Overzicht van slachtoffers cyberaanvallen week 06-2023

Gepubliceerd op 13 februari 2023 om 15:00

Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


Reddit gehackt via phishing-aanval, Menken Orlando in Nederland slachtoffer van BlackCat cybercriminelen en ransomware-aanval op VMware ESXi: Zeker 78 systemen gehackt in Nederland. Hier het overzicht van de afgelopen week en het dagelijkse nieuws.


Laatste wijziging op 15-februari-2023


Cybercriminelen hebben interne gegevens van meer dan 7.000 organisaties gelekt op het darkweb. In de onderstaande lijst staan de organisaties die geweigerd hebben het losgeld te betalen. Als het losgeld wordt betaald, worden er geen gegevens gelekt op het darkweb.

Opmerking: ‘Zo'n 80% van de organisaties betaalt losgeld’. Kun je dan zeggen dat onderstaande lijst slecht 20% is van het totale aantal slachtoffers van ransomware bendes? 🤔

Meetmoment Aantal organisaties waar data van gelekt is op het darkweb (doxware)
01-05-2019 (eerste slachtoffer) 1
01-05-2020 85
01-05-2021 2.167
01-05-2022 5.565
Nu 7.326


Week overzicht

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum
olsenlawgroup.com LockBit olsenlawgroup.com USA Legal Services 12-feb.-23
wilsonart.co.th LockBit wilsonart.co.th Thailand Furniture 12-feb.-23
ppinvestors.com LockBit ppinvestors.com Hong Kong Real Estate 12-feb.-23
mhstech.com LockBit mhstech.com Israel Engineering Services 12-feb.-23
lhermite-agri.com LockBit lhermite-agri.com France Building Materials, Hardware, Garden Supply, And Mobile Home Dealers 12-feb.-23
Inland Group BlackByte inlandgroup.aero Canada Transportation By Air 12-feb.-23
covermeinsurance.com LockBit covermeinsurance.com Canada Insurance Carriers 12-feb.-23
mrkpc.com LockBit mrkpc.com USA Legal Services 12-feb.-23
maysecc.com LockBit maysecc.com USA Construction 12-feb.-23
interpaving.com LockBit interpaving.com Canada Construction 12-feb.-23
Cork Institute of Technology BlackCat (ALPHV) www.cit.ie Ireland Educational Services 12-feb.-23
Munster Technological University BlackCat (ALPHV) www.mtu.ie Ireland Educational Services 12-feb.-23
Thompson Safety BianLian thompson-safety.com USA Health Services 12-feb.-23
HAK Grazbachgasse BianLian hak-graz.at Austria Educational Services 12-feb.-23
Aviacode (GeBBS) 0mega www.aviacode.com USA IT Services 12-feb.-23
B&G Foods (CA, US) DAIXIN bgfoods.com USA Food Products 11-feb.-23
Tucson Unified School District Royal www.tusd1.org USA Educational Services 10-feb.-23
Jeffries Morris RansomHouse www.thejeffriescompanies.com USA Real Estate 9-feb.-23
Luna Innovations Royal lunainc.com USA Electronic, Electrical Equipment, Components 9-feb.-23
M???????? S?? PLAY Unknown Italy Unknown 9-feb.-23
arcessex.org LockBit arcessex.org USA Miscellaneous Services 9-feb.-23
phihong.com.tw LockBit phihong.com.tw Taiwan Electronic, Electrical Equipment, Components 9-feb.-23
Mount Saint Mary College Vice Society www.msmc.edu USA Educational Services 9-feb.-23
ACS PLAY www.acscm.com USA Construction 8-feb.-23
A10 PLAY www.a10networks.com USA IT Services 8-feb.-23
Cave Beblenheim PLAY www.cave-beblenheim.com France Food Products 8-feb.-23
Trendsetter Engineering Royal www.trendsetterengineering.com USA Engineering Services 8-feb.-23
Menken Orlando BlackCat (ALPHV) www.menkenorlando.nl Netherlands Food Products 8-feb.-23
JReynolds BlackCat (ALPHV) www.jreynolds.com USA Construction 8-feb.-23
Kerber, Eck & Braeckel LLP BlackCat (ALPHV) www.kebcpa.com USA Accounting Services 8-feb.-23
transports-feuillet.fr LockBit transports-feuillet.fr France Motor Freight Transportation 8-feb.-23
Penn Power Group BlackByte pennpowergroup.com USA Engineering Services 7-feb.-23
royalmailgroup.com LockBit royalmailgroup.com UK Motor Freight Transportation 7-feb.-23
Ultralife Corporation AvosLocker ultralifecorporation.com USA Electronic, Electrical Equipment, Components 7-feb.-23
Hamilton Parker AvosLocker www.hamiltonparker.com USA Wholesale Trade-durable Goods 7-feb.-23
The DGCX RansomHouse www.dgcx.ae United Arab Emirates Security And Commodity Brokers, Dealers, Exchanges, And Services 7-feb.-23
L?? C??e PLAY Unknown Spain Unknown 6-feb.-23
?C? PLAY Unknown USA Unknown 6-feb.-23
MWI Animal Health Lorenz www.mwiah.com USA Wholesale Trade-non-durable Goods 6-feb.-23
AmerisourceBergen/Censora Lorenz www.amerisourcebergen.com USA Wholesale Trade-non-durable Goods 6-feb.-23
teleapps.com LockBit teleapps.com India IT Services 6-feb.-23
Woodmeister Master Builders, Inc. BianLian woodmeister.com USA Construction 6-feb.-23
*r***** ********** ******** *********** BianLian Unknown USA Health Services 6-feb.-23
ANXA BianLian anxa.com France Health Services 6-feb.-23
Advance2000 BianLian advance2000.com USA IT Services 6-feb.-23
hkri.com LockBit hkri.com Hong Kong Real Estate 6-feb.-23
medellin.gov.co LockBit medellin.gov.co Colombia General Government 6-feb.-23
etbrick.com LockBit etbrick.com USA Wholesale Trade-durable Goods 6-feb.-23
jams.edu.jo LockBit jams.edu.jo Jordan Educational Services 6-feb.-23
INNOVATION COLLABORATION SYNERGY Royal www.ics-nett.com USA IT Services 6-feb.-23
nicklaus.com LockBit nicklaus.com USA Amusement And Recreation Services 6-feb.-23
prlabs.com LockBit prlabs.com USA Chemical Producers 6-feb.-23
wcinet.com LockBit wcinet.com USA Business Services 6-feb.-23
crispinvalve.com LockBit crispinvalve.com USA Electronic, Electrical Equipment, Components 6-feb.-23
El-Mohandes BlackCat (ALPHV) www.el-mohandes.com Egypt Chemical Producers 6-feb.-23
Schandy AvosLocker schandy.com.uy Uruguay Water Transportati 6-feb.-23
*r***** ********** ******** *********** BianLian Unknown USA Health Services 6-feb.-23
ANXA BianLian anxa.com France Health Services 6-feb.-23
Advance2000 BianLian advance2000.com USA IT Services 6-feb.-23
hkri.com LockBit hkri.com Hong Kong Real Estate 6-feb.-23
medellin.gov.co LockBit medellin.gov.co Colombia General Government 6-feb.-23
etbrick.com LockBit etbrick.com USA Wholesale Trade-durable Goods 6-feb.-23
jams.edu.jo LockBit jams.edu.jo Jordan Educational Services 6-feb.-23
INNOVATION COLLABORATION SYNERGY Royal www.ics-nett.com USA IT Services 6-feb.-23
nicklaus.com LockBit nicklaus.com USA Amusement And Recreation Services 6-feb.-23
prlabs.com LockBit prlabs.com USA Chemical Producers 6-feb.-23
wcinet.com LockBit wcinet.com USA Business Services 6-feb.-23
crispinvalve.com LockBit crispinvalve.com USA Electronic, Electrical Equipment, Components 6-feb.-23
El-Mohandes BlackCat (ALPHV) www.el-mohandes.com Egypt Chemical Producers 6-feb.-23
Schandy AvosLocker schandy.com.uy Uruguay Water Transportation 6-feb.-23

