First click here and then choose your language with the Google translate bar at the top of this page ↑
Persoonsgegevens gestolen bij cyberaanval op online dierenwinkel Zooplus, bank is slachtoffer van ransomware en betaalt $1 miljoen en Hack van 568 miljoen dollar bij cryptobeurs Binance. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Meer dan 6.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes omdat ze weigerden te betalen. Als je betaald wordt er geen data gelekt en kom je niet op deze lijst.. ‘Zo'n 80% van de organisaties betaalt losgeld’ 🤔
LAATSTE WIJZIGING: 10-oktober-2022 | Aantal slachtoffers: 6.400
Week overzicht
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
securityalliancegroup.com | LockBit | securityalliancegroup.com | USA |
dragages-ports.fr | LockBit | dragages-ports.fr | France |
alliedusa.com | LockBit | alliedusa.com | USA |
cedemo.com | LockBit | cedemo.com | Monaco |
buydps.com | LockBit | buydps.com | USA |
Município De Loures | Hive | www.cm-loures.pt | Portugal |
Home Dynamix | BlackCat (ALPHV) | www.homedynamix.com | USA |
Deutsche Saatveredelung AG | BlackCat (ALPHV) | www.dsv-saaten.de | Germany |
Notos Com | BlackCat (ALPHV) | In progress | In progress |
Electricity company | Everest | In progress | South Africa |
Bevolution Group | Karakurt | bevolutiongroup.com | USA |
SPERONI S.P.A | Everest | speronispa.com | Italy |
Circles of Care | BlackCat (ALPHV) | www.circlesofcare.org | USA |
Clarion Communication Management Ltd | BlackCat (ALPHV) | clarioncomms.com | UK |
Knoll | BlackCat (ALPHV) | www.knoll.com | USA |
Pinnacle Incorporated | BlackCat (ALPHV) | www.pinnacle.co.nz | New Zealand |
MERCOLA | Black Basta | www.mercola.com | USA |
ScinoPharm Taiwan | Qilin | scinopharm.com | Taiwan |
Robert Bernard | Qilin | robertbernard.com | Canada |
Contempo Card | Qilin | contempocard.com | USA |
Lojas Torra | Qilin | lojastorra.com.br | Brazil |
EMTELCO | Qilin | www.emtelco.com.co | Colombia |
Dialog Information Technology | Qilin | dialog.com.au | Australia |
Rundle Eye Care | Everest | Unknown | USA |
MARCELSOLUTION.COM | CL0P | marcelsolution.com | Dominican Republic |
OPPLE Lighting | Snatch | www.opple.com | China |
Empower Insurance | Snatch | www.empowerins.com | USA |
Unicity | Snatch | www.unicity.com | USA |
Oil India Limited | Snatch | www.oil-india.com | India |
Avalon luxury transport | Ragnar_Locker | avalonluxurytransport.com | USA |
Willemen Group | Black Basta | www.willemen.be | Belgium |
apunipima.org.au | LockBit | apunipima.org.au | Australia |
National Stores Inc. | Karakurt | www.fallasstores.net | USA |
Batesville Products | Karakurt | batesvilleproducts.com | USA |
APSM Systems | Karakurt | apsmsystems.com | USA |
Peter Duffy Ltd | BianLian | www.peterduffyltd.com | UK |
Sunflower Farms Distributors, Inc | BianLian | www.isunflower.com | USA |
Aarti Drugs Ltd | BianLian | www.aartidrugs.co.in | India |
Berg Kaprow Lewis | BianLian | www.bkl.co.uk | UK |
Feldman, Holtzman & Company, LLC | BianLian | www.fhccpa.com | USA |
Läderach | BianLian | laderach.com | Switzerland |
Seanic Ocean Systems | BianLian | www.seanicusa.com | USA |
Bartelt | BianLian | www.bartelt.at | Austria |
Gate Precast | Black Basta | gateprecast.com | USA |
The UNITED GRINDING Group | Black Basta | www.grinding.ch | Switzerland |
Grupo Jaime Camara | Vice Society | www.gjccorp.com.br | Brazil |
ALVAC SA | AvosLocker | alvac.es | Spain |
AudioQuest | Ragnar_Locker | www.audioquest.com | USA |
Malayan Flour Mills Bhd. | Ragnar_Locker | www.mfm.com.my | Malaysia |
Slachtoffers Belgie en Nederland
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
Willemen Group | Black Basta | www.willemen.be | Belgium |
In samenwerking met DarkTracer
Top 3 cybercrime groepen met de meeste slachtoffers
Groepering | Aantal slachtoffers | ||
---|---|---|---|
1 | LockBit | 1162 | Nog actief |
2 | Conti | 674 | Niet meer actief |
3 | REvil | 246 | Niet meer actief |
Cyberaanval legt informatiesystemen van zorgcentra Barcelona plat
Het computersysteem van drie ziekenhuizen in Barcelona heeft platgelegen na een cyberaanval met ransomware. De aanval was op vrijdagnacht gepleegd en zaterdagavond was het systeem nog steeds niet operatief. Het gaat om de informatiesystemen van alle diensten van het Consorci Sanitari Integral (CSI), waaronder meerdere gezondheidscentra, verpleeghuizen en ziekenhuizen vallen. Hieronder drie ziekenhuizen in het grootstedelijk gebied van Barcelona: El Dos de Maig in Barcelona, Moisès Broggi in Sant Joan Despí en Hospital General in L'Hospitalet. De aanval was van het type ransomware. Dit infecteert een systeem en gijzelt data in ruil voor een geldbedrag. Wordt dat betaalt, dan wordt de aanval opgeheven. Bronnen bij het Catalaanse agentschap voor Cyberveiligheid hebben zaterdag tegen persbureau EFE bevestigd dat het om een 'zware' aanval gaat en aangegeven dat hun technici onvermoeibaar doorwerken om het incident op te lossen. Op hun beurt zeiden bronnen bij de Catalaanse politiedienst Mossos d'Esquadra dat ook daar onderzoek wordt gedaan naar de oorsprong van de aanval. De cyberaanval heeft het functioneren van de zorgcentra belemmerd. Het personeel kon geen persoonsgegevens en ziektegeschiedenissen bekijken of tests uitvoeren met apparaten die op het systeem draaien. Denk hierbij aan scans en derdelijke. "Het is een chaos. We schrijven nu de rapporten met de hand", zeggen de gedupeerde artsen. De spoedeisende hulpdiensten zijn wel gegarandeerd zei een woordvoerder van ziekenhuis Moisès Broggi. De eerstelijnsdiensten werken wel alleen zonder hun informatiediensten. Dit ziekenhuis was een paar jaar geleden ook al slachtoffer van een gelijksoortige cyberaanval met het type ransomware. Aangezien de informatie die ziekenhuizen verzamelen en opslaan zeer gevoelig is, zijn deze een gewild doel van cybercriminelen. In tegenstelling tot toen zijn dit keer alle backups van het ziekenhuis volledig up to date, volgens een woordvoerder van de het systeembeheer. Het is nog onbekend of de criminelen in contact staan met de besturen van de ziekenhuizen of de zorgautoriteiten om de aanval op te heffen.
