Overzicht cyberaanvallen week 44-2022

Gepubliceerd op 7 november 2022 om 15:00

First click here and then choose your language with the Google translate bar at the top of this page ↑


Cybercrimineel wist in te breken op het digitale zorgplatform Caren, treinen Deense spoorwegen tot stilstand na cyberaanval op it-leverancier en Groepering achter Black Basta-ransomware gebruikt eigen tools en technieken. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 6.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes omdat ze weigerden te betalen. Als je betaald wordt er geen data gelekt en kom je niet op deze lijst.. ‘Zo'n 80% van de organisaties betaalt losgeld’ πŸ€”


LAATSTE WIJZIGING: 07-november-2022 | 08:10 | Aantal slachtoffers: 6.613



Week overzicht

Slachtoffer Cybercriminelen Website Land
CR&R Environmental Services Vice Society www.crrwasteservices.com USA
optiprint.ca LockBit optiprint.ca Canada
thenet.group LockBit thenet.group Lebanon
rockworthindia.com LockBit rockworthindia.com India
everstrong.com LockBit everstrong.com USA
KEARNEYCO.COM LockBit kearneyco.com USA
MITCON Consultancy & Engineering Services Limited Black Basta www.mitcon.org USA
Broto Legal BlackByte brotolegal.com.br Brazil
PETERSON & HANSON BlackByte www.phbygg.se Sweden
SOFTEQ.COM CL0P softeq.com USA
hettichbenelux.com LockBit hettichbenelux.com Netherlands
Landi Renzo Hive landirenzo.com Italy
continental.com LockBit continental.com Germany
Outsourcing Industrial Spy outsourcing.com.co Colombia
Northwest Michigan Health Services Royal nmhsi.org USA
Priority Power Management Royal www.prioritypower.net USA
Happy Sapiens Dental Royal happysapiensdental.com USA
Camino Real Kitchens Royal www.caminorealkitchens.com USA
The Benbrook Public Library Royal www.benbrooklibrary.org USA
Miller Milling Royal millermilling.com USA
Sunwell Technologies Royal www.sunwell.com Canada
PowerSoft Development Royal www.power-soft.com Canada
Midwest Orthopaedic Consultants Royal orthoexperts.com USA
Master Medical Equipment Royal www.mmemed.com USA
InfoCision Corporation Royal www.infocision.com USA
Wiseyes Royal www.wiseyes.net USA
Royal Imaging Royal www.royalimaging.com USA
Whitney Oil and Gas Royal www.whitneyoilco.com USA
Panda Power Funds Royal www.pandafunds.com USA
F.lli Veroni fu Angelo SpA Royal www.veroni.it Italy
Pressco Technology Royal www.pressco.com USA
Fishmans Royal fishmans.ca Canada
Quantum Plastics Royal quantumplastics.com USA
www.maynards.com Royal www.maynards.com Canada
CONSUMAX.COM.AR LV consumax.com.ar Argentina
tekniplex.be LockBit tekniplex.be Belgium
Popp Hutcheson PLLC Black Basta www.property-tax.com USA
Saint Jean Industries LV www.st-ji.com France
AWESOME-DENTAL.COM LV awesome-dental.com USA
WICKERSHAMCONSTRUCTION.COM LV wickershamconstruction.com USA
PARAMOUNT ENTERPRISE INTERNATIONAL LV www.paramount-land.com Indonesia
THEHURSTGROUP.CO.UK LV thehurstgroup.co.uk UK
ROUGIER LV www.rougier.fr France
GRUPO SIFU LV www.gruposifu.com Spain
SUBCARN LV www.subcarnechevarria.com Spain
KINETIC.PH LV kinetic.ph Philippines
SICOTEC LV www.sicotec.ch Switzerland
MCV Holding Company LLC Quantum www.capitalpower.com USA
Grandview, MO Snatch www.grandview.org USA
YMCA of Metropolitan Washington Vice Society www.ymcadc.org USA
Rooks Heath School Vice Society www.rooksheath.harrow.sch.uk UK
Unidad Medica Angloamericana Vice Society www.unidadmedica.com Spain
fiscosaudepe.com.br LockBit fiscosaudepe.com.br Brazil
Urban Karakurt urbandevelop.com.au Australia
San Benito Consolidated Independent School District Karakurt www.sbcisd.net USA
The Summit Karakurt summitks.com USA
PTSC Karakurt www.ptsc.com.vn Vietnam
CLUB DE TENIS LA PAZ Mallox www.ctlp.bo Bolivia
Genesys Aerosystems Black Basta www.genesys-aerosystems.com USA
Bitron Black Basta www.bitron.com Italy
Var Group Black Basta www.vargroup.com Italy
thalesgroup.com LockBit thalesgroup.com France

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land
hettichbenelux.com LockBit hettichbenelux.com Netherlands
tekniplex.be LockBit tekniplex.be Belgium

In samenwerking met DarkTracer

Top 3 cybercrime groepen met de meeste slachtoffers

Groepering Aantal slachtoffers
1 LockBit 1221 Nog actief
2 Conti 674 Niet meer actief
3 REvil 246 Niet meer actief

Black Fog Ransomware Report Oct 2022
PDF – 238,8 KB 177 downloads

Politie laat slachtoffers van ransomware straks ook online aangifte doen

Eind dit jaar zou het mogelijk moeten zijn voor slachtoffers van ransomware om ook online aangifte bij de politie te doen. Dat heeft minister Yesilgoz van Justitie en Veiligheid aan de Tweede Kamer laten weten. Op dit moment is het mogelijk om bij online oplichting, phishing, WhatsAppfraude en helpdeskfraude aangifte via internet te doen. In 2019 liet toenmalig minister Grapperhaus van Justitie en Veiligheid weten dat slachtoffers van ransomware in de toekomst online aangifte zouden kunnen doen, maar dat is nog altijd niet mogelijk. Het kabinet kwam vorige maand met een nieuwe cybersecuritystrategie waarin staat dat slachtoffers vanaf 2023 van meer "cybercrime-fenomenen" online aangifte kunnen doen. Meer details werden echter niet gegeven. Als onderdeel van de aanpak van ransomware wordt ook gewerkt aan de mogelijkheid voor onlineaangifte. "Het dringende advies blijft om geen losgeld te betalen. Het betalen van losgeld biedt geen garantie dat criminelen de systemen weer toegankelijk maken en houdt bovenal het criminele verdienmodel in stand. Slachtoffers van ransomware worden uitdrukkelijk opgeroepen aangifte of melding te doen bij de politie. Het doel van de politie is om digitaal aangifte doen van ransomware eind 2022 mogelijk te maken", aldus Yesilgoz in een brief aan de Tweede Kamer.


Groepering achter Black Basta-ransomware gebruikt eigen tools en technieken

De groepering achter de Black Basta-ransomware gebruikt hun eigen op-maat-gemaakte tools, waaronder EDR-fraudetools. De ontwikkelaar van deze EDR-fraudetools is of was vermoedelijk een ontwikkelaar van de Russische criminele hackersorganisatie FIN7. Dit blijkt uit een rapport van SentinelLabs, de onderzoeksafdeling van SentinelOne. De Black Basta-ransomware is voor het eerst gezien in april 2022 en had rond september 2022 bij meer dan 90 organisaties een inbreuk veroorzaakt. De snelheid en het volume van de aanvallen bewijzen dat de actoren achter Black Basta goed georganiseerd zijn en over voldoende middelen beschikken. Toch zijn er geen aanwijzingen dat Black Basta probeert verwante ondernemingen te werven, of te adverteren als RaaS op de gebruikelijke darknet-forums of crimeware-marktplaatsen. Dit heeft geleid tot veel speculatie over de oorsprong, identiteit en werking van de Black Basta ransomware-groep. Volgens de onderzoekers onderhoudt en implementeert Black Basta eigen, aangepaste tools, waaronder EDR-fraudetools. Verder blijkt uit het onderzoek dat Black Basta samenwerking met andere ransomware-groepen uitsluit. Ze werken hooguit samen met een beperkte en vertrouwde groep van partners, op een vergelijkbare manier als andere 'private' ransomware-groepen zoals Conti, TA505 en Evilcorp dat doen. SentinelLabs vermoed dat de ontwikkelaar van de EDR-fraudetools die Black Basta gebruikt een ontwikkelaar voor FIN7 is of was. Tenslotte blijkt uit het onderzoek dat Black Basta-bij aanvallen een unieke versluierde versie van ADFind gebruiken en gebruik maken van PrintNightmare, ZeroLogon en NoPac voor privilege escalatie. Een gedetailleerde analyse van de operationele TTP's van Black Basta is hier beschikbaar.


Treinen Deense spoorwegen tot stilstand na cyberaanval op it-leverancier

Alle treinen in Denemarken kwamen afgelopen zaterdag stil te staan na een cyberaanval op een leverancier van de Deense Staatsspoorwegen (DSB). De softwaretestomgeving van de it-leverancier was gecompromitteerd. Volgens het hoofd beveiliging van DSB hadden de aanvallers economische motieven. De aanval was niet direct tegen DSB gericht. Leverancier Supeo besloot vanwege de aanval de eigen servers uit te schakelen. Dit had weer invloed op de mogelijkheid van machinisten om hun treinen te bedienen. Supeo levert een applicaties waarmee machinisten belangrijke informatie over situaties op het spoor ontvangen. Door het uitschakelen van de servers was de app niet meer te gebruiken. DSB besloot daarop dat het niet veilig was om de treinen te laten rijden. Het hoofd beveiliging van DSB laat tegenover de Deense publieke omroep DR weten dat de spoorwegen over een noodprocedure beschikken. Daardoor zouden machinisten ook in noodgevallen de spoorinformatie tot zich moeten kunnen nemen. Door een softwarefout was het materiaal echter niet offline toegankelijk. In Denemarken is dan ook kritiek op het feit dat de spoorwegen van één applicatie afhankelijk lijken te zijn. De uitval kon na een aantal uur worden verholpen. De dienstregeling was zondag weer helemaal hersteld.


Phishing meestgebruikte methode voor ransomware-aanvallen

Het versturen van phishingmails is de meestgebruikte aanvalsvector om organisaties met ransomware te infecteren, zo stelt het Europees Agentschap voor cyberbeveiliging (ENISA) in een nieuw rapport. Mogelijk zou meer dan zestig procent van de door ransomware getroffen organisaties het gevraagde losgeld betalen, zo laat het rapport verder weten. Vorig jaar noemde ENISA ransomware nog de grootste digitale dreiging. Volgens de instantie behoort ransomware nog altijd tot één van de primaire dreigingen waar organisaties mee te maken kunnen krijgen. Was het gebruik van het remote desktop protocol (RDP) eerst nog de primaire manier om toegang tot systemen te krijgen, zowel via gestolen inloggegevens als bruteforce-aanvallen, het afgelopen jaar is phishing weer de meestgebruikte aanvalsvector, aldus ENISA. Zowel het gebruik van phishing als RDP-aanvallen zijn goedkoop en dus winstgevend voor aanvallers, merkt het Europese cyberagentschap op. Naast het versturen van phishingmails en RDP maken aanvallers soms ook gebruik van insiders, waarbij personeel van een aangevallen organisaties door criminelen wordt benaderd om tegen betaling te helpen met het uitrollen van de ransomware. Naast het versleutelen van data maken ransomwaregroepen ook steeds vaker gegevens van aangevallen organisaties buit, om die daarmee af te persen als ze weigeren het losgeld te betalen. Volgens ENISA wordt er elke maand tien terabyte aan data buitgemaakt en zou mogelijk meer dan zestig procent van de getroffen organisaties het losgeld betalen.


Cybercriminelen verspreiden malafide code via krantensites

Aanvallers zijn erin geslaagd om op meer dan 250 Amerikaanse krantensites malafide JavaScript te injecteren die bezoekers met malware probeert te infecteren. Het aantal getroffen nieuwssites kan echter veel hoger liggen, zo stelt securitybedrijf Proofpoint dat de aanval ontdekte. De krantensites, zowel regionaal als nationaal, maken gebruik van de diensten van een niet nader genoemd mediabedrijf. Dit bedrijf biedt zowel videocontent als advertenties. Hiervoor plaatsen de betreffende krantensites JavaScript van het mediabedrijf op hun eigen websites. Het is de aanvallers gelukt om het mediabedrijf te compromitteren en de JavaScript-code aan te passen. De aangepaste code laat bezoekers van de krantensites een melding zien dat ze hun browser moeten updaten en biedt vervolgens een zogenaamde update aan. In werkelijkheid gaat het om de SocGholish-malware, waarmee de aanvallers volledige controle over het systeem krijgen. Vervolgens kan de malware andere malware installeren, of maken andere cybercriminelen gebruik van de toegang om bijvoorbeeld ransomware binnen de aangevallen organisatie te verspreiden. Namen van het mediabedrijf en getroffen krantensites zijn niet bekendgemaakt. Ook is onbekend hoe het bedrijf werd gecompromitteerd. De criminelen achter de SocGholish-malware zijn al sinds 2017 actief. In augustus meldde securitybedrijf Sucuri dat het de JavaScript-code van SocGholish dit jaar al op meer dan 25.000 websites had aangetroffen.


Vrijwel alle medewerkers Hogeschool Utrecht getroffen door datalek ID-ware

Bij de aanval op it-bedrijf ID-ware zijn de persoonsgegevens van vrijwel alle medewerkers van de Hogeschool Utrecht (HU) buitgemaakt en op internet geplaatst. Met het bedrijf waren afspraken gemaakt om adresgegevens na activatie van de pas te verwijderen, maar dat is niet altijd gedaan. Dat laat de onderwijsinstelling weten in een FAQ die afgelopen dinsdag online kwam. De gestolen gegevens bestaan uit persoonsnummer, naam, adres, postcode, woonplaats en kaartnummer HU-toegangspas. Verder zijn ook van een onbekend aantal oud-personeelsleden en student-medewerkers de gegevens in handen van de aanvallers gekomen, meldt Trajectum, het online magazine van de Hogeschool Utrecht. ID-Ware levert toegangssystemen aan bedrijven, overheden en onderwijsinstellingen. In september wist een ransomwaregroep in te breken op systemen van ID-ware en maakte daar allerlei data buit. Het ging om gegevens van duizenden Rijksambtenaren, alsmede medewerkers van de TU Eindhoven en Hogeschool Utrecht. Ook van medewerkers in dienst bij leveranciers van de HU, zoals schoonmaak, kantine en onderhoud, is data gestolen. De HU had met ID-Ware afgesproken dat woonadressen uit de systemen zouden worden verwijderd zodra de toegangspas is geactiveerd. "We hebben moeten constateren dat dit helaas bij het aanmaken van de nieuwe passen in maart 2021 niet goed is gegaan. Daarna is wel volgens afspraken gewerkt en wordt het woonadres direct na activatie van de passen verwijderd. De HU heeft de leverancier hier op aangesproken", meldt de onderwijsinstelling. De inbraak bij ID-ware werd gisteren besproken door de Commissie Digitale Zaken van de Tweede Kamer.


Pro-Russissche DDoS-aanval op Amerikaanse ministerie van Financiën

Het Amerikaanse ministerie van Financiën is doelwit geweest van een DDoS-aanval door pro-Russische aanvallers. De aanval is succesvol afgeslagen, meldt een ambtenaar van het ministerie aan ReutersDe aanval vond afgelopen maand plaats en zou het werk zijn geweest van pro-Russische cyberaanvallers. Het incident zou niet tot nauwelijks tot verstoringen hebben geleid. De aanval wordt toegeschreven aan Killnet, een Russische cybercrimegroepering. De groep kwam eerder dit jaar in het nieuws nadat het dreigde beademingsapparatuur in Britse ziekenhuizen uit te schakelen. Ook werd een vermeend lid van Killnet in Londen gearresteerd. Dit individu zou betrokken zijn geweest bij aanvallen van Killnet op Roemeense instellingen. Deze aanvallen zouden een vergelding zijn geweest voor steun voor Oekraïne in de oorlog met Rusland. 
Killnet viel eerder ook al Amerikaanse doelen aan; Reuters meldt dat de groep ook verantwoordelijkheid claimt voor aanvallen op websites van Amerikaanse staten en vliegvelden. Enkele dagen na de DDoS-aanval op het Amerikaanse ministerie van Financiën zou de groep ook Amerikaanse financiële instellingen hebben aangevallen, meldde Todd Conklin, cybersecurity-adviseur voor vice-staatssecretaris van Financiën Wally Adeyemo, op een securityconferentie. Het ging daarbij onder meer om JPMorgan Chase & Co.


Internationale radiotelescoop ALMA in Chili slachtoffer van cyberaanval

De in het noorden van Chili gevestigde ALMA-radiotelescoop, de krachtigste ter wereld, werd vorig weekeinde getroffen door een cyberaanval die leidde tot de stopzetting van enkele van zijn activiteiten, zo maakte het observatorium woensdag bekend. “Zaterdag 29 oktober om 06.14 uur (11.14 uur Nederlandse tijd), kreeg het ALMA-observatorium in Chili een cyberaanval op zijn computersystemen", tweette het observatorium. ALMA zei dat de aanval de uitbater dwong om "astronomische waarnemingen en zijn website" op te schorten, terwijl zijn e-maildiensten "op een verslechterde manier werken". "De aanval heeft de antennes of wetenschappelijke gegevens niet aangetast", zegt ALMA, een joint venture tussen Europese, Amerikaanse en Japanse partners, in samenwerking met Chili. De Atacama Large Millimeter Array (ALMA) heeft 66 antennes op meer dan vijfduizend meter boven zeeniveau op het Chajnantor-plateau in de Atacama-woestijn en biedt werk aan meer dan 300 mensen. De computeraanval is (nog) niet opgeëist.


Britten helpen Oekraïne met afslaan van cyberaanvallen

Het Verenigd Koninkrijk zet zijn cyberexpertise in om de kritieke infrastructuur van Oekraïne te beschermen tegen Russische cyberaanvallen. Het is voor het eerst dat de Britse overheid officieel erkent hierbij betrokken te zijn. De Britse overheid bevestigt dat het in samenwerking met enkele partijen uit de industriewereld het Ukraine Cyber Programme heeft opgezet. Dit programma heeft als doel te voorkomen dat Russische actoren toegang krijgen tot vitale netwerken en biedt de Oekraïense autoriteiten ook forensische mogelijkheden.Het programma, dat zo'n 6,35 miljoen Britse pond kost (omgerekend zo'n 7,38 miljoen euro), was eerder nog niet officieel aangekondigd. Volgens de Britse overheid was dit met het oog op de operationele veiligheid. Staatssecretaris van Buitenlandse Zaken James Cleverly bevestigt het bestaan van het programma nu, en voegt eraan toe dat 'expertise van leidende securitybedrijven is ingezet'. Via het Ukraine Cyber Programme zouden al diverse aanvallen zijn afgeslagen, waaronder aanvallen met destructieve malware als Industroyer2. Ook is de kritieke infrastructuur van Oekraïne versterkt om toekomstige aanvallen af te slaan. De Britten leverden onder meer firewalls en DDoS-bescherming aan Oekraïne.


Ransomwaregroep claimt aanval op IT-gigant Thales

Ransomwaregroep LockBit 3.0 claimt een cyberaanval op Thales, een van de grootste IT-bedrijven van Europa. Naar eigen zeggen beschikt LockBit 3.0 over gestolen data. Volgens Thales heeft de ransomwaregroep geen bewijs. Thales liet op het moment van de bekendmaking weten dat de organisatie nog geen formele losgeldeis had ontvangen. De Franse gigant zei dat LockBit 3.0 plannen heeft aangekondigd om de gegevens op 7 november te publiceren op het darkweb. Thales levert software, hardware en diensten aan grote organisaties in diverse sectoren, waaronder lucht- en ruimtevaart, defensie, transport en veiligheid. Een woordvoerder van Thales bevestigde dat de organisatie een intern onderzoek heeft ingesteld. Het nationale cyberbeveiligingsagentschap van Frankrijk is ingelicht. Thales heeft nog geen aangifte gedaan. Volgens de woordvoerder hebben de hackers geen bewijs dat de gegevens van Thales zijn gestolen. Eerder dit jaar maakte Thales de overname van securitybedrijven S21sec en Excellium bekend. De organisaties werden voor 120 miljoen euro gekocht van Sonae Investment Management.


Japans ziekenhuis annuleert operaties wegens ransomware-aanval

Een groot Japans ziekenhuis in Osaka heeft operaties en andere medische handelingen geannuleerd wegens een ransomware-aanval waardoor elektronische patiëntendossiers niet meer toegankelijk zijn. Alleen noodoperaties worden nog uitgevoerd. Doordat het medisch dossiersysteem offline is, kan het Osaka General Medical Center de kosten van medische handelingen niet berekenen of gegevens over het medisch verleden van patienten bekijken. De aanvallers eisen losgeld voor het ontsleutelen van de data, maar het ziekenhuis is naar eigen zeggen niet van plan om te onderhandelen. Verder laat het ziekenhuis weten dat de patiëntveiligheid niet in het geding is. Zorgpersoneel is nu teruggevallen op pen en papier. Het ziekenhuis telt 865 bedden en heeft 36 afdelingen. Tot wel duizend patiënten zijn door de aanval en ontstane problemen getroffen, meldt The Asahi Shimbun. De Japanse publieke omroep NHK laat weten dat het nog wel even kan duren voordat alles weer hersteld is.


Coalitie van landen kondigt internationale taskforce tegen ransomware aan

Er komt een internationale taskforce die zich met de bestrijding van ransomware wereldwijd gaat bezighouden, zo hebben 37 landen met elkaar afgesproken. De afgelopen dagen vond voor de tweede keer in de Verenigde Staten het International Counter Ransomware Initiative (CRI) plaats, waarbij landen en bedrijven bij elkaar kwamen om de aanpak van ransomware te bespreken. Tijdens het evenement zijn verschillende zaken afgesproken. Zo wordt er een "International Counter Ransomware Task Force" opgericht die de aanpak van ransomware gaat coördineren, zoals verstorende operaties en het delen van informatie. Ook komt er een toolkit voor onderzoekers met "tactieken, technieken en procedures" voor het verstoren van ransomwaregroepen en identificeren van de belangrijkste groepen. Verder zullen de landen ook gezamenlijke advisories uitbrengen met adviezen en waarschuwingen over kwetsbaarheden waar ransomwaregroepen misbruik van maken. Tevens zullen er periodiek anti-ransomware-oefeningen plaatsvinden om de gezamenlijke aanpak van ransomware verder te ontwikkelen, versterken en integreren. De deelnemende landen hebben ook toegezegd dat ze maatregelen zullen nemen om het gebruik van het cryptovaluta-ecosysteem door ransomwaregroepen te voorkomen. Zo zal er onder andere informatie over gebruikte cryptowallets worden gedeeld en moet door middel van "know your customer" regels voorkomen worden dat criminelen misbruik van cryptodiensten kunnen maken. Een ander punt is een actievere informatiedeling tussen overheid en bedrijfsleven over groepen en hun werkwijzes. Op de lijst met deelnemende landen ontbreken landen die er om bekend staan ransomwaregroepen te herbergen. In de gezamenlijke slotverklaring hebben de 37 deelnemende landen echter aangegeven dat ze de politieke kosten zullen vergroten voor landen die ransomwaregroepen herbergen. Hoe deze druk er precies komt uit te zien is niet bekendgemaakt.


Bibliotheek Rotterdam meldt diefstal van persoonlijke gegevens bij cyberaanval

Bij de cyberaanval op de bibliotheek Rotterdam zijn persoonlijke gegevens gestolen, zo heeft de bibliotheek bekendgemaakt. Volgens een update over de aanval is er geprobeerd om de ict-systemen van de bibliotheek ontoegankelijk te maken. "Onze back-ups waren van goede kwaliteit zodat we van daaruit opnieuw onze systemen konden opbouwen", aldus de bibliotheek. Dit lijkt op een ransomware-aanval te duiden, maar de term wordt niet door de bibliotheek genoemd. De bibliotheek stelt dat het tijdens het inrichten van een nieuw onderdeel van de ict-systemen "tijdelijk kwetsbaarder" was. Wat de kwetsbaarheid precies inhield is niet bekendgemaakt. De bibliotheek heeft aangifte bij de politie gedaan. Daarnaast is de beveiliging geüpgraded. Een deel van de gedupeerden van wie persoonlijke informatie is buitgemaakt is inmiddels geïnformeerd. Verder laat de bibliotheek weten dat er hard wordt gewerkt aan een voorlopig onderzoeksrapport over de cyberaanval. Door de aanval kon de bibliotheek een aantal dagen geen boeken uitlenen en waren allerlei systemen ook niet beschikbaar.


Amerikaanse banken zagen vorig jaar 1,2 miljard dollar naar ransomware gaan

Amerikaanse banken zagen vorig jaar 1,2 miljard dollar naar ransomwaregroepen gaan, zo blijkt uit een nieuw rapport van het Amerikaanse ministerie van Financiën gebaseerd op meldingen die onder de Bank Secrecy Act (BSA) zijn gedaan. Deze wetgeving verplicht financiële instellingen onder andere om verdachte transacties die op criminele activiteiten kunnen duiden te rapporteren. Vorig jaar maakten Amerikaanse banken melding van 1489 ransomware-gerelateerde incidenten, tegenover 487 incidenten een jaar eerder. Ook het schadebedrag kende een flinke toename. Bedroeg het betaalde losgeld in 2020 nog 416 miljoen dollar, dat steeg vorig jaar naar 1,2 miljard dollar. Een toename van maar liefst 188 procent. De stijging is mogelijk te verklaren door meer ransomware-incidenten of betere detectie en rapportage. Volgens het Financial Crimes Enforcement Network (FinCEN), onderdeel van het Amerikaanse ministerie van Financiën, hebben vier de vijf meest actieve ransomware-exemplaren een link met Rusland. Van de 793 gerapporteerde ransomware-incidenten in tweede helft van 2021, hadden 594 met "Russisch-gerelateerde varianten" te maken, aldus de Amerikaanse overheidsinstantie. Die stelt op basis van de cijfers dat ransomware een serieuze dreiging voor de Amerikaanse nationale en economische veiligheid blijft.

Financial Trend Analysis Ransomware 508 FINAL
PDF – 1,0 MB 190 downloads
Financial Trend Analysis Ransomware FTA 2 508 FINAL
PDF – 770,5 KB 198 downloads

Broncode Dropbox en data klanten en personeel gestolen via phishingaanval

Aanvallers zijn erin geslaagd om via een phishingaanval broncode van Dropbox te stelen, alsmede gegevens van klanten, medewerkers en leveranciers. De phishingaanval bestond uit een e-mail die afkomstig leek van CircleCI, een populair devops-platform gebruikt voor softwareontwikkeling dat met GitHub is te integreren. Net als veel andere bedrijven maakt Dropbox gebruik van softwareontwikkelingsplatform GitHub en heeft daar ook allerlei broncode opgeslagen. Volgens de phishingmail moest de ontvanger op GitHub inloggen om de nieuwe algemene voorwaarden te accepteren. De link in het bericht wees echter naar een phishingpagina. Deze pagina probeerde niet alleen de inloggegevens van GitHub-gebruikers te bemachtigen, maar in het geval ze 2FA hebben ingeschakeld ook hun 2FA-codes in real-time. Zo wist de aanvaller toegang tot de GitHub-omgeving van Dropbox te krijgen en kopieerde 130 repositories met broncode en andere software. Het ging onder andere om API-keys van ontwikkelaars, aangepaste third-party libraries waar Dropbox gebruik van maakt, interne prototypes en sommige tools en configuratiebestanden van het Dropbox-securityteam. Ook zijn namen en e-mailadressen van medewerkers, huidige klanten, ex-klanten en leveranciers in handen van de aanvaller gekomen. Dropbox benadrukt dat er geen broncode van de primaire apps en infrastructuur is bemachtigd. Toegang tot deze repositories is beter afgeschermd, aldus de opslagdienst. Tevens zijn de inhoud van Dropbox-accounts en wachtwoorden en betaalgegevens van gebruikers niet gecompromitteerd. Eind september waarschuwde GitHub al voor dergelijke phishingaanvallen. Na een oproep van de Amerikaanse overheid om "phishingbestendige multifactorauthenticatie" (MFA) te gebruiken stelt ook Dropbox dat niet alle MFA gelijk is en sommige kwetsbaarder is voor phishing dan anderen. "Veel organisaties vertrouwen nog op minder veilige versies van MFA, zoals pushnotificaties, one-time passwords en time-based one-time passwords - WebAuthn is op dit moment de gouden standaard", aldus de opslagdienst. Die zegt dat het al bezig was met de uitrol van meer phishingbestendige MFA en dat binnenkort de gehele Dropbox-omgeving met hardwarematige tokens en biometrische factoren is beveiligd.


‘Hackers verkopen toegang tot 576 bedrijfsnetwerken voor 4 miljoen euro’

De gezamenlijke prijs die Initial Access Brokers (IAB’s) vragen voor toegang tot bedrijfsnetwerken is afgelopen kwartaal toegenomen tot 4 miljoen euro. Voor dat bedrag kunnen kopers toegang krijgen tot 576 bedrijfsnetwerken. Dat blijkt uit onderzoek van KELA (pdf). Het gaat om 110 aanbieders die illegaal voor 576 gecompromitteerde zakelijke netwerken toegangsinformatie verhandelden. In het tweede kwartaal lag deze gezamenlijke prijs nog op zo’n 664.000 euro. De gemiddelde verkoopprijs voor toegangsgegevens lag in het derde kwartaal op 2.818 euro. Op het gebied van aanbieders kwam de meest te koop gezette informatie van criminele organisaties als LockBit, Black Basta, Hive, Alphv (aka BlackCat) en BianLian. Vooral informatie van Amerikaanse bedrijven wordt te koop gezet. Naast naar de gemiddelde verkoopprijs van de gevoelige toegangsinformatie, constateert het onderzoek dat de meest verhandelde toegangsinformatie van Amerikaanse bedrijven afkomt. Ook bedrijven uit het Verenigd Koninkrijk waren een gelief doelwit. De meest getroffen bedrijfssectoren zijn de dienstensector, de maaksector en de technologiesector. Volgens KELA tonen deze sectoren vaak overeenkomsten met de meeste door ransomware aangevallen sectoren, zodat tussen IAB-aanbieders en ransomware-criminelen een duidelijke link valt te zien. IAB’s zijn nog steeds een belangrijke schakel in de cybercriminaliteit, geeft KELA aan. Dit ondanks dat grote ransomware-criminelen of zelfs -syndicaten nu vaak eigen IAB-afdelingen hebben en zo niet meer afhankelijk zijn van andere aanbieders van toegangsinformatie.

KELA RESEARCH Ransomware Victims And Network Access Sales In Q 3 2022
PDF – 1,1 MB 268 downloads

Witte Huis wil wereldwijde aanpak tegen ransomware uitbreiden en versnellen

Het Witte Huis organiseert vandaag en morgen een internationale bijeenkomst die voor een bredere en snellere wereldwijde aanpak van ransomware moet zorgen. Vorig jaar werd het Counter-Ransomware Initiative voor het eerst georganiseerd. Afgevaardigden van meer dan dertig landen, waaronder Nederland, overlegden in de VS over een internationale aanpak van ransomware. Tijdens het overleg kwamen verschillende onderwerpen aan bod, zoals het versterken van de nationale cyberweerbaarheid, het misbruik van cryptovaluta voor het witwassen van losgeldbetalingen, het verstoren van ransomware-operaties en het vervolgen van de criminelen die achter de aanvallen zitten. Tijdens de komende editie van het initiatief wordt gekeken hoe de wereldwijde aanpak van ransomware kan worden verbreed en versneld. Zo is de hoop dat er een verzameling van "cybernormen" wordt opgesteld voor het tegengaan van ransomware en aansprakelijk houden van de verantwoordelijke criminelen. Een overheidsfunctionaris laat tegenover persbureau Reuters weten dat er morgen aan het einde van het overleg, waar 37 landen aan deelnemen, ook een gezamenlijke verklaring wordt afgegeven om de druk te vergroten op landen die ransomwaregroepen herbergen. Volgens het Witte Huis heeft de VS het lastiger voor criminelen gemaakt om hun geld te verplaatsen door sancties tegen verschillende cryptomixers te nemen, waarmee ransomwarecriminelen hun geld zouden witwassen. Het ging onder andere om cryptomixer Tornado Cash, wat voor felle kritiek van experts zorgde. Verder zijn het afgelopen jaar ook verschillende criminelen wegens ransomware aan de VS uitgeleverd. Zo werd een Canadese man wegens het uitvoeren van ransomware-aanvallen veroordeeld tot een gevangenisstraf van twintig jaar en het afstaan van een bedrag van 21,5 miljoen dollar.


FBI komt met stappenplan voor het tegengaan van ddos-aanvallen

Distributed denial-of-service (DDoS)-aanvallen kunnen grote gevolgen hebben voor organisaties wat betreft tijd, geld en reputatieschade, aldus de FBI en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA). De Amerikaanse overheidsinstanties hebben daarom een stappenplan gepresenteerd dat organisaties kunnen gebruiken om ddos-aanvallen te voorkomen of de impact daarvan te beperken (pdf). Volgens de FBI en het CISA moeten als eerste de essentiële diensten en systemen in kaart worden gebracht en hoe gebruikers daarmee verbinding maken. Verder wordt het implementeren van een anti-ddos-dienst aangeraden en moet bekend zijn welke maatregelen de gebruikte internetprovider en cloudproviders hebben genomen. Een ander onderdeel van het plan van aanpak is het opstellen van een ddos-responsplan en een ddos-bedrijfscontinuïteitplan. Wanneer organisaties denken met een ddos-aanval te maken hebben adviseren de FBI en het CISA om dit eerst te bevestigen en de eigen internetprovider te benaderen. Vervolgens moeten mitigaties worden uitgerold en het netwerk gemonitord. Daarbij doen de FBI en het CISA ook aanbevelingen voor het instellen van de firewall. Zodra de aanval voorbij is vraagt de FBI dit te melden en kunnen organisaties hun responsplan aanpassen om de reactie op toekomstige aanvallen te verbeteren.

Understanding And Responding To Ddos Attacks 508 C
PDF – 483,3 KB 172 downloads

Cybercrimineel wist in te breken op het digitale zorgplatform Caren

De Groningse zorginstelling De Zijlen heeft cliënten gewaarschuwd voor een datalek nadat een aanvaller wist in te breken op het digitale zorgplatform Caren, ontwikkeld door softwareleverancier Nedap. De politie wist onlangs een 19-jarige man uit Krimpen aan den IJssel aan te houden die wordt verdacht van de inbraak en het stelen van tienduizenden patiëntendossiers. Caren is een digitale gezondheidsomgeving waarmee mensen hun eigen (mantel-) zorgproces kunnen inrichten en kunnen verbinden met de professionele zorg. Ook zorginstellingen maken er gebruik van. Volgens Nedap maakte de aanvaller misbruik van een kwetsbaarheid, waarbij er bestanden zijn gedownload die via Carenzorgt.nl door zorgorganisaties zijn aangeboden. De documenten werden gedownload via een gebruikersaccount van Caren. Er zijn vooralsnog geen aanwijzingen dat de documenten verspreid zijn. De softwareleverancier werd begin deze maand over de kwetsbaarheid ingelicht, die twee uur na de melding werd verholpen. Verder onderzoek wees uit dat er misbruik van het lek was gemaakt. Na aangifte van het bedrijf is de politie een onderzoek gestart naar de inbraak en mogelijke verspreiding van buitgemaakte gegevens. Eén van de getroffen zorginstellingen is De Zijlen, dat zorgt biedt aan mensen met een verstandelijke beperking. "We hechten veel waarde aan privacy. Daarom vinden wij het voor betrokkenen erg vervelend dat dit gebeurd is. Inmiddels is iedereen die binnen De Zijlen gebruik maakt van Carenzorgt op de hoogte gebracht van het incident", aldus De Zijlen in een verklaring op de eigen website. Exacte details zijn niet bekend. "Om welke documenten het gaat is helaas niet vast te stellen. Nedap weet alleen welke gebruikersaccounts van Caren er getroffen zijn en hoeveel documenten er zijn gedownload." De zorginstelling heeft bij de Autoriteit Persoonsgegevens melding gemaakt van een datalek.


Cybercriminelen verspreiden malware met tientallen PyPi packages

Onderzoekers van Phylum ontdekten tientallen Python packages die infostealers verspreiden op het PyPi registry. Phylum ontwikkelt software supply chain security-oplossingen. Het bedrijf doet doorlopend onderzoek naar risico’s in het PyPi registry, een populaire catalogus voor softwareontwikkelaars. Het meest recente onderzoeksrapport werd op 1 november gepubliceerd. “Vorige week waarschuwde ons geautomatiseerde risk detection-platform voor verdachte activiteiten in tientallen nieuw gepubliceerde PyPi packages”, vertelde het bedrijf. “Het lijkt erop dat deze packages een verfijnde poging zijn om de W4SP infostealer af te leveren bij Python-ontwikkelaars.” De meeste packages bevatten verborgen code die de W4SP infostealer op geïnfecteerde systemen dropt. De aanvallers beginnen met een kopie van bestaande libraries op het PyPi registry. Vervolgens wordt er een kwaadaardige __import__statement geïnjecteerd in de verder gezonde codebase, aldus Phylum. “Aanvallers kopiëren legitieme packages omdat de PyPi-landingspagina daardoor wordt gegenereerd met een legitieme setup.py en README.md. Als gevolg ziet de landingspagina er direct betrouwbaar uit, inclusief werkende links en realistische tekst.” Volgens Phylum is het makkelijk om de kwaadaardige packages te vergissen voor legitieme packages. Tenzij je de packages grondig inspecteert lijkt de code betrouwbaar, aldus het bedrijf. Phylum publiceerde een lijst van alle kwaadaardige packages die tot nu toe zijn opgedoken en een malware-import bevatten of een kwaadaardig component proberen te installeren. De onderzoekers merken op dat de aanvallers hun tactieken voortdurend veranderen. Het is een professionele operatie. Phylum verwacht “dat er in de nabije toekomst meer van dit soort malware zal opduiken”. Volgens statistieken van pepy.tech hebben de getroffen packages gezamenlijk meer dan 5.700 downloads. Dit is niet de eerste keer dat PyPi worstelt met malware. Vorig jaar verwijderde de organisatie meer 3.000 kwaadaardige packages uit het repository.


Voormalig Britse premier Truss gehackt door Rusland

De mobiele telefoon van de voormalig Britse premier Liz Truss is mogelijk gehackt door Russische geheime agenten. Dit gebeurde in de periode dat Truss minister van Buitenlandse Zaken was. Mail on Sunday meldt op basis van anonieme veiligheidsbronnen dat de aanval vermoedelijk het werk is van de Russische geheime dienst. Zij konden naar verluid onder meer meelezen met berichtenverkeer van Truss. Hierin zou ook zeer gevoelige informatie hebben gestaan die is uitgewisseld met internationale partners, waaronder informatie over wapenleveranties aan Oekraïne. De cyberaanval is ontdekt toen Truss minister van Buitenlandse Zaken. De aanvallers zouden een jaar lang toegang hebben gehad tot berichten van Truss. Inmiddels is een onafhankelijk onderzoek ingesteld naar de cyberaanval. Een woordvoerder van de regering wil tegenover Britse media niet ingaan op veiligheidsmaatregelen rondom individuen. Wel meldt de woordvoerder dat er 'robuuste systemen' zijn die hen beschermen tegen cyberdreigingen.


Australië vraagt om aangiftes ransomware na succes Nederlandse politieactie

De Australische overheid roept burgers en bedrijven op die het slachtoffer zijn geworden van ransomware om dit meteen te melden. Aanleiding is een succesvolle actie van de Nederlandse politie waarbij door middel van een truc met bitcoinbetalingen de decryptiesleutels van meer dan honderdvijftig slachtoffers van de Deadbolt-ransomware werden verkregen. Deadbolt versleutelt bestanden op NAS-apparaten en zou wereldwijd meer dan vijftienduizend slachtoffers hebben gemaakt. Het gaat zowel om eindgebruikers als ondernemingen. Slachtoffers moeten losgeld betalen om hun bestanden terug te krijgen. De ransomwaregroep bleek echter de decryptiesleutel vrij te geven zodra de betaling was gedaan, maar de transactie nog niet verwerkt was op de blockchain. Om bitcointransacties sneller te laten plaatsvinden kunnen er transactiekosten worden betaald. De Nederlandse politie had bij de betaling van het ransomwaregeld helemaal geen transactiekosten toegevoegd, waardoor die niet meteen werd verwerkt. Het script van de ransomwaregroep dacht dat de betaling wel succesvol was gedaan en gaf de decryptiesleutel vrij. Vervolgens deed de Nederlandse politie een conflicterende betaling met hetzelfde bedrag van het losgeld, alleen dan aan zichzelf en met transactiekosten. Daardoor werd deze betaling wel uitgevoerd en die van de ransomwaregroep niet, aldus Paul Ducklin van antivirusbedrijf Sophos. Dankzij deze actie wist de Nederlandse politie niet alleen Nederlandse slachtoffers van Deadbolt te helpen, maar ook Australische. Volgens de Australische politie hebben zich niet alle slachtoffers zich gemeld, waardoor de kans klein is dat die hun data kosteloos kunnen terugkrijgen. De Australische politie wijst dan ook naar het succes van de Nederlandse politieactie om ransomware of andere cyber wel meteen te melden, aangezien dit de kans op een succesvolle uitkomst vergroot.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


November 2024
Oktober 2024

Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »
September 2024