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum
Menken Orlando BlackCat (ALPHV) www.menkenorlando.nl Netherlands Food Products 8-feb.-23

In samenwerking met DarkTracer

Top 3 cybercrime groepen met de meeste slachtoffers

Groepering Aantal slachtoffers
1 LockBit 1.403 Actief
2 Conti 674 Niet meer actief
3 BlackCat (ALPHV) 268 Actief

Actieve aanvallen op NAS-systemen fabrikant TerraMaster

NAS-systemen van fabrikant TerraMaster zijn het doelwit van aanvallen, zo waarschuwt de Amerikaanse overheid. In het TerraMaster Operating System (TOS), dat op de NAS-systemen draait, bevindt zich een kwetsbaarheid (CVE-2022-24990) waardoor een aanvaller op afstand het beheerderswachtwoord kan achterhalen, om daarmee vervolgens in te loggen. Het beveiligingslek is aanwezig in versie 4.2.29 en eerder. TerraMaster kwam vorig jaar maart en april met firmware-updates (4.2.31). Destijds maakten de onderzoekers die het probleem ontdekten ook de details bekend. Het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security, laat nu weten dat aanvallers actief misbruik van de kwetsbaarheid maken. De NAS-systemen van TerraMaster worden vooral in zakelijke en professionele omgevingen gebruikt. Het CISA heeft Amerikaanse overheidsinstanties nu opgedragen om de update voor 3 maart te installeren.


Amerikaanse stad Oakland getroffen door ransomware-aanval

De Amerikaanse stad Oakland is getroffen door een ransomware-aanval en heeft daarop besloten om geraakte systemen offline te halen. Dat heeft de stad zelf bekendgemaakt. De aanval vond plaats in de nacht van woensdag op donderdag. Essentiële functies van de stad, waaronder de 911-alarmdienst, zijn intact, alsmede de beschikbaarheid van financiële gegevens. Details over de aanval zijn nog niet bekend. De stad laat weten de ernst en omvang nog te onderzoeken. Wel worden "industry best practices" gevolgd en een responsplan ontwikkeld om met de situatie om te gaan. Verder zijn zoals gezegd de getroffen systemen offline gehaald terwijl er wordt gekeken hoe die zijn te herstellen en beveiligen. De stad maakte gisteren bekend dat het slachtoffer van ransomware was geworden en heeft sindsdien geen verdere updates gegeven. Oakland telt zo'n 434.000 inwoners.


Aantal cyberaanvallen in 2022 op nieuw hoogtepunt

Het aantal mondiale cyberaanvallen is in het afgelopen jaar tot een nieuw hoogtepunt gestegen. Dit stellen onderzoekers van Check Point Research in hun jaarlijkse securityrapport. Vooral werden meer aanvallen door activistische hackers, ransomware-aanvallen en aanvallen op cloudgebaseerde netwerken geconstateerd. Uit het 2023 Security Report van de securityspecialist blijkt dat het afgelopen jaar het aantal cyberaanvallen een nieuw hoogtepunt bereikte. In totaal constateerden de onderzoekers gemiddeld 1,168 aanvallen op bedrijven per week. Dit is een toename van 38 procent vergeleken met 2021. Als een belangrijke reden voor de toename van het aantal aanvallen, stelt Check Point Research de huidige geopolitieke ontwikkelingen. Vooral het conflict in Oekraïne zou aan de stijging van het aantal cyberaanvallen hebben bijgedragen. De meest aangevallen sector is nog steeds de onderwijs- en onderzoekssector, maar de gezondheidszorg zag in 2022 de grootste toename van het aantal cyberaanvallen. Het aantal cyberaanvallen op deze laatste sector nam met 74 procent toe in vergelijking met een jaar eerder.


De meest aangevallen kwetsbaarheden van 2022 volgens de Franse overheid

De Franse overheid heeft in een terugblik op vorig jaar een lijst gepubliceerd van de twaalf meest aangevallen kwetsbaarheden in 2022, waaruit blijkt dat aanvallers vooral veel misbruik van beveiligingslekken in Microsoft Exchange maakten. Het overzicht bestaat uit beveiligingslekken waarvan het Franse nationale bureau voor beveiliging van informatiesystemen (ANSSI) of het bedrijf dat onderzoek naar de aanval deed het gebruik ervan kon bevestigen. Op de lijst komen een dozijn kwetsbaarheden voor. De helft daarvan bevindt zich in Microsoft Exchange. De overige aangevallen producten in het overzicht zijn Apache Log4j, Atlassian Confluence, VMware WorkspaceOne, Zimbra, Windows en GLPI. Volgens het ANSSI hadden veel van de incidenten die bij de instantie werden gemeld voorkomen kunnen worden, aangezien beveiligingsupdates beschikbaar waren. "Een aantal van de meest misbruikte kwetsbaarheden hadden al sinds 2021 gepatcht kunnen worden", zo stelt de Franse overheidsinstantie. Met name bij incidenten die ANSSI afhandelde bleek dat getroffen organisaties hadden nagelaten beschikbare patches te installeren. De Franse overheidsinstantie adviseert organisaties dan ook om prioriteit te geven aan het patchen van systemen die vanaf internet toegankelijk zijn of anders mitigatiemaatregelen door te voeren.

CERTFR-2023-CTI-002
PDF – 29,3 MB 201 downloads

VS en Zuid-Korea waarschuwen voor ransomware-aanvallen door Noord-Korea

De Amerikaanse en Zuid-Koreaanse autoriteiten hebben voor het eerst een gezamenlijke waarschuwing gegeven voor ransomware-aanvallen door Noord-Korea. De aanvallen zijn gericht tegen ziekenhuizen, zorginstellingen en andere vitale infrastructuur. Daarbij maken de aanvallers ook gebruik van ransomware ontwikkeld door andere groepen, zoals Deadbolt, ech0raix, LockBit en Ryuk. In sommige gevallen doen de aanvallers zich ook voor als andere ransomwaregroepen, zoals de REvil-ransomwaregroep, aldus de waarschuwing. Om toegang tot de netwerken van hun slachtoffers te krijgen maken de aanvallers onder andere gebruik van bekende kwetsbaarheden, waaronder het Log4Shell-lek in Log4j en verschikkende beveiligingslekken in apparatuur van SonicWall. Ook zijn er gevallen bekend waarbij Zuid-Koreaanse ziekenhuizen besmet raakten omdat personeel een getrojaniseerde versie van een populaire chatapp onder Zuid-Koreaans zorgpersoneel had gedownload. De autoriteiten doen verschillende aanbevelingen om ransomware-aanvallen te voorkomen. Mocht een incident zich toch hebben voorgedaan wordt organisaties aangeraden om eerder gemaakte back-ups op malware te controleren. Iets wat vanaf een geïsoleerd, vertrouwd systeem moet worden gedaan. Het losgeld dat de aanvallers van slachtoffers weten af te persen zou worden gebruikt om doelen van de Noord-Koreaanse staat te bewerkstelligen, waaronder cyberoperaties tegen de Amerikaanse en Zuid-Koreaanse overheid, zo laat de waarschuwing verder weten.


Bijna 19.000 VMware ESXi-servers missen update voor aangevallen lek

Bijna negentienduizend VMware ESXi-servers missen de beveiligingsupdate waar de huidige ransomware-aanvallen vermoedelijk actief misbruik van maken. Daarnaast hebben de aanvallers bij negenhonderd al besmette servers een nieuwe ransomware-versie geïnstalleerd waarvoor de eerdere herstelscripts niet werken. Dat melden securitybedrijf Rapid7 en Censys. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. In februari 2021 kwam VMWare met beveiligingsupdates voor meerdere kwetsbaarheden in de software, waaronder CVE-2021-21974. Via dit beveiligingslek kan een aanvaller op kwetsbare servers code uitvoeren. De huidige ransomware-aanvallen zouden misbruik van deze kwetsbaarheid maken. Volgens Rapid7 zijn er op internet nog bijna negentienduizend ESXi-servers te vinden waar de beveiligingsupdate voor CVE-2021-21974 niet is geïnstalleerd. Dat stelt het securitybedrijf op basis van eigen onderzoek. Bij de aanvallen wordt de ESXiArgs-ransomware geïnstalleerd. Zodra er toegang is verkregen versleutelt de ransomware de configuratiebestanden op de ESXi-servers, waardoor de aangemaakte virtual machines onbruikbaar zijn geworden. Onderzoekers ontdekten een manier om de versleutelde configuratiebestanden op basis van een onversleuteld flat-bestand te herstellen. Vervolgens kwam de Amerikaanse overheid met een eigen herstelscript. In een reactie op deze ontdekking kwamen de aanvallers met een nieuwe ransomware-versie die deze kwetsbaarheid niet bevat en niet via het herstelscript is te herstellen. Securitybedrijf Censys laat weten dat de aanvallers deze ransomware op al besmette ESXi-servers uitrollen. Al meer dan negenhonderd gecompromitteerde servers hebben deze "upgrade" ontvangen. Daarnaast stellen de onderzoekers van het bedrijf dat de aanvallers geen gebruikmaken van een kwetsbaarheid in OpenSLP, zoals aanwezig in CVE-2021-21974. SLP (Service Location Protocol) is een protocol waarmee netwerkapplicaties het bestaan, de locatie en configuratie van netwerkdiensten op het netwerk kunnen vinden. Naar aanleiding van de aanvallen kregen beheerders het advies om OpenSLP op ESXi-servers uit te schakelen, maar verschillende slachtoffers van de ransomware laten weten dat dit bij hun al het geval was. Dat zou suggereren dat de aanvallers geen gebruik van CVE-2021-21974 maken, aldus Censys. Wat dan wel de gebruikte aanvalsvector is laat het bedrijf niet weten.


Herstelscripts werken niet meer tegen ESXiArgs-ransomware

Cybercriminelen hebben onlangs de ESXi-ransomware aangepast tegen scripts die getroffen servers wisten te herstellen. Met de nieuwe versie worden alle bestanden vanaf 128 MB voor 50 procent versleuteld, wat hersteloperaties vrijwel onmogelijk maakt. Dit schrijft Bleeping Computer. De recente ransomware-aanval op VMware ESXi-servers gaat een nieuwe fase in nu cybercriminelen zijn gestart met een tweede golf aanvallen met een recent aangepaste versie. Hiermee reageren de cybercriminelen op de recente scripts waarmee toch hersteloperaties konden worden uitgevoerd. De hersteloperaties waren mogelijk doordat de eerste versie van de ransomware niet alle data in een vm versleutelde. Het ging hier dan met name om grotere bestanden. Het was mogelijk om scripts te ontwikkelen die deze grotere voornamelijk niet-versleutelde ‘flat files’ gebruiken voor herstel. In deze flat files is namelijk de disk data van een vm opgeslagen.


