Hackersgroepen lanceren meer aanvallen op energiebedrijven, ransomware versleutelt ruim 11.000 QNAP-apparaten via zerodaylek en €1.000,- euro als je het logo van ransomware criminelen 'Lockbit' tatoeëert. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Meer dan 6.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes omdat ze weigerden te betalen. Als je betaald wordt er geen data gelekt en kom je niet op deze lijst.. ‘Zo'n 80% van de organisaties betaalt losgeld’ 🤔
LAATSTE WIJZIGING: 19-september-2022 | Aantal slachtoffers: 6.231
Week overzicht
| Slachtoffer | Cybercriminelen | Website | Land |
|---|---|---|---|
| South Pacific Inc | BlackByte | southpacificinc.ph | Philippines |
| Biggest News | BlackByte | www.newvision.co.ug | Uganda |
| TOR VERGATA | STORMOUS | web.uniroma2.it | Italy |
| Laddawn Inc. | Lorenz | laddawn.com | USA |
| software-line.it | LockBit | software-line.it | Italy |
| equatortrustees.com | LockBit | equatortrustees.com | Seychelles |
| scottobrothers.com | LockBit | scottobrothers.com | USA |
| kaffeeberlin.com | LockBit | kaffeeberlin.com | France |
| ces-conditionneur.fr | LockBit | ces-conditionneur.fr | France |
| American International Industry | AvosLocker | aiibeauty.com | USA |
| HT Ports Services Pte Ltd (HTPS) | STORMOUS | htportservices.com | Singapore |
| Emtec Inc | AvosLocker | www.emtecinc.com | USA |
| asecna.org | LockBit | asecna.org | Senegal |
| County Suffolk and contractors | BlackCat (ALPHV) | www.suffolkcountyny.gov | USA |
| midlandplastics.com | LockBit | midlandplastics.com | USA |
| dss-cz.com | LockBit | dss-cz.com | Czech Republic |
| Bell Technical Solutions | Hive | bellsolutionstech.ca | Canada |
| Nextlabs | 0mega | www.nextlabs.com | USA |
| nakamuracorp.co.jp | LockBit | nakamuracorp.co.jp | Japan |
| FONTAINEBLEAU | Hive | fontainebleau.com | USA |
| Tri-Supply | BlackCat (ALPHV) | trisupplyhome.com | USA |
| Triten | BlackCat (ALPHV) | www.triten.com | USA |
| aliat.group | LockBit | aliat.group | Vietnam |
| medical69.com | LockBit | medical69.com | France |
| d-securite.com | LockBit | d-securite.com | France |
| southamptoncounty.org | LockBit | southamptoncounty.org | USA |
| Northwest University | AvosLocker | northwestu.edu | USA |
| cnachile.cl | LockBit | cnachile.cl | Chile |
| independence.com.co | LockBit | independence.com.co | Colombia |
| makler.com.ve | LockBit | makler.com.ve | Venezuela |
| markherder.com | LockBit | markherder.com | USA |
| inspecshawaii.com | LockBit | inspecshawaii.com | USA |
| DYNAM JAPAN HOLDINGS CO., LTD | Cheers | www.dyjh.co.jp | Japan |
| MR. WONDERFUL | Sparta | www.mrwonderful.com | Spain |
| AUTO88 | Sparta | auto88.com | Spain |
| quintal.com.co | LockBit | quintal.com.co | Colombia |
| cityofbartlett.org | LockBit | cityofbartlett.org | USA |
| aipcenergy.com | LockBit | aipcenergy.com | USA |
| kcgreenholdings.com | LockBit | kcgreenholdings.com | South Korea |
| maisonloisy.fr | LockBit | maisonloisy.fr | France |
| maleosante.fr | LockBit | maleosante.fr | France |
| mj-donnais.fr | LockBit | mj-donnais.fr | France |
| pays-colombey-sudtoulois.fr | LockBit | pays-colombey-sudtoulois.fr | France |
| sarassure.fr | LockBit | sarassure.fr | France |
| sva-avignon.concession-landrover.fr | LockBit | sva-avignon.concession-landrover.fr | France |
| ville-faulquemont.fr | LockBit | ville-faulquemont.fr | France |
| cultivar.net | LockBit | cultivar.net | Spain |
| camdomain.com | LockBit | camdomain.com | Unknown |
| kwp.at | LockBit | kwp.at | Austria |
| artdis.fr | LockBit | artdis.fr | France |
| cmb-artimmo.com | LockBit | cmb-artimmo.com | France |
| daune.org | LockBit | daune.org | In progress |
| euro-modules.fr | LockBit | euro-modules.fr | France |
| euromip.fr | LockBit | euromip.fr | France |
| jt-engineering.com | LockBit | jt-engineering.com | USA |
| lagence33.com | LockBit | lagence33.com | France |
| idealtridon.com | LockBit | idealtridon.com | USA |
| taxprepandmore.com | LockBit | taxprepandmore.com | USA |
