Overzicht cyberaanvallen week 24-2021

Gepubliceerd op 21 juni 2021 om 15:00

Holland America Line alweer getroffen, Zuid-Korea's Nuclear Research-bureau gehackt en betaal je aan ransomware criminelen, dan komen ze bijna altijd terug. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


20 juni

Slachtoffer Cybercriminele organisatie Datum
Lamaziere Everest 2021-06-20
Epsilon Hydraulique Everest 2021-06-20
HAAI GmbH Sodinokibi (REvil) 2021-06-20
Always Group Everest 2021-06-20

19 juni

Slachtoffer Cybercriminele organisatie Datum
Moore Stephens Cape Town Sodinokibi (REvil) 2021-06-19

Zuid-Korea's Nuclear Research-bureau gehackt door VPN-lek

Het Zuid-Koreaanse 'Korea Atomic Energy Research Institute' heeft gisteren bekendgemaakt dat hun interne netwerken vorige maand zijn gehackt door Noord-Koreaanse dreigingsactoren met behulp van een VPN-kwetsbaarheid. Het Korea Atomic Energy Research Institute, of KAERI, is het door de overheid gesponsorde instituut voor onderzoek en toepassing van kernenergie in Zuid-Korea. De inbreuk werd eerder deze maand voor het eerst gemeld door de Zuid-Koreaanse media Sisa Journal. In een verklaring en persconferentie die KAERI gisteren heeft gehouden, heeft het instituut de aanval officieel bevestigd en excuses aangeboden voor de poging het incident in de doofpot te stoppen.


18 juni

Slachtoffer Cybercriminele organisatie Datum
Voltalia Conti 2021-06-18
Uniware Systems Conti 2021-06-18
Maître Prunille Conti 2021-06-18
Groupe Traon Industrie Development Conti 2021-06-18
Windmill Health Products Conti 2021-06-18

Betaal je aan ransomware criminelen, dan komen ze bijna altijd terug

Ransomware-aanvallen blijven de krantenkoppen halen, en met goede reden: gemiddeld is er elke 11 seconden een nieuwe ransomware-aanval, en de verliezen voor organisaties door ransomware-aanvallen zullen naar verwachting oplopen tot $ 20 miljard in de loop van 2021, na een recordtoename van verliezen van meer dan 225% in 2020. Maar wat zijn de werkelijke kosten voor bedrijven die zijn getroffen door een ransomware-aanval? Lees verder


Holland America Line alweer getroffen

Cruisemaatschappijen Holland America Line, Carnival Cruise Line en Princess Cruises zijn getroffen door een datalek nadat een aanvaller toegang wist te krijgen tot e-mailaccounts van moedermaatschappij Carnival Corp. Er zijn aanwijzingen dat er misbruik van de gestolen data wordt gemaakt. Dat blijkt uit een datalekmelding die het bedrijf deed bij de procureur-generaal van de Amerikaanse staat Montana.

Getroffen klanten en medewerkers kunnen hun krediet kosteloos een jaar laten monitoren en van een identiteitsbeschermingsdienst gebruikmaken. Carnival Cruise werd vorig jaar nog getroffen door een ransomware-aanval waarbij er ook gegevens werden gestolen.

Carnival Notif
PDF – 229,4 KB 469 downloads

Poolse vicepremier zegt dat Rusland achter grote cyberaanval zit

Russische hackers hebben deze week een zware cyberaanval uitgevoerd op Polen. Dat zei vicepremier Jaroslaw Kaczynski vrijdag op basis van een analyse die de afgelopen dagen is uitgevoerd door de geheime diensten van het land. "De analyse van onze geheime diensten laat zonder twijfel zien dat de cyberaanval is uitgevoerd vanuit Rusland", aldus Kaczynski. Onder anderen een aantal ministers en andere politici zouden zijn getroffen. Bron


Nep DarkSide-bende richt zich op energie en voedingsindustrie

Cybercriminelen imiteren de inmiddels ter ziele gegane DarkSide Ransomware-operatie, in valse afpersingsmails die naar bedrijven in de energie- en voedselsector worden gestuurd. In een nieuw rapport onthullen Trend Micro-onderzoekers dat er in juni een nieuwe afpersingscampagne is gestart waarbij cybercriminelen zich voordoen als de DarkSide ransomware-bende. "Verschillende bedrijven in de energie- en voedingsindustrie hebben onlangs dreigende e-mails ontvangen, zogenaamd van DarkSide" legt  Trend Micro-onderzoeker Cedric Pernet uit.