Cyberaanval in Diest (B): Nog steeds gevolgen twee maanden later

Intussen is het twee maanden geleden dat het stadsbestuur van Diest het slachtoffer werd van een cyberaanval. De gevolgen van de hacking zijn vandaag nog steeds voelbaar. "De problemen zijn helemaal nog niet achter de rug. Er wordt nog iedere dag aan gewerkt. We hopen dat alle diensten na de paasvakantie weer volledig operationeel zullen zijn", legt burgemeester Christophe De Graef (Open Diest) uit. De stad huurt experts in om de heropstart mee te begeleiden. "We willen zoveel mogelijk dat proberen te recupereren. Dat lukt stapje voor stapje. We hopen dat we de basisvoorzieningen snel opnieuw kunnen normaliseren. De kosten lopen nu al op tot in de honderdduizenden euro's. En de eindafrekening is nog niet gemaakt. We starten echt vanaf nul opnieuw op dus dat is een heel dure investering", aldus nog de burgemeester. Een heel concreet gevolg van de cyberaanval dat nog steeds aansleept, zijn de problemen met de printers op het stadhuis. Elke dienst moet bestanden eerst als pdf-bestand opslaan, vervolgens dat bestand op een USB-stick zetten en daar telkens fysiek mee naar een kopieerapparaat lopen. Alleen op die manier kunnen gemeentelijke documenten op dit moment worden afgedrukt. Ook de aanleg van een nieuw geboortebos moet door de hacking worden uitgesteld. Alle ouders van een nieuw kindje waren uitgenodigd op zaterdag 11 februari om een boom voor hun kind te komen planten op een terrein aan de Acaciastraat. Maar door de cyberaanval moest het openbaar onderzoek worden overgedaan en wordt de plantactie uitgesteld tot de vergunningen op een correcte manier in orde zijn gebracht.


Reddit gehackt via phishingaanval

Een aanvaller heeft via een phishingaanval toegang tot interne systemen en data van Reddit gekregen, zo heeft het populaire internetplatform bekendgemaakt. De aanval werd op 5 februari opgemerkt. Verschillende medewerkers ontvingen een phishingbericht dat naar een phishingsite leidde. Volgens Reddit had de aanvaller de intranet gateway van het platform nagemaakt. Eén medewerker logde uiteindelijk op de phishingsite in. Via de gegevens van deze medewerker kreeg de aanvaller toegang tot interne documenten, code, interne dashboards en zakelijke systemen. Er zijn volgens Reddit geen aanwijzingen dat de primaire productiesystemen zijn getroffen. Op deze systemen draait Reddit en is het grootste deel van de data opgeslagen. De medewerker die op de phishingsite inlogde rapporteerde dit zelf aan het securityteam van Reddit, waarna de toegang van de aanvaller ongedaan werd gemaakt en een onderzoek ingesteld. Reddit heeft voor alle medewerkers het gebruik van tweefactorauthenticatie verplicht en adviseert gebruikers dit ook in te stellen.


Cyberaanval doet Canadese Indigo enkel cash accepteren

Indigo, de grootste boekenwinkelketen in Canada, kan vanwege een "cybersecurity incident" alleen nog contant geld in de winkels accepteren. Ook de website van Indigo is al drie dagen offline. Dat laat het bedrijf in een verklaring weten. Details over de aard van de aanval zijn niet gegeven, behalve dat de boekenwinkel hoopt alle systemen zo snel mogelijk weer online te hebben. Indigo heeft zo'n honderdtachtig winkels in Canada. Die kunnen op dit moment alleen contante betalingen verwerken, aangezien elektronische betalingen niet mogelijk zijn. Ook kan de boekenwinkelketen geen cadeaubonnen accepteren en is het niet mogelijk om boeken te retourneren.


Wereldwijd 3800 VMware ESXi-servers getroffen door ransomware

Criminelen hebben wereldwijd 3800 VMware ESXi-servers met ransomware weten te infecteren, zo stellen de FBI en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA). In Nederland zou het om zo'n 140 servers gaan, aldus securitybedrijf Censys. Inmiddels maken de aanvallers gebruik van aangepaste ransomware die niet via eerder beschikbaar gestelde scripts is te herstellen. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. Bij de nu waargenomen ransomware-aanvallen maken de aanvallers waarschijnlijk gebruik van bekende kwetsbaarheden, zo stellen de FBI en het CISA. Zodra er toegang is verkregen versleutelt de ransomware de configuratiebestanden op de ESXi-servers, waardoor de aangemaakte virtual machines onbruikbaar zijn geworden. Onderzoekers ontdekten een manier om de versleutelde configuratiebestanden op basis van een onversleuteld flat-bestand te herstellen. Vervolgens kwam het CISA met een eigen herstelscript en heeft ook een uitgebreidere uitleg gepubliceerd hoe getroffen systemen zijn te herstellen. Naar aanleiding van de herstelmogelijkheden maken de aanvallers nu gebruik van een versie die veel meer data versleutelt, waardoor herstel niet meer via de huidige opties mogelijk is, zo meldt Bleeping Computer. De FBI en het CISA roepen organisaties op om hun ESXi-software te updaten, de Service Location Protocol (SLP) service uit te schakelen en ervoor te zorgen dat de ESXi-hypervisor niet toegankelijk vanaf het internet is. Verder adviseren de Amerikaanse overheidsinstanties om het losgeld dat de aanvallers vragen niet te betalen.


Twintigduizend Amerikaanse leerlingen door cyberaanval dag niet naar school

Door een cyberaanval op een Amerikaans schooldistrict konden twintigduizend leerlingen afgelopen maandag een dag niet naar school. De aanval deed zich vorige week vrijdag voor en zorgde ervoor dat internet, telefonie en systemen uitvielen. Om wat voor soort aanval het ging is niet bekendgemaakt. Ook is onduidelijk of er persoonsgegevens van leerlingen is buitgemaakt. Het onderzoek loopt nog. In een verklaring stelt Berkeley County Schools dat het afgelopen weekend bezig is geweest met het herstel van de systemen. Vanwege de situatie werd besloten om alle lessen in het gehele schooldistrict op maandag te annuleren, alsmede alle naschoolse activiteiten. Berkeley County Schools telt twintigduizend leerlingen. Die konden gisteren weer naar school, zij het met beperkingen. Zo waren meerdere systemen nog niet beschikbaar en moest informatie handmatig worden verwerkt.


Dota 2 spelers aangevallen via kwetsbaarheid

Spelers van het populaire spel Dota 2 waren maandenlang het doelwit van een aanval die misbruik maakte van een bekende kwetsbaarheid in de V8 JavaScript-engine. Dota 2 is een multiplayer online battle arena (MOBA) videogame van gameontwikkelaar Valve. Afgelopen november had nog een miljoen gelijktijdige spelers. Het spel maakt gebruik van V8, een engine voor het uitvoeren van JavaScript. De JavaScript-engine wordt nog door veel meer projecten gebruikt, waaronder Google Chrome. Google kwam op 28 oktober 2021 met een beveiligingsupdate voor een actief aangevallen zerodaylek in V8, aangeduid als CVE-2021-38003. De kwetsbaarheid werd gebruikt bij zeroday-aanvallen tegen Samsung-telefoons. Waar Google een update voor V8 uitrolde, werd dit niet gedaan door Valve. De V8-versie waarvan Dota 2 gebruikmaakte dateerde van december 2018. Het spel biedt de mogelijkheid om "custom game modes" te ontwikkelen. Spelers die hiervan gebruik willen maken moeten deze game modes dan wel downloaden via het Steam-platform. Een aanvaller heeft vier custom game modes voorzien van een exploit die misbruik maakt van de kwetsbaarheid in de V8-implementatie van Dota 2. Hoewel Steam de game modes die door de community zijn ontwikkeld controleert werd de exploit niet ontdekt. Zodra spelers de malafide game modes installeerden kon de aanvaller willekeurige code op hun systeem uitvoeren. Antivirusbedrijf Avast ontdekte de aanval. Vermoedelijk zijn de vier game modes in maart 2022 van de exploit voorzien. Na te zijn ingelicht door de virusbestrijder kwam Valve op 12 januari van dit jaar met een upgrade voor de kwetsbare V8-versie in Dota 2. Daarnaast werden de malafide game modes van het Steam-platform verwijderd, spelers gewaarschuwd en werden er nieuwe maatregelen aangekondigd om het aanvalsoppervlak van het spel te verkleinen.


Ransomware-aanval op VMware ESXi: In Nederland ten minste 78 systemen gehackt

Ransomware-aanvallers zijn er in geslaagd tientallen Nederlandse servers met VMware ESXi te hacken. Censys, een scanner van kwetsbaarheden, registreerde vanmorgen 63 getroffen systemen uit Nederland. Daaronder bevinden zich ook systemen die worden gehost door het Nederlandse Leaseweb. Maar de aantallen lopen op. Volgens Pieter Jansen, senior vice president bij Darktrace, zijn al 78 systemen door cybercriminelen overgenomen. ‘In de praktijk zullen dat er meer zijn omdat van alle systemen van buitenaf zichtbaar is of ze niet zijn gehackt.’ Hij verwacht dat in Nederland meer slachtoffers zullen vallen. Het aantal servers waarop VMware ESXi draait en dat met internet is verbonden, zit ver boven de tweeduizend. Een beperkt deel daarvan is gepatcht. Wanneer dat niet is gebeurd, zullen bedrijven veelal te laat zijn met het leggen van noodverbanden. Het tempo waarin systemen worden aangevallen, ligt namelijk hoog. Niet alleen de ransomware-aanvallers van het eerste uur maar ook concurrerende groepen van cybercriminelen duiken op de kwetsbaarheden. Jansen spreekt van een ratrace waarbij rivaliserende bendes massaal op systemen jagen. Ze proberen als eerste een systeem over te nemen en dicht te zetten. Vervolgens vragen de criminelen om losgeld. Jansen: ‘Hun techniek is dezelfde als uit het verleden. Maar tactisch zijn de aanvallers gevaarlijker geworden. Ze kunnen sneller in actie komen door het gebruik van meer tools. Ook worden de aanvallen meer geautomatiseerd dan voorheen.’ Jansen spreekt van computersnelheid. ‘Met mensen is daar niet tegen te verdedigen. Automatisering is noodzakelijk.'


Herstelscript voor ESXi-servers die zijn getroffen door ransomware

De Amerikaanse overheid heeft een script gepubliceerd dat door ransomware getroffen ESXi-servers moet herstellen. Het gebruik is wel op eigen risico. "ESXiArgs-Recover" is een tool die het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft gebaseerd op openbare bronnen, waaronder een handleiding van onderzoekers Enes Sonmez en Ahmet Aykac, die eerder lieten zien hoe versleutelde ESXi-servers zijn te herstellen. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. In februari 2021 kwam VMWare met beveiligingsupdates voor meerdere kwetsbaarheden in de software, waaronder CVE-2021-21974. Via dit beveiligingslek kan een aanvaller op kwetsbare servers code uitvoeren. De huidige ransomware-aanvallen maken misbruik van deze kwetsbaarheid. Het script van het CISA creëert een configuratiebestand waarmee toegang tot de virtual machines op de server kan worden verkregen. De Amerikaanse overheidsinstantie waarschuwt dat organisaties zorgvuldig moeten kijken of het script voor hun omgeving geschikt is voordat ze het uitvoeren. Verder wordt het script zonder enige garanties aangeboden en is gebruik geheel op eigen risico. Het CISA neemt dan ook geen verantwoordelijkheid voor enige schade die het script veroorzaakt.


Ierse universiteit twee dagen gesloten wegens hack op it-systemen

De Ierse universiteit MTU Cork heeft besloten alle vier de campussen twee dagen te sluiten en alle lessen te annuleren wegens een inbraak op de it-systemen. De aanval vond afgelopen weekend plaats en zou in een vroeg stadium zijn gedetecteerd. De universiteit geeft geen details om wat voor soort aanval het precies gaat en hoe die kon plaatsvinden, behalve dat het om een aanzienlijke "IT breach" gaat. De maatregel om alle campussen te sluiten en lessen van gisteren en vandaag te annuleren is genomen voor de veiligheid van de gegevens van studenten en personeel, aldus de universiteit in een verklaring. In de Ierse media wordt gespeculeerd over een ransomware-aanval, waarbij ook de recente aanvallen op kwetsbare VMware ESXi-systemen wordt genoemd. Veel ransomware-aanvallen vinden plaats in het weekend, maar de universiteit heeft niet bevestigd dat het om een dergelijke aanval gaat.


