Ransomware weekoverzicht 16-2021

Gepubliceerd op 26 april 2021 om 15:39

Helmonds werkbedrijf Senzer via Citrix-server besmet met ransomware, ransomware versleutelde systemen ict-leverancier notariskantoren en Darkside ransomware bende breiden hun afpersingstactieken verder uit. Hier het overzicht van de nieuwste ransomware vormen en het nieuws van dag tot dag.

19 april

SKV: Staatsinstelling in Slowakije doelwit van ransomware aanvallen

De National Security Authority (NBÚ) is vrijdag getroffen door een reeks ransomware aanvallen op doelen in Slowakije, waarbij hackers honderdduizenden euro's vroegen voor het heropenen van de systemen en het herstellen van hun volledige functionaliteit. Bron

MLT: De ransomwaregroep Avaddon is erin geslaagd de IT-structuur van de Partit Nazzjonalista ( Nationalistische Partij van Malta) binnen te dringen.

Avaddon publiceert een notitie waarin wordt beweerd in het bezit te zijn van de financiële gegevens van de partij, persoonlijke documenten van werknemers en privégegevens van haar klanten. Om zijn slachtoffer te overtuigen publiceerde zij een reeks screenshots met bankdocumenten en persoonlijke identificatiedocumenten. Bron (darkweb)

Nieuwe variant Xorist ransomware

Dnwls0719 ontdekt een nieuwe variant met extensie *.btCry_zip

DEU: Cyberaanval op het stadhuis van de gemeente Kammeltal

Als Ernst Walter zijn computer opstart, kan hij zijn ogen nauwelijks geloven. De directeur van de gemeente Kammeltal in het district Günzburg kan niets meer openen. Bron

Nieuwe variant Nitro ransomware

Nieuwe variant met extensie *.givemenitro Bron

20 april

FRA: Cego's slachtoffer van een ransomware aanval

Cegos Group , een aanbieder van afstandsonderwijs en -opleiding, werd op 15 april getroffen door een ransomwareaanval. Het bedrijf plaatste op 20 april een bericht op hun website. Het bericht legt uit dat het bedrijf het incident aan het onderzoeken is en het was nog niet duidelijk of de persoonlijke gegevens van personen waren gecompromitteerd. Bron

Nieuwe variant Qlocker ransomware

Nieuwe variant met extensie *.7z Bron

21 april

NLD: Helmonds werkbedrijf Senzer via Citrix-server besmet met ransomware

Het Helmondse werkbedrijf Senzer dat begin maart meldde dat er een inbraak op het netwerk had plaatsgevonden is slachtoffer geworden van een aanval met de Ryuk-ransomware. De aanvallers wisten via een Citrix-server toegang tot de organisatie te krijgen. Dat blijkt uit het onderzoek dat het werkbedrijf liet uitvoeren en openbaar heeft gemaakt (pdf).

Netwerkinbraak Rapport EN Publieke Versie FLAT
PDF – 18,6 MB 395 downloads

USA: Ransomwaregroep claimt inbraak bij Apple-leverancier Quanta Computer

De criminelen achter de REvil-ransomware claimen te hebben ingebroken op het netwerk van Quanta Computer, een bedrijf dat onder andere levert aan Apple, Cisco, Dell, HP en Lenovo. Daarbij zouden grote hoeveelheden vertrouwelijke tekeningen en gigabytes aan persoonlijke data zijn buitgemaakt en versleuteld. Lees verder

NLD: Ransomware versleutelde systemen ict-leverancier notariskantoren

De aanval waardoor bijna honderd Nederlandse notariskantoren de afgelopen dagen geen akten konden passeren was het gevolg van een ransomware-infectie bij hun ict-leverancier Managed IT. Volgens de Koninklijke Notariële Beroepsorganisatie (KNB) is bij de aanval een belangrijk deel van de infrastructuur van Managed IT versleuteld geraakt. Hierdoor hadden de notariskantoren ook geen toegang meer tot contactgegevens van klanten, waardoor die niet over geannuleerde afspraken konden worden ingelicht. Lees verder

GBR: Drankgigant C&C Group dochteronderneming sluit IT-systemen na beveiligingsincident

Matthew Clark Bibendum (MCB), een distributeur van alcoholische dranken en frisdranken in het VK en Ierland, zegt dat het werkt aan het herstellen van IT-systemen na een cyberveiligheidsincident. Bron

JPN: Hackers richten zich met ransomware op de iconische Toshiba-rivaal Hoya uit Japan

”We kunnen bevestigen dat Hoya Vision Care US een cyberaanval heeft meegemaakt. Op basis van ons eerste forensisch onderzoek lijkt de verstoring beperkt te zijn gebleven tot onze systemen in de Verenigde Staten ”, aldus een woordvoerder van Hoya. “Nadat we de dreiging hadden geïdentificeerd, hebben we snel actie ondernomen om deze in te dammen en hebben we contact opgenomen met de politie. Het bedrijf heeft externe experts ingeschakeld om de aard en omvang van dit evenement te bepalen. We zullen updates verstrekken zodra er meer informatie beschikbaar komt. " Bron

ESP: Universiteit van Castilla-La Mancha (UCLM) slachtoffer van ransomware-aanval

Een tweet liet mensen gisteren weten dat het doelwit van de aanval de technologische infrastructuur van de universiteit was en "niet de teams van de universiteitsgemeenschap." De universiteit blijft werken aan het herstellen van diensten met als prioriteit lesgeven.

Nieuwe variant CrySiS Dharma ransomware

JakubKroustek ontdekt een nieuwe variant met extensie *.2122, *.HPJ

Nieuwe variant Nefilim/Nemty ransomware

Dnwls0719 ontdekt een nieuwe variant met extensie *.BENTLEY

22 april

USA: Amerikaanse overheid lanceert speciale taskforce tegen ransomware

Het Amerikaanse ministerie van Justitie heeft een nieuwe taskforce gelanceerd die zich gaat bezighouden met de aanpak van ransomware. Volgens het ministerie vormt ransomware niet alleen een economische bedreiging voor bedrijven, maar brengt het ook de veiligheid en gezondheid van Amerikanen in gevaar, zo laat The Wall Street Journal weten. Bron

QNAP NAS-systemen doelwit van aanval met Qlocker-ransomware

NAS-systemen van fabrikant QNAP zijn de afgelopen dagen het doelwit geworden van een aanval met de Qlocker-ransomware die bestanden voor losgeld ontsleuteld. Volgens QNAP maken de aanvallers gebruik van een recent verholpen kwetsbaarheid om systemen met de ransomware te infecteren.

ESP: Data miljoenen klanten Phone House Spanje bij ransomware-aanval gestolen

Bij een ransomware-aanval op Phone House Spanje zijn de privégegevens van miljoenen klanten door de aanvallers gestolen en deels ook openbaar gemaakt. Het gaat om namen, geboortedata, e-mailadressen, geslacht, nationaliteit, telefoonnummers en adresgegevens. Bron

Darkside ransomware bende breiden hun afpersingstactieken verder uit

De exploitanten van de Darkside-ransomware breiden hun afpersingstactieken uit met een nieuwe techniek gericht op bedrijven die genoteerd staan op NASDAQ of andere aandelenmarkten. In een bericht op hun darkweb-portaal zei de Darkside-crew bereid te zijn om foute markthandelaren van tevoren op de hoogte te stellen, zodat ze de aandelenkoers van een bedrijf 'short'* kunnen gaan voordat ze de naam als slachtoffer op hun website vermelden. Bron 

*'Short gaan' of 'short selling' is een veelgehoorde term in de beleggingswereld. Als een belegger short gaat verkoopt deze als het ware aandelen die men niet in bezit heeft. Op deze manier kan er geprofiteerd worden van een daling van de beurskoers.

USA: Stanford-student vindt een storing in het ransomware-betalingssysteem en bespaart slachtoffers $ 27.000

De hackers achter een ontluikende stam van ransomware kwamen deze week in de problemen toen een beveiligingsonderzoeker een fout in het betalingssysteem ontdekte. Hij kon zo slachtoffers helpen om $ 27.000 aan potentiële verliezen te besparen. Bron

CAN: Cyberaanval richt zich op Santa Clara Valley Transportation Authority

Een cyberaanval tegen de Santa Clara Valley Transportation Authority afgelopen weekend heeft ertoe geleid dat veel van de computersystemen van het bureau dagenlang moeten worden stilgelegd. Bron

23 april

USA: Ransomwaregroep claimt aanval op netwerk openbaar ministerie Illinois

De criminelen achter de DoppelPaymer-ransomware, die eerder ook de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO) wisten te infecteren, zeggen verantwoordelijk te zijn voor de aanval op het netwerk van het openbaar ministerie van de Amerikaanse staat Illinois.

FRA: Verdachte ransomware: "Cyberaanval" op de uitgeversgroep van Madsack

De uitgeversgroep Madsack is blijkbaar aangevallen door ransomware. Volgens een bericht in de media wijst een interne mail van de uitgever op een infectie met de 'chantage Trojan Nefilim'. Een woordvoerder van Madsack legde uit dat  er vrijdag "een cyberaanval op de computersystemen van de Madsack-mediagroep" had plaatsgevonden. Bron

24 april

QNAP update anti-malwaretool om Qlocker-ransomware te verwijderen

QNAP heeft de eigen anti-malwaretool van een update voorzien om de Qlocker-ransomware te verwijderen die afgelopen dagen honderden NAS-systemen wist te infecteren. Volgens QNAP maken de aanvallers gebruik van bekende kwetsbaarheden in de multimedia console, media streaming add-on en Hybrid Backup Sync om toegang tot NAS-systemen te krijgen en vervolgens de ransomware te installeren. Die versleutelt bestanden op de NAS en eist 450 euro voor het ontsleutelen van de data.

FRA: De Franse champagnegroep Laurent Perrier is het slachtoffer geworden van een cyberaanval

Zaterdag melde Laurent Perrier dat het slachtoffer is geworden van een cyberaanval, waarbij de servers werden losgekoppeld nadat ze ontdekten dat hun informatienetwerk was gehackt. Bron

USA: Malware-aanval op Radixx Res verstoort de ticketreserveringssystemen van 20 luchtvaartmaatschappijen

Radixx , een dochteronderneming van Sabre Corporation, biedt een reserveringssysteem voor vliegtuigpassagiers voor goedkope luchtvaartmaatschappijen. Op 22 april kondigde Radixx aan dat Radixx Res op 20 april een malware-incident had meegemaakt en de reserveringssysteem beïnvloedde. Het incident had naar verluidt geen invloed op Sabre-systemen en de klantendatabase was niet gecompromitteerd. Het incident had invloed op 20 luchtvaartmaatschappijen om reserveringen te boeken. Bron

Nieuwe variant CrySiS Dharma ransomware

JakubKroustek ontdekt een nieuwe variant met extensie *.bdev

25 april

"Honderden slachtoffers QNAP NAS-ransomware betalen losgeld"

Ruim vijfhonderd eigenaren van een QNAP NAS die door ransomware werd versleuteld hebben elk honderden euro's losgeld betaald om hun data terug te krijgen, wat de criminelen 215.000 euro in vijf dagen heeft opgeleverd. De NAS-systemen raakten door middel van verschillende bekende kwetsbaarheden met de Qlocker-ransomware geïnfecteerd.

FRA: Unie van de Franse gemeenten Colli del Monferrato slachtoffer geworden van de Avaddon-ransomwaregroep

De Avaddon-ransomwaregroep publiceert screenshots van enkele gegevens die zijn gestolen tijdens de cyberaanval op de Unione di Comuni Colli del Monferrato, maar plaatst per ongeluk de verkeerde Unione (Unione dei Colli DiVini in het hart van Monferrato) onder een DDoS-aanval. Bron

ESP: Een gesynchroniseerde cyberaanval treft de INE en ministeries zoals Justitie, Economie of Onderwijs

Een cyberaanval heeft de websites van het Nationaal Statistisch Instituut (INE) en verschillende ministeries zoals die van Onderwijs en Cultuur, Justitie of het ministerie van Economische Zaken en Digitale Transformatie getroffen. In het geval van de INE zorgde de aanval ervoor dat de website minstens 12 uur offline was, hoewel deze momenteel weer operationeel is. Bron

Nieuwe variant CONTI ransomware

GrujaRS ontdekt een nieuwe variant met extensie *.GFYPK!

Nieuwe variant NoCry ransomware

GrujaRS ontdekt een nieuwe variant met extensie *.Cry!

Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.

Identificeren van Ransomware

Upload een ransom bericht en/of een geëncrypteerd bestand om de ransomware te identificeren die uw bestanden heeft geëncrypteerd (versleuteld).

Ransomware

Ransomware cyberaanvallen zijn een big business, zo groot zelfs dat onderzoek verwacht dat een bedrijf elke 11 seconden wordt aangevallen door een cybercrimineel  en dat de schade als gevolg van deze aanvallen tegen 2021 ongeveer 20.000.000.000.000,- (20 biljoen) dollar zal bedragen .

Wat is Ransomware?

Ransomware is software waarmee de computer wordt ‘gegijzeld’. Het slachtoffer kan niet meer bij zijn persoonlijke bestanden. Bij het opstarten van de computer verschijnt een melding dat een bedrag betaald moet worden om weer toegang te krijgen. Wil je meer weten over Ransomware, dan kun je hier verder lezen.

Doxware

Wat is Doxware?

Doxware is een soort ransomware die persoonlijke gegevens aan het publiek dreigt vrij te geven als de gebruiker het losgeld niet betaalt.

De term komt van de hacker-term 'doxing' of het vrijgeven van vertrouwelijke informatie via internet. Doxware-aanvallen infecteren computers vaak via phishing-e-mails. Meer weten over doxware, dan kun je hier verder lezen.

Advies

  1. Installeer een goede virusscanner.
  2. Houd alle software up-to-date, waaronder besturingssysteem, internetbrowser, browser aanvullingen en populaire programma's, zoals Adobe Reader. Met ScanCircle zie je snel hoe je pc ervoor staat. Voor software als Adobe Flash en Java is uitschakelen aan te raden.
  3. Klik niet op bijlagen en links in e-mails, tenzij je zeker weet dat het vertrouwd is. Twijfel je, kijk dan op de Opgelicht website of de e-mail daar voorkomt. Zo niet, wacht dan een dag en controleer nogmaals of stuur hem door naar digitaalgids@consumentenbond.nl voor uitsluitsel. 
  4. Schakel geen macro's bij Office-documenten van derden, zeker niet als daar in het document om wordt gevraagd.
  5. Ransomware is vaak een uitvoerbaar .exe-bestand, vermomd als ander soort bestand, bijvoorbeeld een pdf-document. Schakel  bestandsextensies weergeven, zodat je de vermomming kunt doorzien.
  6. En tenslotte: back-ups maken! Dat is sowieso verstandig, maar bij ransomware-besmetting vaak het enige redmiddel om verlies van al je gegevens te voorkomen.

Wilt u weten hoe uw digitale veiligheid is? Doe dan hier de test en ontvang uw test score. (.../10)

Meer weekoverzichten

Ransomware nieuws

Alle het nieuws