| mackenzie-law.co.uk | LockBit | mackenzie-law.co.uk | UK |
| thezincgroup.com | LockBit | thezincgroup.com | UK |
| Daydream Island Resort & Spa | BianLian | www.daydreamisland.com | Australia |
| bakkerheftrucks.com | LockBit | bakkerheftrucks.com | New Zealand |
| groupg4.com | RedAlert | groupg4.com | Spain |
| Font Packaging | Sparta | fontpackaging.com | Spain |
| Ferrer&Ojeda | Sparta | www.ferrerojeda.com | Spain |
| Tema Litoclean Group | Sparta | www.litoclean.es | Spain |
| Grupo Galilea | Sparta | www.grupogalilea.com | Spain |
| Fundació Sant Francesc d'Assís | Sparta | fundaciosfda.cat | Spain |
| INDIBA | Sparta | www.indiba.com | Spain |
| RIVISA | Sparta | www.rivisa.com | Spain |
| RABAT | Sparta | www.rabat.net | Spain |
| COMSA CORPORATION | Sparta | www.comsa.com | Spain |
| SERCOM | Sparta | www.sercom.net | Spain |
| ORDEREXPRESS.COM.MX | CL0P | orderexpress.com.mx | Mexico |
| LOESCHGROUP.DE | CL0P | loeschgroup.de | Germany |
| PCSupport | BlackCat (ALPHV) | www.pcsch.co.nz | New Zealand |
| Fiveninefive | BlackCat (ALPHV) | www.fiveninefive.com | Germany |
| Elmbrook Schools | Vice Society | www.elmbrookschools.org | USA |
| The Checker Transportation Group | BlackCat (ALPHV) | www.thecheckergroup.com | Canada |
| Hayat | BlackCat (ALPHV) | www.hayat.com.tr | Turkey |
| OakBend Medical | DAIXIN | www.oakbendmedcenter.org | USA |
| omegaservices.com.au | LockBit | omegaservices.com.au | Australia |
| frigobandeira.com | LockBit | frigobandeira.com | Spain |
| ch-sf.fr | LockBit | ch-sf.fr | France |
Slachtoffers Belgie en Nederland
| Slachtoffer | Cybercriminelen | Website | Land |
|---|---|---|---|
| bakkerheftrucks.com | LockBit | bakkerheftrucks.com | Nederland |
In samenwerking met DarkTracer
Top 3 cybercrime groepen met de meeste slachtoffers
| Groepering | Aantal slachtoffers | ||
|---|---|---|---|
| 1 | LockBit | 1126 | Nog actief |
| 2 | Conti | 674 | Niet meer actief |
| 3 | REvil | 246 | Nog actief |
Bitdefender publiceert gratis decryptietool voor LockerGoga-ransomware
Antivirusbedrijf Bitdefender heeft een gratis decryptietool voor de LockerGoga-ransomware beschikbaar gemaakt, nadat de Zwitserse autoriteiten tal van decryptiesleutels in handen kregen. Voor slachtoffers van de MegaCortex-ransomware zal binnenkort ook een tool verschijnen voor het kosteloos ontsleutelen van bestanden, zo laten de Zwitserse autoriteiten weten. De criminelen achter de LockerGoga-ransomware wisten in 2019 onder andere systemen van de Noorse aluminiumproducent Hydro te versleutelen, wat voor een schade van tussen 57 en 67 miljoen euro. Hydro, dat via een e-mail besmet raakte, besloot het losgeld dat de aanvallers vroegen niet te betalen. Ook de Amerikaanse chemiebedrijven Hexion en Momentive werden slachtoffer van de LockerGoga-ransomware. Eind vorig jaar vond er een internationale politieoperatie plaats tegen verdachten die van de LockerGoga- en MegaCortex-ransomware gebruik zouden hebben gemaakt. Eerder waren de Nederlandse autoriteiten al een onderzoek naar de bende achter de ransomware-aanvallen gestart. Die wordt verantwoordelijk gehouden voor het maken van achttienhonderd slachtoffers in meer dan zeventig landen. De hierbij veroorzaakte schade wordt op 104 miljoen dollar geschat. Tijdens het onderzoek wist het Team High Tech Crime (THTC) van de politie informatie te achterhalen over systemen van bedrijven die wereldwijd waren geïnfecteerd, maar waar de ransomware nog niet was geactiveerd. Vervolgens werden deze bedrijven door het THTC en Nationaal Cyber Security Centrum (NCSC) gewaarschuwd, zodat ze maatregelen konden nemen om de ransomware te verwijderen. Het Zwitserse openbaar ministerie laat weten dat het tijdens het onderzoek naar een verdachte in deze zaak op een onderzochte datadrager tal van decryptiesleutels heeft aangetroffen. Deze sleutels zijn met Bitdefender gedeeld, zodat het een gratis decryptietool voor getroffen organisaties kon ontwikkelen. Binnenkort zal er ook een decryptietool voor de MegaCortex-ransomware beschikbaar komen.
VS klaagt drietal aan voor ransomware-aanvallen tegen vitale infrastructuur
De Amerikaanse autoriteiten hebben drie Iraniërs aangeklaagd wegens ransomware-aanvallen op de vitale infrastructuur in het land, waaronder ziekenhuizen, vervoersdiensten en nutsbedrijven. Volgens de aanklacht wisten de drie toegang tot honderden systemen van slachtoffers wereldwijd te krijgen. Hiervoor werd gebruikgemaakt van bekende kwetsbaarheden waarvoor slachtoffers beschikbare updates niet hadden geïnstalleerd. Vervolgens werden gegevens van gecompromitteerde systemen gestolen en bestanden versleuteld. Onder andere organisaties en bedrijven in de vitale infrastructuur werden slachtoffer, waaronder medische centra, vervoersdiensten en nutsbedrijven, zoals elektriciteitsmaatschappijen. Daarnaast werden bedrijven, overheidsinstanties en non-profitorganisaties getroffen. Wanneer slachtoffers het gevraagde losgeld niet betaalden dreigden de verdachten hun gestolen gegevens openbaar te maken. De drie mannen zijn aangeklaagd voor samenzwering, afpersing en het beschadigen van een beveiligde computer, waarop maximale gevangenisstraffen van respectievelijk vijf, vijf en tien jaar staan, alsmede boetes van 250.000 dollar. De drie zijn voortvluchtig en bevinden zich volgens het Amerikaanse openbaar ministerie in het buitenland.
Uber getroffen door inbraak op interne bedrijfssystemen
Een aanvaller is erin geslaagd om toegang tot interne bedrijfssystemen van Uber te krijgen, waarop de taxi-app allerlei systemen offline heeft gehaald. Onder andere de Amazon Web Services-console, VMware ESXi virtual machines, Google Workspace beheerdersdashboard, respositories met broncode, Slack-server en HackerOne-account zijn gecompromitteerd, zo laten beveiligingsonderzoeker Sam Curry en The New York Times weten. De aanvaller wist op een nog onbekende wijze toegang tot het Slack-account van een Uber-medewerker te krijgen en plaatste vervolgens een bericht op het Uber Slack-kanaal. In eerste instantie dachten Uber-medewerkers dat het om een grap ging, aldus Curry. Vervolgens heeft de aanvaller ook toegang tot andere interne systemen gekregen. Uber meldt op Twitter dat het te maken heeft gekregen met een cybersecurity-incident en het later met meer informatie zal komen. Vanwege de aanval haalde Uber allerlei communicatie- en ontwikkelsystemen offline, waaronder Slack. In een bericht aan het personeel stelt het bedrijf dat het niet weet wanneer toegang tot de tools zal zijn hersteld. Uber kreeg in 2014 en 2016 ook al met een inbraak op de eigen systemen te maken, waarbij gegevens van klanten en taxichauffeurs werden gecompromitteerd. Het bedrijf besloot om het datalek van 2016 te verzwijgen en de verantwoordelijke aanvallers te betalen. De taxi-app koos ervoor om het datalek van 2016 uiteindelijk voor 148 miljoen dollar met de Amerikaanse toezichthouder FTC te schikken.
Someone hacked an Uber employees HackerOne account and is commenting on all of the tickets. They likely have access to all of the Uber HackerOne reports. pic.twitter.com/00j8V3kcoE
— Sam Curry (@samwcyo) September 16, 2022
From another Uber employee:
— Sam Curry (@samwcyo) September 16, 2022
Instead of doing anything, a good portion of the staff was interacting and mocking the hacker thinking someone was playing a joke. After being told to stop going on slack, people kept going on for the jokes. lmao
We are currently responding to a cybersecurity incident. We are in touch with law enforcement and will post additional updates here as they become available.
— Uber Comms (@Uber_Comms) September 16, 2022
Five Eyes-landen adviseren BitLocker te activeren wegens ransomware
Bedrijven en organisaties doen er verstandig aan om Microsofts encryptiesoftware BitLocker op al hun netwerken in te schakelen en de encryptiesleutel bij zowel Microsoft als een offline back-up te bewaren, zo adviseren verschillende overheidsinstanties van de Verenigde Staten, het Verenigd Koninkrijk, Canada, Australië en Nieuw-Zeeland, die bij elkaar de Five Eyes-landen vormen. Aanleiding voor het advies, dat mede afkomstig is van de FBI, NSA en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), zijn aanvallen van een groep die aan de Iraanse Revolutionaire Garde gelieerd zou zijn. De groep weet via bekende kwetsbaarheden in Log4j, Microsoft Exchange Server en Fortinet FortiOS toegang tot organisaties te krijgen. Vervolgens worden er allerlei gegevens gestolen en bestanden versleuteld. Zo werd begin dit jaar een Amerikaans luchtvaartbedrijf via één of meerdere Log4j-kwetsbaarheden gecompromitteerd en kon er allerlei informatie worden gestolen, zo laat de waarschuwing van de Five Eyes-landen weten. Bij een andere aanval werden de Log4j-kwetsbaarheden gebruikt om de systemen van een Amerikaanse stad te compromitteren en die onder andere voor cryptomining te gebruiken. Naast het stelen van data maakt de groep ook gebruik van Microsofts BitLocker om bestanden te versleutelen. Organisaties moeten vervolgens losgeld betalen voor de decryptiesleutel. Onlangs maakte Microsoft al melding van deze groep aanvallers die het DEV-0270 noemt. Om aanvallen tegen te gaan geven de NSA, FBI en CISA allerlei bekende adviezen, zoals het installeren van beschikbare beveiligingsupdates, het maken van back-ups, toepassen van netwerksegmentatie en gebruik van multifactorauthenticatie. Aangezien de betreffende groep gebruikmaakt van BitLocker geven de Five Eyes-landen organisaties ook het specifieke advies om BitLocker zelf op alle netwerken te activeren, zodat de aanvallers dit niet meer kunnen doen. Vervolgens wordt organisaties aangeraden om hun BitLocker-sleutels bij zowel Microsoft als een aparte, offline back-up te bewaren. Microsoft stelt dat het encryptiesleutels niet aan de autoriteiten verstrekt als die hierom vragen.