Aanvallers maken actief misbruik van zerodaylek in Zimbra Collaboration Suite
Aanvallers maken actief misbruik van een zerodaylek in Zimbra Collaboration Suite om mailservers over te nemen. Een beveiligingsupdate is nog niet beschikbaar, een workaround wel. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt. Zimbra-mailservers zijn geregeld het doelwit van aanvallen, zo kwam de Amerikaanse overheid in augustus nog met een waarschuwing om de software up-to-date te houden. Zimbra maakt gebruik van antivirussoftware Amavis om archiefbestanden om malware te scannen. Het nu aangevallen probleem doet zich voor bij Zimbra-mailservers die archiveringstool cpio gebruiken voor het controleren van de inhoud van archiefbestanden. Door het versturen van een speciaal geprepareerd archiefbestand dat door cpio wordt uitgepakt kan een aanvaller naar elk pad op het filesystem schrijven waar de Zimbra-gebruiker toegang toe heeft. Op deze manier is het mogelijk om een webshell te installeren en zo willekeurige code op de mailserver uit te voeren. Dat het gebruik van cpio een beveiligingsrisico kan zijn, is al sinds 2015 bekend. Vorige maand kwam Zimbra zelf met een waarschuwing en advies om cpio te vervangen door archiveringstool pax. Pax is standaard geïnstalleerd op Ubuntu. Ubnuntu-gebaseerde installaties van Zimbra zijn dan ook niet kwetsbaar. Dat is wel het geval bij Zimbra-installaties gebaseerd op Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 en CentOS 8, zo meldt securitybedrijf Rapid7. Volgens het securitybedrijf is de overstap naar pax de beste optie, aangezien cpio niet veilig is te gebruiken omdat verschillende besturingssystemen een beveiligingsupdate voor het probleem met de archiveringstool hebben verwijderd. Zimbra heeft aangegeven dat het van plan is om de afhankelijkheid van cpio te verwijderen en pax de standaard te gaan maken.
Hackers aan de haal met gegevens van 300.000 klanten van Toyota
Hackers hebben waarschijnlijk gegevens van bijna 300.000 klanten van Toyota gestolen. Dat heeft de wagenbouwer vrijdag in Japan gemeld. Toyota stelde vast dat 296.019 e-mailadressen van klanten en de bijhorende klantennummers gecompromitteerd kunnen zijn, luidde het in een persbericht. Het gaat om gegevens van klanten die Toyota’s onlinedienst T-Connect gebruiken. Bij Toyota Duitsland klinkt het dat er nog geen oplijsting van de gestolen gegevens per land of regio is. Toyota meldde nog dat andere gegevens zoals namen, telefoonnummers, kredietkaartnummers of nog andere informatie niet gestolen kunnen zijn. Anderzijds waarschuwen cyberexperten wel dat basisgegevens volstaan om iemand te bestoken met een phishing-aanval (online fraude via valse berichten). Het datalek situeerde zich volgens Toyota bij een toeleverancier. Die had eind 2017 per abuis een deel van de programmacode gedeeld op het platform Github. Die code bevatte de toegangssleutel voor een dataserver, waarop de e-mailadressen en klantennummers in kwestie stonden. In 2019 werden al eens de gegevens van zowat 3,1 miljoen klanten van Toyota gestolen door hackers. Eerder dit jaar moest Toyota de productie pauzeren nadat toeleveranciers het slachtoffer werden van een cyberaanval.
Meta waarschuwt 1 miljoen mogelijke slachtoffers over gestolen inloggegevens
Meer dan vierhonderd malafide apps in de officiële appstores van Apple en Google zijn ontwikkeld om inloggegevens van Facebook-gebruikers te stelen, zo claimt Meta. De malafide apps doen zich vaak voor als fotobewerkings-app, games en vpn's. Eenmaal geïnstalleerd vragen de apps aan gebruikers om via Facebook in te loggen om de app te kunnen gebruiken. De ingevoerde inloggegevens worden vervolgens naar de aanvallers gestuurd die daarmee toegang tot het Facebook-account van de gebruiker kunnen krijgen. Volgens Meta plaatsen de aanvallers ook allerlei positieve reacties bij de malafide apps, om anderen zover te krijgen die te downloaden. Het bedrijf waarschuwt gebruikers om te letten wanneer het gebruik van de "Login With Facebook" feature verplicht is om de app te kunnen gebruiken. Meta zegt dat het Apple en Google over de malafide apps heeft ingelicht en dat de bedrijven begonnen zijn met het verwijderen ervan uit hun appstores. Het grootste deel van de malafide apps werd in de Google Play Store gevonden. Zo'n vijftig apps ontdekte Meta in de Apple App Store. Via de vandaag gegeven waarschuwing wil Meta ook het publiek waarschuwen en heeft daarbij de namen van de betreffende apps gepubliceerd.