Fake Dark Side
PDF – 519,8 KB 342 downloads

LockBit RaaS In-Depth Analysis

Het PRODAFT Threat Intelligence (PTI)-team heeft dit rapport gepubliceerd om diepgaande kennis te verschaffen over de cybercriminelen die LockBit-ransomware gebruiken. Het PTI-team is erin geslaagd om decoderingstools te extraheren voor de meeste slachtoffers die door de LockBit werden getroffen. Alle filialen van de ransomware-groep, inclusief de ontwikkelaar, werden ook geïdentificeerd tijdens het onderzoek van het PTI-team. Dit rapport geeft antwoord op vragen als: Hoe selecteren ze hun doelen? Hoeveel doelen hebben ze aangevallen? Hoe werkt het netwerk? Wie zijn de aangeslotenen?

Lock Bit Case Report TLPWHITE
PDF – 5,5 MB 528 downloads

17 juni

Slachtoffer Cybercriminele organisatie Datum
Vogel Heating & Cooling Conti 2021-06-17
Sunsations Inc. Conti 2021-06-17
Performance Award Center Marketo 2021-06-17
Contrast Lighting Conti 2021-06-17
BRANGEON Groupe Conti 2021-06-17
Ascenz Conti 2021-06-17
Au Forum Du Batiment SAS Conti 2021-06-17
Groupe ISERBA Conti 2021-06-17
Cerfrance Côtes d'Armor Conti 2021-06-17

Sterke toename in hoeveelheid RDDoS aanvallen

Link11 IT-beveiligingsprovider kondigt vandaag aan dat het Security Operations Center (LSOC) een sterke toename ziet in de hoeveelheid ransom distributed denial of service (RDDoS of RDoS) aanvallen. Bedrijven uit allerlei verschillende sectoren ontvangen afpersingsmails van Fancy Lazarus. In mail eist de hackersgroep 2 Bitcoins (ongeveer 66.000 euro): "It's a small price for what will happen when your whole network goes down. Is it worth it? You decide!” Tot nu toe heeft LSOC meldingen ontvangen van RDoS-aanvallen uit de VS, Canada en verschillende Europese landen. Lees verder


Savannah ziekenhuissysteem ondervindt storing na ransomware-aanval

Het ziekenhuissysteem St. Joseph's/Candler (SJ/C) in Savannah is donderdagochtend het slachtoffer geworden van een ransomware-aanval. WSAV sprak met een patiënt die zegt dat alle computers rond 4 uur 's ochtends uitvielen en dat verpleegkundigen gedwongen werden om medicijnen bij te houden met pen en papier. Bron


Reproductive Biology Associates en My Egg Bank stellen 38.538 patiënten op de hoogte van ransomware-incident

Reproductive Biology Associates en de aan haar gelieerde My Egg Bank North America hebben een inbreukmelding uitgegeven met betrekking tot een ransomware-incident dat gevolgen had voor de Atlanta-entiteiten. Volgens de kennisgeving die is ingediend bij de procureur-generaal van Maine en soortgelijke verklaringen op hun websites, werden de entiteiten zich voor het eerst bewust van een mogelijk gegevensincident op 16 april 2021 toen ze ontdekten dat een bestandsserver met embryologische gegevens was versleuteld en daarom ontoegankelijk. Ze melden dat ze snel hadden vastgesteld dat dit een ransomware-aanval was en dat ze de getroffen server binnen dezelfde werkdag hebben afgesloten, waardoor de toegang van de actor werd beëindigd.