Gamers op YouTube doelwit van nieuwe malware
Nieuw ontdekte malware richt zich specifiek op gamers die op YouTube zoeken naar digitale hulpmiddelen voor games. Opvallend is dat de malware zichzelf na installatie opnieuw via YouTube kan verspreiden door video's te publiceren. Het gaat om een nieuwe malwarebundel die is ontdekt door onderzoekers van cyberbeveiliger Kaspersky. De malware verspreidt zich via YouTube-video's die zich richten op gamers die willen valsspelen in online games. Met zogenoemde game-hacks, cheats en cracks kunnen games worden aangepast, waardoor richten bijvoorbeeld veel makkelijker wordt. Gamers die zoeken naar zulke hulpmiddelen voor valsspelen, komen terecht op YouTube-video's die helpen bij het installeren. Stap 1 is dan vaak het downloaden van een bestand: als dat gebeurt, is de besmetting al gelukt.
Hackersgroepen lanceren meer aanvallen op energiebedrijven
Tijdens de zomermaanden is het aantal aanvallen op Europese bedrijven in de energiesector gevoelig gestegen. Dat schrijft de krant De Standaard in Belgie. De hackers hadden het al gemunt op bedrijven in Italië en Luxemburg, maar België blijft voorlopig buiten schot. Het Centrum voor Cybersecurity neemt wel extra voorzorgsmaatregelen. Waar er doorgaans één of twee aanvallen per week op Europese energiebedrijven plaatsvinden, is dat aantal tijdens de zomermaanden gevoelig gestegen. In juli waren er drie aanvallen per week, in augustus vijf. Zowel het overheidsbedrijf GSE - dat zich specialiseert in hernieuwbare energie - als de Italiaanse multinational Eni kregen zo'n aanval te verduren. Of en hoeveel losgeld er werd geëist, is niet bekend. In juli was ook al het Luxemburgse bedrijf Creos getroffen. Wie die aanvallen uitvoert? Er wordt gekeken in de richting van Rusland, maar dat is moeilijk hard te maken, zegt Miguel De Bruycker, directeur van het Belgische Centrum voor Cybersecurity. "We zien dat de bekende hackersgroepen zich gereorganiseerd hebben sinds de crisis in Oekraïne. We zien dat die groepen op het Darkweb in het Russisch communiceren, maar dat is op zich geen bewijs dat ze ook echt Russisch zijn. Maar er zijn dus wel indicaties." Het is tegelijkertijd ook zo dat een aantal van die aanvallen werden opgeëist door de groep Blackcat. Die zou eerder al de hacking hebben uitgevoerd bij het Duitse Oiltanking - dat de opslag van olieproducten verzorgt - en bij het Amerikaanse Colonial Pipeline. Toen was de grootste pijpleiding van de VS enkele dagen buiten gebruik. In België zijn er voorlopig geen incidenten gemeld. Maar, zo zegt De Bruycker: "We zijn wel extra waakzaam en nemen bijkomende beschermingsmaatregelen. Het is wel heel moeilijk te bepalen hoe groot het risico voor ons land is."
Nieuwe BISAMWARE ransomware
BISAMWARE Ransomware; Extension: .BISAMWARE; Ransom note: SYSTEM=RANSOMWARE=INFECTED.TXT; Changes desktop wallpaperhttps://t.co/gCGY3ZO5MC@Amigo_A_ @LawrenceAbrams @demonslay335 @struppigel @JakubKroustek
— PCrisk (@pcrisk) September 15, 2022
Miljoenen gestolen door social engineering van betalingsverwerkers zorg
Criminelen hebben miljoenen dollars weten te stelen door middel van social engineering en phishing van betalingsverwerkers voor zorgorganisaties, zo stelt de FBI. Zorginstanties in de Verenigde Staten, zoals ziekenhuizen, werken met een betalingsverwerker die voor hen de betalingen verwerken. Klanten van deze betalingsverwerkers kunnen bijvoorbeeld via een online account allerlei zaken instellen, zoals gebruikt rekeningnummer. In een waarschuwing laat de FBI weten dat criminelen zich via publiek beschikbare informatie en social engineering zich tegenover betalingsverwerkers voordoen als medewerkers van zorginstanties (pdf). Zo weten ze de benodigde toegang en informatie te krijgen om het rekeningnummer van de betreffende zorginstantie of zorgverlener te wijzigen, waardoor het geld naar rekeningen van de crimineel gaat. Zo wist een aanvaller begin dit jaar de inloggegevens van een grote Amerikaanse zorgverlener te bemachtigen en wijzigde vervolgens bij de betalingsverwerker de bankgegevens, waardoor er 3,1 miljoen dollar naar de verkeerde rekening werd overgemaakt. Een aantal dagen later werd in een ander incident via dezelfde methode 700.000 dollar buitgemaakt. In april van dit jaar lukte het een crimineel om zich voor te doen als medewerker van een zorginstantie en wijzigde bij de betalingsverwerker de geautomatiseerde betalingsinstellingen, waardoor er een bedrag van 840.000 dollar naar de verkeerde rekening ging. De FBI adviseert organisaties om personeel te trainen zodat ze in staat zijn om phishing en social engineering te herkennen. Ook moet personeel worden geadviseerd om voorzichtig te zijn met het prijsgeven van gevoelige informatie in telefoongesprekken, zoals wachtwoorden.
