Overzicht cyberaanvallen week 50-2022

Gepubliceerd op 19 december 2022 om 15:00

First click here and then choose your language with the Google translate bar at the top of this page ↑


Belgische gemeente Diest ook slachtoffer van ransomware-aanval, uitzendbureau van universiteit Leiden getroffen door ransomware-aanval en ransomware-aanval kost moederbedrijf Makro tientallen miljoenen euro’s. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Laatste wijziging op 19-december-2022


Cybercriminelen hebben interne gegevens van meer dan 6.000 organisaties gelekt op het darkweb. In de onderstaande lijst staan de organisaties die geweigerd hebben het losgeld te betalen. Als het losgeld wordt betaald, worden er geen gegevens gelekt op het darkweb.

Opmerking: ‘Zo'n 80% van de organisaties betaalt losgeld’. Kun je dan zeggen dat onderstaande lijst slecht 20% is van het totale aantal slachtoffers van ransomware bendes? πŸ€”

Meetmoment Aantal organisaties waar data van gelekt is op het darkweb
01-05-2019 (eerste slachtoffer) 1
01-05-2020 85
01-05-2021 2.167
01-05-2022 5.565
Nu 6.937


Week overzicht

Slachtoffer Cybercriminelen Website Land Publicatie datum
OPUS IT Services PLAY www.opusit.com.sg Singapore 18-12-2022 08:29
H-Hotels PLAY www.h-hotels.com Germany 18-12-2022 08:29
C???e????? ????????????? PLAY Unknown Venezuela 18-12-2022 08:29
Creta Farm PLAY www.cretafarms.gr Greece 18-12-2022 08:08
Conform Royal www.conform.it Italy 18-12-2022 06:06
S?????????? PLAY Unknown USA 18-12-2022 03:49
Australian Real Estate Group Pty Ltd BianLian areg.com.au Australia 17-12-2022 14:22
The Exchange Bank Black Basta In progress In progress 17-12-2022 10:21
University Institute of Technology of Paris Vice Society www.iutparis-seine.u-paris.fr France 17-12-2022 08:59
TLC Karakurt www.tlc.com USA 16-12-2022 12:08
Publicare Vice Society www.publicare.ch Switzerland 16-12-2022 11:20
Mol Royal molcy.com Belgium 16-12-2022 10:49
Arsat PLAY www.arsat.com.ar Argentina 16-12-2022 08:49
JMicron PLAY www.jmicron.com Taiwan 16-12-2022 08:27
Universidade Catolica Portuguesa Vice Society www.ucpcrp.pt Portugal 15-12-2022 20:56
Leo Hamel Fine Jewelers Royal www.leohamel.com USA 15-12-2022 20:30
UPONOR Black Basta www.uponorgroup.com Finland 15-12-2022 20:01
Eureka Casino Resort BianLian eurekamesquite.com USA 15-12-2022 19:24
Emilio Sanchez American School BianLian es-school.com Spain 15-12-2022 19:24
Aria systems BianLian ariasystems.com USA 15-12-2022 19:24
CIMT College BianLian cimtcollege.com Canada 15-12-2022 19:24
ZXP Technologies BianLian zxptech.com USA 15-12-2022 19:24
Jeppesen Black Basta www.jeppesen.com USA 15-12-2022 15:41
Sterling Black Basta www.sterlingcheck.com USA 15-12-2022 15:41
Vincent Fister Royal vincentfister.com USA 15-12-2022 14:08
mcft.com LockBit mcft.com UK 15-12-2022 03:23
Bailey Cavalieri LLC BlackCat (ALPHV) baileycav.com USA 15-12-2022 01:28
Mark-Taylor Hive www.mark-taylor.com USA 14-12-2022 20:10
Expand Group Hive www.expandgroup.com.sg Singapore 14-12-2022 20:10
TEIJIN AUTOMOTIVE TECHNOLOGIES BlackCat (ALPHV) teijinautomotive.com USA 14-12-2022 13:08
Ban Leong Technologies Ltd Mallox banleong.com.sg Singapore 13-12-2022 23:47
Petmate Black Basta www.petmate.com USA 13-12-2022 18:02
ITONCLOUD Ragnar_Locker www.itoncloud.com Australia 13-12-2022 17:45
Pinnacle Communications Royal pinnaclecommunications.com USA 13-12-2022 14:08
PARIC CORPORATION BlackCat (ALPHV) www.paric.com USA 13-12-2022 13:30
Schnee Berger BlackCat (ALPHV) www.schneeberger.com Switzerland 13-12-2022 13:30
Cetrogar PLAY www.cetrogar.com.ar Argentina 13-12-2022 00:29
VFS PLAY www.vfs.edu Canada 12-12-2022 23:50
*****a*** law BianLian Unknown Unknown 12-12-2022 11:43
veolus.com LockBit veolus.com Mexico 12-12-2022 10:43
luxeprint.com.tw LockBit luxeprint.com.tw Taiwan 12-12-2022 10:22
sentecgroup.com LockBit sentecgroup.com Taiwan 12-12-2022 10:09
financierareyes.com.mx LockBit financierareyes.com.mx Mexico 12-12-2022 10:08
dof.ca.gov LockBit dof.ca.gov USA 12-12-2022 10:08
tdtu.edu.vn LockBit tdtu.edu.vn Vietnam 12-12-2022 09:27
rkfoodland.com LockBit rkfoodland.com India 12-12-2022 09:22
jieh.vn LockBit jieh.vn Vietnam 12-12-2022 09:05
amazing-global.com LockBit amazing-global.com Venezuela 12-12-2022 09:04
k-toko.com LockBit k-toko.com Japan 12-12-2022 08:43
2networkit Cuba 2networkit.com USA 12-12-2022 08:07