De exit van Avaddon ransomware werpt licht op het landschap van slachtoffers

Een nieuw rapport analyseert de onlangs vrijgegeven Avaddon ransomware-decoderingssleutels. "Vandaag werpen we licht op dit verloren en verborgen criminele imperium met behulp van unieke datasets - de volledige lijst van Avaddon-slachtoffers die ooit het doelwit waren van de groep in het jaar van zijn bestaan", zegt het rapport van Advanced Intel  .

The Rise
PDF – 4,8 MB 480 downloads

16 juni

Slachtoffer Cybercriminele organisatie Datum
eCapital Conti 2021-06-16
The Brock Group Conti 2021-06-16
ENE TECHNOLOGY, Inc SynACK 2021-06-16
American Cotton Coop Association Grief 2021-06-16

Verdachten achter Clop-ransomware aangehouden in Oekraïne

De Oekraïense autoriteiten hebben zes personen aangehouden die worden verdacht van betrokkenheid bij de Clop-ransomware. Tevens zijn er woningen doorzocht en servers in beslag genomen die voor het infecteren van organisaties werden gebruikt. Volgens de Oekraïense Cyberpolitie zijn de verdachten verantwoordelijk voor aanvallen tegen onder andere Amerikaanse en Zuid-Koreaanse organisaties.

Zo wordt een aanval op vier Zuid-Koreaanse bedrijven omschreven die in 2019 met de Clop-ransomware besmet raakten. De aanvallers wisten in totaal 810 servers en computers te versleutelen. Ook de Universiteit van Maastricht werd in 2019 slachtoffer van de Clop-ransomware. Tijdens de doorzoekingen die in Kiev en de regio van de hoofdstad plaatsvonden werden verschillende auto's en omgerekend 150.000 euro in contanten in beslag genomen.

In onderstaande video is de operatie tegen de verdachten te zien. Hierbij waren ook agenten van de Zuid-Koreaanse politie aanwezig. De verdachten hangt een gevangenisstraf van maximaal acht jaar boven het hoofd.

Update
Securitybedrijf Intel 471 stelt dat de operatie gericht was tegen personen die zich bezighielden met het witwassen van het losgeld dat slachtoffers betaalden. De daadwerkelijke ontwikkelaars en beheerders zouden buiten schot zijn gebleven.


Paradise Ransomware-broncode vrijgegeven op een hack forum

De volledige broncode voor de Paradise Ransomware is vrijgegeven op een hack forum, waardoor elke potentiële cybercrimineel zijn eigen aangepaste ransomware-operatie kan ontwikkelen.


Verdachte die crypters aanbood voor het omzeilen van antivirus veroordeeld

Een 41-jarige Russische man is in de Verenigde Staten veroordeeld voor het aanbieden van zogeheten crypters waarmee het mogelijk is om malware voor antivirussoftware te verbergen. De verdachte werkte volgens de aanklager samen met de beheerder van het Kelihos-botnet.

De Russische man bood de botnetbeheerder een apart systeem dat de Kelihos-malware meerdere keren per dag aanpaste om detectie door virusscanners te voorkomen. Een federale jury in Connecticut oordeelde vandaag dat de man schuldig is. De strafmaat wordt op 20 september bekendgemaakt. De Rus kan een gevangenisstraf van maximaal vijftien jaar krijgen.


Zuid-Koreaanse politie arresteert computerreparateurs die ransomware hebben gemaakt en verspreid

De Zuid-Koreaanse autoriteiten hebben vandaag een aanklacht ingediend tegen negen medewerkers van een lokaal computerreparatiebedrijf voor het maken en installeren van ransomware op de computers van hun klanten. De criminele activiteiten leverden de verdachten meer dan 360 miljoen ($ 321.000) op aan ransomware-betalingen van 40 bedrijven die in 2020 en 2021 slachtoffer werden. Bron


UMass Lowell gesloten vanwege cyberbeveiligingsincident

De University of Massachusetts Lowell (UMass Lowell) heeft te maken gehad met een cybersecurity-inbreuk die de afgelopen twee dagen heeft geleid tot schoolsluitingen. Het incident werd voor het eerst aangekondigd op 15 juni als een "IT-storing:"

De normale site van de universiteit is momenteel onbereikbaar, maar de universiteit heeft updates op een tijdelijke site geplaatst.