Amerikaanse ziekenhuizen getroffen door ransomware-aanval
Verschillende ziekenhuizen van het Amerikaanse OakBend Medical Center zijn op 1 september getroffen door een ransomware-aanval en twee weken later nog altijd niet volledig hersteld. Daarnaast claimen de aanvallers dat ze meer dan een miljoen records met informatie van patiënten en medewerkers hebben gestolen. Het zou daarbij ook gaan om vertrouwelijke gezondheidsinformatie. Na ontdekking van de aanval besloot OakBend alle systemen offline te halen. Het ging ook om de mailserver. Als back-up werd vervolgens besloten om voor de communicatie met patiënten een Gmail-adres aan te maken. Inmiddels is de e-mail weer hersteld, maar de voicemail van het telefoonsysteem werkt bijvoorbeeld nog niet. Een ransomwaregroep genaamd Daixin Team claimt de verantwoordelijkheid voor de aanval, meldt beveiligingsonderzoeker Brett Callow. Op hun eigen website stellen de aanvallers dat er meer dan miljoen records zijn buitgemaakt, waarvan het eerste deel nu te downloaden is. Hoe de criminelen toegang tot de ziekenhuissystemen konden krijgen is niet bekendgemaakt. Volgens OakBend is de veiligheid van patiënten niet in het geding geweest.
Daixin has claimed responsibility for the attack on Texas-based OakBend Medical Center, which operates 3 hospitals. At least 13 US health systems with 59 hospitals between them have been impacted by ransomware in 2022. 1/3 pic.twitter.com/hQIObfWwaU
— Brett Callow (@BrettCallow) September 13, 2022
WordPress-sites op grote schaal aangevallen via zerodaylek in WPGateway
WordPress-sites worden op grote schaal aangevallen via een zerodaylek in WPGateway, een plug-in voor het populaire contentmanagementsysteem, zo meldt securitybedrijf Wordfence. Een beveiligingsupdate van de ontwikkelaar is nog niet beschikbaar. WordPress-beheerders wordt dan ook aangeraden om de plug-in direct te verwijderen totdat er een update is uitgebracht. WPGateway is een betaalde plug-in waarmee gebruikers van de WPGateway-clouddienst vanuit een dashboard hun WordPress-sites kunnen opzetten en beheren. Een kwetsbaarheid in de plug-in, aangeduid als CVE-2022-3180, maakt het mogelijk voor ongeauthenticeerde aanvallers om een malafide beheerder aan de website toe te voegen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Wordfence wil nog geen verdere details over de kwetsbaarheid geven, aangezien een beveiligingsupdate van de ontwikkelaar niet beschikbaar is. Het zerodaylek zou zeker sinds 8 september worden aangevallen. Sindsdien heeft Wordfence naar eigen zeggen 4,6 miljoen aanvallen tegen 280.000 websites waargenomen. Hoeveel websites van WPGateway gebruikmaken is onbekend. Aangezien een update ontbreekt krijgen webmasters het advies om de plug-in direct uit te schakelen totdat er een patch beschikbaar is.
Steam-gebruikers doelwit van "browser-in-the-browser" phishingaanval
Gebruikers van het populaire gamingplatform Steam zijn het doelwit van een phishingaanval waarbij van de "browser-in-the-browser" techniek gebruik wordt gemaakt. Dat laat securitybedrijf Group-IB weten. Bij deze techniek laat een malafide website een inlogpop-up zien met de url van een legitieme website. Gebruikers kunnen deze url ook kopiëren en plakken. De betreffende pop-up is echter niet van de legitieme website afkomstig. Zodra gebruikers via deze pop-up inloggen worden hun inloggegevens naar de aanvaller gestuurd. Wanneer het slachtoffer tweefactorauthenticatie voor zijn Steam-account heeft ingeschakeld vraagt de pop-up om deze informatie. Group-IB adviseert gebruikers om te controleren dat nieuw geopende vensters ook zichtbaar in de taakbalk zijn. "Anders is het browservenster nep", aldus het securitybedrijf. Verder wordt aangeraden om het venster te resizen. Als dit niet kan, is dit ook een aanwijzing dat het om een nagemaakt browservenster gaat.
€1.000,- euro als je het logo van ransomware criminelen 'Lockbit' tatoeëert
LockBit lanceerde de stunt via sociale media en was op zoek naar mensen die het logo van de groep wilden laten vereeuwigen op hun lichaam om reclame te maken. De bende wordt door verschillende inlichtingendiensten gezocht en verkoopt gijzelsoftware voor computers. Het duurde niet lang voor op Twitter de eerste foto’s opdoken van internetgebruikers die gehoor gaven aan de oproep. Zeker tien mensen haastten zich naar een tattooerder. Mogelijk ligt het echte aantal nog hoger, want het was niet noodzakelijk om een foto te verspreiden. LockBit voerde met iedere ‘deelnemer’ wel een videocall. Die kon dan via de webcam bewijzen dat de tattoo niet afwasbaar is. Eén internetgebruiker heeft op GitHub een collectie foto’s en filmpjes aangelegd van verschillende - vooral Russische - LockBit-fans met tattoo.
Lampion malware maakt comeback in WeTransfer phishing-aanvallen
Securitybedrijf Cofense waarschuwt dat malwarevariant Lampion steeds vaker opduikt. Aanvallers misbruiken WeTransfer om de malware met phishing-campagnes te verspreiden. WeTransfer is een gratis webtool voor het delen van bestanden. Sommige cybercriminelen gebruiken het platform als goedkope tool voor het omzeilen van securitysoftware die kwaadaardige URL’s in mails detecteert. Securitybedrijf Cofense meldt dat Lampion wordt verspreid met gehackte bedrijfsaccounts en phishing mails. Slachtoffers worden per mail gepusht om een ‘betalingsbewijs’ op WeTransfer te downloaden. Het WeTransfer-bestand is een ZIP-pakket met een VBS (Virtual Basic script). De malware activeert zodra een slachtoffer het VBS uitvoert.
DigiD was urenlang beperkt beschikbaar vanwege ddos-aanvallen
DigiD was maandagavond urenlang beperkt beschikbaar vanwege een storing. De website werd geteisterd door ddos-aanvallen. Veel gebruikers konden daardoor niet inloggen op verschillende overheidswebsites. Aan het einde van de avond was het probleem opgelost en kon iedereen weer inloggen. Volgens Logius ontstond de storing om 18.42 uur. Logius is een agentschap van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. De dienstverlener is verantwoordelijk voor onder meer de beschikbaarheid, werking en beveiliging van DigiD. DigiD lag er maandagavond niet helemaal uit. "Het zou kunnen dat het nu niet lukt om in te loggen, maar dat de website het wel doet als je het over tien minuten nog eens probeert", zei de woordvoerder. Op een kaart van AlleStoringen.nl was te zien dat de inlogproblemen verspreid over het land voorkwamen. Ook op Twitter meldden veel mensen dat ze problemen hebben met inloggen via DigiD.
‘Ongekend intense’ cyberaanval legt Montenegro lam, ‘schuld van Rusland’
Op het hoofdkwartier van de regering in NAVO-lidstaat Montenegro zijn de computers uit het stopcontact getrokken, het internet is uitgeschakeld en de belangrijkste websites van de staat zijn offline. De black-out komt er te midden van een massale cyberaanval tegen de kleine Balkanstaat die volgens ambtenaren het stempel draagt van pro-Russische hackers en zijn veiligheidsdiensten. De gecoördineerde aanval die rond 20 augustus begon, legde online informatieplatforms van de overheid lam en bracht de essentiële infrastructuur van Montenegro, waaronder bank-, water- en elektriciteitsvoorzieningssystemen, in groot gevaar. De aanval, die door deskundigen wordt omschreven als ongekend intens en de langste in de recente geschiedenis van het kleine land, vormde het sluitstuk van een reeks cyberaanvallen sinds de Russische inval in Oekraïne, waarbij hackers het gemunt hadden op Montenegro en andere Europese naties, waarvan de meeste NAVO-lid zijn.
NAVO-bondgenoten veroordelen cyberaanvallen op Albanië
NAVO-lidstaten en -bondgenoten steunen Albanië in het versterken van zijn cyberveiligheid nu de nationale IT-infrastructuur van het land in toenemende mate doelwit is van cyberaanvallen. In een verklaring betuigen de landen steun aan het Oost-Europese land. Albanië is al enige tijd doelwit van cyberaanvallen. Vrijdag werden nog de computersystemen van de nationale politie in het land getroffen door een aanval. In juli waren daarnaast meerdere Albanese overheidswebsites en digitale diensten onbereikbaar door cyberaanvallen. Het Oost-Europese land beschuldigt Iran van betrokkenheid bij de aanvallen. In reactie op de aanvallen zijn alle diplomatieke banden tussen Albanië en Iran verbroken. In een verklaring betuigen de NAVO-leden en -bondgenoten nu steun aan Albanië en geven zij aan solidair te zijn met het land. "Bondgenoten erkennen de verklaringen van Albanië en andere Bondgenoten die de verantwoordelijkheid voor de cyberaanval toeschrijven aan de regering van Iran. We veroordelen ten stelligste dergelijke kwaadaardige cyberactiviteiten die zijn ontworpen om de veiligheid van een Bondgenoot te destabiliseren en te schaden, en het dagelijks leven van burgers te verstoren. De NAVO en de Bondgenoten steunen Albanië bij het versterken van zijn cyberdefensievermogens om dergelijke kwaadaardige cyberactiviteiten in de toekomst te weerstaan en af te weren", schrijven de landen. Ook melden de bondgenoten zich in te zetten voor het beschermen van hun kritieke infrastructuur, opbouwen van veerkracht en versterken van hun cyberafweer. "We zullen in de toekomst blijven waken voor dergelijke kwaadaardige cyberactiviteiten en elkaar ondersteunen om het volledige spectrum van cyberdreigingen af te schrikken, te verdedigen en tegen te gaan, onder meer door mogelijke collectieve reacties te overwegen", aldus de bondgenoten. "We promoten een vrije, open, vreedzame en veilige cyberspace. We streven naar inspanningen om de stabiliteit te vergroten en de risico's van conflicten te verminderen door respect voor het internationaal recht en de vrijwillige normen van verantwoordelijk staatsgedrag in cyberspace te bevorderen, zoals erkend door alle leden van de Verenigde Naties. We roepen alle staten op om hun internationale verplichtingen na te komen om een op normen gebaseerde benadering van cyberspace te handhaven."
VS verplicht vitale infrastructuur om losgeld betaald bij ransomware te melden
Amerikaanse vitale organisaties die slachtoffer van ransomware worden en losgeld aan de aanvallers betalen zullen dit straks verplicht bij de Amerikaanse overheid moeten rapporteren. Ook cyberincidenten dienen straks te worden gemeld. Dat is het gevolg van de Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA). Hoe de meldplicht er precies komt uit te zien is nog niet helemaal duidelijk. Het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security, is een 'request for information' gestart. Vanaf vandaag kan de vitale infrastructuur en het publiek op het voorstel reageren. Aan de hand van de verkregen feedback wordt gekeken hoe de nieuwe meldplicht effectief kan worden geïmplementeerd. Het CISA wil graag input over zaken als definities en gebruikte terminologie, alsmede vorm, inhoud en procedures voor het melden van cyberincidenten en losgeldbetalingen, maar ook hoe de verplichting kan worden gehandhaafd. Volgens de overheidsinstantie zorgt de meldplicht ervoor dat het sneller middelen kan vrijmaken voor slachtoffers van aanvallen en opkomende dreigingen en trends sneller in kaart kan brengen. "CIRCIA is voor de hele cybersecurity-community en iedereen die de vitale infrastructuur van ons land wil beschermen een game changer. Het zorgt ervoor dat we de dreigingen waarmee we te maken hebben beter kunnen begrijpen, aanvalscampagnes eerder kunnen herkennen en meer gecoördineerde actie met onze private en publieke partners kunnen ondernemen", zegt CISA-directeur Jen Easterly. "We kunnen niet beschermen tegen wat we niet kennen en de informatie die we ontvangen zal helpen om belangrijke gaten te dichten."
QNAP herhaalt oproep om UPnP en port forwarding op NAS uit te schakelen
QNAP heeft eigenaren van een NAS-apparaat dat toegankelijk vanaf het internet is opnieuw opgeroepen om UPnP en port forwarding uit te schakelen. Aanleiding is de recente zeroday-aanval op gebruikers van een QNAP-NAS begin deze maand. Aanvallers achter de DeadBolt-ransomware maakten gebruik van een zerodaylek in de Photo Station-software van QNAP. Zodoende konden allerlei bestanden worden versleuteld en moesten slachtoffers losgeld betalen om hun data terug te krijgen. QNAP zegt dat het vijf uur na het identificeren van de "malwarepatronen" met een beveiligingsupdate voor het aangevallen zerodaylek is gekomen. Verder heeft de NAS-fabrikant een lijst met ip-adressen die de aanvallers gebruiken op een blacklist van de QuFirewall-applicatie gezet. Verder stelt het bedrijf dat het vorig jaar NAS-snapshots heeft geïntroduceerd die niet door ransomware zijn te verwijderen. In QTS 5.0.0 staan deze snapshots standaard in het Thin/Thick volume ingeschakeld. Gebruikers die regelmatig snapshots maken kunnen die herstellen. Klanten die niet regelmatig snapshots maken worden aangeraden om contact op te nemen met de klantenservice van QNAP. Ook adviseert de NAS-fabrikant om wel geregeld snapshots te maken. In april kwam QNAP met advies om UPnP en port forwarding uit te schakelen en die oproep wordt nu herhaald. Universal Plug and Play (UPnP) is een veelgebruikt protocol dat het eenvoudiger voor apparaten in een netwerk moet maken om met andere apparaten op het netwerk te communiceren. Aangezien het bedoeld is om op lokale, vertrouwde netwerken te worden gebruikt implementeert het UPnP-protocol standaard geen enkele vorm van authenticatie of verificatie. Port forwarding maakt het mogelijk om het NAS-appraat voor het internet toegankelijk te maken. QNAP stelt dat gebruikers hier voorzichtig mee moeten zijn en het uitschakelen van de feature wordt aangeraden. In het geval een NAS-systeem toch toegankelijk vanaf het internet moet zijn is het nodig om een strikte firewallconfiguratie toe te passen en de managementpoort aan te passen, zo stelt de fabrikant. Hoeveel QNAP-gebruikers slachtoffer van de recente aanval zijn geworden is niet bekend.
Ransomware versleutelt ruim 11.000 QNAP-apparaten via zerodaylek
De criminelen achter de DeadBolt-ransomware hebben begin deze maand ruim 11.000 NAS-apparaten van fabrikant QNAP via een zerodaylek weten te versleutelen, zo stelt securitybedrijf Censys. Sinds het begin van dit jaar zijn QNAP-systemen het doelwit van de DeadBolt-ransomware, waarbij vaak bekende kwetsbaarheden worden gebruikt. Begin september wisten de aanvallers NAS-systemen via een zerodaylek in de Photo Station-software aan te vallen. QNAP stelt dat het een aantal uur na ontdekking van de aanvallen met een beveiligingsupdate kwam om het probleem te verhelpen. Op het forum van QNAP klaagden tal van gebruikers dat hun systeem was versleuteld. Censys houdt het aantal met DeadBolt besmette QNAP-apparaten bij. Dat waren er op 1 september zo'n 7700. Op 4 september was dit gestegen naar 19.000. De meeste infecties werden geteld in de Verenigde Staten, gevolgd door Duitsland, Italië, Taiwan en het Verenigd Koninkrijk. Slachtoffers moeten honderden euro's betalen voor het ontsleutelen van hun data. Vorig jaar kwam QNAP met snapshots die niet door ransomware zijn te verwijderen. Gebruikers die regelmatig snapshots maken kunnen zo hun data herstellen. Klanten die niet regelmatig snapshots maken en door de recente aanval zijn getroffen worden aangeraden om contact op te nemen met de klantenservice van QNAP.
Ransomwaregroep publiceert bij Cisco gestolen bedrijfsgegevens
Een groep ransomwarecriminelen die wist in te breken op systemen van Cisco heeft de daarbij gestolen bestanden openbaar gemaakt, zo heeft de netwerkgigant bekendgemaakt. Het zou onder andere om geheimhoudingsverklaringen van het bedrijf gaan. Volgens Cisco laat het incident zien dat organisaties hun personeel goed over het gebruik van multifactorauthenticatie (MFA) moeten onderwijzen. De aanval vond eind mei plaats, maar werd pas vorige maand door Cisco naar buiten gebracht. De aanvaller wist via het persoonlijke Google-account van een Cisco-medewerker toegang tot het Cisco-vpn te krijgen. Deze medewerker had wachtwoordsynchronisatie via Google Chrome ingesteld en zijn Cisco-inloggegevens in de browser opgeslagen. Daardoor werden deze gegevens met het Google-account gesynchroniseerd. Hoe het account van de medewerker kon worden gecompromitteerd heeft Cisco niet laten weten. Het vpn van Cisco was ook beveiligd met multifactorauthenticatie, waardoor de aanvaller aan alleen de buitgemaakte inloggegevens niet voldoende had. Om dit obstakel te omzeilen maakte de aanvaller gebruik van verschillende methodes, waaronder telefonische phishing en “MFA fatigue”, waarbij een doelwit wordt bestookt met pushnotificaties op de telefoon om de inlogpogingen van de aanvaller goed te keuren. Nadat de aanvaller toegang had verkregen wist die verschillende eigen systemen voor de multifactorauthenticatie aan te melden en kon zo succesvol op het Cisco-vpn inloggen. De aanvaller wist vervolgens adminrechten te krijgen, waardoor hij tot meerdere Cisco-systemen toegang kreeg. Dit veroorzaakte een waarschuwing waarop Cisco een onderzoek startte. De aanvaller bleek meerdere tools te gebruiken, waaronder LogMeIn en TeamViewer, en tools zoals Cobalt Strike, PowerSploit, Mimikatz en Impacket. Ook voegde de aanvaller zijn eigen backdoor-accounts toe. De aanvaller probeerde vervolgens data te stelen. Dat is volgens Cisco beperkt tot alleen een "Box folder" van de in eerste instantie gecompromitteerde medewerker. Er is geen ransomware uitgerold, zo laat het netwerkbedrijf verder weten. Na de aankondiging van de inbraak en gestolen data kwam Cisco met een update waarin het stelt dat organisaties hun medewerkers over het gebruik van MFA moeten voorlichten, zodat ze weten hoe ze met onbedoelde push requests op hun telefoon moeten omgaan. Daarnaast moeten medewerkers weten wie ze in deze gevallen kunnen informeren mocht een dergelijke aanval zich voordoen. Verder adviseert Cisco ook technische maatregelen, zoals een strengere controle bij het toevoegen van nieuwe apparaten waarmee medewerkers op een vpn kunnen inloggen, of het in zijn geheel blokkeren hiervan. Verder moet van elk systeem voordat het vpn-toegang krijgt de "security baseline" worden gecontroleerd. Dit moet ook voorkomen dat malafide, niet toegestane apparaten verbinding met het bedrijfsnetwerk kunnen maken. Ook adviseert Cisco het gebruik van netwerksegmentatie en het gecentraliseerd verzamelen van logbestanden.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 38-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 37-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 36-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 35-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 34-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 33-2024
Reading in 🇬🇧 or another language