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land Publicatie datum
Mol Royal molcy.com Belgium 16-12-2022 10:49

In samenwerking met DarkTracer

Top 3 cybercrime groepen met de meeste slachtoffers

Groepering Aantal slachtoffers
1 LockBit 1277 Nog actief
2 Conti 674 Niet meer actief
3 REvil 249 Opnieuw actief

"Ik ga niet betalen": Bart De Wever houdt voet bij stuk, maar wat dan met de gegevens van de Antwerpenaar?

Stad Antwerpen blijft nog steeds karig met informatie over de cyberaanval, waaronder de stad al sinds 6 december gebukt gaat. Bart De Wever gaat er in ieder geval prat op dat de stad geen losgeld heeft betaald en ook niet zal betalen. Wat betekent dat voor de gegevens van Antwerpenaren, die in foute handen beland zijn? Kenneth Dée, techjournalist bij ‘VTM NIEUWS’, speculeert mee. “Je bent nooit 100% zeker dat je gegevens veilig zijn nadat ze in handen van criminelen zijn gevallen.”


Belgische gemeente Diest ook slachtoffer van ransomware-aanval

Na Antwerpen en het politiekorps van de Belgische stad Zwijndrecht is ook de Belgische gemeente Diest het slachtoffer van een ransomware-aanval geworden. In eerste instantie werd er gesproken over een "cyberaanval", maar het blijkt om een ransomware-aanval te gaan waardoor de dienstverlening aan inwoners nog altijd is ontregeld. Dat meldt het Centrum voor Cybersecurity België (CCB). "Ransomware is geen nieuw fenomeen, maar door de recente aanvallen maken veel organisaties zich zorgen. De recente aanvallen kunnen niet toegewezen worden aan één dadergroep. Er zijn momenteel veel criminele organisaties die ransomware gebruiken om slachtoffers te maken", aldus het CCB. Door de aanval op de systemen van Diest kwam de dienstverlening "plat te liggen". Om inwoners toch te kunnen helpen is er een tijdelijk noodloket ingericht. Gisteren maakte de gemeente bekend dat dit loket wordt verlengd. Wanneer alle systemen weer zijn hersteld is niet bekend. Ook is onduidelijk of de aanvallers gegevens van inwoners hebben gestolen. Bij de ransomware-aanval op de gemeente Antwerpen claimden de aanvallers ook persoonsgegevens te hebben buitgemaakt. Het CCB adviseert door ransomware getroffen gemeenten en organisaties om "in principe" geen losgeld te betalen. "Er kunnen zich situaties voordoen waarin betaling de enige optie is, maar houd er rekening mee dat de aanvallers zeer waarschijnlijk geïnteresseerd zijn in financieel gewin, dus alle mogelijkheden om u meer geld af te persen zullen ze proberen", aldus de Belgische overheidsinstantie (pdf). Die waarschuwt ook voorzichtig te zijn in de communicatie met de aanvallers. "Het inhuren van een professionele onderhandelaar is geen wondermiddel. Er zijn veel gevallen bekend van losgeldbedragen die werden verdubbeld nadat een onderhandelaar was ingehuurd en onthoud altijd dat er geen garantie is dat u de ontcijferingssleutels ontvangt."

Steps To Take In Case Of Ransomware Attack Def Nl
PDF – 895,5 KB 253 downloads

Uitzendbureau van universiteit Leiden getroffen door ransomwareaanval, salarisverwerking geblokkeerd

JobMotion, het interne uitzendbureau van de Universiteit Leiden, is naar nu blijkt donderdag 9 december getroffen door een ransomwareaanval op het salarisverwerkingssysteem. De hackers waren in staat om veel gevoelige gegevens te stelen, zoals burgerservicenummer, nationaliteit, bankrekeningnummer, salarisafspraken en inloggegevens. Het bedrijf waarschuwt dat de salarisuitbetaling aan studenten die via JobMotion voor de universiteit werken, mogelijk niet op tijd betaald kunnen worden. De salarisverwerking is geblokkeerd. Het computersysteem waarmee JobMotion dat doet, beheert het uitzendbureau niet zelf, maar via ’een leverancier’. Direct nadat de aanval was ontdekt, heeft die leverancier ’een gespecialiseerd cybercrimebedrijf ingehuurd dat direct is gestart met onderzoeks- en herstelwerkzaamheden’, schrijft JobMotion op de website. Ook heeft het bedrijf de Autoriteit Persoonsgegevens op de hoogte gebracht van de hack. In een toelichting schrijft het bedrijf dat ’het onderzoek naar de toedracht nog in volle gang is’. ,,We weten op dit moment nog niet of persoonsgegevens in handen van cybercriminelen terecht zijn gekomen. Wees daarom alert op identiteitsfraude.’’ JobMotion, dat is gevestigd in innovatiecentrum PLNT aan de Langegracht 70 in Leiden, zegt verder dat het in nauw contact met de leverancier staat ’over de verdere afwikkeling en de uitkomsten van het onderzoek’. Medewerkers die vermoeden dat hun gegevens zijn gestolen, kunnen een melding doen bij het Centraal Meldpunt Identiteitsfraude. Opmerkelijk genoeg plaatste JobMotion afgelopen week zelf een vacature voor een payrollmedewerker, die moet zorgen voor een ’correcte uitvoer van de salarisadministratie’.


Stad Luik betaalde losgeld aan hackers

Terwijl de stad Antwerpen de deadline ziet wegtikken om al dan niet het gevraagde losgeld te betalen aan hackers, is er wel een precedent. Zo betaalde de stad luik vorig jaar losgeld aan hackers, al liep dat wel via verzekeraar Ethias. De stad Luik werd vorig jaar slachtoffer van een cyberaanval die werd uitgevoerd (en opgeëist) door een internationaal hackerscollectief. Deze hackersgroep vroeg toen ook al losgeld aan het stadsbestuur, schrijft HLN. Het zou toen om een bedrag van dertig miljoen euro zijn gegaan. Toch waren de staddiensten in Luik hier nooit echt bij betrokken. Dat losgeld zou zijn geregeld via verzekeraar Ethias, in lijn met hun actie om alles weer te activeren. Luik was namelijk door Ethias ingedekt tegen internetcriminelen. De hackers zouden dan wel dertig miljoen hebben gevraagd, maar het is evenwel niet zeker of dat integrale bedrag ook door Ethias is betaald als verzekeraar. Bij Antwerpen zou de deadline op volgende maandag liggen.


Private Minecraft-servers doelwit van cross-platform botnet

Een botnet dat Internet of Things-apparaten en Linux- en Windows-machines infecteert voert ddos-aanvallen uit tegen private Minecraft-servers, zo stelt Microsoft. Het techbedrijf vermoedt dat de ddos-aanvallen als dienst op internet worden aangeboden. De initiële infectie begint bij eindgebruikers die tools downloaden voor het op illegale wijze activeren van Windows. De tools zijn echter malware die de besmette computer vervolgens gebruiken voor het scannen naar IoT- en Linux-machines die via SSH toegankelijk zijn. Zodra een machine is gevonden wordt er een bruteforce-aanval uitgevoerd om via SSH toegang te krijgen en het apparaat vervolgens te infecteren. Het cross-platform botnet voert als laatste specifieke commando's tegen Minecraft-servers uit waardoor die crashen. Daarbij heeft het botnet het specifiek voorzien op Minecraft-versie 1.22.2, aangezien deze versie hardcoded in de malware is opgenomen. Alle versies tussen versie 1.7.2 en 1.18.2 zijn echter kwetsbaar voor de gebruikte aanvalsmethode. "De unieke mogelijkheid van deze dreiging om IoT-apparaten te gebruiken die vaak niet worden gemonitord als onderdeel van het botnet vergroten diens impact aanzienlijk en verkleinen de kans op detectie", aldus Microsoft. Organisaties worden dan ook aangeraden standaard IoT-wachtwoorden te wijzigen en externe toegang tot SSH te blokkeren.


Cisco waarschuwt organisaties voor groot aantal actief aangevallen lekken

Cisco waarschuwt organisaties die van de netwerkapparatuur van het bedrijf gebruikmaken voor negentien bekende kwetsbaarheden waar aanvallers actief misbruik van maken en systemen mee kunnen overnemen of platleggen. Vijf van de beveiligingslekken zijn als kritiek aangemerkt. Het gaat onder andere om kwetsbaarheden in de "smart installatie" feature van Cisco IOS en IOS XE waardoor een ongeauthenticeerde aanvaller op afstand code kan uitvoeren. Ook noemt Cisco kwetsbaarheden in de dsl vpn-routers RV132W en RV134W, alsmede Cisco HyperFlex HX en het Cisco Secure Access Control System. Het gaat hierbij om beveiligingslekken uit 2018 en 2021. Cisco zegt dat het vorig jaar november en in maart van dit jaar misbruik van de kwetsbaarheden heeft waargenomen. Dat geldt ook voor de andere veertien kwetsbaarheden. Daarop heeft Cisco nu besloten om de eerder uitgegeven beveiligingsbulletins van een update te voorzien en organisaties nogmaals op te roepen de beschikbare updates te installeren. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst van actief aangevallen kwetsbaarheden bij. De beveiligingslekken waarvoor Cisco klanten nu waarschuwt verschenen eerder op deze lijst.


Honderdduizenden dollars aan voedsel gestolen via hack e-mail server

Criminelen hebben door middel van e-mailfraude honderdduizenden dollars aan voedsel van voedselproducenten weten te stelen, aldus de FBI, het Amerikaanse ministerie van Landbouw en de Amerikaanse Food and Drug Administration in een waarschuwing. Het gaat hier om business email compromise (BEC) waarbij aanvallers via bijvoorbeeld phishing of zwakke of hergebruikte wachtwoorden toegang tot e-mailaccounts weten te krijgen. Via de gekaapte accounts, maar ook door gebruik te maken van gespoofte e-mailadressen of typosquatting, waarbij ze domeinen registreren die op die van een legitieme organisatie lijken, sturen de aanvallers malafide e-mails. Zo doen de oplichters zich bijvoorbeeld voor als leverancier of afnemer. Vaak worden ook namen van echte medewerkers en logo's van de betreffende onderneming gebruikt. In de meeste gevallen proberen criminelen door middel van business email compromise geld te stelen, maar inmiddels is ook voedsel een doelwit. De Amerikaanse overheidsinstanties melden dat de afgelopen maanden verschillende voedselproducenten het slachtoffer van BEC-fraude zijn geworden. Zo werden meerdere voedselproducenten en -distributeurs via e-mail benaderd met het verzoek om melkpoeder, waarbij de zendingen vervolgens werden opgehaald. Eén bedrijf werd zo voor een bedrag van 600.000 dollar bestolen. De FBI adviseert voedselproducenten dan ook goed te letten op gebruikte e-maildomeinen en logo's, verzoeken, plotselinge wijzigingen en andere zaken te controleren en personeel over BEC-fraude voor te lichten (pdf).

221216
PDF – 707,4 KB 311 downloads

Langzaam herstel internetdiensten Stad Antwerpen

Anderhalve week nadat een ransomware-aanval de stad Antwerpen trof, komt het herstel van de gemeentelijke it-systemen maar langzaam op gang. De dienstverlening blijft veel hinder ondervinden. Veel zaken zijn nog niet online te regelen zoals het maken van afspraken en het aanvragen van bepaalde vergunningen en andere documenten. Wel kunnen burgers weer online meldingen doen van overlast. Ook een aantal aktes en uittreksels is via e-loketten beschikbaar. Zelfs de link die meer informatie geeft over de cyberaanval, bleek vanmiddag niet te werken. De problemen zullen naar verwachting nog tot het eind van dit jaar voortduren. Verder hangt de stad Antwerpen openbaarmaking van gestolen privédata boven het hoofd. De cybercriminelen dreigen alle buit gemaakte bestanden via de deeldienst Mega te lekken, als de gemeente niet voor 19 december met losgeld over de brug komt. De bende pleegt die dreigingen ook daadwerkelijk uit te voeren. Eerder werden overheden in Frankrijk en Uruguay zo gechanteerd. De hoogte van de eis is niet bekend. De hackers die opereren onder de naam Play, hebben ruim een halve terabyte aan gestolen data weten te kapen. De bende claimt allerlei persoonlijke informatie, identiteitskaarten en financiële documenten in handen te hebben.


Ransomware-aanval kost moederbedrijf Makro tientallen miljoenen euro's

De ransomware-aanval waardoor het moederbedrijf van Makro werd getroffen zorgt voor een verlies van tientallen miljoenen euro's, zo heeft de Duitse groothandelsgroep Metro bekendgemaakt. Metro maakte in oktober melding van een beveiligingsincident, wat voor een verstoring van en vertragingen bij allerlei diensten zorgde. Criminelen achter de Black Basta-ransomware hadden toegang tot systemen van de onderneming gekregen. Bij de aanval wisten de criminelen ook persoonsgegevens van huidige en voormalige medewerkers en sollicitanten buit te maken, die vervolgens op internet werden gepubliceerd. Op 23 november meldde Metro dat het tijdens de herstelwerkzaamheden van de aanval in oktober opnieuw verdachte activiteit had gedetecteerd. Het bleek om een malware-infectie te gaan, waarop uit voorzorg werd besloten om individuele systemen uit te schakelen. Hierdoor waren technische diensten niet of beperkt beschikbaar. Na 23 november heeft Metro geen verdere informatie over het incident gegeven. Door de verstoring van diensten werd de reclamefolder van Makro later uitgebracht dan gepland. Bij de Belgische locaties van Makro vielen kassasystemen en elektronische prijsetiketten uit en ondervond ook de webwinkel hinder. Gisteren kwam Metro met de jaarcijfers. De winst in het lopende boekjaar 2022-2023, dat in oktober begon, komt lager uit dat het afgelopen boekjaar. De aangepaste brutobedrijfswinst zal komend jaar met 75 miljoen dalen naar 225 miljoen euro. Naast de cyberaanval komt dat volgens Metro ook door de 'aanzienlijke kosteninflatie'. Het Financieele Dagblad spreekt dat de kosten van de ransomware-aanval tussen de veertig miljoen en zeventig miljoen euro liggen.


Hackers geven duidelijke boodschap aan Digipolis: “Hou politie erbuiten. Uw problemen interesseren hen niet"

Na de cyberaanval op de stad Antwerpen hebben de hackers van collectief Play op hun website enkele tips gepubliceerd voor Digipolis, de IT-partner van de stad, in verband met de onderhandeling over het losgeld. Eén daarvan luidt: “Reken niet op de politie.” De hackers garanderen dat zij na betaling alle buitgemaakte data zullen vernietigen. “Wij hebben een reputatie hoog te houden”, schrijft Play op zijn website.


Scherpenheuvel (B) opent loket voor Diestenaars na cyberaanval

Begin deze week werd Diest slachtoffer van een cyberaanval, waarbij de computersystemen van de stad werden lamgelegd. Buurgemeente Scherpenheuvel-Zichem besloot in de bres te springen, en opende speciaal een tijdelijk loket in haar eigen gemeentehuis. Sinds vandaag kunnen Diestenaars daar terecht voor sommige aanvragen en documenten. “Ik vertrek volgende week naar Londen, dus dat ik nu hier toch nog mijn reispas kan aanvragen, is echt een geschenk.” “Soms is het behelpen met pen en papier, maar we doen dit zolang als het kan”.


Vrachtwagenbouwer Mol Cy slachtoffer cyberaanval

Mol Cy, het bedrijf in Hooglede (B) dat trucks, trailers en binnenkort ook pantservoertuigen bouwt, werd vorige week getroffen door een zware cyberaanval met gijzelsoftware. Computercriminelen kraakten het interne systeem en eisten losgeld. Een week later is het bedrijf nog steeds in de weer om het netwerk opnieuw op te bouwen. Op woensdag 7 december werd vrachtwagenbouwer Mol Cy in Sleihage, op de grens tussen Hooglede en Staden, slachtoffer van een grote cyberaanval. Hackers gebruiken daarbij ransomware, dat is gijzelsoftware die data versleutelt zodat de eigenaar er niet meer aan kan. De hackers eisen vervolgens losgeld om de versleuteling ongedaan te maken. Ook bij Mol Cy vroegen de aanvallers losgeld. “Onze printers begonnen plots documenten af te drukken waarop vermeld stond dat we aangevallen werden”, vertelt co-CEO Lieven Neuville. Het bedrijf schakelde meteen zijn IT-dienst in om zo snel mogelijk het IT-systeem los te koppelen van het internet om documenten en gegevens te redden. “We hebben er ook twee gespecialiseerde bedrijven bijgehaald om ons bij te staan en een forensisch onderzoek op te starten. We hebben toen ook meteen de autoriteiten op de hoogte gebracht van de aanval”, zegt Neuville. De hackers vroegen om losgeld om de data van het bedrijf terug vrij te geven. “We zijn daar niet op ingegaan”, zegt de CEO. “We zijn geen data kwijt, maar het is natuurlijk wel een heel werk om alles terug in orde te krijgen. Volgens de CEO kwam de productie niet in het gedrang. “De bevoorrading had net plaatsgevonden en de orders waren aan de gang. Onze productie werd uiteraard verstoord, maar is uiteindelijk niet stilgevallen. Op een aantal werkposten waar computers informatie leveren, was het wat moeilijker werken. Maar ons personeel heeft zich kunnen behelpen.” De afgelopen dagen zaten wel zo’n 50 medewerkers even thuis. “Vooral onze administratieve krachten kunnen hun werk niet doen zonder pc en netwerk. Zij waren helaas tijdelijk werkloos.” Sinds vorige week is Mol Cy bezig met het veiligstellen van de systemen en het opbouwen van een nieuw netwerk. De computers worden volledig geformatteerd. “Het is een bijzonder groot werk, maar we moeten ervoor zorgen dat het niet opnieuw gebeurt als we straks weer online gaan.” Mol Cy sloot in mei dit jaar een overeenkomst met defensie om in totaal 382 Griffon pantservoertuigen te leveren. Of dat de aanleiding geweest is voor de aanval, is niet bekend. Maar vrees dat gevoelige informatie in verkeerde handen gevallen zou zijn is er niet. “De opdracht gaat pas in uitvoering in 2025 en de nodige informatie hebben we nog niet ontvangen. Op het moment van de cyberaanval hadden we dus nog geen gevoelige informatie uitgewisseld met Defensie. We zitten nog in de voorbereidende fase en zijn op dit moment een nieuwe werkplaats aan het bouwen voor de productie van de pantserwagens”, zegt Neuville.


Actief misbruikte kwetsbaarheden in Veeam Backup

De Amerikaanse overheid waarschuwt voor twee actief misbruikte kwetsbaarheden in Veeam Backup & Replication waardoor aanvallers op afstand het systeem volledig kunnen overnemen. Veeam Backup & Replication is software voor het back-uppen en restoren van fysieke, virtuele en cloudomgevingen en Microsoft Office 365. Begin dit jaar kwam de softwareontwikkelaar met updates voor twee kwetsbaarheden (CVE-2022-26500 en CVE-2022-26501) in de software. De Veeam Distribution Service die standaard op tcp-poort 9380 draait geeft ongeauthenticeerde gebruikers toegang tot interne API-functies. Een aanvaller kan via deze interne API code op het systeem uitvoeren. De impact van de kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Beide beveiligingslekken, gevonden door beveiligingsonderzoeker Nikita Petrov van Positive Technologies, werden op 12 maart van dit jaar verholpen. Het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security, laat nu weten dat er actief misbruik van beide kwetsbaarheden is gemaakt. Federale Amerikaanse overheidsinstanties zijn nu opgeroepen om de betreffende updates voor 3 januari te installeren.