SCOOP: UnitingCare betaalde honderdduizenden dollars aan REvil voor decoderingssleutel en verwijdering van bestanden

Op 25 april werd UnitingCare Queensland (UCQ) het slachtoffer van een ransomware-aanval  die meerdere ziekenhuizen en ouderenzorgcentra in Queensland trof. De volgende dag plaatsten ze een bericht op hun website om mensen te informeren over wat er gebeurde en de impact ervan. En op 5 mei plaatsten ze een tweede update waarin ze onthulden dat het REvil (Sodinokibi) cybercriminelen waren die hen hadden aangevallen. Die update beschreef de stappen die ze sinds het incident hadden genomen om services veilig te herstellen en te herstellen.


15 juni

Slachtoffer Cybercriminele organisatie Datum
Mechdyne Corporation Marketo 2021-06-15
Chilli Beans Prometheus 2021-06-15
Sincor-SP Prometheus 2021-06-15
PM Law Solicitors Sodinokibi (REvil) 2021-06-15
lstaff.com Sodinokibi (REvil) 2021-06-15
atworksprofessional Sodinokibi (REvil) 2021-06-15
Homewood Health Marketo 2021-06-15
Agency Matrix LLC Marketo 2021-06-15
Master Publicidade Ltda Prometheus 2021-06-15

Parlement Polen bijeen na serie 'enorme' cyberaanvallen

Poolse parlementariërs komen woensdag achter gesloten deuren bijeen om bijgepraat te worden over een reeks 'enorme' cyberaanvallen tegen hun land. Hackers hadden het volgens Poolse media onder meer voorzien op de mailbox en accounts op sociale media van Michal Dworczyk, de rechterhand van de premier die ook verantwoordelijk is voor het Poolse vaccinatieprogramma.

Premier Mateusz Morawiecki heeft zelf gevraagd om de speciale zitting van het parlement. Hij wil volgens zijn woordvoerder een recente "serie enorme cyberaanvallen" tegen zijn land bespreken. De cyberaanvallen zouden gevolgen hebben gehad voor een groot aantal mensen, onder wie ook politici. De autoriteiten doen nog onderzoek naar de incidenten.


Brits NCSC: ransomware grootste dreiging voor burgers en bedrijven

Niet statelijke actoren, maar ransomware is de grootste dreiging voor burgers, bedrijven en het grootste deel van de vitale infrastructuur, zo stelt Lindy Cameron, hoofd van het Britse National Cyber Security Centre (NCSC). Cameron gaf gisteren een speech voor het Royal United Services Institute (RUSI).

Ze liet weten zich vooral zorgen te maken over het cumulatieve effect van het niet goed managen van cyberrisico's en het niet serieus nemen van de dreiging van cybercrime. "Voor het grootste deel van de Britse burgers en bedrijven, en voor het grootste deel van de vitale infrastructuur en overheidsdienstverleners, is de primaire dreiging geen statelijke actoren, maar cybercriminelen en dan met name de dreiging van ransomware."


HMM e-mailsystemen getroffen door cyberaanval

De Zuid-Koreaanse rederij HMM heeft bevestigd dat haar e-mailsystemen op 12 juni nog steeds worden getroffen door een virusaanval. HMM zei dat er in de vroege uren van 12 juni een niet-geïdentificeerde inbreuk op de beveiliging van zijn e-mailservers was gedetecteerd, waardoor de toegang tot e-mailsystemen beperkt was. Gedurende de volgende twee dagen zei het dat de meeste bevestigde schade aan het systeem was hersteld en dat er geen lekkage van gegevens of informatie was gevonden. Bron


Bijgewerkte Avaddon-decryptor vrijgegeven

Emsisoft heeft een bijgewerkte Avaddon-decryptor uitgebracht om meer slachtoffers te ondersteunen.


Hades Ransomware-operators gebruiken onderscheidende tactieken en infrastructuur

Hades-ransomware is sinds december 2020 op het toneel, maar er is beperkte openbare berichtgeving over de dreigingsgroep die het exploiteert. De inzet van Secureworks® incident response (IR) in het eerste kwartaal van 2021 gaf onderzoekers van Secureworks Counter Threat Unit™ (CTU) een uniek inzicht in het gebruik van onderscheidende tactieken, technieken en procedures (TTP's) door de groep.

Hades Ransomware Operators Use Distinctive Tactics And Infrastructure
PDF – 986,3 KB 405 downloads

14 juni

Slachtoffer Cybercriminele organisatie Datum
Aero-Space Computer Supplies Prometheus 2021-06-14
segepo.fr LV 2021-06-14
Whittlesey & Hadley Sodinokibi (REvil) 2021-06-14
BridgePoint Financial Services Sodinokibi (REvil) 2021-06-14
HPW Pysa 2021-06-14

G7-landen willen dat Rusland criminelen achter ransomware aanpakt

De G7-landen hebben in een gemeenschappelijke verklaring de Russische regering opgeroepen om criminelen die vanuit het land ransomware-aanvallen uitvoeren en zich met andere vormen van cybercrime bezighouden aan te pakken. De groep van zeven grote industrielanden gaf de verklaring aan het einde van de G7-top die vorige week in het Britse Cornwall plaatsvond.

In de verklaring laten de landen weten dat ze zullen samenwerken om de groeiende en gedeelde dreiging van ransomware te bestrijden. Daarbij roepen de G7-landen alle staten op om ransomwaregroepen die vanuit hun grenzen opereren te identificeren, te verstoren en verantwoordelijk voor hun acties te houden. Iets verder in de verklaring wordt specifiek Rusland opgeroepen om in actie tegen ransomwaregroepen en andere cybercriminelen te komen.

Carbis Bay G 7 Summit Communique
PDF – 774,9 KB 425 downloads

Fujifilm twee weken na ransomware-aanval weer volledig operationeel

De Fujifilm Corporation in Japan is twee weken na een ransomware-aanval volledig operationeel en kan zodoende weer bestellingen verwerken en leveren. Dat laat het bedrijf via de eigen website weten. Op 1 juni meldde Fujifilm dat het "ongeautoriseerde toegang tot een server" vanuit het buitenland onderzocht. Daarop werden alle netwerken en servers uitgeschakeld.

Op 4 juni meldde het bedrijf dat het om een ransomware-aanval ging en een specifiek netwerk in Japan was getroffen. Dezelfde dag werden alle netwerken, servers en computers waarvan was vastgesteld dat ze veilig waren weer online gebracht. Vandaag laat Fujifilm weten dat het volledig operationeel is wat betreft klanten en bedrijfspartners, waaronder klantencontact, bestellingen en leveringen die weer plaatsvinden. Het bedrijf zal vertragingen die zich de afgelopen twee weken voordeden proberen op te lossen.


Bedrijf dat actief is in nucleair-wapenprogramma is slachtoffer van ransomware

De Amerikaanse defensieaannemer Sol Oriens is getroffen door ransomware. Het bedrijf werkt onder andere aan het nucleaire-wapenprogramma van de VS. Het bedrijf is getroffen door de REvil-ransomware, die ook data heeft gestolen van het bedrijf.

Het bedrijf zou in mei zijn geïnfecteerd, bevestigt een woordvoerder aan het Amerikaanse CNBC. Sol Oriens is getroffen door de REvil-ransomware, van een beruchte Russische ransomwarebende die de gijzelsoftware als malware-as-a-service aanbiedt. Sol Oriens is een bedrijf dat onder andere het Amerikaanse ministerie van Defensie begeleidt met het uitvoeren van het nucleaire programma, zoals het beheer van het arsenaal.


Overzicht cyberaanvallen week 23-2021

Vleesverwerker JBS betaalde ransomwaregroep 11 miljoen dollar losgeld, hackers maken inbreuk op gaming gigant Electronic Arts en stelen broncode van games en nieuwe RaaS ontdekt op het darkweb genaamd HimalayA. Hier het overzicht van afgelopen week en het nieuws van dag tot dag. Lees verder


Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten