English | Français | Deutsche | Español | Finland | Meer talen

Cybercriminelen maken klantgegevens Samsung buit, REvil claimt ransomware-aanval op miljardenbedrijf Midea en grote boekenleverancier Baker & Taylor getroffen door ransomware-aanval. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.

Meer dan 6.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes omdat ze weigerden te betalen. Als je betaald wordt er geen data gelekt en kom je niet op deze lijst.. ‘Zo'n 80% van de organisaties betaalt losgeld’ 🤔

LAATSTE WIJZIGING: 05-september-2022 | Aantal slachtoffers: 6.122

Week overzicht

Slachtoffers Belgie en Nederland

In samenwerking met DarkTracer

QNAP roept gebruikers op om foto-app wegens ransomware direct te updaten

QNAP roept gebruikers op om de Photo Station-software op hun NAS-apparaat wegens ransomware-aanvallen direct te updaten. Criminelen achter de Deadbolt-ransomware maken gebruik van een kwetsbaarheid in de software om bestanden voor losgeld te versleutelen. Photo Station is een online fotoalbum waarmee gebruikers foto's en video op het NAS-systeem met vrienden en familie via het internet kunnen delen. Beveiligingslekken in deze software zijn eerder bij ransomware-aanvallen gebruikt. De Deadbolt-ransomware heeft het vaker voorzien op QNAP-systemen. Na ontdekking van de recente aanvallen zegt QNAP dat het binnen twaalf uur met een update voor Photo Station is gekomen. Daarnaast adviseert het bedrijf om NAS-apparaten niet direct toegankelijk vanaf internet te maken, maar een vpn of de myQNAPcloud Link-feature te gebruiken. Ook wordt het gebruik van QuMagie als alternatief voor Photo Station aangeraden.

Cybercriminelen maken klantgegevens Samsung buit

Samsung heeft klanten gewaarschuwd voor een datalek nadat criminelen toegang tot "Amerikaanse systemen" van het bedrijf wisten te krijgen. De elektronicagigant krijgt op internet felle kritiek te verduren vanwege de summiere informatie die het over de datadiefstal geeft en de hoeveelheid gegevens die het over klanten verzamelt. De inbraak deed zich ergens eind juli voor. Op of rond 4 augustus, Samsung geeft niet de exacte datum, werd vastgesteld dat er persoonsgegevens van klanten zijn buitgemaakt. Dat heeft het bedrijf, bijna een maand later via de eigen website laten weten. Om wat voor soort informatie het gaat verschilt per klant, zo stelt Samsung. Het zou kunnen gaan om naam, contactgegevens, "demografische informatie", geboortedata en productregistratie-informatie. Hoeveel klanten er precies zijn getroffen, tot welke systemen de aanvallers toegang hadden en hoe de aanvallers toegang konden krijgen wordt niet door Samsung verteld. Wel zegt het bedrijf maatregelen te zullen nemen om de beveiliging van de systemen verder aan te scherpen. Critici op Hacker News stellen dat Samsung veel meer informatie zou moeten geven en hoe klanten zich voor de dataverzameling door het bedrijf kan afmelden. In de FAQ over het incident zegt Samsung dat het informatie van klanten verzamelt om een beter ervaring en producten te bieden. Er wordt echter niet uitgelegd hoe klanten zich hiervoor kunnen afmelden. Wel wordt er gewezen naar het privacybeleid, waarin staat dat Samsung grote hoeveelheid data van klanten kan verzamelen.

Ransomware groep BlackCat achter Italiaanse GSE-hacking, zeggen onderzoekers

Hackinggroep BlackCat zat achter een recente aanval op het Italiaanse staatsbedrijf voor energiediensten GSE, stal een enorme hoeveelheid gegevens en dreigde met publicatie als hun eisen niet werden ingewilligd, volgens veiligheidsonderzoekers en documenten die door Reuters zijn ingezien. Bij een ransomware-aanval stelen hackers gegevens en bedreigen hun slachtoffers met het lekken van gegevens, waarbij ze hen vaak afpersen tegen betaling in cryptovaluta. BlackCat, ook bekend onder de naam ALPHV, dook midden november vorig jaar op en staat bekend om zijn geraffineerde aanvallen op tientallen bedrijven in de V.S. en Europa. Vrijdag beweerde het 700 gigabyte aan gegevens van GSE te hebben gedownload, waaronder informatie over projecten, contracten en boekhouding, en uploadde het afbeeldingen van documenten uit de hack. "BlackCat heeft een geschiedenis van het richten op organisaties in de energie-industrie en is zeer actief," zei Ryan Olson, vice-president van threat intelligence bij Unit 42, een divisie van cyberbeveiligingsbedrijf Palo Alto Networks. "Wij volgen 136 wereldwijde slachtoffers die tot nu toe in 2022 op hun leksite zijn geplaatst," zei hij tegen Reuters. GSE weigerde commentaar te geven. Het had eerder gezegd dat de hackaanval tussen zondag en maandag had plaatsgevonden. De gemiddelde herstelkosten van een ransomware-aanval worden geschat op 1,85 miljoen dollar, zei Walter Ruffinoni, CEO van NTT Data Italia. "In Italië is het verschijnsel het laatste jaar met 350% gestegen, waarbij elke week 1,9% van de Italiaanse bedrijven met een dergelijke aanval te maken krijgt," zei Ruffinoni. Vorige maand werden ook de computernetwerken van de Italiaanse oliemaatschappij Eni gehackt, hoewel het bedrijf zei dat de gevolgen tot nu toe gering lijken te zijn. Op een darkweb site heeft BlackCat 12 slachtoffers gepost in juni, 26 slachtoffers in juli en tot nu toe twee slachtoffers in augustus, zei Olson.

Cybercriminelen verspreiden malware als beelden van James Webb-telescoop

Beelden van de telescoop zijn populair, en dus een dankbaar medium om malware mee te verspreiden. Analisten hebben een nieuwe campagne gevonden die gebruik maakt van phishing e-mails, valse documenten en beelden van de James Webb telescoop om malware te verspreiden. De researchers van het bedrijf Securonix noemen de campagne 'Go#Webbfuscator'. Payloads van de malware worden op moment van schrijven nog niet herkent als kwaadaardig door de meeste virusscanners. De malware is geschreven in de taal Golang, een programmeertaal die zowel op Windows, Linux als Mac gebruikt kan worden en om die reden aan populariteit wint bij cybercriminelen. De taal zou het ook moeilijker maken om de malware te ontleden.

REvil claimt ransomware-aanval op miljardenbedrijf Midea

Ransomwaregroep REvil claimt verantwoordelijkheid voor een aanval op Midea, een van de grootste elektronicafabrikanten ter wereld. Volgens de ransomwaregroep verloor Midea terabytes aan data. De aanval is niet door Midea bevestigd. Website IT Pro vroeg de organisatie om een reactie, maar kreeg aanvankelijk geen verklaring. Op het moment van schrijven zijn de websites en social media van Midea functioneel. REvil verdween in juli 2021 van de radar. Vlak voor het vertrek brak de ransomwaregroep in bij Kaseya, een dienstverlener voor managed service providers (MSP’s). De aanval infecteerde honderden organisaties. In april 2022 dook REvil opnieuw op. 

Ransomwaregroep claimt aanval op Portugese luchtvaartmaatschappij TAP

De cyberaanval waar de Portugese luchtvaartmaatschappij TAP onlangs door werd getroffen is opgeëist door de criminelen achter de de RagnarLocker-ransomware, die eerder verantwoordelijk waren voor aanvallen op de Griekse gasnetbeheerder Desfa en Energias de Portugal, het grootste energiebedrijf van Portugal. De aanval vond op 25 augustus plaats en zorgde de afgelopen dagen nog voor problemen met de werking van de app en website van de luchtvaartmaatschappij. De veiligheid van vluchten is niet in het geding geweest, aldus een verklaring. In eerste instantie liet TAP weten dat de aanvallers geen klantgegevens hebben buitgemaakt. De RagnarLocker-groep meldt op de eigen website dat ze honderden gigabytes aan data hebben gestolen en het om de persoonlijke gegevens van zeer veel klanten gaat. Als de luchtvaartmaatschappij het gevraagde losgeld niet betaalt dreigen de criminelen de gegevens openbaar te maken.

Montenegro geeft criminele bende de schuld van cyberaanvallen op regering

Montenegro heeft woensdag een criminele groepering, Cuba ransomware genaamd, de schuld gegeven van de cyberaanvallen die sinds vorige week de digitale infrastructuur van zijn regering hebben getroffen en die door functionarissen als ongekend werden beschreven. Minister van Openbaar Bestuur Maras Dukaj vertelde aan de staatstelevisie dat de groep een speciaal virus voor de aanval had gemaakt, Zerodate genaamd, waarbij 150 werkstations in 10 staatsinstellingen besmet raakten. Internetsites van de regering zijn gesloten sinds de aanval, die door de nationale veiligheidsdienst van Montenegro (ANB) in verband is gebracht met Rusland, hoewel de omvang van de eventuele gegevensdiefstal onduidelijk is. "Wij hebben al een officiële bevestiging gekregen, deze is ook te vinden op het darkweb, waar de documenten die van de computers van ons systeem zijn gehackt, zullen worden gepubliceerd," zei Dukaj. De regering had nog geen verzoek om losgeld ontvangen over gecompromitteerd materiaal, zei hij. Op zijn darkweb-leksite, die door Reuters gezien werd, eiste de Cuba ransomware groep de verantwoordelijkheid voor de aanval op, en zei dat het "financiële documenten, correspondentie met bankmedewerkers, rekeningbewegingen, balansen, belastingdocumenten," van het parlement van Montenegro op 19 aug. verkregen heeft. Het parlement, dat niet op het computersysteem van de regering zit, ontkende iedere gegevensdiefstal, en zei dat na een periode waarin gegevens ontoegankelijk waren op 20-21 aug. zijn systeem volledig hersteld en operationeel was. Gegevens die de groep beweerde te hebben verkregen, waren voor het publiek beschikbaar op zijn webportaal, voegde het eraan toe. Eveneens op woensdag zei het ministerie van Binnenlandse Zaken dat het U.S. Federal Bureau for Investigation (FBI) Cyber Action Teams naar Montenegro zal sturen om te helpen bij het onderzoek naar de aanvallen. Regeringsfunctionarissen hebben bevestigd dat ANB vermoedde dat Rusland achter de aanvallen zat, en zeiden dat ze een vergelding konden zijn nadat NAVO-lid Montenegro zich had aangesloten bij de sancties van de Europese Unie tegen Rusland en verschillende Russische diplomaten het land had uitgezet. Hackers hebben ook de digitale infrastructuur van de Montenegrijnse staat aangevallen op de verkiezingsdag in 2016, en daarna nog eens over een tijdspanne van enkele maanden in 2017, toen de voormalige Joegoslavische republiek op het punt stond lid te worden van de NAVO.

Grote boekenleverancier Baker & Taylor getroffen door ransomware-aanval

De grote boekenleverancier Baker & Taylor is vorige week getroffen door een ransomware-aanval, waardoor allerlei systemen, applicaties en servicecenters offline gingen en het bedrijf ook niet meer telefonisch is te bereiken. Baker & Taylor is naar eigen zeggen de grootste boekenleverancier ter wereld voor bibliotheken en de grootste boekengroothandel in het Verenigd Koninkrijk. Vorige week dinsdag meldde het bedrijf aan klanten dat het verwachtte dat de verstoringen de hele week zouden aanhouden. Gisteren kwam Baker & Taylor via de eigen website met een update en berichtte dat klanten ook deze week nog hinder van de ransomware-aanval zullen ondervinden. De boekenleverancier wil eerst alle systemen opschonen om ze vervolgens weer online te brengen. Iets wat gefaseerd zal plaatsvinden. Wanneer de operatie precies is afgerond kan het bedrijf nog niet zeggen. Hoe de aanvallers precies toegang tot de systemen wisten te krijgen wordt onderzocht.

Meer cryptodiefstallen door kwetsbaarheden in smart contracts

Criminelen maken steeds vaker gebruik van kwetsbaarheden in smart contracts van DeFi-platforms om geld van investeerders te stelen, zo waarschuwt de FBI. Een smart contract is een programma dat op de blockchain draait en uit bepaalde voorwaarden bestaat. Smart contracts zijn voor allerlei doeleinden te gebruiken, van leningen tot puzzels. Daarnaast zijn er decentralized finance (DeFi) platforms die van smart contracts gebruikmaken. Het gaat bijvoorbeeld om cryptobridges waarmee gebruikers cryptovaluta van de ene naar de andere blockchain kunnen versturen. Net als andere programma's kunnen ook smart contracts kwetsbaarheden bevatten. Onlangs werd erop grote schaal misbruik gemaakt van een configuratiefout in het smart contract van cryptobridge Nomad. Door de fout was het mogelijk voor gebruikers om transacties te vervalsen en geld van de andere bridge op te nemen dat niet van hen was. Zo kon een bedrag van 190 miljoen dollar worden gestolen. De FBI stelt dat er een toename van dit soort cryptodiefstallen is, waarbij criminelen via kwetsbaarheden in een smart contract toeslaan. Daarbij wijst de Amerikaanse opsporingsdienst onder andere naar cijfers van Chainalysis. Dit bedrijf stelde eerder deze maand dat criminelen dit jaar al 1,9 miljard dollar bij cryptodiensten hebben gestolen. Een jaar geleden stond de teller nog op 1,2 miljard dollar. Volgens Chainalysis is de stijging vooral te danken aan de toegenomen diefstallen bij DeFi-platforms. Om schade te voorkomen adviseert de FBI dat investeerders DeFi-platforms, protocollen en smart contracts eerst goed onderzoeken voordat ze investeren en zich bewust van de risico's zijn. Daarnaast moet het DeFi-platform de code door één of meerdere externe auditors hebben laten controleren. Ook moeten investeerders alert zijn op DeFI-investeringspools met kortlopende smart contracts die niet zijn geaudit.

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Meer weekoverzichten