Door Microsoft gesigneerde drivers gebruikt bij ransomware-aanvallen

Criminelen hebben door Microsoft gesigneerde drivers gebruikt bij ransomware-aanvallen op verschillende organisaties. Microsoft heeft inmiddels maatregelen genomen, waaronder het opschorten van de accounts die werden gebruikt om de drivers door Microsoft te laten signeren. Dat heeft het techbedrijf gisterenavond bekendgemaakt. De afgelopen maanden bleek dat aanvallers bij aanvallen geregeld kwetsbaarheden in drivers gebruikten. Drivers draaien vaak met hoge rechten. Via de kwetsbaarheid in de driver kunnen de aanvallers hun eigen rechten verder verhogen en bijvoorbeeld beveiligingssoftware uitschakelen. Het ging dan bijvoorbeeld om drivers van Avast en MSI waar bekende kwetsbaarheden in aanwezig zijn. Bij de aanvallen waarover Microsoft en securitybedrijven Mandiant, SentinelOne en Sophos nu berichten lukte het de aanvallers om hun eigen kernelmode-drivers door Microsoft gesigneerd te krijgen. Vanaf Windows 10 moeten alle kernelmode-drivers via het Windows Hardware Developer Center Dashboard portal gesigneerd zijn. Ontwikkelaars moeten hiervoor een account aanmaken, en aan verschillende eisen voldoen, voordat ze hun driver kunnen indienen. Microsoft controleert vervolgens de driver en zal die vervolgens signeren. De drivers van de aanvallers waren zo gemaakt dat die moesten helpen om de beveiligingssoftware van de aangevallen organisaties uit te schakelen. Voordat de malafide drivers konden worden gebruikt hadden de aanvallers al beheerderstoegang tot één of meerdere systemen van de betreffende organisaties verkregen. Na ontdekking dat sommige accounts van het Windows Hardware Developer Program malafide drivers indienden werden deze accounts geschorst. Verder heeft Microsoft de drivers op de blocklist van Windows geplaatst en detectie aan Microsoft Defender toegevoegd. Verschillende groepen aanvallers hebben volgens de securitybedrijven de malafide drivers gebruikt. Hoe de malafide drivers door de controle van Microsoft konden komen is niet bekendgemaakt.


Citrix waarschuwt voor actief aangevallen zerodaylek in ADC en Gateway

Softwarebedrijf Citrix waarschuwt organisaties voor een actief aangevallen zerodaylek in Citrix ADC en Citrix Gateway waardoor een aanvaller kwetsbare systemen op afstand kan overnemen. Organisaties worden opgeroepen om de beschikbaar gestelde beveiligingsupdates direct te installeren. Citrix ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. De luxere versies bieden ook bescherming tegen dos-aanvallen en een webapplicatiefirewall. Via de Citrix Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. Waarbij de Citrix ADC een apart apparaat is, is de Gateway een softwareoplossing die organisaties op een server moeten installeren. De kwetsbaarheid waarvoor Citrix nu waarschuwt, aangeduid als CVE-2022-27518, laat een ongeauthenticeerde aanvaller op afstand willekeurige code op het systeem uitvoeren. De enige vereiste is wel dat de Citrix ADC of Citrix Gateway als een SAML Service Provider of een SAML identity provider is geconfigureerd. Citrix stelt dat aanvallers al misbruik van de kwetsbaarheid maken. Vanwege de impact van een gecompromitteerd systeem, waardoor verdere aanvallen mogelijk zijn, adviseert Citrix om de beschikbaar gemaakte beveiligingsupdates zo snel mogelijk te installeren. Daarnaast heeft de Amerikaanse geheime dienst NSA een document gepubliceerd met advies om al gecompromitteerde Citrix-installaties te kunnen herkennen (pdf). De zeroday-aanvallen zijn volgens de NSA uitgevoerd door een spionagegroep aangeduid als APT5. Een uit 2019 stammende kwetsbaarheid in Citrix Gateway en ADC werd destijds op grote schaal gebruikt en zorgde in Nederland volgens de ANWB zelfs voor files. Afgelopen oktober meldde de Amerikaanse overheid dat dit beveiligingslek nog altijd geliefd is bij aanvallers.

CSA APT 5 CITRIXADC V 1 PDF
PDF – 375,2 KB 284 downloads

Ransomware-aanval kostte Ierse gezondheidszorg al 80 miljoen euro

De grootschalige ransomware-aanval waar de Ierse gezondheidszorg HSE vorig jaar mei door werd getroffen heeft al tachtig miljoen euro gekost. Dat heeft Fran Thompson, chief information officer bij de HSE, laten weten. Het geld, 42 miljoen euro vorig jaar en bijna 39 miljoen euro tot en met oktober van dit jaar, is onder andere uitgegeven aan de infrastructuur, upgrades en het vervangen van systemen, alsmede externe experts en bedrijven die moesten worden ingeschakeld. De aanval begon toen een medewerker van de Health Service Executive (HSE) op 18 maart 2021 een Excel-bestand opende dat via e-mail naar hem was gestuurd. Details of het document een kwetsbaarheid of malafide macro bevatte werden niet in onderzoeksdocument naar het incident gegeven. Vervolgens wisten de aanvallers zich door de netwerkomgeving van de HSE te bewegen en uiteindelijk allerlei systemen te versleutelen en gegevens te stelen. Door de aanval zagen ziekenhuizen zich genoodzaakt om allerlei afspraken te annuleren en werd de dienstverlening aan patiënten ontregeld. "De kosten zijn gigantisch. We hadden met deze 80 miljoen euro veel verplegers kunnen betalen en gezondheidsinfrastructuur kunnen opzetten als de overheid ons niet zo had blootgesteld aan een cyberaanval", aldus Peadar Tóibín, leider van de politieke partij Aontú, tegenover The Irish Times. Volgens Tóibín was het Ierse National Cyber Security Centre onderbemand en had een klein budget. De Aontú-leider heeft dan ook opheldering aan de Ierse regering gevraagd en wil onder andere weten wat voor gevolgen de cyberaanval had, door uitgestelde behandelingen of afspraken, op de gezondheid en levens van mensen.


Actief misbruikt zerodaylek in vpn-software FortiOS SSL-VPN

Fortinet waarschuwt organisaties voor een actief misbruikt zerodaylek in FortiOS SSL-VPN waardoor een aanvaller op afstand kwetsbare vpn-servers kan overnemen. Door het versturen van speciaal geprepareerde requests kan een aanvaller een heap-based buffer overflow veroorzaken en zo code op het systeem uitvoeren. Voor het uitvoeren van de aanval hoeft een aanvaller niet over inloggegevens te beschikken. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Fortinet zegt dat het beveiligingslek, aangeduid als CVE-2022-42475, al voor het uitkomen van de beveiligingsupdate actief is aangevallen, maar geeft geen verdere details over het doelwit van de aanvallen. Wel bevat het beveiligingsbulletin informatie waarmee een succesvolle aanval op de vpn-server is te herkennen. "Kwetsbaarheden in VPN-interfaces kunnen daarom een startpunt bieden om een netwerk binnen te dringen, waarna mogelijk ook andere systemen worden gecompromitteerd. Afhankelijk van de situatie, kan een kwaadwillende op die manier bijvoorbeeld toegang krijgen tot gevoelige informatie of een ransomware-aanval uitvoeren", aldus het Nationaal Cyber Security Centrum (NCSC). Het NCSC, het Australische Cyber Security Centre en Amerikaanse Cybersecurity and Infrastructure Security Agencyroepen organisaties op om de beveiligingsupdate direct te installeren en te controleren of hun vpn-servers niet zijn gecompromitteerd.


Securitybedrijf meldt grootschalige aanvallen op kwetsbare WordPress-plug-ins

De afgelopen wekeen hebben hebben er grootschalige aanvallen op twee kwetsbare WordPress-plug-ins plaatsgevonden, zo stelt securitybedrijf Wordfence op basis van eigen cijfers. Het gaat om advertentieplug-in Adning en de Kaswara Modern WPBakery Page Builder add-on, een uitbreiding die het eenvoudiger moet maken om WordPress-sites te ontwerpen. In juni 2020 werd er een kwetsbaarheid in Adning gevonden waardoor een ongeauthenticeerde aanvaller willekeurige bestanden naar de WordPress-site kan uploaden, om zo malafide code uit te voeren en volledige controle over de website te krijgen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Ook het beveiligingslek in Kaswara, waarvoor vorig jaar april werd gewaarschuwd, laat een aanvaller malafide php-bestanden uploaden en zo websites overnemen. Voor deze kwetsbaarheid, ook met een impactscore van 10.0, is nooit een update verschenen. Volgens Wordfence hebben aanvallers de afgelopen weken het lek in de Kaswara-plug-in op zo'n twee miljoen websites geprobeerd, terwijl dat er normaal 256.000 zijn. Verder werd geprobeerd om een miljoen websites via de Adning-kwetsbaarheid aan te vallen, terwijl dat er gemiddeld 375.000 zijn. Het aantal WordPress-sites dat van beide plug-ins gebruikmaakt is echter veel lager. Naar schatting draait de Kaswara-plug-in nog op achtduizend websites, terwijl Adning op nog zo'n zevenhonderd websites actief is. WordPress-beheerders wordt dan ook aangeraden om hun plug-ins up-to-date te houden en te verwijderen wanneer die niet meer worden ondersteund.


Rackspace aangeklaagd na uitval Exchange-omgeving door ransomware

Hostingbedrijf Rackspace is in de Verenigde Staten twee keer aangeklaagd wegens de uitval van de hosted Exchange-omgeving door een ransomware-aanval. Volgens de aanklachten is Rackspace nalatig geweest en heeft het gegevens van klanten niet goed beschermd. De koers van Rackspace op de Amerikaanse beurs was sinds het incident met een vrije val bezig, maar laat vandaag weer een stijging zien. Op 2 december meldde Rackspace dat er een "beveiligingsincident" was met de hosted Exchange-omgeving waardoor klanten problemen met de toegang tot hun e-mail hadden. De wachttijden van klanten met vragen werd zo groot dat Rackspace naar eigen zeggen duizend man extra personeel inzette om support te verlenen. Om toch toegang tot hun e-mail te krijgen bood Rackspace klanten aan om op Microsoft 365 over te stappen. Een aantal dagen later maakte Rackspace bekend dat het slachtoffer was geworden van een ransomware-aanval. Een beveiligingsonderzoeker stelde dat het hostingbedrijf een belangrijke beveiligingsupdate voor een Exchange-server mogelijk niet had geïnstalleerd. Volgens advocatenkantoor Cole & Van Note heeft Rackspace zich onder andere schuldig gemaakt aan nalatigheid. "Ondanks honderden datalekken elk jaar in dit land, ontvang ik berichten van kwetsbaarheden in de hostingomgeving van Rackspace die meer dan een jaar teruggaan. Dat, en een gebrek aan back-upprotocollen, is waarom een rechtszaak zoals deze zo belangrijk is", zegt advocaat Scott Cole. De andere rechtszaak stelt dat Rackspace de gegevens van klanten niet goed heeft beschermd en de ransomware-aanval voorkomen had kunnen worden. In beide rechtszaken eisen de klagers geld van Rackspace.


Ook stad Diest is het slachtoffer van een cyberaanval

De stad Diest in Vlaams-Brabant is vannacht (11 op 12 dec) het slachtoffer geworden van een cyberaanval. "Al onze stadsdiensten liggen plat", bevestigt burgemeester Christophe De Graef (Open Diest) aan VRT NWS. Zo kunnen inwoners momenteel niet geholpen worden aan de loketten van het stadhuis. Ook de bibliotheek, scholen en cultuurcentrum Den Amer ondervinden problemen. "Vanmorgen is gebleken dat wij vannacht gehackt zijn. Dat wil zeggen dat de IT-systemen van alle stadsdiensten platliggen", zegt burgemeester Christophe De Graef (Open Diest). "Momenteel proberen we alles in kaart te brengen. De schade die het heeft toegebracht, wordt nog onderzocht. We weten ook nog niet wie er achter zit." Het is ook onduidelijk of er losgeld gevraagd wordt. De aanval lijkt op het eerste gezicht gericht te zijn op de interne systemen van de stad, klinkt het. Het gaat dan om mailverkeer en toegang tot internet, maar ook de software die nodig is om inwoners digitaal te helpen ligt voorlopig plat. Ook de loketdiensten zijn moeilijk bereikbaar. Inwoners kunnen momenteel niet verdergeholpen worden aan de loketten. Ze zijn ook niet bereikbaar via mail, wel via telefoon. Het is niet mogelijk om inwoners een nieuwe afspraak te geven. Op de Facebookpagina van de lokale bibliotheek staat te lezen dat er momenteel geen uitgeleend materiaal verlengd kan worden. Ook cultuurcentrum Den Amer en verschillende scholen ondervinden hinder. 


Amerikaanse overheid waarschuwt ziekenhuizen voor Royal-ransomware

Het Amerikaanse ministerie voor Volksgezondheid heeft ziekenhuizen en andere zorginstellingen gewaarschuwd (pdf) voor de Royal-ransomware. Aanleiding zijn meerdere zorginstanties die het doelwit van deze ransomware zijn geworden. Vorige maand kwam Microsoft ook al met een analyse van de Royal-ransomware. Volgens het Amerikaanse ministerie bestaat de Royal-groep uit leden van andere ransomwaregroepen, aangezien er onderdelen van andere ransomware-operaties herkenbaar zijn. Veel ransomware wordt tegenwoordig via een Ransomware-as-a-Service (RaaS)-model aangeboden. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. In het geval van de Royal-ransomware lijkt het hier om één groep te gaan die zonder partners werkt en een financieel motief heeft, zo laat de waarschuwing weten. Net als andere ransomwaregroepen zegt de Royal-groep gegevens van getroffen organisaties te stelen. Wanneer slachtoffers het losgeld niet betalen dreigt de groep de gestolen data openbaar te maken. Het losgeld ligt tussen de 250.000 dollar en meer dan 2 miljoen dollar. De Amerikaanse autoriteiten stellen dat Royal een nieuwere ransomware is, en er minder bekend is over de malware en groep erachter dan bij andere ransomware-exemplaren het geval is. Bij aanvallen op de gezondheidszorg heeft de groep zich vooral gericht op zorgorganisaties in de Verenigde Staten. De werkwijze van de groep om toegang tot netwerken te krijgen en de ransomware te verspreiden lijkt echter erg op die van andere ransomwaregroepen.

Hc 3 Analyst Note Tlp Clear December 7 2022 Royal Ransomware
PDF – 428,3 KB 208 downloads

Gemeente Antwerpen afgeperst met gestolen persoonsgegevens burgers

Criminelen achter de Play-ransomware hebben de gemeente Antwerpen afgeperst met gestolen persoonsgegevens. Als de gemeente geen losgeld betaalt dreigen de aanvallers de gestolen privédata openbaar te maken. De gemeente maakte vorige week melding dat het in de nacht van 5 op 6 december getroffen was door een "cyberaanval". In de Belgische media werd gesteld dat het om een ransomware-aanval ging, dat inmiddels door de Vlaamse overheid is bevestigd. Door de aanval zijn allerlei systemen niet meer te gebruiken, wat gevolgen heeft voor de dienstverlening van de stad aan burgers. De gemeente verwacht dat het nog tot het einde van deze maand kan duren voordat de problemen zijn verholpen. Het gaat bijvoorbeeld om de mogelijkheid om nationaliteitsaanvragen in te dienen en parkeervergunningen en bewonerskaarten aan te vragen. Daarnaast zijn honderden medewerkers teruggevallen op werken met pen en papier en mogen leerlingen met leerproblemen van een Antwerpse school hun laptop tijdens de examens niet gebruiken, terwijl dit wel eerst was afgesproken. Ook is het niet mogelijk om bij de Antwerpse bibliotheken boeken te lenen. De aanvallers claimen dat ze persoonlijke informatie, paspoorten, identiteitskaarten, financiële documenten en andere gegevens in bezit hebben. Het zou om 557 gigabyte aan data gaan die de aanvallers naar eigen zeggen op 19 december zullen publiceren. Welk bedrag de aanvallers hebben geëist van de gemeente Antwerpen is niet bekend. De website van de gemeente is op het moment van schrijven onbereikbaar. Het Nieuwsblad meldt dat het ernaar uitziet dat de problemen tot na het nieuwjaar zullen aanhouden.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten