedrag van z'n $1 miljoen overgemaakt. Volgens de lokale media Tecmundo nam een van de hackers genaamd "Crydat" contact op met de bank. Hij informeerde hen dat er 5,2 miljoen Braziliaanse reais aan bitcoin vóór 06 oktober om 15:00 uur moesten worden overgemaakt. De Bank of Brasilia heeft niet gereageerd op het nieuws. Anonieme bronnen deden dat wel. De zaak wordt onderzocht door de speciale politiedienst voor de bestrijding van cybercriminaliteit. Volgens de anonieme bronnen gebruikten de hackers de "LockBit"-ransomware. 


Persoonsgegevens gestolen bij cyberaanval op online dierenwinkel Zooplus

Zooplus is het slachtoffer geworden van een cyberaanval, laat de online dierenwinkel donderdag in een e-mail aan zijn klanten weten. Daarbij zijn persoonsgegevens buitgemaakt. "Een onbekende aanvaller of groep aanvallers is het gelukt om met behulp van een set inloggegevens illegaal Zooplus-accounts binnen te dringen", schrijft het bedrijf in de e-mail. Hoeveel klanten zijn gedupeerd, is onduidelijk. Ook is niet bekend welke persoonsgegevens precies zijn buitgemaakt. Zooplus wil niet reageren op vragen van NU.nl, maar meldt in de e-mail dat er geen betaalgegevens zijn gestolen. Getroffen klanten kunnen niet meer bij hun Zooplus-account komen. Zij moeten eerst hun wachtwoord resetten om weer te kunnen inloggen. De dierenwinkel raadt ze aan dit zo snel mogelijk te doen. Zooplus zegt met experts onderzoek te doen naar de cyberaanval en het lek te hebben gemeld bij de Autoriteit Persoonsgegevens.


Ransomware schakelt beveiligingssoftware uit via MSI AfterBurner-driver

Onderzoekers waarschuwen voor een ransomwaregroep die een legitieme driver van elektronicafabrikant MSI gebruikt voor het uitschakelen van beveiligingssoftware op systemen. Inmiddels maken verschillende ransomwaregroepen gebruik van de "Bring Your Own Driver" techniek, zo laat antivirusbedrijf Sophos weten. Door beveiligingsmaatregelen in Windows zoals driver signature enforcement kunnen aanvallers niet zomaar hun eigen rootkit of driver op een systeem installeren om vervolgens het kernelgeheugen te kunnen lezen en aanpassen, zegt onderzoeker Andreas Klopsch. Een aanvaller heeft echter verschillende opties om deze beperking te omzeilen, zoals het stelen van certificaten voor het signeren van code of misbruik van kwetsbaarheden in bestaan, gesigneerde drivers. Geregeld worden er kwetsbaarheden in drivers aangetroffen waar aanvallers misbruik van kunnen maken. Zo werd eerder dit jaar bekend dat de criminelen achter de AvosLocker-ransomware gebruikmaken van een driver van antivirusbedrijf Avast om virusscanners en andere beveiligingssoftware op aangevallen systemen uit te schakelen. Vorige maand meldde antivirusbedrijf Trend Micro dat een anti-cheatdriver van de videogame Genshin Impact werd gebruikt om antivirussoftware uit te zetten zodat daarna ransomware kan worden uitgerold. Drivers draaien met verhoogde rechten op het systeem. Kwetsbaarheden in drivers bieden aanvallers de mogelijkheid om het kernelgeheugen te lezen of schrijven en daarin code uit te voeren, merkt Klopsch op. Recentelijk ontdekte antivirusbedrijf Sophos een aanval door de BlackByte-ransomware die van een kwetsbare MSI AfterBurner-driver gebruikmaakt om aanwezige beveiligingssoftware te neutraliseren. AfterBurner is een tool voor het overklokken van videokaarten. De driver bevat een kwetsbaarheid (CVE-2019-16098) waardoor een aanvaller die al toegang tot het systeem heeft zijn rechten kan verhogen, met verhoogde rechten code kan uitvoeren of informatie kan achterhalen. De aanvallers installeren de kwetsbare, gesigneerde driver zelf op het systeem en maken daar vervolgens misbruik van. Deze week meldde antivirusbedrijf ESET dat een dergelijke techniek tegen een Nederlands luchtvaartbedrijf was ingezet. Bij de aanval werd een kwetsbare Dell-driver gebruikt. Om misbruik van kwetsbare drivers tegen te gaan zouden systeembeheerders bekende, kwetsbare drivers kunnen blocklisten, zodat installatie wordt voorkomen, en de aanwezige drivers op het systeem up-to-date houden.


Canadese man wegens ransomware-aanvallen veroordeeld tot 20 jaar cel

Een Canadese is in de Verenigde Staten wegens het wereldwijd aanvallen van organisaties met de NetWalker-ransomware veroordeeld tot een gevangenisstraf van twintig jaar. Ook moet hij een bedrag van 21,5 miljoen dollar afstaan. NetWalker werd aangeboden als Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. De Canadese man was één van de partners van de NetWalker-groep en voerde wereldwijd aanvallen uit, gericht tegen bedrijven, steden, ziekenhuizen, opsporingsdiensten, schooldistricten en onderwijsinstellingen. Zo bekende hij zeventien Canadese organisaties met de ransomware te hebben geïnfecteerd. Ook maakte hij allerlei gegevens buit. Als slachtoffers niet betaalden publiceerde hij de gestolen data op internet. Op de apparatuur van de man die in beslag werd genomen trof de politie twintig terabyte aan data aan. Begin februari veroordeelde een Canadese rechter hem tot een gevangenisstraf van bijna zeven jaar. De man werd ook gezocht door de Amerikaanse autoriteiten, die om zijn uitlevering hadden gevraagd. In maart werd hij vervolgens uitgeleverd. Tijdens een huiszoeking van de woning van de man die eind januari plaatsvond werden 719 bitcoin in beslag genomen, die destijds een waarde van 21,8 miljoen dollar hadden, alsmede 790.000 Canadese dollars. Volgens het Amerikaanse ministerie van Justitie zijn de bitcoins op dit moment 14,5 miljoen dollar waard. Begin 2021 wist de FBI in samenwerking met de Bulgaarse autoriteiten de website van de NetWalker-ransomware in beslag te nemen, alsmede 450.000 dollar losgeld dat drie slachtoffers hadden betaald. De Canadese man kon op basis van ip-adressen en onderzoeken naar verschillende Apple-, Google-, Microsoft- en Mega-accounts, alsmede gebruikte e-mailadressen, aliassen en persoonlijke informatie op social media door de Canadese autoriteiten worden geïdentificeerd. Uiteindelijk werd hij vorig jaar januari aangehouden.

Overzicht slachtoffers NetWalker ransomware

Slachtoffer Cybercriminelen Website Land
VISTEX NetWalker vistex.com USA
rtfc.ca NetWalker rtfc.ca Canada
rangeramerican.com NetWalker rangeramerican.com USA
mysacpa.com NetWalker mysacpa.com USA
naevageophysics.com NetWalker naevageophysics.com USA
dmkarchitects.com NetWalker dmkarchitects.com USA
ulcrobotics.com NetWalker ulcrobotics.com USA
rennerotto.com NetWalker rennerotto.com USA
cobbtechnologies.com NetWalker cobbtechnologies.com USA
WELLNESS NetWalker granitewellness.org USA
SUPERGAS NetWalker supergas.com India
titan-elec.com NetWalker titan-elec.com USA
theexpogroup.com NetWalker theexpogroup.com USA
Beata Truck Licenses Inc NetWalker beatatrucklicence.com USA
bdi-insurance.com NetWalker bdi-insurance.com USA
Harris Altman PC NetWalker harrisaltman.com USA
bremskerl.de NetWalker bremskerl.de Germany
larochelle.fr NetWalker larochelle.fr France
randallconstruction.com NetWalker randallconstruction.com USA
groupe.coffim.fr NetWalker groupe.coffim.fr France
ThyssenKrupp Materials NA NetWalker thyssenkrupp-materials-na.com USA
expresshsp.com NetWalker expresshsp.com Canada
Shaft Drillers International NetWalker shaftdrillers.com USA
Blackburn Radio CANADA NetWalker 1017theone.ca Canada
btsbm.com NetWalker btsbm.com USA
Workforce Logiq aka ZeroChaos NetWalker workforcelogiq.com USA
Nygard International NetWalker nygard.com Canada
tierney.com NetWalker tierney.com USA
connectivitypoint.com NetWalker connectivitypoint.com USA
Innotech Windows & Doors NetWalker innotech-windows.com Canada
Kellwood Apparel NetWalker kellwood.com USA
thorite.co.uk NetWalker thorite.co.uk UK
staircase.co.nz NetWalker staircase.co.nz New Zealand
namesouth, LLC NetWalker namesouth.com USA
us.britax.com NetWalker us.britax.com UK
mainsailhotels.com NetWalker mainsailhotels.com USA
Brian Paul NetWalker brianpaul.co.uk UK
djb.com NetWalker djb.com USA
procapslaboratorios.com NetWalker procapslaboratorios.com Colombia
Serincogrupo NetWalker serincogrupo.com Spain
NTN NetWalker ntnamericas.com/en USA
WSN NetWalker wsn.de Germany
umanis.com NetWalker umanis.com France
hillhouseconstruction.com NetWalker hillhouseconstruction.com USA
sternadvertising.com NetWalker sternadvertising.com USA
groupecivitas.com NetWalker groupecivitas.com Canada
finisterehabitat.fr NetWalker finisterehabitat.fr France
Sollio Groupe Coopératif NetWalker sollio.coop Canada
homegroup.com.au NetWalker homegroup.com.au Australia
Alaska Industrial Hardware NetWalker aih.com USA
kinaxia.fr NetWalker kinaxia.fr UK
Entrust Energy NetWalker entrustenergy.com USA
sobek-drives NetWalker sobek-drives.de Germany
CSAT NetWalker csat.com USA
Wackler NetWalker wackler-group.de Germany
activisu.com/en/ NetWalker activisu.com/en France
isolvedbenefitservices.com NetWalker isolvedbenefitservices.com USA
scutum.fr NetWalker scutum.fr France
freschesolutions.com NetWalker freschesolutions.com Canada
hockley.com NetWalker hockley.com UK
Teter NetWalker teterae.com USA
Afrimat NetWalker afrimat.co.za South Africa
Enel Group NetWalker enel.com Italy
MMWBR Law Firm NetWalker mmwbr.com USA
Aetna Lighting Corp NetWalker aetnacorp.com USA
TTI Floor Care NetWalker ttifloorcare.com USA
indianspringfl.com NetWalker indianspringfl.com USA
rosenblatt-law.co.uk NetWalker rosenblatt-law.co.uk UK
wilmingtonsurgical.com NetWalker wilmingtonsurgical.com USA
kyb.com NetWalker kyb.com Japan
Sweet Law Firm NetWalker sweetlawfirm.com USA
Romco Equipment NetWalker romco.com USA
nedevelopment.com NetWalker nedevelopment.com USA
piaggio.com NetWalker piaggio.com Italy
haverstock.com NetWalker haverstock.com UK
Careers Usa NetWalker careersusa.com USA
leedejonesgable.com NetWalker leedejonesgable.com Canada
ATP NetWalker atp.com USA
haverusa.com NetWalker haverusa.com USA
Goodfellow Inc NetWalker goodfellowinc.com/en Canada
sientra.com NetWalker sientra.com USA
Robson Carpenter LLP NetWalker rcllp.ca Canada
Homewerks Worldwide NetWalker homewerks.com USA
chubbfiresecurity.com NetWalker chubbfiresecurity.com UK
dieffenbachs.com NetWalker dieffenbachs.com USA
Canadian Tire NetWalker canadiantire.ca/en.html Canada
Horizon Gulf Electromechanical Services L.L.C NetWalker horizongulf.ae United Arab Emirates
record.fr NetWalker record.fr France
Spectra Aluminum Products NetWalker spectraaluminum.com Canada
SELDENS NetWalker seldens.com USA
Accreon NetWalker accreon.com USA
Heatherwick Studio NetWalker heatherwick.com UK
Midnight Oil Agency NetWalker moagency.com USA
College of Nurses of Ontario NetWalker cno.org Canada
XpertDoc NetWalker xpertdoc.com Canada
GP Global NetWalker gpglobal.com United Arab Emirates
khadims.com NetWalker khadims.com India
redplanethotels.com NetWalker redplanethotels.com Bangkok
GAM NetWalker gamrentals.com Spain
The Silverlake Group NetWalker silverlakegroup.com Malaysia
FlorStar NetWalker florstar.com USA
K-Electric NetWalker ke.com.pk Pakistan
Windward Software NetWalker windwardsoftware.com/en-US Canada
Stefanutti Stocks NetWalker stefanuttistocks.com South Africa
Amacon NetWalker amacon.com Canada
mainstreamrp.com NetWalker mainstreamrp.com Ireland
randolphtrucking.com NetWalker randolphtrucking.com USA
Migraciones Argentina NetWalker argentina.gob.ar/interior/migraciones Argentina
panorama.com NetWalker panorama.com Canada
Whitmore NetWalker whitmores.com USA
Tandem Corp NetWalker tandemcorp.com Australia
CubeLogic NetWalker cubelogic.com UK
Container Graphics Corporation NetWalker containergraphics.com USA
Bisnode NetWalker bisnode.com Sweden
Jands NetWalker jands.com.au Australia
CRE Credit Services NetWalker crecreditservices.com USA
parkhomestores.com NetWalker parkhomestores.com USA
prakhinlaw.com NetWalker prakhinlaw.com USA
Woodstream NetWalker woodstream.com USA
virginiacountryclub NetWalker vcc1909.org USA
sscpclaw NetWalker sscpclaw.com USA
RTT NetWalker rtt.co.za South Africa
Nichols Rick & Co NetWalker nicholsrick.com USA
MISTERFLY NetWalker misterfly.com France
Edipresse Media Asia NetWalker edipressemedia.com Hong Kong
CIR Food NetWalker cirfood.com Italy
Automatic Handling International NetWalker automatichandling.com USA
Austin College NetWalker austincollege.edu USA
Drivestream NetWalker drivestream.com India
Prismaflex Internationa NetWalker prismaflex.com France
The Center for Fertility and Gynecology NetWalker center4fertility.com USA
Olympia House NetWalker olympiahouserehab.com USA
Bridgford Foods NetWalker bridgford.com USA
Corporate Renaissance Group NetWalker crgroup.com Canada
Apollo Tyres Ltd NetWalker corporate.apollotyres.com India
Lorien Health Services NetWalker lorienhealth.com Unknown
Universal Builders Supply NetWalker ubs1.com USA
Rand Worldwide - rand.com NetWalker rand.com USA
ALFANAR NetWalker alfanar.com United Arab Emirates
bridgevacuum NetWalker bridgevacuum.com Canada
BarbizonCapital NetWalker barbizoncapital.com USA
peregrine-inc.com NetWalker peregrine-inc.com Australia
speedcast and gsi NetWalker speedcast.com Australia
Christies Beach Medical Centre NetWalker cbmc.net.au Australia

VS meldt maandenlange diefstal van gevoelige data bij defensieorganisatie

Verschillende spionagegroepen zijn er vorig jaar in geslaagd om via een Exchange Server in te breken op het netwerk van een Amerikaanse defensieorganisatie en konden vervolgens maandenlang gevoelige data stelen, zo claimt het Cybersecurity and Infrastructure Security Agency (CISA) van het ministerie van Homeland security in een nieuwe waarschuwing. De aanval was gericht tegen een organisatie in de Defense Industrial Base (DIB) sector. Het gaat hier om defensiebedrijven en onderdelen van het Amerikaanse ministerie van Defensie. Volgens het CISA wisten meerdere advanced persistent threat (APT) groepen het netwerk van de defensieorganisatie te compromitteren, waarbij er verschillende langere tijd toegang hadden. De Exchange-server van de organisatie speelde hierbij een belangrijke rol, aangezien verschillende van de APT-groepen hier halverwege januari op een onbekende manier toegang toe wisten te krijgen. Nadat er toegang was verkregen werden mailboxes doorzocht en gebruikten de aanvallers een gecompromitteerd beheerdersaccount om de Exchange Web Services (EWS) API te benaderen. Via EWS kan toegang tot mailboxes, contacten en meetings worden verkregen. Begin februari werd de EWS API-toegang opnieuw gebruikt. Ook lukte het de aanvallers om zich lateraal naar een ander systeem te bewegen. In maart werd er gebruik gemaakt van vier kwetsbaarheden in Exchange Server om in totaal zeventien webshells op de betreffende Exchange-server te installeren. Vervolgens werd ook de HyperBro-malware op de Exchange-server en andere systemen geïnstalleerd. Hyperbro is een remote access tool (RAT) waarmee het mogelijk is om systemen op afstand te benaderen. Van juli tot en met oktober maakten de aanvallers gebruik van een tool genaamd "CovalentStealer" om daarmee de "resterende" gevoelige bestanden van de organisatie te stelen, aldus het CISA. Uiteindelijk wisten de aanvallers tot halverwege januari van dit jaar toegang tot de organisatie te behouden, vermoedelijk door het gebruik van legitieme inloggegevens. Voor het benaderen van de Exchange-server maakten de aanvallers gebruik van virtual private network (VPN) en virtual private server (VPS) providers, M247 en SurfShark. Het CISA, de FBI en NSA adviseren organisaties dan ook om in hun logbestanden te kijken naar verbindingen afkomstig van SurfShark en M247. Verder wordt ook aangeraden om het aantal remote access tools te beperken en waar die toegang toe hebben.


Identificatienummers 2,1 miljoen Australiërs gestolen bij aanval op Optus

Bij de aanval op de Australische telecomprovider Optus zijn de identificatienummer van 2,1 miljoen klanten gestolen. Het gaat om zeker 150.000 paspoortnummers (pdf). Optus heeft gedupeerde klanten vanwege het datalek aangeraden om een nieuwe identiteitsdocument aan te vragen. Verder heeft Optus aangekondigd dat het Deloitte een onderzoek naar de aanval laat uitvoeren. Bij de aanval die vorige maand plaatsvond kwamen persoonsgegevens van zo'n tien miljoen Australiërs in handen van een aanvaller. Nu blijkt dat het ook om identificatienummers van 2,1 miljoen Optus-klanten gaat. De aanvaller eiste eerst losgeld van Optus en maakte een deel van de gestolen data openbaar. Bij de aanval werden namen, geboortedata, telefoonnummers en e-mailadressen en voor een deel van de klanten ook rijbewijsnummers en paspoortnummers buitgemaakt. Een aantal dagen nadat het datalek bekend werd maakte de aanvaller excuses en beweerde alle gestolen data verwijderd te hebben. De aanvaller claimt dat hij de klantgegevens door middel van een onbeveiligde API kon downloaden. Optus stelde echter dat het om een "geraffineerde aanval" ging. Vanuit de Australische overheid is fel op deze bewering gereageerd. "Wat bij Optus gebeurde was geen geraffineerde aanval. In dit land is geen plek voor een telecomprovider die de deur openlaat zodat dergelijke data kan worden gestolen", aldus Clare O'Neil, de Australische minister van Binnenlandse Zaken en minister voor Cybersecurity.

MR 20221003 Optus Media Alert
PDF – 168,6 KB 214 downloads

Blizzard zegt dat Overwatch 2-servers last hebben van ‘enorme DDoS-aanval

Blizzard zegt dat de servers van Overwatch 2 een “enorme DDoS-aanval” ondergaan, waardoor spelers geen toegang krijgen tot de nieuw gelanceerde game. Spelers meldden onverwachte serverbugs en problemen met het aansluiten van Overwatch 2-games gedurende de avond na de gratis te spelen lancering van vandaag, waarbij sommigen beweerden wachtrijen te hebben van wel 40.000 andere spelers. Dat Eerder tweeten Door Mike Ybarra, hoofd van Blizzard, erkent de serverproblemen van vandaag, maar suggereerde niet dat ze het gevolg zouden kunnen zijn van iets anders dat kinderziektes veroorzaakt op de lanceringsdag, alleen spelers bedanken voor hun geduld en zweren om “de [them] met plezier.” Echter, Ybarra heeft nu een Plaats een volg-tweet Wat suggereert dat de lancering van Overwatch 2 vandaag wordt beïnvloed door kwaadaardige acties van derden. “Helaas zijn we getuige van een massale DDoS-aanval op onze servers”, schreef hij. “Teams werken er hard aan om dit te verhelpen/beheren. Dit veroorzaakt veel storings-/verbindingsproblemen.” De speciale Overwatch 2-sociale kanalen van Blizzard blijven iets minder informatief. Lopende serverproblemen vanavond worden kort vermeld in een bestand Bekende problemen plaatsen Kort na de lancering werden er geen verdere updates gedeeld.


Exchange Online-klanten doelwit van password spraying via basic auth

Veel organisaties die van Exchange Online gebruikmaken zijn het doelwit van password spraying via basic authenticatie, zo claimt Microsoft. Het techbedrijf, dat Basic Auth in Exchange Online gaat uitschakelen, adviseert organisaties om password spraying via authenticatie policies tegen te gaan. Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd. Volgens Microsoft richten aanvallers zich daarbij vooral op protocollen zoals SMTP, IMAP en POP die geen multifactorauthenticatie ondersteunen. Gebruikers loggen in dit geval alleen in via een gebruikersnaam en wachtwoord. "De enige reden dat we Basic Auth in Exchange Online uitschakelen is om je gebruikers en data te beschermen. Het bewijs dat ik dagelijks zie maakt duidelijk dat password spray-aanvallen vaker voorkomen", zegt Microsofts Greg Taylor. Door middel van authenticatie policies zijn password spray-aanvallen grotendeels te voorkomen, aldus Taylor. Zo zouden alleen bekende accounts bij specifieke protocollen Basic Auth mogen gebruiken en moet het gebruik van Basic Auth voor alle andere accounts worden geblokkeerd. Iets dat eenvoudig is in te stellen, zo stelt Taylor. Microsoft is deze maand begonnen om bij willekeurige Exchange Online-klanten die nog van Basic Auth voor MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP, Exchange ActiveSync (EAS) en Remote PowerShell gebruikmaken het protocol uit te zetten. Klanten worden hier zeven dagen van tevoren over ingelicht en op de dag dat de aanpassing plaatsvindt. Het kan zeer grote gevolgen voor organisaties hebben als personeel niet meer kan e-mailen. Daarom biedt Microsoft een optie waarbij klanten Basic Auth via een diagnostische tool weer zelf kunnen inschakelen. Basic Auth blijft dan tot eind december van dit jaar werken. In de eerste week van 2023 wordt de standaard permanent uitgeschakeld en is het gebruik van Basic Auth niet meer mogelijk.


Ransomwaregroep lekt gevoelige data leerlingen Amerikaans schooldistrict

Een ransomwaregroep die wist in te breken op systemen van het Los Angeles Unified School District (LAUSD), het op één na grootste schooldistrict van de Verenigde Staten met 660.000 leerlingen, heeft gevoelige gegevens die bij de aanval werden gestolen op internet gepubliceerd. Het gaat onder andere om psychologische onderzoeken van leerlingen, persoonsgegevens en social-securitynummers, aldus een bron tegenover NBC Los Angeles. Begin september raakten systemen van het schooldistrict besmet met ransomware, waardoor de website offline ging, alsmede mailservers en het systeem waarmee leraren lessen publiceren en aanwezigheid bijhouden. Ook diensten voor leerlingen en ouders waren onbereikbaar. Vanwege de ransomware-aanval werd besloten om van in totaal 700.000 leerlingen, leraren en andere schoolmedewerkers het wachtwoord van hun lausd.net-account te resetten. Afgelopen vrijdag maakte het schooldistrict bekend dat het niet van plan was om het losgeld te betalen dat de aanvallers vroegen. Volgens het LAUSD is het beter om belastinggeld aan leerlingen te besteden dan aan criminelen. Het schooldistrict is nog altijd bezig met het herstel van de systemen. Gisteren besloot de ransomwaregroep, Vice Society, de gestolen data openbaar te maken, laat onderzoeker Brett Callow weten. De publicatie van de gegevens is inmiddels bevestigd door het schooldistrict, dat vandaag een hotline voor leerlingen en personeel heeft geopend. De aanvallers claimen 500 gigabyte aan data te hebben gestolen.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten