Overzicht cyberaanvallen week 43-2022

Gepubliceerd op 31 oktober 2022 om 15:00

First click here and then choose your language with the Google translate bar at the top of this page ↑


Grootste koperproducent van Europa schakelt systemen uit na cyberaanval, cyberaanval zorgt voor computerproblemen bij woonzorgcentrum Sint-Camillus en groothandelaar Metro week lang in greep van cyberaanval. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 6.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes omdat ze weigerden te betalen. Als je betaald wordt er geen data gelekt en kom je niet op deze lijst.. ‘Zo'n 80% van de organisaties betaalt losgeld’ 🤔


LAATSTE WIJZIGING: 31-oktober-2022 | 03:56 | Aantal slachtoffers: 6.551



Week overzicht

Slachtoffer Cybercriminelen Website Land
HENSOLDT France Snatch www.hensoldt.fr France
santimuni.com LockBit santimuni.com Spain
coopavegra.fi.cr LockBit coopavegra.fi.cr Costa Rica
will-b.jp LockBit will-b.jp Japan
happmobi.com.br LockBit happmobi.com.br Brazil
bellettiascensori.it LockBit bellettiascensori.it Italy
exco.fr LockBit exco.fr France
cacula.com LockBit cacula.com Brazil
aaanchorbolt.com LockBit aaanchorbolt.com USA
seamlessglobalsolutions.com LockBit seamlessglobalsolutions.com Mexico
close-upinternational.com.uy LockBit close-upinternational.com.uy Argentina
macrotel.com.ar LockBit macrotel.com.ar Argentina
zurifurniture.com LockBit zurifurniture.com USA
byp-global.com LockBit byp-global.com Spain
sociedadbilbaina.com LockBit sociedadbilbaina.com Spain
gruposanford.com LockBit gruposanford.com In progress
hoosierco.com LockBit hoosierco.com In progress
lincare.com LockBit lincare.com USA
railway.gov.tw LockBit railway.gov.tw Taiwan
saurer.com LockBit saurer.com Switzerland
Kolas Law Firm BlackCat (ALPHV) www.kolaslaw.com USA
Network Communications Inc BlackCat (ALPHV) In progress In progress
Asahi Group BlackByte www.asahigroup.com.hk Hong Kong
fvsra.org LockBit fvsra.org USA
greenstamp.co.jp LockBit greenstamp.co.jp Japan
Kujalleq Municipality Vice Society www.kujalleq.gl Greenland
The Bishop of Hereford's Bluecoat School Vice Society wwww.bhbs.hereford.sch.uk UK
Rankam BlackCat (ALPHV) rankam.com Hong Kong
AT&T Everest www.att.com USA
R1 Group Karakurt www.r1group.it Italy
Qualified Staffing  Karakurt www.q-staffing.com USA
Bergamo Metal  Karakurt k2evidaa.com Turkey
Medilife Hastanesi Karakurt www.medilife.com.tr Turkey
ipb Baggenstos Montagen Karakurt www.ipb.ch Switzerland
Miracapo pizza company Lorenz miracapopizza.com USA
steelesolutions.com LockBit steelesolutions.com USA
unipiloto.edu.co BlackCat (ALPHV) unipiloto.edu.co Colombia
tiffinmetal.com LockBit tiffinmetal.com USA
DURAVIT A.G. Ragnar_Locker www.duravit.com Germany
Comando Conjunto de las Fuerzas Armadas Del Ecuador BlackCat (ALPHV) www.ccffaa.mil.ec Ecuador
CCLint BlackByte www.cclint.com UK
Municipio de Chihuahua BlackByte www.municipiochihuahua.gob.mx Mexico
Vercity Karakurt www.hcp.co.uk UK
Özel GözAkademi Hastanesi  Karakurt www.gozakademi.com.tr Turkey
Associated Lighting Representatives Black Basta www.alrinc.com USA
CADEPLOY Black Basta www.cadeploy.com USA
sskb.com.au LockBit sskb.com.au Australia
Ethigen Limited Karakurt www.ethigen.co.uk UK
APECQ Karakurt www.apecq.org Canada
Cromwell Management Inc. Karakurt www.cromwellmgt.ca Canada
Tata Power Hive www.tatapower.com India
Club Asteria Belek Karakurt www.asteriahotels.com Turkey
Davenport Community School Karakurt www.davenportschools.org USA
South Jersey Glass & Doors Karakurt www.sjglassanddoor.com USA
bfw Cuba www.bfw.de Germany
pendragonplc.com LockBit pendragonplc.com UK

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land

In samenwerking met DarkTracer

Top 3 cybercrime groepen met de meeste slachtoffers

Groepering Aantal slachtoffers
1 LockBit 1212 Nog actief
2 Conti 674 Niet meer actief
3 REvil 246 Niet meer actief

'Windows-beheerders moeten CLDAP-servers offline halen om DDoS-aanvallen te voorkomen'

Het Connection-less Lightweight Directory Access Protocol, Microsofts versie van het standaard-LDAP-protocol, is erg kwetsbaar voor ddos-aanvallen. Dat blijkt uit onderzoek van Black Lotus Labs, de onderzoeksafdeling van securitybedrijf Lumen. Specifiek gaat het om reflectieaanvallen, waarbij onbeschermde Microsoft-servers gebruikt worden om specifieke websites te overbelasten met verkeer. De cldap-servers die daarvoor worden gebruikt worden 'cldap-reflectors' genoemd. Volgens het onderzoek is het aantal reflectors het afgelopen jaar met zestig procent gestegen. Er zouden al meer dan 12.000 cldap-servers gebruikt worden voor ddos-aanvallen, schrijft Black Lotus. De onderzoekers adviseren Windows-netwerkadministrators om de cldap-servers waar mogelijk offline te halen. Indien dat niet kan, moeten deze beter beveiligd worden. Dat kan bijvoorbeeld door ondersteuning voor UDP uit te schakelen, aangezien die service het protocol kwetsbaar maakt voor de reflectieaanvallen. Ook moet er volgens Black Lotus een techniek als reverse-path forwarding gebruikt worden om gespooft IP-verkeer te weren. Cldap wordt niet veel door Microsoft gebruikt. Active Directory is de enige dienst waarvoor de techgigant het kwetsbare protocol benut. Dan nog wordt het slechts gebruikt voor één ping: de LDAP Ping. In de meeste Windows-versies staat het protocol standaard aan, maar pas wanneer een cldap-machine online is kan deze door kwaadwillenden misbruikt worden.


Grootste koperproducent van Europa schakelt systemen uit na cyberaanval

Aurubis, de grootste koperproducent van Europa, heeft systemen op meerdere locaties uitgeschakeld en losgekoppeld van internet nadat het bedrijf in de nacht van 28 oktober slachtoffer van een cyberaanval werd. Het incident heeft gevolgen voor partners, hoewel de koperproductie grotendeels doordraait, aldus Aurubis in een persbericht. Wanneer alle systemen operationeel zijn kan de koperproducten niet zeggen. Ook worden er geen verdere details gegeven om wat voor soort aanval het gaat en hoe die kon plaatsvinden. Volgens Aurubis is de aanval vermoedelijk onderdeel van een grotere aanval tegen de metaal- en mijnbouwindustrie, maar wederom ontbreekt verdere informatie. Vanwege het uitschakelen van systemen wordt er teruggevallen op handmatige processen. Tevens worden oplossingen geïmplementeerd zodat alle diensten van het bedrijf volgende week weer beschikbaar zouden moeten zijn voor partners.


Australisch lab waarschuwt 223.000 patiënten na ransomware aanval

Een Australische pathologisch laboratorium heeft 223.000 patiënten na acht maanden gewaarschuwd voor een datalek met hun persoonlijke informatie. Medlab Pathology werd in februari het slachtoffer van een ransomware-aanval waarbij er ook gegevens van 223.000 patiënten werden gestolen. Dit werd echter niet ontdekt door de forensisch specialisten die destijds waren ingehuurd, aldus Medlab (pdf). In juni werd het bedrijf gewaarschuwd door het Australische Cyber Security Centre (ACSC) dat gegevens van patiënten op internet waren geplaatst. Volgens Medlab was de aangeboden dataset "complex en ongestructureerd" en kostte het verschillende maanden om te bepalen welke gegevens er waren gestolen en van wie. Daardoor zou het zo lang hebben geduurd voordat het bedrijf patienten kon waarschuwen. Een bron laat de Australische it-journalist Jeremy Kirk weten dat de data ongestructureerd was, maar dat het analyseren geen maanden in beslag zou moeten nemen. Van ruim 28.000 patiënten zijn ook creditcardgegevens en namen buitgemaakt, waaronder ook duizenden CVV-nummers. Verder kregen de aanvallers van ruim 17.000 patiënten de gezondheidsdossiers met betrekking tot het laboratoriumonderzoek in handen en werden ook meer dan 128.000 zorgverzekeringsnummers met namen gestolen. Hoe de aanvallers precies toegang konden krijgen laat Medlab niet weten. De gecompromitteerde server is niet langer in gebruik.


Opnieuw incident bij Twilio na phishing aanval

Cloudcommunicatieplatform Twilio, dat in augustus al een groot en verreikend datalek meldde, heeft een nieuw beveiligingsincident bekendgemaakt nadat een medewerker eind juni slachtoffer van een phishingaanval werd. Twilio verzorgt voor allerlei bedrijven en organisaties communicatiediensten. Zo handelt het bedrijf bijvoorbeeld de sms-verificatie voor chatapp Signal af. In augustus werd bekend dat aanvallers via een phishingaanval op Twilio-medewerkers toegang tot de interne Twilio-systemen hadden gekregen. Zo konden ze inloggen op de omgeving van Twilio-klanten. In het geval van Signal werden vervolgens telefoonnummers en sms-registratiecodes van Signal-accounts bekeken. Verder bleek dat de aanvallers ook Authy 2FA-accounts hadden gekaapt. Tijdens het onderzoek naar deze aanval ontdekte Twilio een nieuw beveiligingsincident, dat vermoedelijk het werk van dezelfde aanvallers is. Eind juni wisten aanvallers door middel van 'voice phishing' de inloggegevens van een Twilio-medewerker te verkrijgen en kregen zo toegang tot de gegevens van klanten. De getroffen klanten werden op 2 juli hierover ingelicht. Het incident is pas gisterenavond openbaar gemaakt. Naar aanleiding van de aanvallen heeft Twilio besloten aanvullende maatregelen te nemen. Zo moeten alle medewerkers voortaan FIDO2-tokens voor tweefactorauthenticatie gebruiken, is de vpn-beveiliging aangescherpt, wordt bepaalde functionaliteit in de beheertools verwijderd en wordt de verplichte bewustzijnstraining voor personeel uitgebreid.


USB worm die tot ransomware-infecties kan leiden op drieduizend computers

Microsoft heeft de afgelopen maand een usb-worm die tot ransomware-infecties kan leiden op drieduizend computers van zo'n duizend organisaties gedetecteerd. De usb-worm kan zich mede verspreiden omdat organisaties AutoRun inschakelen, een functie die vanwege beveiligingsredenen standaard in Windows voor usb-sticks staat uitgeschakeld. Dat laat Microsoft in een analyse weten. De worm wordt 'Raspberry Robin' genoemd en kan zich op twee manieren verspreiden. De eerste manier is het gebruik van malafide lnk-bestanden. Deze lnk-bestanden doen zich voor als een legitieme map op de besmette usb-stick of hebben de naam van een usb-stickfabrikant. In werkelijkheid wordt bij het openen van het lnk-bestand malware op het systeem geïnstalleerd. De tweede gebruikte methode is het gebruik van AutoRun. Via deze functionaliteit kan software op bijvoorbeeld usb-sticks automatisch worden gestart zodra het apparaat wordt aangesloten. Jaren geleden werd AutoRun op grote schaal gebruikt voor de verspreiding van malware via usb-sticks. Microsoft besloot daarop de functionaliteit te beperken, zodat die standaard niet voor usb-sticks werkt. Veel bedrijven schakelen AutoRun echter in voor usb-sticks, zo claimt Microsoft. Eenmaal actief voegt Raspberry Robin een registersleutel toe zodat de malware bij elke start van het systeem wordt geladen. Vervolgens kan de usb-worm aanvullende malware installeren. Ook gebruiken ransomwaregroepen de toegang die Raspberry Robin biedt om vervolgens binnen de getroffen organisatie ransomware uit te rollen. Zo hebben verschillende infecties met de usb-worm geleid tot besmettingen met de beruchte Clop-ransomware. Om de dreiging tegen te gaan adviseert Microsoft om AutoRun niet voor usb-sticks en andere schijven in te schakelen en onvertrouwde en ongesigneerde processen vanaf usb-sticks te blokkeren.


Ransomware goed voor veertig procent van de dreigingen

Ransomware en voorbereiding op ransomwareaanvallen waren afgelopen kwartaal goed voor 40% procent van het totaal aantal bedreigingen. De onderwijssector is afgelopen kwartaal het meest is getroffen door cyberattacks. Dit blijkt uit een rapport waarin Cisco Talos, het threat intelligence-team van Cisco, de incident response trends van het derde kwartaal van 2022 in kaart brengt. Talos benadrukt het belang van multi-factor authenticatie (MFA) en het verwijderen van inactieve accounts. Hoewel daadwerkelijke ransomware aanvallen dit kwartaal de grootste bedreiging vormden, heeft Talos ook een even groot aantal voorbereidingen op ransomware aanvallen waargenomen. Bij deze voorbereidingen worden nooit daadwerkelijke encryptie van data gesignaleerd maar kan Talos door middel van tools en opsommings- en opsporingstechnieken wel voorbereidende werkzaamheden constateren. Denk hierbij aan het gebruik van Cobalt Strike pentesting aanvalstooling en Login-informatie verzamelaars zoals Mimicatz. Aanvallers richtten zich dit kwartaal het meeste op de onderwijssector, gevolgd door de financiële sector, overheid en energiesector. Het is voor het eerst sinds Q1 2021 telecom niet de meest aangevallen sector is. Het is onduidelijk waarom cybercriminelen afgelopen kwartaal de voorkeur geven aan het aanvallen van de onderwijssector. Wel wijst Talos erop dat het derde kwartaal een populaire tijd van het jaar is voor aanvallen op onderwijsinstellingen, aangezien studenten en leraren in deze periode weer naar school terugkeren. Het ontbreken van multi-factor authenticatie (MFA) blijkt één van de grootste belemmeringen te zijn voor een goede cybersecurity. Talos ziet regelmatig ransomware- en phishing-incidenten voorbijkomen die voorkomen hadden kunnen worden als MFA op de juiste manier was ingeschakeld. Talos noemt het van belang dat organisaties accounttoegang goed uitschakelen nadat een medewerker niet meer actief is voor een organisatie. Indien dit niet gebeurt blijven accounts namelijk actief en kunnen aanvallers deze accounts gebruiken om de organisatie binnen te dringen. “Ons leven bevat tegenwoordig zoveel digitale aspecten, zowel op ons werk als in ons privéleven. Het is daarom zo belangrijk dat iedereen op de hoogte is van de juiste informatie en zich bewust is van welke stappen zij moeten ondernemen voor een goede security” zegt Jan Heijdra, Security expert bij Cisco. “Multi-factor authenticatie (MFA) is één van de basis principes waar elke organisatie en individu, wat mij betreft, gebruik van moet maken.”


Duitse overheid: dreigingssituatie in cyberspace hoger dan ooit tevoren

De dreigingssituatie in cyberspace is door het grote aantal kwetsbaarheden in software, de continue stroom aan cyberaanvallen en het conflict in Oekraïne hoger dan ooit tevoren, zo stelt de Duitse overheid in een nieuw managementrapport over 2022. In het jaarrapport van het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, wordt teruggeblikt op de periode van juni 2021 tot juni 2022. In 2021 werden ruim twintigduizend kwetsbaarheden in software van een CVE-nummer voorzien, een stijging van tien procent ten opzichte van het jaar daarvoor. "Elke kwetsbaarheid in software- of hardwareproducten is een potentiële toegangspoort voor aanvallers en brengt de informatiebeveiliging van overheden, bedrijfsleven en de samenleving in gevaar", aldus het BSI. Volgens de Duitse overheidsinstantie is ransomware op dit moment de grootste dreiging. Als oplossing voor de huidige problematiek kijkt het BSI vooral naar preventieve it-beveiligingsmaatregelen, aangezien dat de meest effectieve maatregelen zijn, aldus het jaarverslag. "In een gedigitaliseerde wereld hangt het welzijn van de bevolking meer dan ooit af van hoe goed we zijn voorbereid op it-beveiligingsincidenten. Elk computersysteem dat niet kan worden gehackt, elke digitale dienst die niet kan worden verstoord, draagt bij aan een functionerende digitaal genetwerkte samenleving. Met de juiste maatregelen kunnen we de dreigingssituatie tegengaan. We mogen niet verslappen als het om cybersecurity gaat", aldus BSI-vicepresident Gerhard Schabhüser.


Privédata 3,9 miljoen klanten zorgverzekeraar Medibank gestolen bij aanval

Bij een aanval op de Australische zorgverzekeraar Medibank zijn de privégegevens van alle 3,9 miljoen klanten gestolen. Het gaat ook om medische informatie met betrekking tot ondergane behandelingen. De aanvallers dreigen de gegevens openbaar te maken tenzij Medibank het gevraagde losgeld betaalt. Medibank verwacht dat de eenmalige kosten van de aanval tot 35 miljoen dollar kunnen oplopen. In eerste instantie verklaarde de zorgverzekeraar dat er geen gegevens waren buitgemaakt. Toen werd de diefstal van gegevens van internationale studenten gemeld. Gisteren bevestigde de zorgverzekeraar dat ook gegevens van andere klanten in handen van de aanvallers zijn gekomen. Vandaag blijkt dat het om de data van alle 3,9 miljoen klanten gaat, wat neerkomt op vijftien procent van de Australische bevolking. Hoe de aanvallers toegang tot de systemen van Medibank konden krijgen is nog altijd niet bekendgemaakt. De zorgverzekeraar stelt dat het om een ransomware-aanval ging, maar dat er geen systemen zijn versleuteld. Vanwege de aanval heeft Medibank de financiële verwachtingen voor het komende kwartaal aangepast. Ook houdt het bedrijf rekening met een grote kostenpost. Medibank heeft geen "cyberverzekering" en schat dat de kosten van de aanval tussen de 25 miljoen en 35 miljoen Australische dollars zullen liggen.


Ransomwaregroep resette wachtwoord van 150.000 gebruikers

Een ransomwaregroep die onderwijsinstellingen aanvalt heeft bij één getroffen organisatie de wachtwoorden van 150.000 gebruikers gereset voordat de ransomware werd uitgerold. Dit om het herstellen van de ransomware-aanval te bemoeilijken, zo laat Microsoft weten. De groep wordt "Vice Society" genoemd en heeft het voorzien op onderwijsinstellingen wereldwijd, maar met name in de Verenigde Staten. De groep wist onder andere in te breken op systemen van het Los Angeles Unified School District (LAUSD), het op één na grootste schooldistrict van de Verenigde Staten met 660.000 leerlingen. Vervolgens besloot de groep gevoelige gegevens die bij de aanval werden gestolen op internet te publiceren. Het gaat onder andere om psychologische onderzoeken van leerlingen, persoonsgegevens en social-securitynummers. Voordat de groep ransomware uitrolt wordt eerst allerlei data gestolen. In sommige gevallen kiest de groep ervoor geen ransomware uit te rollen en beperkt de aanval zich tot alleen het stelen van gegevens. Wanneer slachtoffers het gevraagde losgeld niet betalen dreigen de aanvallers de gestolen data online te zetten. Hoe de aanvallers precies toegang tot de netwerken van hun slachtoffers weten te krijgen kan Microsoft niet zeggen. Wel blijkt uit onderzoek dat Vice Society allerlei acties uitvoert om ervoor te zorgen dat getroffen organisaties zonder het losgeld te betalen niet van de aanval kunnen herstellen. Microsoft heeft naar eigen zeggen bij één onderzochte aanval gezien hoe de aanvallers twee accounts van domeinbeheerders in handen kregen en vervolgens van 150.000 gebruikers het wachtwoord resetten. Daardoor konden deze gebruikers niet meer op systemen inloggen. Vervolgens werd de ransomware uitgerold. Op deze manier werd het herstelproces gehinderd, waaronder pogingen om de ransomware te stoppen of de incidentrespons op de aanval zelf, aldus Microsoft. Ook blijkt dat de aanvallers nieuwe admin-accounts toevoegen om ook zonder malware toegang te behouden. Daarbij maken ze gebruik van de naamgevingsconventie van de betreffende organisatie, zodat het aangemaakte account niet opvalt. In een blogposting heeft Microsoft nu meer technische details gegeven over de werkwijze van Vice Society en wat organisaties kunnen doen om aanvallen door de ransomwaregroep te voorkomen.


Cisco meldt actief misbruik van lekken in AnyConnect Secure Mobility Client

Twee kwetsbaarheden in Cisco AnyConnect Secure Mobility Client waarvoor meer dan twee jaar geleden updates verschenen worden actief misbruikt, zo laat Cisco vandaag weten. De AnyConnect Secure Mobility Client is vpn-software waarmee gebruikers verbinding met een vpn-server kunnen maken. Op 19 februari 2020 en 5 augustus 2020 kwam Cisco met beveiligingsupdates voor de vpn-software. Aanleiding waren twee kwetsbaarheden (CVE-2020-3153 en CVE-2020-3433) die een "DLL hijacking attack" mogelijk maken. Een aanvaller die al toegang tot een systeem heeft kan via dergelijke aanvallen software op het systeem een kwaadaardig DLL-bestand laten laden dat met verhoogde rechten wordt uitgevoerd. In het geval van de kwetsbaarheden in de Cisco vpn-software kan een aanvaller zo systeemrechten krijgen en het systeem volledig overnemen. De beveiligingslekken mogen dan meer dan twee jaar oud zijn, deze maand ontdekte Cisco zelf dat er misbruik van wordt gemaakt. Het netwerkbedrijf roept klanten dan ook om de beschikbaar gemaakte beveiligingsupdates te installeren.


Hackers misbruiken kritieke kwetsbaarheden in Veeam Backup

Securitybedrijf CloudSEK onthult drie kritieke kwetsbaarheden in Veeam Backup & Replication, een van de populairste backupoplossingen van het moment. De kwetsbaarheden zijn door meerdere cybercriminelen misbruikt. Werk je met de meest recente versie van Backup & Replication, dan ben je veilig. Veeam loste de kwetsbaarheden in november 2021 op met softwareversie 11.0.1.1261. De details werden toentertijd geheimgehouden om te voorkomen dat cybercriminelen de informatie misbruikten voor aanvallen op gebruikers met verouderde softwareversies. Het laatste blijft een risico, want sommige gebruikers zijn nog steeds niet up-to-date. CloudSEK, de ontdekker van de kwetsbaarheden, vindt de situatie inmiddels veilig genoeg om de details te onthullen. Op 24 oktober publiceerde het securitybedrijf een rapport over drie kritieke kwetsbaarheden in Veeam Backup & Replication. Twee van de kwetsbaarheden (CVE-2022-26500 en CVE-2022-26501) stellen cybercriminelen in staat om code op afstand uit te voeren, ook wel bekend als remote code execution. Aanvallers hebben geen inloggegevens nodig om binnen te komen. Vandaar ontvingen de kwetsbaarheden een zeldzame CVSS-score van 9,8. Ook de derde kwetsbaarheid (CVE-2022-26504) maakt het mogelijk om code op afstand uit te voeren. De voorwaarde is dat een aanvaller over domeingegevens beschikt. Vandaar ontving de kwetsbaarheid een lagere CVSS-score van 8.8.


VS waarschuwt voor lekken in Gigabyte-drivers gebruikt door ransomware

Het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security, heeft een waarschuwing gegeven voor vier oude kwetsbaarheden in drivers van moederbordfabrikant Gigabyte waarmee lokale aanvallers volledige controle over systemen kunnen krijgen. Begin dit jaar meldde antivirusbedrijf Sophos al dat één van de kwetsbaarheden bij ransomware-aanvallen werd gebruikt. De techniek wordt Bring Your Own Driver of Bring Your Own Vulnerable Driver genoemd. Drivers draaien met verhoogde rechten op het systeem. Kwetsbaarheden in drivers bieden aanvallers de mogelijkheid om het kernelgeheugen te lezen of schrijven en daarin code uit te voeren, om zo beveiligingssoftware uit te zetten. De afgelopen maanden bleken aanvallers onder andere een anti-cheatdriver van de videogame Genshin Impact en drivers van antivirusbedrijf Avast en MSI AfterBurner bij ransomware-aanvallen te hebben gebruikt voor het neutraliseren van antivirussoftware. Nu waarschuwt het CISA ook voor misbruik van Gigabyte-drivers. Details over de aanvallen zelf zijn niet gegeven. De vier kwetsbaarheden (CVE-2018-19320, CVE-2018-19321, CVE-2018-19322 en CVE-2018-19323) werden in 2018 gerapporteerd. Destijds ontkende Gigabyte dat de eigen producten kwetsbaar waren, maar kwam daar later op terug. Zodra aanvallers toegang tot een systeem hebben installeren ze de drivers om hun rechten te verhogen. Het CISA verzoekt nu federale overheidsinstanties die van de betreffende drivers gebruikmaken om de beveiligingsupdates hiervoor te installeren. Die werden op 18 mei 2020 door Gigabyte uitgebracht.


Zorgverzekeraar Medibank afgeperst met gestolen gezondheidsgegevens

De criminelen die wisten in te breken op systemen van de Australische zorgverzekeraar Medibank dreigen de gevoelige gezondheidsgegevens van klanten te verkopen, tenzij het bedrijf een losgeldbedrag betaalt. Ook stellen de aanvallers dat ze de duizend bekendste klanten van Medibank zullen benaderen met hun eigen persoonlijke informatie. Het gaat onder andere om medische aandoeningen en creditcardgegevens. Dat meldt The Sydney Morning Herald. Medibank had eerder gesteld dat er geen klantgegevens waren gestolen. Toen werd er gemeld dat gegevens van internationale studenten waren buitgemaakt. Vandaag bevestigt de zorgverzekeraar dat ook gegevens van andere klanten in handen van de aanvallers zijn gekomen. Als bewijs hebben de aanvallers verschillende bestanden gedeeld met persoonlijke en gezondheidsgegevens van polishouders, alsmede gemaakte zorgclaims. Medibank kan nog niet zeggen hoe groot het datalek precies is en welke data allemaal is gestolen. Vanwege het datalek heeft de zorgverzekeraar besloten om een geplande polisverhoging uit te stellen naar 16 januari 2023. Hoe de aanvallers toegang tot de klantgegevens konden krijgen is nog niet bekendgemaakt. Eerder stelde het bedrijf dat het om een ransomware-aanval ging, maar dat het de aanvallers niet was gelukt om systemen van Medibank daadwerkelijk te versleutelen. Wel zou er tweehonderd gigabyte aan data zijn buitgemaakt.


Cyberaanval bibliotheek Rotterdam

  • Bibliotheek Rotterdam kan week na cyberaanval weer boeken uitlenen

Bij 22 vestigingen van de bibliotheek Rotterdam is het na een week weer mogelijk om boeken te lenen, nadat dit door een cyberaanval onmogelijk was geworden. Om wat voor soort aanval het precies gaat is nog altijd niet bekendgemaakt. Naast het niet kunnen lenen van boeken waren ook de bibliotheekcomputers als gevolg van de aanval niet te gebruiken. Die zijn inmiddels weer beschikbaar, net als het wifi-netwerk van de bibliotheek. Het onderzoek naar de aanval is nog gaande. Zo is het onbekend of er persoonsgegevens zijn buitgemaakt. "Er is nog te veel onduidelijk om uit te kunnen leggen wat er precies aan de hand is, maar ik heb het gevoel dat we heel goed waren voorbereid", liet directeur-bestuurder Theo Kemperman eerder tegenover omroep Rijnmond weten. Tegenover het AD vertelt Kemperman dat de technici van de bibliotheek dag en nacht hebben gewerkt om het systeem weer draaiende te krijgen.

  • Cyberaanval op bibliotheek kan nog maanden duren: ‘Kan zomaar 50 bitcoins (1 miljoen euro) kosten’

Een week na de cyberaanval op de bibliotheek kunnen Rotterdammers weer boeken lenen. Maar dat betekent allerminst dat de ‘hack’ voorbij is. De bibliotheek zelf wil er niets over kwijt, maar een expert vreest dat het veel tijd en geld gaat kosten.

  • Bibliotheek Rotterdam ondervindt nog steeds hinder van cyberaanval

De bibliotheek Rotterdam ondervindt nog steeds hinder van de cyberaanval waardoor het vorige week werd getroffen. Om wat voor soort aanval het precies gaat is nog altijd niet bekendgemaakt. Oorspronkelijke hoopte de bibliotheek eind vorige week meer informatie te kunnen geven, maar het onderzoek loopt nog. Zo wordt er onder andere gekeken of er gegevens zijn buitgemaakt. Door de aanval is het niet mogelijk om boeken te lenen en zijn systemen, zoals de bibliotheekcomputers, kopieerapparaten en het wifi-netwerk, offline. Alle 22 locaties van de bibliotheek kampen met problemen. "Het is nu examentijd. De wifi ligt er nog steeds uit, maar veel studenten die hier komen om te studeren gebruiken hun eigen hotspot. Ook komen mensen nog steeds om bijvoorbeeld de krant te lezen", laat een woordvoerder tegenover het AD weten.


Cyberaanval zorgt voor computerproblemen bij woonzorgcentrum Sint-Camillus

Het woonzorgcentrum Sint-Camillus in Wevelgem is het slachtoffer geworden van een cyberaanval. Wellicht nog tot halfweg deze week zal er opnieuw met pen en papier gewerkt moeten worden. De aanval en bijhorende computerproblemen konden het voorbije weekend opgemerkt worden. Onderzoek bracht aan het licht dat het systeem van het woonzorgcentrum was gehackt. Zowel het Agentschap Zorg en Gezondheid als de politie van de zone Grensleie zijn ingelicht en onderzoeken de zaak. Van waar de aanval komt en wat de bedoeling is, is voorlopig niet duidelijk. Voor de bewoners en de bezoekers van Sint-Camillus zou de aanval geen hinder mogen veroorzaken. “De medewerkers moeten wel enkele dagen opnieuw werken zoals vroeger, meer met pen en papier”, aldus algemeen directeur Edwine Laridon. “Zoals voor de rapportage en de parameters van de bewoners. Gelukkig kennen de medewerkers de bewoners goed. Voor de opvolging van de medicatie is er een goede samenwerking met de apotheek. Facturen zullen even langer op zich laten wachten.” Veel informatie zou niet verloren mogen gegaan zijn want er was een recente back-up.


New KillNet ransomware


Metro week lang in greep van cyberaanval

Groothandelaar Metro was vorige week in de ban een internationale cyberaanval. De kassasystemen en elektronische prijsetiketten vielen geregeld uit omdat hackers de IT-systemen van de Duitse retailgroep gijzelden. Al op 17 oktober meldden klanten dat het kassasysteem en de elektronische prijsetikettering in Metro- en Makro-winkels in Duitsland, Frankrijk en Oostenrijk niet goed werkten. Later vorige week bleek dat ook leveringen vertraging opliepen omdat het achterliggende informaticasysteem eveneens problemen had. Zelfs mailverkeer zou op een bepaald moment verstoord zijn geraakt. Eerst ging het volgens de Duitse groothandel om onbenoemde IT-problemen, waardoor de kassa’s steeds uitvielen en het langer duurde om facturen af te drukken, maar ondertussen heeft Metro toegegeven dat het om een grootschalige cyberaanval ging. Uit onderzoek in samenwerking met externe deskundigen en de autoriteiten bleek dat alle landen waar de foodgroothandel actief is, zijn getroffen. Pas vandaag, 24 oktober, bevestigt Metro dat de problemen achter de rug zijn. Tegenover Krone Zeitung zegt Alexa Kazda-Klabouch, woordvoerster van Metro Oostenrijk, dat de situatie weer onder controle is. De IT-systemen werden niet alleen stilgelegd om de problemen te verhelpen, maar ook uit veiligheidsmaatregelen om gegevens te beschermen, klinkt het nog. Of er gegevens zijn gelekt en of er losgeld is betaald aan de cybercriminelen is niet bekend. Vorige week kondigde het bedrijf nog sterke jaar- en kwartaalcijfers aan, maar over de cyberaanval werd toen niet gesproken.


Cybercriminelen eisen 62 miljoen van Britse autodealer Pendragon

De Britse megadealer Pendragon is getroffen door een cyberaanval. De hackers hebben volgens The Times en andere Britse media 62 miljoen euro ‘losgeld’ geëist. Pendragon zegt niet op die eis in te gaan. "We weigeren om in gijzeling te worden gehouden door deze groep en zullen het geëiste losgeld niet betalen," zegt chief marketing officer Kim Costello tegen de krant. Pendragon, dat genoteerd is aan de effectenbeurs van Londen, deelde vrijdag zelf mee dat het ‘verdachte activiteit op een deel van haar IT-systemen’ had ontdekt. Daarbij bevestigde het bedrijf dat het slachtoffer was van een IT-beveiligingsincident. Dat zou betrekking hebben op de servers waarbij de aanvallers 5 procent van de databases buit hebben gemaakt. Volgens The Times gaat het om een bende die banden heeft met een groep die bekend staat als LockBit 3.0.  Na de ontdekking werden direct de benodigde stappen ondernomen om het incident te beperken. "Onze veiligheidsspecialisten hebben een uitgebreid onderzoek ingesteld om te bekijken wat er is gebeurd." Het bedrijf meldde het incident ook direct bij het Britse National Cyber Security Centre en heeft vrijdag eveneens de leveranciers en eigen medewerkers verder geïnformeerd. 


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


November 2024
Oktober 2024

Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »
September 2024