Data toegangspassen Tweede Kamerleden op straat na hack bij IT-bedrijf
Een ransomwaregroep die vorige maand wist in te breken op systemen van it-bedrijf ID-ware heeft daarbij ook privégegevens van duizenden rijksambtenaren buitgemaakt en inmiddels online gezet, waaronder ook Tweede Kamerleden. Eind september en vorige week verschenen op Twitter berichten dat de ALPHV-ransomwaregroep had ingebroken op systemen van ID-ware. Het bedrijf levert toegangssystemen aan bedrijven en overheden, inclusief de Eerste en Tweede Kamer. Het gaat om de Rijkspas, die leden van de Eerste en Tweede Kamer, de staf van die organisaties, en rijksambtenaren toegang verschaft tot de Kamergebouwen en rijkspanden. Dat laat staatssecretaris Van Huffelen vandaag in een brief (pdf) aan de Tweede Kamer weten. Op 21 september meldde ID-ware dat er een aanval heeft plaatsgevonden op haar systemen. Het ging om een ransomware-aanval waarbij bestanden werden versleuteld. ID-ware stelt dat de schade snel hersteld kon worden, maar dat er ook een grote hoeveelheid data is gestolen en gepubliceerd. Uit onderzoek blijkt dat de databaseservers die gebruikt worden bij de uitgifte van passen niet zijn getroffen door de aanval. Of er gegevens van Rijkspasgebruikers staan op de fileservers die wel geraakt zijn wordt onderzocht. Tot nu toe is bekend dat van bijna 3500 medewerkers van de Rijksoverheid naam, rijkspasnummer en paraaf is gelekt vanuit de thuisbezorgservice van de kaart. "De persoonsgegevens die aanwezig zijn bij het bedrijf beperken zich tot de voor productie van de kaart noodzakelijke gegevens: naam, geboortedatum, geslacht, rijkspasnummer en pasfoto. Voor de meeste pasgebruikers zal dit, als toch blijkt dat deze gelekt zijn, een beperkte impact hebben, waarbij met name aan het risico van gebruik bij phishing moet worden gedacht. Niettemin betreur ik dit incident zeer, evenals de mogelijke gevolgen voor betrokken personen", aldus Van Huffelen. De staatssecretaris merkt op dat met de gelekte informatie geen pas worden kan worden gemaakt die toegang tot gebouwen geeft, het hiervoor benodigde sleutelmateriaal wordt niet verwerkt bij ID-ware. De interne systemen van Rijkspasbeheer, Eerste Kamer en Tweede Kamer zijn door de aanval op ID-ware niet geraakt. De verbindingen worden gemonitord, aldus Van Huffelen. De personen van wie is vastgesteld dat er gegevens zijn gelekt zijn persoonlijk geïnformeerd of worden binnenkort ingelicht. ID-ware levert soortgelijke toegangssystemen ook aan andere klanten in Nederland en Duitsland en heeft hen eveneens op de hoogte gesteld. Ook is een melding gedaan bij Autoriteit Persoonsgegevens en heeft het bedrijf aangifte gedaan bij de politie.
Nevermind, it is back on the site now with Midwest Petroleum, too. Guess AlphV just had some technical difficulties. pic.twitter.com/rUWhddkbZd
— Nicholas Carroll (@sloppy_bear) September 30, 2022
Группировка ALPHV взломала не только компанию ID-Ware, занимающуюся системами контроля доступа 🪪 к ИТ-инфраструктуре, но и компанию NJVC, поставщика услуг по управлению ИТ-инфраструктуры американского МинОбороны.
— Alexey Lukatsky (@alukatsky) October 2, 2022
ЗЫ. Связаны эти события или нет, я не знаю 🤷 pic.twitter.com/xORXM1rtF8
Grupo #ransomware BlackCat (ALPHV) 🐈⬛
— hominido (@migueljmnez) September 30, 2022
Origen: Noviembre de 2021
Detalles: Promueven sus servicios a través de foros de habla rusa. Se dice que han hecho un rebranding antiguos miembros de BlackMatter (DarkSide). EEUU, Australia e India, como algunos de los países azotados. pic.twitter.com/vkNVuU6IVK
Hack van 568 miljoen dollar bij cryptobeurs Binance
Bij Binance, het belangrijkste handelsplatform voor cryptomunten ter wereld, hebben hackers de hand kunnen leggen op 568 miljoen dollar aan digitale valuta. Daarvan konden ze maximaal 100 miljoen dollar te gelde maken. De grootste cryptobeurs ter wereld is vrijdag het doelwit geworden van een cyberaanval. Dat geeft Binance-oprichter en CEO Changpeng Zhao toe op Twitter. Hackers slaagden erin om de controle te krijgen over 2 miljoen tokens van de digitale munt Binance Coins. Tegen de huidige koers zijn die tokens ongeveer 568 miljoen dollar waard. Zeker 87 miljoen dollar kon weggesluisd worden, maar voor de overige tokens lukte dat niet omdat Binance 'ongewone activiteiten' op het spoor kwam. Het bedrijf legde meteen zijn Binance Smart Chain - de interne blockchain die alle transacties registreert - tijdelijk stil om erger te vermijden. Minstens 7 miljoen dollar aan gestolen fondsen is bevroren. 'Het probleem is onder controle. Uw fondsen zijn veilig', zegt Changpeng Zhao in een mededeling. Volgens de CEO bedraagt de impact van de hack ongeveer 100 miljoen dollar.