IoT-botnet vernietigt alle bestanden door fout in ransomware-aanval

Onderzoekers hebben een Internet of Things-botnet ontdekt dat naast bruteforce- en ddos-aanvallen ook wordt gebruikt voor de verspreiding van ransomware. Door een fout in de implementatie krijgen slachtoffers pas nadat al hun bestanden zijn vernietigd de instructies en losgeldeisen te zien. Dat laat securitybedrijf Cyble weten. Het botnet in kwestie is een variant van de bekende Mirai-malware. Deze malware infecteer routers, ip-camera's en IoT-apparaten en gebruikt die voor allerlei aanvallen. Vaak gaat het dan om ddos-aanvallen. Het Mirai-botnet dat de onderzoekers ontdekten heeft het voorzien op Linux-systemen. Zodra er toegang tot een systeem is verkregen wordt een malware-exemplaar genaamd Medusa uitgevoerd. Deze malware verzamelt informatie over het systeem, zoals gebruikersnaam en platform. Medusa kan het besmette systeem ook voor ddos-aanvallen en bruteforce-aanvallen op andere systemen inzetten. Wat het botnet doet opvallen is de ransomware-functionaliteit. Eenmaal actief kan Medusa allerlei bestanden op het systeem versleutelen. Nadat de bestanden zijn versleuteld gaat de malware 24 uur in slaapmodus, waarna het alle bestanden op de schijf verwijdert. Nadat de bestanden zijn vernietigd worden pas de instructies getoond waarin staat hoe het slachtoffer zijn data kan terugkrijgen en welk losgeldbedrag daarvoor betaald moet worden. Volgens Cyble is er dan ook sprake van een foute implementatie.


Tor-netwerk onder vuur door maandenlange dos-aanvallen

Het Tor-netwerk, dat dagelijks meer dan twee miljoen mensen gebruiken om hun privacy te beschermen, heeft al maanden met dos-aanvallen te maken die grote gevolgen voor de snelheid van het netwerk hebben. Dat laat Isabela Bagueros vandaag weten, directeur van het Tor Project, de organisatie achter het Tor-netwerk. Volgens Bagueros is het netwerk al zeven maanden lang doelwit van dos-aanvallen. Soms is de invloed van deze aanvallen zo groot dat een groot aantal gebruikers geen websites via het Tor-netwerk kan bezoeken. Het Tor Project zegt bezig te zijn met het verhelpen van de aanvallen, maar de methodes die de aanvallers toepassen veranderen steeds, aldus Bagueros. Het is op dit moment ook onduidelijk wie erachter de aanvallen zit en wat hun bedoeling is. Vanwege de aanvallen zegt Bagueros dat er verdere maatregelen zullen worden getroffen. Ook zal het netwerkteam van het Tor Project met twee personen worden uitgebreid, die zich alleen zullen bezighouden met de ontwikkeling van onion-services, websites die alleen vanaf het Tor-netwerk toegankelijk zijn. Mensen die een Tor-server hebben draaien worden opgeroepen om zich op de Tor relays-mailinglist te abonneren, aangezien het Tor Project via dit kanaal best practices deelt om de aanvallen te stoppen.


Noord-Koreaanse Hackers Ontdekt bij Inbraak in Financiële Handelsgroep in de VS

Een bedrijf voor cyberbeveiliging heeft een Noord-Koreaanse hackergroep ontdekt die in een maandenlang inbraakje bijna 100 gigabyte aan gegevens heeft verkregen. Toezichthouders zijn begonnen met het onderzoek naar de cyberaanval op de financiële handelsgroep ION. De hackers richtten zich op Amerikaanse kernfaciliteiten, die tot de meest gereguleerde faciliteiten in de VS behoren. Ondanks deze beschermingen zijn hackers er echter door aangetrokken vanwege de mogelijkheid voor spionage en andere criminele activiteiten. Een recent vermeend spionagesbedreiging is een Chinese spionagebalon boven Montana, een plaats met meerdere kernraket silo's. President Biden is door militaire adviseurs geadviseerd om de balon niet neer te schieten. Een Pentagon-woordvoerder zegt dat de regering onmiddellijk actie heeft ondernomen om te voorkomen dat vertrouwelijke informatie werd verzameld zodra ze de balon zagen. De regering ziet al jaren een vergelijkbaar patroon van gedrag, volgens de woordvoerder, en vergelijkbare ballonnen waren eerder boven Hawaii en Guam waargenomen, thuis van Amerikaanse militaire faciliteiten. Leiders van twee Huiscommissies hebben donderdag het ministerie van Energie gevraagd om documenten met betrekking tot cyberaanvallen door vermeende Russische bedreigers op de Amerikaanse nationale nucleaire laboratoria. Volgens een Reuters-artikel van vorige maand probeerden Russische hackers bekend als Cold River vorig jaar zomer nucleaire wetenschappers te hacken bij Brookhaven, Argonne en Lawrence Livermore laboratoria. Het is onduidelijk of deze pogingen tot inbraak succesvol waren, maar het is alarmerend dat een vijandelijke buitenlandse groepering gericht was op overheidslaboratoria die wetenschappelijk onderzoek doen dat cruciaal is voor de nationale veiligheid en concurrentiepositie van de VS.


Clop-ransomware voor Linux bevat fout

Een fout in de Clop-ransomware voor Linux maakt het mogelijk om versleutelde bestanden te ontsleutelen, zo hebben onderzoekers van securitybedrijf SentinelOne ontdekt. De Linux-versie van de Clop-ransomware werd eind december voor het eerst aangetroffen en gebruikt dezelfde encryptiemethode als de Windowsversie voor het versleutelen van bestanden, aldus de onderzoekers. Er is echter een verschil bij de keys die de ransomware gebruikt voor het versleutelen van bestanden. De Linux-versie maakt namelijk gebruik van een hardcoded "master key" voor het genereren en versleutelen van de keys die worden gebruikt voor het versleutelen van de bestanden. Deze "master key" wordt lokaal opgeslagen. Daarnaast wordt de RC4-key niet gevalideerd, wat wel het geval is bij de Windows-versie. De onderzoekers spreken van een fout in de encryptielogica waardoor het mogelijk is om bestanden te ontsleutelen. Daardoor konden ze een script maken dat bestanden op getroffen systemen kan ontsleutelen. Volgens de onderzoekers is de Linux-versie van de Clop-ransomware nog in ontwikkeling en mist die dan ook de functionaliteit van de Windows-versie. "Hoewel de Linux-versie zich nog in de kinderschoenen bevindt, suggereert de ontwikkeling en het wijdverbreid gebruik van Linux voor servers en cloudtoepassingen dat verdedigers in de toekomst met meer Linux-ransomware rekening moeten houden", aldus onderzoeker Antonis Terefos.


Cyberaanvallen met OneNote-bestanden neemt toe

Cybercriminelen maken steeds vaker gebruik van Microsoft OneNote-bestanden om systemen met malware te infecteren, zo stellen meerdere antivirusbedrijven. Werden in december nog een handvol campagnes waargenomen waarbij het .one bestandstype werd ingezet, vorige maand was dat gestegen naar meer dan vijftig, aldus securitybedrijf Proofpoint. Volgens het bedrijf is het gebruik van .one-bestanden een reactie op het standaard blokkeren van macro's in Microsoft 365. Het versturen van documenten met malafide macro's was altijd een populaire methode van aanvallers. Microsoft OneNote is software voor het maken en synchroniseren van notities. Het programma is standaard op Windows geïnstalleerd en onderdeel van Office 2019 en Microsoft 365. One-bestanden ondersteunen geen macro's, maar wel toegevoegde scripts die door middel van een dubbelklik zijn te starten. Daarbij krijgen gebruikers wel eerst een waarschuwing te zien en moet er nog een keer worden geklikt om het script daadwerkelijk uit te voeren. Om gebruikers zover te krijgen gebruiken aanvallers allerlei trucs, die ook werden toegepast om gebruikers macro's te laten inschakelen. Zodra gebruikers de waarschuwing negeren wordt er malware gedownload en uitgevoerd. Het gaat om remote access trojans en malware die inloggegevens steelt. "Het is belangrijk om op te merken dat een aanval alleen slaagt wanneer de ontvanger ermee aan de slag gaat, specifiek door het klikken op het embedded bestand en het negeren van de waarschuwing die OneNote laat zien", zegt onderzoeker Tommy Madjar van Proofpoint. Hij stelt dat organisaties hun personeel over deze aanvalsmethode moeten onderwijzen en aanmoedigen om verdachte e-mail en bijlages te rapporteren.


Iraanse groep zit achter datadiefstal bij Charlie Hebdo

Een groep cybercriminelen die gesteund wordt door de Iraanse overheid zit achter de diefstal van persoonlijke gegevens van 200.000 abonnees van Charlie Hebdo. Het zou gaan om de groepering Neptunium, ook bekend als Emennet Pasargad. De groep noemt zichzelf 'Holy Souls'. Dit meldt het Digital Threat Analysis Center (DTAC) van Microsoft. Onder meer namen, telefoonnummers, adresgegevens en financiële informatie zijn gestolen. Clint Watss, algemeen directeur van DTAC, waarschuwt dat dit de veiligheid van abonnees zowel online als fysiek in gevaar kan brengen. De gestolen data is online te koop aan gebonden voor ongeveer 340.000 dollar. "We denken dat deze aanval een reactie is van de Iraanse overheid op een cartoonwedstrijd die is opgezet door Charlie Hebdo", meldt Watts. Het gaat daarbij om een wedstrijd waarin deelnemers de draak steken met de Iraanse grootayatollah Ali Khamenei. De winnende cartoon zou begin januari worden gepubliceerd in Charlie Hebdo, acht jaar na de terroristische aanslag op het hoofdkantoor van het satirische tijdschrift in de Franse hoofdstad Parijs.


VMware waarschuwt voor ransomware aanval, schakel servers uit

VMware adviseert organisaties om de OpenSLP-service op ESXi-servers uit te schakelen en beschikbare beveiligingsupdates te installeren. Aanleiding is de recente ransomware-aanval op ESXi-servers. De aanvallen maken misbruik van een kwetsbaarheid in de OpenSLP-implementatie van VMware binnen ESXi. SLP (Service Location Protocol) is een protocol waarmee netwerkapplicaties het bestaan, de locatie en configuratie van netwerkdiensten op het netwerk kunnen vinden. Een kwetsbaarheid in de implementatie van VMware, aangeduid als CVE-2021-21974, maakt het mogelijk voor een aanvaller om willekeurige code op kwetsbare ESXi-servers uit te voeren. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. In februari 2021 kwam VMWare met beveiligingsupdates voor meerdere kwetsbaarheden in de software, waaronder CVE-2021-21974. Volgens VMware wordt er bij de aanvallen geen misbruik gemaakt van een onbekende kwetsbaarheid. Daarnaast zouden vooral ESXi-versies zijn getroffen waarvan de algemene supportperiode is afgelopen of die al lang geen updates meer hebben ontvangen. VMware adviseert dan ook om systemen te updaten en OpenSLP uit te schakelen. Iets wat standaard door VMware wordt gedaan sinds de lancering van ESXi 7.0 U2c in 2021. Volgens cijfers van securitybedrijf Censys zijn bij de aanval 2400 ESXi-servers versleuteld.


Weekend van door DDoS-aanvallen op Nederlandse cyberspace en kwetsbaarheid in ESXi

Check Point Software zag dit weekend een massale serie-aanval op Nederlandse cyberspace waarbij websites van onder andere SVB en CBS werden getroffen door hackersgroep MT ‘voor het beledigen van de Heilige Koran’. De groep, Mysterious Team Bangladesh (MT), richtte zich in 2022 op websites en servers van de Indiase overheid. De activiteit van de groep is ontdekt door een door AI aangedreven cyberinlichtingenanalysebedrijf, dat meldde dat de aanvallen vergelijkbaar waren met de techniek die werd gebruikt door de Dragon Force-groep, bekend om het gebruik van verschillende scripts voor DDoS-aanvallen en het exploiteren van de HTTP-overstromingsaanvaltechniek, vergelijkbaar met DragonForce. “./404found.my”, een tool die eerder door Dragonforce werd gebruikt om Indiase overheidswebsites aan te vallen, zou nu zijn gebruikt om de aanvallen uit te voeren. Aanvullende details en analyses van de tool zijn uitgevoerd in het TTP-rapport van de DragonForce-groep. De groep heeft op Twitter aangekondigd dat de lijst met landen die het doelwit zijn, zal worden uitgebreid omdat deze staten de koran niet eerbiedigen. Tevens vond dit weekend een grootschalige aanval met gijzelsoftware plaats. “De recente aanval op ESXi-servers, waarop virtuele machines draaien, wordt beschouwd als de meest uitgebreide aanval op niet-Windows-machines die ooit is gerapporteerd. De aanvallers maken misbruik van een bekende zwakte, CVE-2021-21974, die op 21 februari was verholpen. De ransomware valt ESXi-servers aan, dit zijn servers die meestal andere servers opslaan, dus de schade zal wijdverspreid zijn”, zegt Zahier Madhar, security engineer expert bij Check Point Software. “Tot voor kort bleven ransomware-aanvallen uiteindelijk beperkt tot op Windows gebaseerde machines. Het is mogelijk dat aanvallers van ransomware hebben ingezien hoe cruciaal Linux-servers zijn voor organisaties, waardoor ze nu hebben geïnvesteerd in de ontwikkeling van zo’n krachtig cyberwapen.”

Getroffen sites DDoS-aanval:

https://www.nbtc.nl/en/home.htm

https://check-host.net/check-report/e838f83k65

https://www.zn.nl/about-zn

https://check-host.net/check-report/e8394eak8d4

https://www.svb.nl/en/

https://check-host.net/check-report/e839d56kd24

https://ind.nl/en

https://check-host.net/check-report/e839f95k792

https://investinholland.com/

https://check-host.net/check-report/e83a0f5k757

https://www.cbs.nl/en-GB/default.htm

https://check-host.net/check-report/e83a437k794

https://www.museumserver.nl/

https://check-host.net/check-report/e83a318k2a6

https://www.knaw.nl/en

https://check-host.net/check-report/e83a9dakf09


Massale Ransomware-aanval bedrijven Europa, Noord-Amerika

Er zijn momenteel meer dan 6000 bedrijven in Europa en Noord-Amerika getroffen door Ransomware. In Frankrijk, Italië, Canada en de Verenigde Staten worden momenteel veel bedrijven aangevallen door deze ransomware-aanvallen. De hackers hebben het lek in VMware ESXi dat vorige week is gepubliceerd misbruikt en hebben snel de omgevingen ge-encrypt. Via Shodan zijn al enkele servers gevonden. De hackers vragen ongeveer 2 Bitcoin, wat overeenkomt met ongeveer 42.000 euro. Er wordt geschat dat meer dan 6000 bedrijven zijn getroffen, waaronder Frankrijk, Finland, Canada, de Verenigde Staten, België, het Verenigd Koninkrijk en Duitsland. Italië heeft alarm geslagen vanwege de grote omvang van de aanval.


ChatGPT wordt waarschijnlijk al gebruikt bij nationale cyberaanvallen

BlackBerry publiceert nieuw onderzoek waaruit blijkt dat de helft (51%) van de IT-professionals voorspelt dat we minder dan een jaar verwijderd zijn van een succesvolle cyberaanval waarbij ChatGPT wordt ingezet. Bijna drie kwart (71%) gelooft dat de technologie in het buitenland mogelijk al gebruikt wordt voor kwaadaardige doeleinden tegen andere landen. Uit het onderzoek blijkt dat internationale respondenten vinden dat ChatGPT over het algemeen voor "goede" doeleinden wordt gebruikt. Toch erkent 74 procent dat het een potentiële bedreiging voor de cyberveiligheid vormt en zegt zich zorgen te maken. Hoewel de meningen verschillen over hoe die dreiging zich zou kunnen manifesteren, is het vermogen van ChatGPT om wereldwijd hackers te helpen bij het opstellen van realistischere en geloofwaardigere e-mails de grootste zorg (53%). Gevolgd door de mogelijkheid voor minder ervaren hackers om hun technische kennis te verbeteren en meer gespecialiseerde vaardigheden te ontwikkelen (49%) en het gebruik ervan voor het verspreiden van desinformatie (49%). Shishir Singh, Chief Technology Officer, Cybersecurity bij BlackBerry legt uit: "De invloed van ChatGPT in de cyberindustrie zal op termijn ongetwijfeld toenemen. We hebben allemaal veel hypes en bangmakerij gezien, maar de tendens in de industrie blijft vrij pragmatisch - en met een reden. Er zijn veel voordelen te behalen met deze geavanceerde technologie en we beginnen nog maar net, maar we moeten ook denken aan de mogelijke gevolgen. Naarmate de volwassenheid van het platform toeneemt, neemt ook de ervaring van hackers om toe het in te zetten. Dit zorgt ervoor dat het steeds moeilijker wordt om onszelf te verdedigen zonder zelf ook AI te gebruiken."


Door ransomware getroffen VMWare ESXi-servers soms te herstellen

Bedrijven en organisaties van wie de VMWare ESXi-servers bij de recente ransomware-aanval zijn versleuteld kunnen in sommige gevallen hun systemen ontsleutelen. Een beveiligingsonderzoeker heeft hiervoor een manier gevonden. Eind vorige week waarschuwden de Nederlandse en Franse overheid voor actief misbruik van een oude kwetsbaarheid in VMWare ESXi bij ransomware-aanvallen. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. In februari 2021 kwam VMWare met beveiligingsupdates voor meerdere kwetsbaarheden in de software, waaronder CVE-2021-21974. Via dit beveiligingslek kan een aanvaller op afstand code op kwetsbare ESXi-servers uitvoeren. Aanvallers maken nu misbruik van deze kwetsbaarheid. "Het is nog onduidelijk hoe de aanvallers het systeem binnendringen, het is in ieder geval niet aan te raden om OpenSLP poort 427 benaderbaar te maken via het internet. Het is nog onduidelijk of de kwaadwillenden ook een andere wijze gebruiken om het systeem binnen te dringen", aldus het Digital Trust Center van het ministerie van Economische Zaken. "Indien je organisatie een kwetsbare VMWare ESXi-hypervisor draait, is het raadzaam deze zo spoedig mogelijk te (laten) updaten. Zorg er daarnaast voor dat de ESXi-hypervisor niet benaderbaar is via het internet." Beveiligingsonderzoeker Enes Sönmez heeft een manier gevonden om getroffen ESXi-omgevingen te herstellen. Hostingprovider OVHcloud zegt de procedure te hebben getest en meldt een succesratio van zo'n 66 procent. Wel vereist het gebruik van de genoemde procedure "sterke vaardigheden" in ESXi-omgevingen, aldus de provider, die opmerkt dat het gebruik op eigen risico is. Inmiddels is ook het Dutch Institute of Vulnerability Disclosure (DIVD) begonnen met het scannen naar kwetsbare systemen en waarschuwen van de betreffende organisaties.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten