First click here and then choose your language with the Google translate bar at the top of this page ↑
Groothandels Makro kampen met cyberaanval, Delta getroffen door cyberaanval en schade bij stad Antwerpen door cyberaanval is groot. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Laatste wijziging op 12-december-2022
Cybercriminelen hebben interne gegevens van meer dan 6.000 organisaties gelekt op het darkweb. In de onderstaande lijst staan de organisaties die geweigerd hebben het losgeld te betalen. Als het losgeld wordt betaald, worden er geen gegevens gelekt op het darkweb.
Opmerking: ‘Zo'n 80% van de organisaties betaalt losgeld’. Kun je dan zeggen dat onderstaande lijst slecht 20% is van het totale aantal slachtoffers van ransomware bendes? π€
| Meetmoment | Aantal organisaties waar data van gelekt is op het darkweb |
|---|---|
| 01-05-2019 (eerste slachtoffer) | 1 |
| 01-05-2020 | 85 |
| 01-05-2021 | 2.167 |
| 01-05-2022 | 5.565 |
| Nu | 6.887 |
Week overzicht
| Slachtoffer | Cybercriminelen | Website | Land |
|---|---|---|---|
| Una Seguros | PLAY | www.unaseguros.pt | Portugal |
| Antwerpen | PLAY | www.antwerpen.be | Belgium |
| REC Silicon | RansomEXX | www.recsilicon.com | Norway |
| sushi-master.ru | Bl00dy | sushi-master.ru | In progress |
| KNOX College | Hive | knox.edu | USA |
| dothousehealth.org | BlackCat (ALPHV) | dothousehealth.org | USA |
| biotipo.com.br | LockBit | biotipo.com.br | Brazil |
| koda.com.tw | LockBit | koda.com.tw | Taiwan |
| Aeroproductsco | BlackCat (ALPHV) | aeroproductsco.com | USA |
| oltax.com | LockBit | oltax.com | Canada |
| rhotelja.com | LockBit | rhotelja.com | Jamaica |
| hawanasalalah.com | LockBit | hawanasalalah.com | Oman |
| Maney | Gordon | Zeller, P.A. | Black Basta | www.maneygordon.com | USA |
| Atcore | Black Basta | www.atcoretec.com | UK |
| Dingbro Ltd | Black Basta | www.dingbro.com | UK |
| A.R. Thomson Group | Black Basta | www.arthomson.com | USA |
| Altro | Black Basta | www.altro.com | USA |
| Mortons Media Group Ltd | Black Basta | www.mortons.co.uk | UK |
| ARRI | Black Basta | www.arri.com | Germany |
| Cleveland Brothers | Black Basta | www.clevelandbrothers.com | USA |
| AIRCOMECHANICAL | Black Basta | www.aircomechanical.com | USA |
| Panolam Surface Systems | Black Basta | panolam.com | USA |
| SEACAST | Black Basta | www.seacast.com | USA |
| Pella | Black Basta | www.pellamidatlantic.com | USA |
| ??????? | PLAY | Unknown | Switzerland |
| Hilldrup | PLAY | www.hilldrup.com | USA |
| ChemiFlex | Quantum | www.chemiflex.com | USA |
| Radical Sportscars | Quantum | www.radicalmotorsport.com | UK |
| Orotex | Quantum | www.orotexus.com | USA |
| Pilenpak | Quantum | www.pilenpak.com | Turkey |
| AHT Wisconsin Windows | Quantum | www.ahtwindows.com | USA |
| Acquarius Trust Group | Quantum | acquarius.gi | UK |
| Warren County Community College | BlackCat (ALPHV) | www.warren.edu | USA |
| ???? | PLAY | Unknown | USA |
| V3 Companies | BlackCat (ALPHV) | www.v3co.com | USA |
| SOTO Consulting Engineers | BlackCat (ALPHV) | soto.com.au | Australia |
| Requena | BlackCat (ALPHV) | Unknown | Spain |
| Albina Asphalt | Lorenz | albina.com | USA |
| Adams-Friendship Area School District | Royal | afasd.net | USA |
| Wrota Mazowsza | PLAY | www.wrotamazowsza.pl | Poland |
| UJV Rez | PLAY | www.ujv.cz | Czech Republic |
| Skoda Praha | PLAY | www.skodapraha.cz | Czech Republic |
| MME Group | PLAY | www.mme-group.com | Netherlands |
| Highwater Ethanol | PLAY | www.highwaterethanol.com | USA |
| ????????? ???? ????? | PLAY | Unknown | Canada |
| Feu Vert | Vice Society | www.feuvert.es | Spain |
| g4s.com | LockBit | g4s.com | Singapore |
| myersontooth.com | LockBit | myersontooth.com | USA |
| nworksllc | Black Basta | www.natureworksllc.com | USA |
| CIBTvisas | PLAY | www.cibtvisas.com | USA |
| BRYCON Construction | RansomHouse | www.brycon.com | USA |
| NCI CABLING INC | BlackCat (ALPHV) | www.ncicabling.com | USA |
| SEED CO LTD | BlackCat (ALPHV) | www.seed.co.jp | Japan |
| LJ Hooker Palm Beach | BlackCat (ALPHV) | palmbeach.ljhooker.com.au | Australia |
| morugait | BlackCat (ALPHV) | morugait.com | USA |
| Elias Motsoaledi Local Municiapality | BlackCat (ALPHV) | www.eliasmotsoaledi.gov.za | South Africa |
| Novak Law Offices | BlackCat (ALPHV) | www.novaklawoffice.com | USA |
| prinovaglobal.com | LockBit | prinovaglobal.com | UK |
| littleswitzerland.com | LockBit | littleswitzerland.com | USA |
| Glutz | Vice Society | www.glutz.com | Singapore |
| INTERSPORT | Hive | www.intersport.fr | France |
| ****** ******* School | BianLian | Unknown | Unknown |
| AV Solutions | BianLian | avsolutionsltd.com | Cyprus |
| *** Technologies | BianLian | Unknown | Unknown |
| **i* **s**** | BianLian | Unknown | Unknown |
| **a***** H****** ******r**** | BianLian | Unknown | Unknown |
| B****** *b* | BianLian | Unknown | Unknown |
| Austria Presse Agentur | PLAY | www.apa.at | Austria |
Slachtoffers Belgie en Nederland
| Slachtoffer | Cybercriminelen | Website | Land |
|---|---|---|---|
| Antwerpen | PLAY | www.antwerpen.be | Belgium |
| MME Group | PLAY | www.mme-group.com | Netherlands |
In samenwerking met DarkTracer
Top 3 cybercrime groepen met de meeste slachtoffers
| Groepering | Aantal slachtoffers | ||
|---|---|---|---|
| 1 | LockBit | 1266 | Nog actief |
| 2 | Conti | 674 | Niet meer actief |
| 3 | REvil | 249 | Opnieuw actief |
Ransomware aanval op gemeente Antwerpen door criminele organisatie PLAY
| Slachtoffer | Cybercriminelen | Website | Land | Publicatie datum |
|---|---|---|---|---|
| Una Seguros | PLAY | www.unaseguros.pt | Portugal | 11-12-2022 23:25 |
| Antwerpen | PLAY | www.antwerpen.be | Belgium | 11-12-2022 22:06 |
| ??????? | PLAY | Unknown | Switzerland | 09-12-2022 00:08 |
| Hilldrup | PLAY | www.hilldrup.com | USA | 08-12-2022 23:49 |
| ???? | PLAY | Unknown | USA | 07-12-2022 23:08 |
| Wrota Mazowsza | PLAY | www.wrotamazowsza.pl | Poland | 07-12-2022 01:48 |
| UJV Rez | PLAY | www.ujv.cz | Czech Republic | 07-12-2022 01:48 |
| Skoda Praha | PLAY | www.skodapraha.cz | Czech Republic | 07-12-2022 01:28 |
| MME Group | PLAY | www.mme-group.com | Netherlands | 07-12-2022 01:09 |
| Highwater Ethanol | PLAY | www.highwaterethanol.com | USA | 07-12-2022 01:09 |
| ????????? ???? ????? | PLAY | Unknown | Canada | 07-12-2022 00:48 |
| CIBTvisas | PLAY | www.cibtvisas.com | USA | 06-12-2022 04:12 |
| Austria Presse Agentur | PLAY | www.apa.at | Austria | 05-12-2022 00:32 |
| ??? | PLAY | Unknown | Austria | 29-11-2022 02:21 |
| Itsgroup | PLAY | www.itsgroup.com | France | 28-11-2022 06:33 |
| Ministry of Transport and Public Works | PLAY | www.mtop.gub.uy | Uruguay | 28-11-2022 06:33 |
| Alcomet | PLAY | www.alcomet.eu | Bulgaria | 28-11-2022 06:33 |
| Origin Property Company Limited | PLAY | www.origin.co.th | Thailand | 28-11-2022 06:33 |
| ???? ????? | PLAY | Unknown | USA | 28-11-2022 06:33 |
| Conseil departemental - Alpes-Maritimes | PLAY | www.departement06.fr | France | 28-11-2022 06:33 |
| Verity cloud | PLAY | www.veritycloud.com | India | 28-11-2022 06:33 |
| PVFCCo | PLAY | www.dpm.vn | Vietnam | 28-11-2022 06:33 |
| ??????????? | PLAY | Unknown | Canada | 28-11-2022 06:33 |
| Leadtek | PLAY | www.leadtek.com | Taiwan | 28-11-2022 06:33 |
| Justman Packaging & Display Information | BlackCat (ALPHV) | www.justmanpackaging.com | USA | 30-08-2022 11:56 |
| Adler Display | BlackCat (ALPHV) | adlerdisplay.com | USA | 05-07-2022 20:55 |
| Skyline Displays | LockBit | skyline.com | USA | 26-09-2020 00:00 |
Vlaamse overheid bevestigt ransomware-aanval op gemeente Antwerpen
De gemeente Antwerpen is het slachtoffer van een ransomware-aanval geworden waardoor de dienstverlening aan inwoners op allerlei vlakken is beperkt, zo heeft de Vlaamse overheid bevestigd. De gemeente maakte eerder deze week melding dat het in de nacht van 5 op 6 december getroffen was door een "cyberaanval". Verdere details werden echter niet gegeven. Belgische media lieten op basis van bronnen weten dat het om een ransomware-aanval ging, maar dit werd niet door de gemeente bevestigd. De gemeente Antwerpen spreekt op de eigen website nog steeds over een cyberaanval en stelt dat het nog wel tot het eind van deze maand kan duren om alle digitale toepassingen weer terug online te krijgen. De Vlaamse overheid laat in een intern nieuwsbericht weten dat het om een ransomware-aanval gaat. "Recent waren Zwijndrecht en Antwerpen het doelwit van ransomware-aanvallen. We vragen je, als medewerker van de Vlaamse overheid, om extra op je hoede te zijn." Door de aanval zijn allerlei diensten die de gemeente Antwerpen aan inwoners biedt uitgevallen, zoals de mogelijkheid om nationaliteitsaanvragen in te dienen en parkeervergunningen en bewonerskaarten aan te vragen. Daarnaast zijn honderden medewerkers teruggevallen op werken met pen en papier en mogen leerlingen met leerproblemen van een Antwerpse school hun laptop tijdens de examens niet gebruiken, terwijl dit wel eerst was afgesproken. Ook is het niet mogelijk om bij de Antwerpse bibliotheken boeken te lenen. Vorige maand wisten de criminelen achter de Ragnar Locker-ransomware gevoelige data van de politie in het Belgische Zwijndrecht te stelen en plaatsten die online nadat het politiekorps het gevraagde losgeld niet wilde betalen. Volgens VTM Nieuws gaat het om duizenden documenten die informatie bevatten over flitsboetes, nummerplaten en zelfs telefonieonderzoek. In de online geplaatste bestanden waren ook foto’s te vinden van een mishandelde jongen die een klacht indiende tegen zijn vader. Hoe de aanvallers toegang tot systemen van de gemeente Antwerpen hebben gekregen is niet bekend. De aanval op de politie van Zwijndrecht zou volgens Belgische media via een bruteforce-aanval hebben plaatsgevonden.
Rackspace nog niet hersteld van ransomware-aanval op Exchange-omgeving
Hostingbedrijfd Rackspace is nog altijd niet hersteld van de ransomware-aanval op de hosted Exchange-omgeving, waardoor er nog steeds klanten zijn die geen toegang tot hun normale e-mail hebben. Daarnaast waarschuwt Rackspace klanten om alert te zijn op phishingaanvallen die van de situatie misbruik proberen te maken. Op 2 december meldde Rackspace dat er een probleem was met de hosted Exchange-omgevingen waardoor klanten problemen met de toegang tot hun e-mail hadden. De wachttijden van klanten met vragen werd zo groot dat Rackspace naar eigen zeggen duizend man extra personeel inzette om support te verlenen. Om toch toegang tot hun e-mail te krijgen bood Rackspace klanten aan om op Microsoft 365 over te stappen. Het exacte aantal klanten dat door de ransomware-aanval gedupeerd is geraakt laat Rackspace niet weten. Het bedrijf stelt dat het de afgelopen dagen "duizenden klanten" heeft geholpen. Inmiddels zou meer dan twee derde weer toegang tot e-mail in de hosted Exchange-omgeving heeft. Wanneer de dienst voor de overige klanten is hersteld wordt niet door Rackspace gemeld. Het bedrijf waarschuwt klanten ook om alert te zijn op phishing en andere scams, aangezien scammers vaak op dit soort incidenten meeliften. De grote vraag blijft hoe de aanval kon plaatsvinden. Ook zijn er vragen of er losgeld is betaald en wie er verantwoordelijk was. Het enige dat Rackspace daarover laat weten is dat er een onderzoek plaatsvindt en het op dit moment geen verdere informatie kan geven. Wanneer het onderzoek is afgerond kan het bedrijf ook niet zeggen.
Zorgverzekeraar Medibank weekend offline als gevolg van ransomware-aanval
De Australische zorgverzekeraar Medibank, waar een ransomwaregroep de gegevens van 9,7 miljoen klanten wist te stelen en online zette, gaat dit weekend offline om beveiligingsverbeteringen door te voeren. Alle systemen zijn vanaf vrijdagavond tot en met zondagavond onbereikbaar. Daarnaast zijn morgen alle winkels van Medibank gesloten, alsmede de callcenters. Medibank heeft nog altijd niet bekendgemaakt hoe de criminelen toegang tot het netwerk konden krijgen. Daar werden zeer gevoelige gegevens van klanten buitgemaakt. De ransomwaregroep dreigde de gegevens te publiceren tenzij de verzekeraar losgeld zou betalen. Medibank weigerde, waarop de data online verscheen. Het ging om medische dossiers met daarin onder andere informatie over de hiv-status van personen, alsmede of ze hepatitis, psychische klachten, hartklachten, diabetes, astma, kanker en dementie hebben. Volgens Medibank is er sinds 12 oktober geen verdachte activiteit meer in het netwerk waargenomen. Als onderdeel van herstel- en beveiligingswerkzaamheden is besloten om dit weekend volledig offline te gaan. Eerder werd al besloten om tweefactorauthenticatie in de callcenters uit te rollen. Vanwege de operatie zullen allerlei diensten van de zorgverzekeraar die via de website of app worden aangeboden onbereikbaar zijn. Medibank heeft al laten weten dat de aanval het bedrijf zeker 25 miljoen dollar zal kosten.
Metropolitan Opera van New York slachtoffer van cyberaanval
De Metropolitan Opera van New York is donderdag slachtoffer geworden van een cyberaanval. Daardoor ligt de ticketverkoop stil, zo meldt het prestigieuze operahuis zelf. De netwerkproblemen treffen de website, de ticketverkoop en het callcenter van de Met. Er vinden wel nog voorstellingen plaats, maar er kunnen geen tickets meer worden besteld, omgeruild of terugbetaald. Meer informatie over de aard van de cyberaanval is er niet. Volgens de gespecialiseerde website OperaWire loopt er nog een onderzoek. Het Amerikaanse Huis van Afgevaardigden stemde donderdag nog over een versterking van cyberveiligheid.
Groothandels Makro kampen met cyberaanval
Groothandelsketen Makro is slachtoffer geworden van een cyberaanval, meldt de Nederlandse divisie van het bedrijf op Twitter. Via hetzelfde platform stellen klanten vragen over haperende systemen bij de groothandels. Uit de tweets blijkt dat Makro International en het Duitse moederbedrijf Metro zijn getroffen door de cyberaanval. Dit levert in Nederland onder andere problemen op met de verspreiding van reclamefolders. Een klant klaagt op Twitter ook over problemen toen hij met zijn creditcard probeerde te betalen. Volgens het Belgische vakblad Retail Detail kampen Makro en Metro al sinds eind november met de cyberaanval, na een eerdere aanval in oktober. Het nieuwsmedium stelt dat de online kassasystemen en de bezorgdienst platliggen. In België lukt het ook niet om kortingen aan te passen, wat lastig is vanwege de opheffingsuitverkoop door een faillissement. Moederbedrijf Metro zegt later met een toelichting te komen.
Hi mis bulldog, die komt eraan! Makro/Metro International is echter helaas het slachtoffer van een cyberaanval. Op dit moment werken we hard om onze IT-infrastructuur volledig te herstellen. Hierdoor is de folder van week 49 helaas enkele dagen vertraagd. 1/2
β Makro Nederland (@MakroNederland) December 8, 2022
Cyberaanval op netwerk Scalda: 'Daders komen van binnen de school'
Mbo-instelling Scalda in Vlissingen heeft last van ddos-aanvallen die van binnenuit komen. Daardoor zijn er op de locatie ook enkele lessen uitgevallen. De aanvallen op het netwerk komen volgens Scalda van één of meerdere personen binnen de school of ze worden van binnenuit gecoördineerd. "Het zorgt voor grote storingen die op dit moment de voortgang van het onderwijs ernstig onder druk zetten", laat Scalda in een mail aan hun studenten en medewerkers weten. Om de aanvallen af te slaan zijn bij de school en de netwerkprovider technische voorzieningen getroffen. "Omdat die voorziening bij onze netwerkprovider niet alleen het ongewenste, maar ook het goede dataverkeer beïnvloedt, ontstaan er storingen in ons wifinetwerk." Volgens een woordvoerder zijn er op dit moment geen problemen. Scalda is in gesprek met de provider om het probleem aan te pakken, zodat verstoringen bij nieuwe aanvallen zo min mogelijk zijn. Scalda gaat aangifte doen. De politie heeft al toegezegd het onderzoek op te pakken. Daarnaast wordt een expert op het gebied van cybersecurity ingeschakeld. Zo hopen ze de daders op te sporen. De school vraagt verder mensen met informatie zich te melden bij de mentor of teamleider.
Internet Explorer onlangs nog doelwit van zeroday-aanval
Microsoft mag eerder dit jaar dan afscheid van Internet Explorer hebben genomen, Zuid-Koreaanse gebruikers van de browser zijn eind oktober nog het doelwit van een zeroday-aanval geworden, aldus Google. Microsoft kwam op 8 november met een beveiligingsupdate voor het zerodaylek, aangeduid als CVE-2022-41128. Volgens Google is de aanval uitgevoerd door een Noord-Koreaanse spionagegroep aangeduid als APT37. Google kwam het zerodaylek op het spoor nadat verschillende mensen vanuit Zuid-Korea een docx-document naar VirusTotal hadden geüpload, de online virusscandienst van Google. Het document bleek een rich text file (RTF) remote template te downloaden, dat weer remote HTML-content laadde. Microsoft Office gebruikt Internet Explorer voor het weergeven van deze content. Aanvallers maken al geruime tijd misbruik van deze methode om exploits voor Internet Explorer via Office-documenten te verspreiden. Een voordeel van deze werkwijze is dat bij het slachtoffer Internet Explorer niet de standaardbrowser hoeft te zijn en ook is een 'escape' uit de Enhanced Protected Mode (EPM) sandbox niet vereist. Wel zouden slachtoffers de 'protected view' van Office moeten uitschakelen voordat het remote template kon worden gedownload. Wat de uiteindelijke 'payload' van de aanval is kon niet door Google worden achterhaald. De spionagegroep heeft in het verleden bij dergelijke aanvallen malware geïnstalleerd waarmee toegang tot het system van slachtoffers werd verkregen. Internet Explorer heeft in Zuid-Korea altijd een groot marktaandeel gehad, maar zoals gezegd maakte dat bij deze aanval niet uit.
Schade bij stad Antwerpen door cyberaanval is groot
Het lijkt er steeds meer op dat een crimineel netwerk achter de cyberaanval op het informaticasysteem van de stad Antwerpen zit. De schade aan de werking van de stedelijke administratie en de politie is groot. Het zal waarschijnlijk nog tot eind deze maand duren voor alles is opgelost. De stad Antwerpen was in de nacht van maandag op dinsdag het slachtoffer van een cyberaanval. Kwaadaardige software of malware viel de toepassingen in Windows aan. De stad had de afgelopen jaren al zwaar geïnvesteerd in cyberbeveiliging. Er zouden momenteel geen aanwijzingen zijn dat er gegevens en dossiers van Antwerpenaars zijn gestolen. Op dit moment kwam er nog geen vraag zijn om losgeld in ruil voor de sleutel om heel het systeem weer te herstellen. Toevallig liet Antwerps burgemeester Bart De Wever (N-VA) zich twee weken geleden in zijn raadscommissie nog uit over de beveiliging van de informatica bij de stad Antwerpen. De stad beschikt over een chief digital office (CDO). “Hij tast de organisatie af naar digitale opportuniteiten en zwakheden”, zei De Wever. “Wekelijks krijg ik een rapport en dat is pittige lectuur. Je leert wel wat over cyberveiligheid en vooral het gebrek aan cyberveiligheid.” Het waren profetische woorden, want twee weken laten werd de stad dus slachtoffer van een zware cyberaanval. Ondertussen laten de gevolgen van deze aanval zich voelen in de dienstverlening. Zo is het maken van afspraken voor bijvoorbeeld een bezoek aan het recyclagepark en het zwembad niet mogelijk. Tickets voor musea kunnen niet digitaal worden gekocht. Ook het aanvragen van parkeerverbodsborden en feesttenten bij de stedelijke uitleendienst is momenteel uitgesloten. Bij de stadsloketten is een aantal documenten nog steeds aan te vragen en af te halen, zoals reispassen en rijbewijs. Voor aangifte van geboorte, erkenning, huwelijk en overlijden kan je nog steeds terecht bij de stadsloketten. Wat momenteel niet mogelijk is, zijn nationaliteitsaanvragen, parkeervergunningen en lopende dossiers migratie. Ook het opladen van de sorteerpas voor de sorteerstraten kan tijdelijk niet. Ook bij het OCMW van Antwerpen zouden er problemen zijn met de betalingen van het leefloon. Antwerps schepen van Sociale Zaken Tom Meeuws (Vooruit) benadrukt dat er alles aan wordt gedaan om te zorgen dat de mensen krijgen waarop ze recht op hebben. “Bij het OCMW wordt volop gewerkt aan een oplossing waardoor mensen hun geld waar ze recht op hebben toch zullen krijgen ofwel via de bank ofwel cash”, zegt Meeuws. “Het klopt dat het via de normale weg momenteel niet mogelijk is. Leeflonen worden op het einde van de maand uitbetaald en hopelijk zijn tegen dan ook de grootste problemen van deze aanval opgelost.” Binnen de stadsadministratie wordt de volgende dagen een lijst met prioriteiten opgesteld die zo snel mogelijk worden hersteld. Dat zou rond het weekend opgelost moeten zijn. Ondertussen probeert iedereen binnen de stedelijke administratie zich te behelpen. Sommige systemen liggen gewoon uit en er zijn heel wat problemen met het mailverkeer binnen de stedelijke administratie.
Chinese hackers aan de haal met miljoenen Amerikaanse corona-uitkeringen
De Amerikaanse veiligheidsdienst bevestigt dat Chinese hackers ten minste 20 miljoen dollar aan Amerikaanse Covid-uitkeringen gestolen hebben. Het was NBC News die eerder deze week de kat de bel aanbond en berichtte dat een Chinees hackteam erin geslaagd was om een Amerikaans fonds met corona-uitkeringen te kraken. De Amerikaanse Secret Service heeft het bericht ondertussen bij persagentschap Reuters bevestigd, zonder extra details vrij te geven. Volgens het door de veiligheidsdienst bevestigde nieuwsbericht van NBC News zijn de verantwoordelijken voor de diefstal het Chinese hackerscollectief APT41 dat ook weleens Winnti genoemd wordt. Het in Chengdu gevestigde APT41 is een bijzonder actieve groep van cybercriminelen die volgens experten deels gesteund worden door de (Chinese) overheid om specifieke data buit te maken, maar die anderzijds ook duidelijk financiële motieven heeft. Volgens de Amerikaanse veiligheidsdienst gaat het in dit geval om een diefstal van 'tientallen miljoenen dollar'. Het gaat om geld dat sinds 2020 opzij gezet werd voor steunmaatregelen van de Amerikaanse overheid rond Covid-19. Het gaat dan om geld dat bestemd werd voor onder meer leningen aan kleine bedrijven en om aanvullende werkloosheidsuitkeringen in meer dan twaalf staten. Een opmerkelijke diefstal, zeker ook omdat APT41 vrij visibel is en al heel lang op de Amerikaanse radar staat. Verschillende leden van de hackersgroep werden in 2019 en 2020 nog door het Amerikaanse ministerie van Justitie aangeklaagd voor het bespioneren van meer dan 100 bedrijven, waaronder softwareontwikkelingsbedrijven, telecommunicatieproviders, sociale mediabedrijven en ontwikkelaars van videogames. De Chinese ambassade in Washington houdt het in een verklaring erop dat China zich altijd 'krachtig heeft verzet tegen cyberdiefstal en hard is opgetreden tegen alle vormen van hacking'. Nog volgens het statement verzet China zich tegen de 'ongegronde beschuldigingen' inzake cyberveiligheid. Het gaat om het eerste geval van fraude door buitenlandse door de staat gesponsorde cybercriminelen naar aanleiding van de pandemie die de Amerikaanse regering nu publiek erkent. In de US leeft bij verschillende experten uit de cybersecurity- en juridische wereld de overtuiging dat dit nog maar het topje van de ijsberg is. De Amerikaanse veiligheidsdienst wilde andere soortgelijke onderzoeken naar 'pandemische fraude' niet bevestigen, maar zei tegen NBC wel dat er meer dan 1.000 onderzoeken lopen naar internatioanle en binnenlandse criminele actoren die frauderen met openbare uitkeringsprogramma's, en dat APT41 'een belangrijke speler' is.
Chinese hackers vallen Amnesty International Canada aan
De Canadese tak van Amnesty International was begin oktober het doelwit van een ‘geavanceerde digitale beveiligingsinbreuk’. De non-gouvernementele organisatie (NGO) is ervan overtuigd dat Chinese staatshackers achter de cyberaanval zitten. Er zijn geen aanwijzingen dat de daders gevoelige of vertrouwelijke informatie hebben buitgemaakt. Dat schrijft Amnesty International Canada in een statement.
Crypto-investeerders aangevallen via malafide macro's in spreadsheets
Bedrijven die in cryptovaluta investeren zijn het doelwit van een groep geworden die gebruikmaakt van malafide macro's in spreadsheets en zogenaamde cryptodashboards, zo stelt Microsoft. De groep, aangeduid als DEV-0139, benadert slachtoffers in Telegramgroepen, bouwt een vertrouwensrelatie op en verstuurt uiteindelijk de malafide bestanden. In een analyse beschrijft Microsoft hoe de aanvallers een Telegramgroep voor crypto-investeerders gebruikten om hun doelwit te zoeken. Via de Telegramgroep communiceerden vip-klanten en cryptobeurzen met elkaar. Het doelwit werd vervolgens door de aanvallers benaderd, die zich voordeden als medewerker van een ander crypto-investeringsbedrijf en vroegen om aan een andere Telegramgroep deel te nemen. De aanvallers hadden het echte profiel van een medewerker van cryptobeurs OKX gekopieerd. Het slachtoffer werd vervolgens gevraagd om te reageren op de kostenstructuren die cryptobeurzen voor hun transacties toepassen. Deze kosten zijn volgens Microsoft een grote uitdaging voor investeringsfondsen, omdat ze een impact op de marges en winsten kunnen hebben. Dit is een vrij specifiek onderwerp en laat zien dat de aanvallers kennis van de crypto-industie hebben en goed voorbereid waren voordat ze het doelwit benaderden, aldus Microsoft. Nadat ze het vertrouwen van het doelwit hadden gewonnen verstuurden de aanvallers een Excel-document met een malafide macro. Macro's staan vanwege veiligheidsredenen standaard uitgeschakeld in Microsoft Office. Nadat het slachtoffer de macro's inschakelde werd er malware gedownload waarmee de aanvallers op afstand toegang tot zijn systeem kregen. Bij een andere aanval werd een zogenaamd cryptodashboard verstuurd dat in werkelijkheid een backdoor was. Microsoft adviseert organisaties om hun medewerkers te onderwijzen om persoonlijke en zakelijke informatie in social media te beschermen, ongevraagde communicatie te filteren, phishingmails te herkennen en verdachte activiteiten en mogelijke verkenningsaanvallen van aanvallers te rapporteren. Ook moeten gebruikers worden voorgelicht over het voorkomen van malware-infecties via e-mail, chatapps en social media. Tevens adviseert Microsoft het aanpassen van macro-instellingen in Excel.
Cybercriminelen hacken Linux-systemen met behulp van PRoot
Securitybedrijf Sysdig waarschuwt voor BYOF-aanvallen op Linux-systemen. Cybercriminelen gebruiken open-source tool PRoot om malware te ontwikkelen voor verschillende Linux-distributies. BYOF-aanvallen, kort voor ‘bring your own filesystem’, zijn aanvallen waarbij hackers eigen apparaten gebruiken om schadelijke bestandssystemen en malware te ontwikkelen. Vervolgens worden de bestandssystemen op gehackte Linux-apparaten uitgerold om de apparaten over te nemen. “Eerst bouwen threat actors een kwaadaardig bestandssysteem”, beschrijven onderzoekers van securitybedrijf Sysdig in een nieuw rapport. “Dit bestandssysteem bevat alle benodigdheden om Linux-apparaten over te nemen.” De methode voorkomt dat de aanval door detectietools van slachtoffers wordt onderschept. De door Sysdig ontdekte aanvallen draaien om cryptomining, maar het securitybedrijf benadrukt dat de aanpak net zo goed voor gevaarlijkere malware kan worden gebruikt. Open-source tool PRoot stelt hackers in staat om de compatibiliteit van bestandssystemen en malware te verbeteren, aldus Sysdig. De onderzoekers waarschuwen dat de methode het mogelijk maakt om snel en effectief malware te ontwikkelen voor verschillende Linux-distributies. “Met PRoot speelt de architectuur of Linux-distributie van het slachtoffer een minder grote rol.” PRoot-processen zijn meestal beperkt tot het guest-bestandssysteem, maar QEMU-emulatie maakt het mogelijk om host- en guest-bestandssystemen tegelijkertijd te draaien. Met bound/bind-methodes kunnen programma’s in een guest-bestandssysteem toegang krijgen tot mappen van een host-bestandssysteem. Voorgeïnstalleerde PRoot-configuraties maken het mogelijk om exploits uit te voeren op verschillende Linux-distributies zonder de malware te hoeven vertalen naar de architectuur van een doelwit.
Ransomware oorzaak van storing in hosted Exchange-omgeving Rackspace
Ransomware is de oorzaak dat klanten van Rackspace nog altijd geen toegang tot hun hosted Exchange-omgeving hebben en het is nog altijd onbekend wanneer de dienstverlening volledig is hersteld. Of er bij de aanval ook data is buitgemaakt wordt nog onderzocht, zo laat de hostingprovider vandaag in een update over het incident weten. Om ervoor te zorgen dat klanten toch van e-mail gebruik kunnen maken worden die tijdelijk naar Microsoft Office 365 overgezet. Volgens Rackspace heeft het bedrijf al duizenden klanten geholpen om tienduizenden van hun gebruikers op dit platform te krijgen. Op 2 december meldde Rackspace dat er een probleem was met de hosted Exchange-omgevingen waardoor klanten problemen met de toegang tot hun e-mail hadden. De wachttijden van klanten met vragen werd zo groot dat Rackspace naar eigen zeggen duizend man extra personeel inzette om support te verlenen. Verdere details over het "ransomware incident" zijn niet door Rackspace op dit moment gegeven. Zo is het onbekend hoe de aanvallers toegang tot het systeem konden krijgen en wat er precies heeft plaatsgevonden. Een beveiligingsonderzoeker meldde eerder dat Rackspace vermoedelijk had nagelaten om één van de Exchange-servers te updaten, maar dit is niet bevestigd.
UPDATE: Since becoming aware of suspicious activity in our Hosted Exchange environment on 12/2, weβve determined that the isolated disruption is the result of ransomware and our security team is working with a lead cyber defense firm to investigate. Status:https://t.co/Uz0k8GL7Sg
β Rackspace Technology (@Rackspace) December 6, 2022
Cyberaanval treft Delta: duizenden persoonsgegevens gestolen
Cybercriminelen hebben persoonsgegevens gestolen van duizenden klanten van Delta. Het gaat daarbij om namen, adressen, e-mailadressen, geboortedata, telefoon- en bankrekeningnummers. Het datalek werd maandag ontdekt en is ontstaan in de bestelomgeving van Delta Mobiel. ,,Het betreft een deel van de klanten, die bij ons een mobiel abonnement hebben’’, zegt woordvoerder Mariska van der Hulst van Delta Fiber. Het gaat zowel om mensen die pas een abonnement hebben afgesloten en klanten die al langer mobiel via Delta bellen. Alle klanten zijn dinsdagmiddag per e-mail geïnformeerd. ,,Het is vervelend dat dit is gebeurd’’, zegt Van der Hulst. Bij de datadiefstal zijn volgens Delta geen wachtwoorden, creditcardgegevens of klantnummers gestolen. Klanten hoeven hun wachtwoorden dus niet te aan te passen. ,,Wij adviseren iedereen wel om alert te zijn op fraude. Weet zeker wie je aan de telefoon hebt door terug te bellen en controleer altijd met wie je mailt’’, zegt Van der Hulst. ,,Een combinatie van verschillende persoonsgegevens kan worden gebruikt voor identiteitsfraude en phishing. Als mensen behoefte hebben aan meer informatie kunnen ze ook terecht op website fraudehelpdesk.nl.’’ Delta heeft de Autoriteit Persoonsgegevens op de hoogte gebracht en de hulp ingeroepen van cybersecuritydienstverlener Tesorion. ,,We hebben ook de politie ingeschakeld’’, zegt Van der Hulst.
IT-systemen van Stad Antwerpen zijn getroffen door een cyberaanval
De IT-systemen van de Stad Antwerpen zijn gehackt. De schade die de aanval heeft toegebracht, wordt nog onderzocht. Het is nog niet bekend welke partij achter de aanval zit en of ze eisen hebben gesteld aan het stadsbestuur. Volgens de Gazet van Antwerpen hebben de criminelen vannacht (5/6 dec) toegeslagen. De aanval lijkt vooralsnog gericht te zijn op de interne systemen van de stad. Zo zijn alle Windows-applicaties niet toegankelijk voor de ambtenaren. Het Laatste Nieuws schrijft dat de politie wel bij zijn databanken kan komen, maar dat de administratieve programma's zijn afgesloten. Volgens de krant gaat het mogelijk om een ransomwareaanval. Het is nog niet duidelijk wanneer de problemen precies zijn opgelost. Het is de tweede keer in een paar maanden tijd dat een Belgische overheidsinstantie is gehackt. In september heeft een hacker ingebroken bij de IT-systemen van de lokale politie van de Belgische gemeente Zwijndrecht. De persoon had toegang tot alle gegevens van 2006 tot en met september 2022 en heeft deze data op het darkweb geplaatst. De hacker zou de politie vervolgens hebben proberen af te persen, maar het is niet duidelijk of dat ook is gelukt.
Stad Antwerpen geraakt door een cyberaanval. Voor de eerste maal dat ik als raadslid ook rechtstreeks de gevolgen voel. Mail ligt plat alsook het online politieke besluitvorming platform.
β Alexandra dβArchambeau (@alexandradarch) December 6, 2022
Wanneer gaan we in BelgiΓ« eindelijk van cybersecurity een prioriteit maken? #dtv pic.twitter.com/BloTjfVhKa
Russische staatsbank VTB getroffen door grootste DDoS-aanval in haar geschiedenis
De nummer 2 bank van Rusland, VTB, is getroffen door de grootste cyberaanval in haar geschiedenis, aldus de bank op dinsdag, die waarschuwde voor tijdelijke problemen bij de toegang tot haar mobiele app en website, maar klanten verzekerde dat hun gegevens veilig bleven. Het staatsbedrijf VTB zei dat het de DDoS-aanval (Distributed Denial of Service) afsloeg, waarbij hackers een netwerk proberen te overspoelen met ongewoon grote hoeveelheden dataverkeer om het lam te leggen. "De technologische infrastructuur van de bank ligt onder een ongekende cyberaanval vanuit het buitenland", aldus VTB in een verklaring. "De grootste niet alleen dit jaar, maar in de hele tijd dat de bank actief is." Russische overheidsinstanties en staatsbedrijven zijn het doelwit geweest van de gebeurtenissen in Oekraïne, waarbij onder meer de websites van het Kremlin, de belangrijkste luchtvaartmaatschappij Aeroflot en de grote kredietverstrekker Sberbank werden getroffen door storingen of tijdelijke toegangsproblemen. Hackers vertraagden eerder dit jaar ook het begin van de toespraak van president Vladimir Poetin op het belangrijkste economische forum van Rusland. Pro-Russische hackers hebben dit jaar de verantwoordelijkheid opgeëist voor of de schuld gekregen van aanvallen op websites en infrastructuur in Litouwen, Noorwegen en de Verenigde Staten. VTB zei dat de meeste aanvallen uit het buitenland kwamen, maar dat het zich vooral zorgen maakte over verkeer vanaf Russische IP-adressen. VTB zei dat het alle geïdentificeerde Russische IP-adressen zou overhandigen aan de rechtshandhaving.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 44-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in π¬π§ or another language