The current impact estimate is around $100m USD equvilent, about a quarter of the last BNB burn.
— CZ 🔶 Binance (@cz_binance) October 7, 2022
Zonder de kordate ingreep waren de gevolgen van de hack nog veel zwaarder geweest, zeggen experts. Eerder dit jaar maakten hackers voor 600 miljoen dollar cryptomunten buit op het Ronin-netwerk, dat gelinkt is aan de populaire onlinevideogame 'Axie Infinity'. Net zoals nu ging het toen om een aanval op een 'bridge' in het netwerk. Zo'n digitale brug garandeert dat gebruikers hun cryptomunten makkelijk kunnen verplaatsen van de ene blockchain naar de andere. Die digitale bruggen tussen blockchains - een relatief nieuw fenomeen - zijn populaire doelwitten vanwege hun kwetsbaarheid voor diefstallen. Volgens het persagentschap Bloomberg ging er dit jaar al ongeveer 2 miljard dollar verloren bij cryptohacks, veelal gepleegd door groeperingen die aan Noord-Korea gelinkt zijn.
Bank is slachtoffer van ransomware en betaalt $1 miljoen
De Bank of Brazilia is slachtoffer geworden van een ransomware van LockBit. Hackers vroegen om 50 BTC aan losgeld. Als de bank het geld niet zou betalen, zouden persoonsgegevens van klanten worden gelekt. Er zat dus niet veel op voor de financiële instelling: ze hebben het bedrag van z'n $1 miljoen overgemaakt. Volgens de lokale media Tecmundo nam een van de hackers genaamd "Crydat" contact op met de bank. Hij informeerde hen dat er 5,2 miljoen Braziliaanse reais aan bitcoin vóór 06 oktober om 15:00 uur moesten worden overgemaakt. De Bank of Brasilia heeft niet gereageerd op het nieuws. Anonieme bronnen deden dat wel. De zaak wordt onderzocht door de speciale politiedienst voor de bestrijding van cybercriminaliteit. Volgens de anonieme bronnen gebruikten de hackers de "LockBit"-ransomware.
Persoonsgegevens gestolen bij cyberaanval op online dierenwinkel Zooplus
Zooplus is het slachtoffer geworden van een cyberaanval, laat de online dierenwinkel donderdag in een e-mail aan zijn klanten weten. Daarbij zijn persoonsgegevens buitgemaakt. "Een onbekende aanvaller of groep aanvallers is het gelukt om met behulp van een set inloggegevens illegaal Zooplus-accounts binnen te dringen", schrijft het bedrijf in de e-mail. Hoeveel klanten zijn gedupeerd, is onduidelijk. Ook is niet bekend welke persoonsgegevens precies zijn buitgemaakt. Zooplus wil niet reageren op vragen van NU.nl, maar meldt in de e-mail dat er geen betaalgegevens zijn gestolen. Getroffen klanten kunnen niet meer bij hun Zooplus-account komen. Zij moeten eerst hun wachtwoord resetten om weer te kunnen inloggen. De dierenwinkel raadt ze aan dit zo snel mogelijk te doen. Zooplus zegt met experts onderzoek te doen naar de cyberaanval en het lek te hebben gemeld bij de Autoriteit Persoonsgegevens.
Ransomware schakelt beveiligingssoftware uit via MSI AfterBurner-driver
Onderzoekers waarschuwen voor een ransomwaregroep die een legitieme driver van elektronicafabrikant MSI gebruikt voor het uitschakelen van beveiligingssoftware op systemen. Inmiddels maken verschillende ransomwaregroepen gebruik van de "Bring Your Own Driver" techniek, zo laat antivirusbedrijf Sophos weten. Door beveiligingsmaatregelen in Windows zoals driver signature enforcement kunnen aanvallers niet zomaar hun eigen rootkit of driver op een systeem installeren om vervolgens het kernelgeheugen te kunnen lezen en aanpassen, zegt onderzoeker Andreas Klopsch. Een aanvaller heeft echter verschillende opties om deze beperking te omzeilen, zoals het stelen van certificaten voor het signeren van code of misbruik van kwetsbaarheden in bestaan, gesigneerde drivers. Geregeld worden er kwetsbaarheden in drivers aangetroffen waar aanvallers misbruik van kunnen maken. Zo werd eerder dit jaar bekend dat de criminelen achter de AvosLocker-ransomware gebruikmaken van een driver van antivirusbedrijf Avast om virusscanners en andere beveiligingssoftware op aangevallen systemen uit te schakelen. Vorige maand meldde antivirusbedrijf Trend Micro dat een anti-cheatdriver van de videogame Genshin Impact werd gebruikt om antivirussoftware uit te zetten zodat daarna ransomware kan worden uitgerold. Drivers draaien met verhoogde rechten op het systeem. Kwetsbaarheden in drivers bieden aanvallers de mogelijkheid om het kernelgeheugen te lezen of schrijven en daarin code uit te voeren, merkt Klopsch op. Recentelijk ontdekte antivirusbedrijf Sophos een aanval door de BlackByte-ransomware die van een kwetsbare MSI AfterBurner-driver gebruikmaakt om aanwezige beveiligingssoftware te neutraliseren. AfterBurner is een tool voor het overklokken van videokaarten. De driver bevat een kwetsbaarheid (CVE-2019-16098) waardoor een aanvaller die al toegang tot het systeem heeft zijn rechten kan verhogen, met verhoogde rechten code kan uitvoeren of informatie kan achterhalen. De aanvallers installeren de kwetsbare, gesigneerde driver zelf op het systeem en maken daar vervolgens misbruik van. Deze week meldde antivirusbedrijf ESET dat een dergelijke techniek tegen een Nederlands luchtvaartbedrijf was ingezet. Bij de aanval werd een kwetsbare Dell-driver gebruikt. Om misbruik van kwetsbare drivers tegen te gaan zouden systeembeheerders bekende, kwetsbare drivers kunnen blocklisten, zodat installatie wordt voorkomen, en de aanwezige drivers op het systeem up-to-date houden.
Canadese man wegens ransomware-aanvallen veroordeeld tot 20 jaar cel
Een Canadese is in de Verenigde Staten wegens het wereldwijd aanvallen van organisaties met de NetWalker-ransomware veroordeeld tot een gevangenisstraf van twintig jaar. Ook moet hij een bedrag van 21,5 miljoen dollar afstaan. NetWalker werd aangeboden als Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. De Canadese man was één van de partners van de NetWalker-groep en voerde wereldwijd aanvallen uit, gericht tegen bedrijven, steden, ziekenhuizen, opsporingsdiensten, schooldistricten en onderwijsinstellingen. Zo bekende hij zeventien Canadese organisaties met de ransomware te hebben geïnfecteerd. Ook maakte hij allerlei gegevens buit. Als slachtoffers niet betaalden publiceerde hij de gestolen data op internet. Op de apparatuur van de man die in beslag werd genomen trof de politie twintig terabyte aan data aan. Begin februari veroordeelde een Canadese rechter hem tot een gevangenisstraf van bijna zeven jaar. De man werd ook gezocht door de Amerikaanse autoriteiten, die om zijn uitlevering hadden gevraagd. In maart werd hij vervolgens uitgeleverd. Tijdens een huiszoeking van de woning van de man die eind januari plaatsvond werden 719 bitcoin in beslag genomen, die destijds een waarde van 21,8 miljoen dollar hadden, alsmede 790.000 Canadese dollars. Volgens het Amerikaanse ministerie van Justitie zijn de bitcoins op dit moment 14,5 miljoen dollar waard. Begin 2021 wist de FBI in samenwerking met de Bulgaarse autoriteiten de website van de NetWalker-ransomware in beslag te nemen, alsmede 450.000 dollar losgeld dat drie slachtoffers hadden betaald. De Canadese man kon op basis van ip-adressen en onderzoeken naar verschillende Apple-, Google-, Microsoft- en Mega-accounts, alsmede gebruikte e-mailadressen, aliassen en persoonlijke informatie op social media door de Canadese autoriteiten worden geïdentificeerd. Uiteindelijk werd hij vorig jaar januari aangehouden.
Overzicht slachtoffers NetWalker ransomware
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
VISTEX | NetWalker | vistex.com | USA |
rtfc.ca | NetWalker | rtfc.ca | Canada |
rangeramerican.com | NetWalker | rangeramerican.com | USA |
mysacpa.com | NetWalker | mysacpa.com | USA |
naevageophysics.com | NetWalker | naevageophysics.com | USA |
dmkarchitects.com | NetWalker | dmkarchitects.com | USA |
ulcrobotics.com | NetWalker | ulcrobotics.com | USA |
rennerotto.com | NetWalker | rennerotto.com | USA |
cobbtechnologies.com | NetWalker | cobbtechnologies.com | USA |
WELLNESS | NetWalker | granitewellness.org | USA |
SUPERGAS | NetWalker | supergas.com | India |
titan-elec.com | NetWalker | titan-elec.com | USA |
theexpogroup.com | NetWalker | theexpogroup.com | USA |
Beata Truck Licenses Inc | NetWalker | beatatrucklicence.com | USA |
bdi-insurance.com | NetWalker | bdi-insurance.com | USA |
Harris Altman PC | NetWalker | harrisaltman.com | USA |
bremskerl.de | NetWalker | bremskerl.de | Germany |
larochelle.fr | NetWalker | larochelle.fr | France |
randallconstruction.com | NetWalker | randallconstruction.com | USA |
groupe.coffim.fr | NetWalker | groupe.coffim.fr | France |
ThyssenKrupp Materials NA | NetWalker | thyssenkrupp-materials-na.com | USA |
expresshsp.com | NetWalker | expresshsp.com | Canada |
Shaft Drillers International | NetWalker | shaftdrillers.com | USA |
Blackburn Radio CANADA | NetWalker | 1017theone.ca | Canada |
btsbm.com | NetWalker | btsbm.com | USA |
Workforce Logiq aka ZeroChaos | NetWalker | workforcelogiq.com | USA |
Nygard International | NetWalker | nygard.com | Canada |
tierney.com | NetWalker | tierney.com | USA |
connectivitypoint.com | NetWalker | connectivitypoint.com | USA |
Innotech Windows & Doors | NetWalker | innotech-windows.com | Canada |
Kellwood Apparel | NetWalker | kellwood.com | USA |
thorite.co.uk | NetWalker | thorite.co.uk | UK |
staircase.co.nz | NetWalker | staircase.co.nz | New Zealand |
namesouth, LLC | NetWalker | namesouth.com | USA |
us.britax.com | NetWalker | us.britax.com | UK |
mainsailhotels.com | NetWalker | mainsailhotels.com | USA |
Brian Paul | NetWalker | brianpaul.co.uk | UK |
djb.com | NetWalker | djb.com | USA |
procapslaboratorios.com | NetWalker | procapslaboratorios.com | Colombia |
Serincogrupo | NetWalker | serincogrupo.com | Spain |
NTN | NetWalker | ntnamericas.com/en | USA |
WSN | NetWalker | wsn.de | Germany |
umanis.com | NetWalker | umanis.com | France |
hillhouseconstruction.com | NetWalker | hillhouseconstruction.com | USA |
sternadvertising.com | NetWalker | sternadvertising.com | USA |
groupecivitas.com | NetWalker | groupecivitas.com | Canada |
finisterehabitat.fr | NetWalker | finisterehabitat.fr | France |
Sollio Groupe Coopératif | NetWalker | sollio.coop | Canada |
homegroup.com.au | NetWalker | homegroup.com.au | Australia |
Alaska Industrial Hardware | NetWalker | aih.com | USA |
kinaxia.fr | NetWalker | kinaxia.fr | UK |
Entrust Energy | NetWalker | entrustenergy.com | USA |
sobek-drives | NetWalker | sobek-drives.de | Germany |
CSAT | NetWalker | csat.com | USA |
Wackler | NetWalker | wackler-group.de | Germany |
activisu.com/en/ | NetWalker | activisu.com/en | France |
isolvedbenefitservices.com | NetWalker | isolvedbenefitservices.com | USA |
scutum.fr | NetWalker | scutum.fr | France |
freschesolutions.com | NetWalker | freschesolutions.com | Canada |
hockley.com | NetWalker | hockley.com | UK |
Teter | NetWalker | teterae.com | USA |
Afrimat | NetWalker | afrimat.co.za | South Africa |
Enel Group | NetWalker | enel.com | Italy |
MMWBR Law Firm | NetWalker | mmwbr.com | USA |
Aetna Lighting Corp | NetWalker | aetnacorp.com | USA |
TTI Floor Care | NetWalker | ttifloorcare.com | USA |
indianspringfl.com | NetWalker | indianspringfl.com | USA |
rosenblatt-law.co.uk | NetWalker | rosenblatt-law.co.uk | UK |
wilmingtonsurgical.com | NetWalker | wilmingtonsurgical.com | USA |
kyb.com | NetWalker | kyb.com | Japan |
Sweet Law Firm | NetWalker | sweetlawfirm.com | USA |
Romco Equipment | NetWalker | romco.com | USA |
nedevelopment.com | NetWalker | nedevelopment.com | USA |
piaggio.com | NetWalker | piaggio.com | Italy |
haverstock.com | NetWalker | haverstock.com | UK |
Careers Usa | NetWalker | careersusa.com | USA |
leedejonesgable.com | NetWalker | leedejonesgable.com | Canada |
ATP | NetWalker | atp.com | USA |
haverusa.com | NetWalker | haverusa.com | USA |
Goodfellow Inc | NetWalker | goodfellowinc.com/en | Canada |
sientra.com | NetWalker | sientra.com | USA |
Robson Carpenter LLP | NetWalker | rcllp.ca | Canada |
Homewerks Worldwide | NetWalker | homewerks.com | USA |
chubbfiresecurity.com | NetWalker | chubbfiresecurity.com | UK |
dieffenbachs.com | NetWalker | dieffenbachs.com | USA |
Canadian Tire | NetWalker | canadiantire.ca/en.html | Canada |
Horizon Gulf Electromechanical Services L.L.C | NetWalker | horizongulf.ae | United Arab Emirates |
record.fr | NetWalker | record.fr | France |
Spectra Aluminum Products | NetWalker | spectraaluminum.com | Canada |
SELDENS | NetWalker | seldens.com | USA |
Accreon | NetWalker | accreon.com | USA |
Heatherwick Studio | NetWalker | heatherwick.com | UK |
Midnight Oil Agency | NetWalker | moagency.com | USA |
College of Nurses of Ontario | NetWalker | cno.org | Canada |
XpertDoc | NetWalker | xpertdoc.com | Canada |
GP Global | NetWalker | gpglobal.com | United Arab Emirates |
khadims.com | NetWalker | khadims.com | India |
redplanethotels.com | NetWalker | redplanethotels.com | Bangkok |
GAM | NetWalker | gamrentals.com | Spain |
The Silverlake Group | NetWalker | silverlakegroup.com | Malaysia |
FlorStar | NetWalker | florstar.com | USA |
K-Electric | NetWalker | ke.com.pk | Pakistan |
Windward Software | NetWalker | windwardsoftware.com/en-US | Canada |
Stefanutti Stocks | NetWalker | stefanuttistocks.com | South Africa |
Amacon | NetWalker | amacon.com | Canada |
mainstreamrp.com | NetWalker | mainstreamrp.com | Ireland |
randolphtrucking.com | NetWalker | randolphtrucking.com | USA |
Migraciones Argentina | NetWalker | argentina.gob.ar/interior/migraciones | Argentina |
panorama.com | NetWalker | panorama.com | Canada |
Whitmore | NetWalker | whitmores.com | USA |
Tandem Corp | NetWalker | tandemcorp.com | Australia |
CubeLogic | NetWalker | cubelogic.com | UK |
Container Graphics Corporation | NetWalker | containergraphics.com | USA |
Bisnode | NetWalker | bisnode.com | Sweden |
Jands | NetWalker | jands.com.au | Australia |
CRE Credit Services | NetWalker | crecreditservices.com | USA |
parkhomestores.com | NetWalker | parkhomestores.com | USA |
prakhinlaw.com | NetWalker | prakhinlaw.com | USA |
Woodstream | NetWalker | woodstream.com | USA |
virginiacountryclub | NetWalker | vcc1909.org | USA |
sscpclaw | NetWalker | sscpclaw.com | USA |
RTT | NetWalker | rtt.co.za | South Africa |
Nichols Rick & Co | NetWalker | nicholsrick.com | USA |
MISTERFLY | NetWalker | misterfly.com | France |
Edipresse Media Asia | NetWalker | edipressemedia.com | Hong Kong |
CIR Food | NetWalker | cirfood.com | Italy |
Automatic Handling International | NetWalker | automatichandling.com | USA |
Austin College | NetWalker | austincollege.edu | USA |
Drivestream | NetWalker | drivestream.com | India |
Prismaflex Internationa | NetWalker | prismaflex.com | France |
The Center for Fertility and Gynecology | NetWalker | center4fertility.com | USA |
Olympia House | NetWalker | olympiahouserehab.com | USA |
Bridgford Foods | NetWalker | bridgford.com | USA |
Corporate Renaissance Group | NetWalker | crgroup.com | Canada |
Apollo Tyres Ltd | NetWalker | corporate.apollotyres.com | India |
Lorien Health Services | NetWalker | lorienhealth.com | Unknown |
Universal Builders Supply | NetWalker | ubs1.com | USA |
Rand Worldwide - rand.com | NetWalker | rand.com | USA |
ALFANAR | NetWalker | alfanar.com | United Arab Emirates |
bridgevacuum | NetWalker | bridgevacuum.com | Canada |
BarbizonCapital | NetWalker | barbizoncapital.com | USA |
peregrine-inc.com | NetWalker | peregrine-inc.com | Australia |
speedcast and gsi | NetWalker | speedcast.com | Australia |
Christies Beach Medical Centre | NetWalker | cbmc.net.au | Australia |
VS meldt maandenlange diefstal van gevoelige data bij defensieorganisatie
Verschillende spionagegroepen zijn er vorig jaar in geslaagd om via een Exchange Server in te breken op het netwerk van een Amerikaanse defensieorganisatie en konden vervolgens maandenlang gevoelige data stelen, zo claimt het Cybersecurity and Infrastructure Security Agency (CISA) van het ministerie van Homeland security in een nieuwe waarschuwing. De aanval was gericht tegen een organisatie in de Defense Industrial Base (DIB) sector. Het gaat hier om defensiebedrijven en onderdelen van het Amerikaanse ministerie van Defensie. Volgens het CISA wisten meerdere advanced persistent threat (APT) groepen het netwerk van de defensieorganisatie te compromitteren, waarbij er verschillende langere tijd toegang hadden. De Exchange-server van de organisatie speelde hierbij een belangrijke rol, aangezien verschillende van de APT-groepen hier halverwege januari op een onbekende manier toegang toe wisten te krijgen. Nadat er toegang was verkregen werden mailboxes doorzocht en gebruikten de aanvallers een gecompromitteerd beheerdersaccount om de Exchange Web Services (EWS) API te benaderen. Via EWS kan toegang tot mailboxes, contacten en meetings worden verkregen. Begin februari werd de EWS API-toegang opnieuw gebruikt. Ook lukte het de aanvallers om zich lateraal naar een ander systeem te bewegen. In maart werd er gebruik gemaakt van vier kwetsbaarheden in Exchange Server om in totaal zeventien webshells op de betreffende Exchange-server te installeren. Vervolgens werd ook de HyperBro-malware op de Exchange-server en andere systemen geïnstalleerd. Hyperbro is een remote access tool (RAT) waarmee het mogelijk is om systemen op afstand te benaderen. Van juli tot en met oktober maakten de aanvallers gebruik van een tool genaamd "CovalentStealer" om daarmee de "resterende" gevoelige bestanden van de organisatie te stelen, aldus het CISA. Uiteindelijk wisten de aanvallers tot halverwege januari van dit jaar toegang tot de organisatie te behouden, vermoedelijk door het gebruik van legitieme inloggegevens. Voor het benaderen van de Exchange-server maakten de aanvallers gebruik van virtual private network (VPN) en virtual private server (VPS) providers, M247 en SurfShark. Het CISA, de FBI en NSA adviseren organisaties dan ook om in hun logbestanden te kijken naar verbindingen afkomstig van SurfShark en M247. Verder wordt ook aangeraden om het aantal remote access tools te beperken en waar die toegang toe hebben.
Identificatienummers 2,1 miljoen Australiërs gestolen bij aanval op Optus
Bij de aanval op de Australische telecomprovider Optus zijn de identificatienummer van 2,1 miljoen klanten gestolen. Het gaat om zeker 150.000 paspoortnummers (pdf). Optus heeft gedupeerde klanten vanwege het datalek aangeraden om een nieuwe identiteitsdocument aan te vragen. Verder heeft Optus aangekondigd dat het Deloitte een onderzoek naar de aanval laat uitvoeren. Bij de aanval die vorige maand plaatsvond kwamen persoonsgegevens van zo'n tien miljoen Australiërs in handen van een aanvaller. Nu blijkt dat het ook om identificatienummers van 2,1 miljoen Optus-klanten gaat. De aanvaller eiste eerst losgeld van Optus en maakte een deel van de gestolen data openbaar. Bij de aanval werden namen, geboortedata, telefoonnummers en e-mailadressen en voor een deel van de klanten ook rijbewijsnummers en paspoortnummers buitgemaakt. Een aantal dagen nadat het datalek bekend werd maakte de aanvaller excuses en beweerde alle gestolen data verwijderd te hebben. De aanvaller claimt dat hij de klantgegevens door middel van een onbeveiligde API kon downloaden. Optus stelde echter dat het om een "geraffineerde aanval" ging. Vanuit de Australische overheid is fel op deze bewering gereageerd. "Wat bij Optus gebeurde was geen geraffineerde aanval. In dit land is geen plek voor een telecomprovider die de deur openlaat zodat dergelijke data kan worden gestolen", aldus Clare O'Neil, de Australische minister van Binnenlandse Zaken en minister voor Cybersecurity.
What happened at Optus wasn't a sophisticated attack.
— Clare O'Neil MP (@ClareONeilMP) September 26, 2022
We should not have a telecommunications provider in this country that has effectively left the window open for data of this nature to be stolen.#abc730 pic.twitter.com/KamkiapcZl
Blizzard zegt dat Overwatch 2-servers last hebben van ‘enorme DDoS-aanval
Blizzard zegt dat de servers van Overwatch 2 een “enorme DDoS-aanval” ondergaan, waardoor spelers geen toegang krijgen tot de nieuw gelanceerde game. Spelers meldden onverwachte serverbugs en problemen met het aansluiten van Overwatch 2-games gedurende de avond na de gratis te spelen lancering van vandaag, waarbij sommigen beweerden wachtrijen te hebben van wel 40.000 andere spelers. Dat Eerder tweeten Door Mike Ybarra, hoofd van Blizzard, erkent de serverproblemen van vandaag, maar suggereerde niet dat ze het gevolg zouden kunnen zijn van iets anders dat kinderziektes veroorzaakt op de lanceringsdag, alleen spelers bedanken voor hun geduld en zweren om “de [them] met plezier.” Echter, Ybarra heeft nu een Plaats een volg-tweet Wat suggereert dat de lancering van Overwatch 2 vandaag wordt beïnvloed door kwaadaardige acties van derden. “Helaas zijn we getuige van een massale DDoS-aanval op onze servers”, schreef hij. “Teams werken er hard aan om dit te verhelpen/beheren. Dit veroorzaakt veel storings-/verbindingsproblemen.” De speciale Overwatch 2-sociale kanalen van Blizzard blijven iets minder informatief. Lopende serverproblemen vanavond worden kort vermeld in een bestand Bekende problemen plaatsen Kort na de lancering werden er geen verdere updates gedeeld.
Teams are working hard on server issues with Overwatch 2. We are humbled by the excitement of players and will continue to focus on issues and get players into the fun! Thanks for your patience. ❤️
— Mike Ybarra (@Qwik) October 4, 2022
Unfortunately we are experiencing a mass DDoS attack on our servers. Teams are working hard to mitigate/manage. This is causing a lot of drop/connection issues. https://t.co/4GwrfHEiBE
— Mike Ybarra (@Qwik) October 4, 2022
Exchange Online-klanten doelwit van password spraying via basic auth
Veel organisaties die van Exchange Online gebruikmaken zijn het doelwit van password spraying via basic authenticatie, zo claimt Microsoft. Het techbedrijf, dat Basic Auth in Exchange Online gaat uitschakelen, adviseert organisaties om password spraying via authenticatie policies tegen te gaan. Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd. Volgens Microsoft richten aanvallers zich daarbij vooral op protocollen zoals SMTP, IMAP en POP die geen multifactorauthenticatie ondersteunen. Gebruikers loggen in dit geval alleen in via een gebruikersnaam en wachtwoord. "De enige reden dat we Basic Auth in Exchange Online uitschakelen is om je gebruikers en data te beschermen. Het bewijs dat ik dagelijks zie maakt duidelijk dat password spray-aanvallen vaker voorkomen", zegt Microsofts Greg Taylor. Door middel van authenticatie policies zijn password spray-aanvallen grotendeels te voorkomen, aldus Taylor. Zo zouden alleen bekende accounts bij specifieke protocollen Basic Auth mogen gebruiken en moet het gebruik van Basic Auth voor alle andere accounts worden geblokkeerd. Iets dat eenvoudig is in te stellen, zo stelt Taylor. Microsoft is deze maand begonnen om bij willekeurige Exchange Online-klanten die nog van Basic Auth voor MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP, Exchange ActiveSync (EAS) en Remote PowerShell gebruikmaken het protocol uit te zetten. Klanten worden hier zeven dagen van tevoren over ingelicht en op de dag dat de aanpassing plaatsvindt. Het kan zeer grote gevolgen voor organisaties hebben als personeel niet meer kan e-mailen. Daarom biedt Microsoft een optie waarbij klanten Basic Auth via een diagnostische tool weer zelf kunnen inschakelen. Basic Auth blijft dan tot eind december van dit jaar werken. In de eerste week van 2023 wordt de standaard permanent uitgeschakeld en is het gebruik van Basic Auth niet meer mogelijk.
Ransomwaregroep lekt gevoelige data leerlingen Amerikaans schooldistrict
Een ransomwaregroep die wist in te breken op systemen van het Los Angeles Unified School District (LAUSD), het op één na grootste schooldistrict van de Verenigde Staten met 660.000 leerlingen, heeft gevoelige gegevens die bij de aanval werden gestolen op internet gepubliceerd. Het gaat onder andere om psychologische onderzoeken van leerlingen, persoonsgegevens en social-securitynummers, aldus een bron tegenover NBC Los Angeles. Begin september raakten systemen van het schooldistrict besmet met ransomware, waardoor de website offline ging, alsmede mailservers en het systeem waarmee leraren lessen publiceren en aanwezigheid bijhouden. Ook diensten voor leerlingen en ouders waren onbereikbaar. Vanwege de ransomware-aanval werd besloten om van in totaal 700.000 leerlingen, leraren en andere schoolmedewerkers het wachtwoord van hun lausd.net-account te resetten. Afgelopen vrijdag maakte het schooldistrict bekend dat het niet van plan was om het losgeld te betalen dat de aanvallers vroegen. Volgens het LAUSD is het beter om belastinggeld aan leerlingen te besteden dan aan criminelen. Het schooldistrict is nog altijd bezig met het herstel van de systemen. Gisteren besloot de ransomwaregroep, Vice Society, de gestolen data openbaar te maken, laat onderzoeker Brett Callow weten. De publicatie van de gegevens is inmiddels bevestigd door het schooldistrict, dat vandaag een hotline voor leerlingen en personeel heeft geopend. De aanvallers claimen 500 gigabyte aan data te hebben gestolen.
Thank you to our students, families and employees for doing their part in the ongoing recovery from this cyberattack. pic.twitter.com/K8VhiFmSbL
— Alberto M. Carvalho (@LAUSDSup) October 2, 2022
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in 🇬🇧 or another language