Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Amerikaanse stad roept noodtoestand uit vanwege ransomware-aanval, toename besmette Nederlandse VMware ESXi-servers en Applied Materials schat 250 miljoen dollar schade door ransomware-aanval Hier is het overzicht en het dagelijkse nieuws van afgelopen week.
Laatste wijziging op 20-februari-2023
Week overzicht slachtoffers
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb |
|---|---|---|---|---|---|
| International Center of Photography | Medusa | www.icp.org | USA | Educational Services | 19-feb.-23 |
| elliotthomes.com | LockBit | elliotthomes.com | USA | Construction | 19-feb.-23 |
| anthonymartin.be | LockBit | anthonymartin.be | Belgium | Food Products | 19-feb.-23 |
| BakerMechanicalInc.com | LockBit | bakerMechanicalInc.com | USA | Engineering Services | 19-feb.-23 |
| jetboxcargo.com | LockBit | jetboxcargo.com | USA | Transportation Services | 19-feb.-23 |
| servicesfinanciersjdf.com | LockBit | servicesfinanciersjdf.com | Canada | Insurance Carriers | 19-feb.-23 |
| laremo.de | LockBit | laremo.de | Germany | Miscellaneous Retail | 19-feb.-23 |
| Hengmei Optoelectronics Co.,Ltd. | BlackCat (ALPHV) | www.cnhmo.cn | China | Electronic, Electrical Equipment, Components | 18-feb.-23 |
| Cansew | BlackCat (ALPHV) | cansew.com | Canada | Textile Mill Products | 18-feb.-23 |
| Wawasee Community School Corporation | BlackCat (ALPHV) | www.wawaseeschools.org | USA | Administration Of Human Resource Programs | 18-feb.-23 |
| SINGLESOURCE | BlackCat (ALPHV) | www.singlesource.com | USA | Transportation Services | 18-feb.-23 |
| championfp.com | LockBit | championfp.com | USA | Engineering Services | 18-feb.-23 |
| sandycove.org | LockBit | sandycove.org | USA | Lodging Places | 18-feb.-23 |
| isosteo.fr | LockBit | isosteo.fr | France | Health Services | 18-feb.-23 |
| diavaz.com | LockBit | diavaz.com | Mexico | Engineering Services | 18-feb.-23 |
| aguasdoporto.pt | LockBit | aguasdoporto.pt | Portugal | Engineering Services | 18-feb.-23 |
| inowai.com | LockBit | inowai.com | Luxembourg | Real Estate | 18-feb.-23 |
| primorossi.com.br | LockBit | primorossi.com.br | Brazil | Miscellaneous Services | 18-feb.-23 |
| piercetransit.org | LockBit | piercetransit.org | USA | Passenger Transportation | 18-feb.-23 |
| innophaseinc.com | LockBit | innophaseinc.com | USA | Electronic, Electrical Equipment, Components | 18-feb.-23 |
| hotdesk.me | LockBit | hotdesk.me | UK | IT Services | 17-feb.-23 |
| alliedtools.com | LockBit | alliedtools.com | USA | Wholesale Trade-durable Goods | 17-feb.-23 |
| NESG | BianLian | nesg.com | USA | Health Services | 17-feb.-23 |
| Fibertec | BianLian | fibertec.us | USA | Engineering Services | 17-feb.-23 |
| Suburban Laboratories | BianLian | suburbanlabs.com | USA | Engineering Services | 17-feb.-23 |
| cordfinancial.com | LockBit | cordfinancial.com | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 17-feb.-23 |
| fikes.com | LockBit | fikes.com | USA | Miscellaneous Services | 17-feb.-23 |
| newbridge.org | LockBit | newbridge.org | USA | Personal Services | 17-feb.-23 |
| AP Emissions Technologies | Medusa | apemissions.com | USA | Electronic, Electrical Equipment, Components | 17-feb.-23 |
| vissan.com.vn | LockBit | vissan.com.vn | Vietnam | Food Products | 16-feb.-23 |
| myerspower.com | LockBit | myerspower.com | USA | Electronic, Electrical Equipment, Components | 16-feb.-23 |
| ziapueblo.org | LockBit | ziapueblo.org | USA | General Government | 16-feb.-23 |
| royallepage.ca | LockBit | royallepage.ca | Canada | Real Estate | 16-feb.-23 |
| vitrox.com | LockBit | vitrox.com | Malaysia | Electronic, Electrical Equipment, Components | 16-feb.-23 |
| Evans Consoles | Royal | www.evansonline.com | USA | Machinery, Computer Equipment | 16-feb.-23 |
| coreautomation.com | LockBit | coreautomation.com | USA | Machinery, Computer Equipment | 16-feb.-23 |
| Mitchell Lewis Staver | AvosLocker | www.mitchellewis.com | USA | Electronic, Electrical Equipment, Components | 16-feb.-23 |
| California Northstate University | AvosLocker | www.cnsu.edu | USA | Educational Services | 16-feb.-23 |
| Hydrofit Alliance Ltd | Mallox | hydrofitgroup.com | United Arab Emirates | Machinery, Computer Equipment | 16-feb.-23 |
| Gallier Orléans | Mallox | www.gallier.fr | France | Engineering Services | 16-feb.-23 |
| Mecaro Co., Ltd | Mallox | mecaro.com | South Korea | Electronic, Electrical Equipment, Components | 16-feb.-23 |
| blackandwhitecabs.com.au | LockBit | blackandwhitecabs.com.au | Australia | Passenger Transportation | 15-feb.-23 |
| trudi.it | LockBit | trudi.it | Italy | Miscellaneous Retail | 15-feb.-23 |
| Foamtec International | Medusa | www.foamtecintlwcc.com | USA | Miscellaneous Manufacturing Industries | 15-feb.-23 |
| semsinc.net | LockBit | semsinc.net | USA | Engineering Services | 15-feb.-23 |
| vipar.com | LockBit | vipar.com | USA | Wholesale Trade-durable Goods | 15-feb.-23 |
| nationallocums.co.uk | LockBit | nationallocums.co.uk | UK | Business Services | 15-feb.-23 |
| richardsind.com | LockBit | richardsind.com | USA | Machinery, Computer Equipment | 15-feb.-23 |
| montibello.com | LockBit | montibello.com | Spain | Chemical Producers | 15-feb.-23 |
| AMADA WELD TECH | BlackCat (ALPHV) | amadaweldtech.com | USA | Machinery, Computer Equipment | 15-feb.-23 |
| Eureka Casino Resort | Medusa | www.eurekamesquite.com | USA | Lodging Places | 15-feb.-23 |
| PetroChina Indonesia | Medusa | www.petrochina.co.id | Indonesia | Oil, Gas | 15-feb.-23 |
| Vitas | BlackCat (ALPHV) | www.vitasjordan.com | Jordan | Non-depository Institutions | 14-feb.-23 |
| Banco Sol | BlackCat (ALPHV) | www.bancosol.com.bo | Bolivia | Security And Commodity Brokers, Dealers, Exchanges, And Services | 14-feb.-23 |
| Leal Group | BlackCat (ALPHV) | www.lealgroup.com | Mauritius | Transportation Equipment | 14-feb.-23 |
| gruppobeltrame.com | LockBit | gruppobeltrame.com | Italy | Metal Industries | 14-feb.-23 |
| Microgame SpA | PLAY | www.microgame.it | Italy | Miscellaneous Services | 14-feb.-23 |
| Energie Pool Schweiz | PLAY | www.energie-pool.ch | Switzerland | Engineering Services | 14-feb.-23 |
| Alexandercity | Royal | www.alexandercityal.gov | USA | General Government | 14-feb.-23 |
| Delallo | Royal | www.delallo.com | USA | Food Stores | 14-feb.-23 |
| cefcostores.com | LockBit | cefcostores.com | USA | Merchandise Stores | 14-feb.-23 |
| albanesi.com.ar | LockBit | albanesi.com.ar | Argentina | Electrical | 14-feb.-23 |
| srf.com | LockBit | srf.com | India | Chemical Producers | 14-feb.-23 |
| Hospital Service SpA | RansomHouse | www.hshospitalservice.com | Italy | Miscellaneous Manufacturing Industries | 14-feb.-23 |
| cassaragionieri.it | LockBit | cassaragionieri.it | Italy | Accounting Services | 13-feb.-23 |
| Reventics | Royal | www.reventics.com | India | IT Services | 13-feb.-23 |
| vanderkaay.com | LockBit | vanderkaay.com | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 13-feb.-23 |
| dana-group.com | LockBit | dana-group.com | USA | Health Services | 13-feb.-23 |
| mangalagroup.com | LockBit | mangalagroup.com | India | Food Products | 13-feb.-23 |
| nonson.com.vn | LockBit | nonson.com.vn | Vietnam | Apparel And Accessory Stores | 13-feb.-23 |
| hidalgocounty.us | LockBit | hidalgocounty.us | USA | General Government | 13-feb.-23 |
| tucsoneyecare.com | LockBit | tucsoneyecare.com | USA | Health Services | 13-feb.-23 |
| chempartner.com | LockBit | chempartner.com | China | Chemical Producers | 13-feb.-23 |
| laganscg.com | LockBit | laganscg.com | UK | Construction | 13-feb.-23 |
| mdstrucking.com | LockBit | mdstrucking.com | USA | Motor Freight Transportation | 13-feb.-23 |
| greekpeak.net | LockBit | greekpeak.net | USA | Amusement And Recreation Services | 13-feb.-23 |
| Elim Clinic | Medusa | www.elimclin.com | South Africa | Health Services | 13-feb.-23 |
| PFA Systems | Medusa | pfasystemsinc.com | USA | Motor Freight Transportation | 13-feb.-23 |
| EnCom | Medusa | encompolymers.com | USA | Rubber, Plastics Products | 13-feb.-23 |
| Grace Church International | Medusa | www.gracechurchintl.org | USA | Miscellaneous Services | 13-feb.-23 |
| Integerity Tax | Medusa | www.integritytaxgroup.com | USA | Accounting Services | 13-feb.-23 |
| Aglobis | Medusa | www.aglobis.com | Switzerland | Transportation Services | 13-feb.-23 |
| Diethelm Keller Aviation Pte Ltd | Medusa | www.diethelmkelleraviation.com | Singapore | Transportation By Air | 13-feb.-23 |
| EightPixelsSquare | Medusa | eightpixelssquare.com | UK | IT Services | 13-feb.-23 |
| Tonga Communications | Medusa | www.tcc.to | Tonga | Communications | 13-feb.-23 |
| Bank of Africa | Medusa | bank-of-africa.net | Morocco | Depository Institutions | 13-feb.-23 |
| European Window | Medusa | www.eurowindow.com.au | Australia | Engineering Services | 13-feb.-23 |
| Elektro Richter | Medusa | elektro-richter.net | Germany | Engineering Services | 13-feb.-23 |
Slachtoffers Belgie en Nederland
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum |
|---|---|---|---|---|---|
| anthonymartin.be | LockBit | anthonymartin.be | Belgium | Food Products | 19-feb.-23 |
In samenwerking met DarkTracer
Cyberaanvallen nieuws
Marokkaanse persbureau getroffen door cyberaanval, Algerije verdacht
Het Marokkaanse persbureau Maghreb Arab Press werd begin deze week het doelwit van een DDoS-aanval. Dit gebeurde slechts enkele dagen na de aanval op het Algerijnse persbureau APS. Een toeval? Of represailles van de Algerijnen, die Marokko beschuldigden? Maandag was de toegang tot de websites van het Marokkaanse persbureau MAP een groot deel van de dag heel moeilijk als gevolg van een cyberaanval. "De verschillende websites van het Marokkaanse persbureau (MAP) zijn afgelopen maandag het doelwit geweest van een Denial of Service (DDoS) -aanval, die talrijke storingen heeft veroorzaakt waardoor de toegang tot de websites moeilijk was", bevestigde het persbureau in een verklaring. Bij MAP zijn ze ervan overtuigd dat "dit ernstige incident niet kan worden verklaard buiten de geopolitieke spanningen die op de regio wegen, getuige de intensiteit van deze cyberaanval tegen een openbare instelling."
Applied Materials schat 250 miljoen dollar schade door ransomware-aanval
Applied Materials, samen met ASML de grootste toeleverancier van apparatuur voor de wereldwijde halfgeleider-industrie, schat dat een ransomware-aanval op een leverancier het bedrijf in het tweede kwartaal 250 miljoen dollar kost. Dat heeft het bedrijf in een overzicht van de financiële resultaten van het eerste financiële kwartaal van dit jaar bekendgemaakt. De naam van de leverancier is niet genoemd, maar meerdere analisten stellen dat het MKS Instruments is. Dit bedrijf levert oplossingen voor chipfabrikanten en partijen in de halfgeleiderindustrie. Afgelopen maandag liet MKS Instruments weten dat het begin deze maand slachtoffer was geworden van een ransomware-aanval. Het bedrijf is nog altijd bezig met het herstel van systemen bij meerdere getroffen locaties. De aanval heeft ook financiële gevolgen voor het bedrijf, dat kon daardoor geen bestellingen verwerken, producten leveren of diensten aan klanten verlenen. De volledige kosten en gevolgen van de ransomware-aanval zijn nog niet in kaart gebracht. MKS Instruments zag zich gedwongen om de zogenoemde 'earnings call' met analisten over de financiële resultaten naar 28 februari te verplaatsen. Details over de aanval, hoe die kon plaatsvinden en om wat voor ransomware het ging, zijn niet bekendgemaakt. Volgens Applied Materials heeft de aanval op de leverancier gevolgen voor de eigen leveringen in het tweede kwartaal, waardoor het naar verwachting 250 miljoen dollar aan verkopen zal mislopen. Het bedrijf denkt de schade in de toekomst goed te kunnen maken.
Snowboardfabrikant Burton door cyberincident al dagen zonder online orders
De webshop van snowboardfabrikant Burton kan door een "cyberincident" al dagen geen online bestellingen verwerken. Afgelopen dinsdag meldde het bedrijf op de eigen website dat het met een cyberincident te maken had gekregen dat invloed op een deel van de bedrijfsvoering had. Om wat voor incident het precies gaat is niet bekendgemaakt. Burton stelt dat het met externe specialisten samenwerkt om de aard en omvang van het incident te onderzoeken en het bezig is om de bedrijfsvoering te omzeilen, maar vooralsnog geen online bestelling kan verwerken. Drie dagen later is de situatie nog onveranderd. Burton, dat zowel in de Verenigde Staten als Europa winkels heeft, roept klanten op om bij fysieke winkels te kopen. Wanneer de situatie is hersteld is onbekend.
Scandinavian Airlines getroffen door cyberaanval
Scandinavian Airlines (SAS) heeft klanten gewaarschuwd voor een datalek nadat de website en app van de Scandinavische luchtvaartmaatschappij eerder deze week werden getroffen door een cyberaanval. Om wat voor aanval het precies ging laat SAS niet weten, behalve dat die ervoor zorgde dat de website en app een aantal uren offline waren. Verder bleek dat passagiers die tijdens de aanval op de SAS-app probeerden in te loggen werden ingelogd op het verkeerde account en zo toegang kregen tot de gegevens van andere passagiers. Het gaat om contactgegevens, informatie over eerdere en nog geplande vluchten en de laatste vier cijfers van de creditcard. Hoeveel passagiers zijn gedupeerd laat Scandinavian Airlines niet weten. "Dergelijke aanvallen vinden plaats in golven en meer aanvallen zijn in de toekomst waarschijnlijk te verwachten. Dit zou echter geen invloed op passagiersgegevens moeten hebben", aldus een verklaring van de luchtvaartmaatschappij. Paspoortgegevens zijn niet in gevaar geweest, zo stelt SAS verder.
Websites van meerdere Duitse luchthavens plat door cyberaanvallen
De sites van meerdere Duitse luchthavens zijn donderdag niet toegankelijk, als gevolg van een cyberaanval. Dat melden de uitbaters. Het gaat onder meer om de sites van de luchthavens van Düsseldorf, Nürenberg, Hannover en Dortmund. “We vermoeden een cyberaanval”, aldus de woordvoerder van die laatste luchthaven. Het Duitse weekblad Der Spiegel weet dat Russische activisten de cyberaanval hebben opgeëist. Het is niet voor het eerst dat Russische hackers Duitsland viseren.
Toename van besmette Nederlandse VMware ESXi-servers
De afgelopen dagen zijn honderden VMware ESXi-servers besmet geraakt met ransomware, waaronder zo'n dertig in Nederland. Dat meldt securitybedrijf Censys op basis van eigen onderzoek. Hoe de aanvallers toegang weten te krijgen is nog altijd onbekend. De afgelopen weken werd vaak gesteld dat de aanvallers gebruikmaakten van een kwetsbaarheid aangeduid als CVE-2021-21974, maar dat is volgens VMware niet bevestigd. In totaal detecteerde Censys de afgelopen dagen vijfhonderd nieuw besmette ESXi-servers. "De plotselinge toename van aanvallen is met name interessant, omdat de meeste van deze nieuw besmette hosts zich bevinden in Frankrijk, Duitsland, Nederland en het Verenigd Koninkrijk", aldus Censys. In Nederland gaat het om 28 machines. Het securitybedrijf stelt verder aanwijzingen te hebben gevonden dat de huidige ransomware-aanvallen zijn vooraf gegaan door een eerdere aanval in oktober vorig jaar. Het is nog altijd onduidelijk hoe de aanvallers weten toe te slaan. Eerder liet VMware weten dat de aanvallers geen gebruik van een onbekende kwetsbaarheid maken. Welk beveiligingslek dan wel kan het bedrijf niet zeggen. VMware krijgt bijval van securitybedrijf GreyNoise, dat ook stelt dat de aanvalsvector op dit moment nog onbekend is en er mogelijk meerdere kandidaten zijn. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. Begin februari werden ESXi-servers wereldwijd het doelwit van een ransomware-aanval. Zodra er toegang is verkregen versleutelt de ransomware de configuratiebestanden op de ESXi-servers, waardoor de aangemaakte virtual machines onbruikbaar zijn geworden.
Amerikaanse stad kondigt noodtoestand af wegens ransomware-aanval
De Amerikaanse stad Oakland heeft wegens een ransomware-aanval waardoor het vorige week werd getroffen een lokale noodtoestand afgekondigd. Hierdoor kan het meer middelen vrijmaken en inzetten voor de aanschaf van apparatuur en inhuur van extra krachten. De aanval deed zich vorige week woensdag voor, waarop de stad besloot om getroffen systemen offline te halen. Dit had tot gevolg dat allerlei diensten niet meer beschikbaar waren, waaronder verschillende telefoonlijnen van de stad. Ook systemen waarmee de stad belastingen van inwoners en meldingen verwerkt, alsmede vergunning en licenties uitgeeft zijn nog altijd offline. De stad heeft daarop besloten verschillende gebouwen te sluiten. In een laatste update over het incident meldt het stadsbestuur bezig te zijn met het herstel van systemen, maar geeft geen tijdsvenster wanneer dit is gereed. Burgers worden opgeroepen om niet-urgente meldingen voor de politie niet telefonisch maar via een webformulier te doen dat wel online beschikbaar is. Oakland telt zo'n 434.000 inwoners.
Today, Interim City Administrator, G. Harold Duffey issued a local state of emergency due to the ongoing impacts of the network outages resulting from the ransomware attack.
— City of Oakland (@Oakland) February 15, 2023
Schepen Mertens (B) heeft de cyberaanval totaal onderschat en moet opstappen
Raadslid Stéphan Bourlau (Het Alternatief) stelt Veerle Mertens – schepen van ICT – verantwoordelijk voor de zeer gevoelige en persoonlijke informatie die de hackers bekend hebben gemaakt. ‘De schepen heeft de impact van de aanval en de gevolgen totaal onderschat.’ Raadslid Bourlau maakt gewag van grove nalatigheid. ‘Schepen Veerle Mertens draagt de politieke verantwoordelijkheid voor het datalek en moet de eer aan zichzelf houden.’ We vroegen Schepen Mertens om een reactie. Van zodra die binnenkomt, geven we die mee. Op de vraag van raadslid Stéphan Bourlau of er gevoelige en persoonlijke informatie tijdens de cyberaanval was ontvreemd, verklaarde Veerle Mertens – schepen van ICT – op de gemeenteraad van 4 oktober het volgende: ‘Er waren geen indicaties dat er belangrijke info is ontvreemd. We gaan dit zien als het onderzoek afgerond is.’ Tot eind januari hield het stadsbestuur vol dat er geen bewijzen waren aangeleverd dat de hackers in het bezit van gevoelige informatie zouden zijn. ‘We hebben in de logs van onze systemen geen bewijzen kunnen vinden dat er gegevens gestolen zijn’, zei computerspecialist Jan De Smet van de Stad Geraardsbergen tegen de VRT (B).
It-problemen bij Lufthansa leiden tot chaos
Bij de Duitse luchtvaartmaatschappij Lufthansa kunnen geen vluchten meer vertrekken. De reden is dat de computersystemen voor het inchecken en het boarden niet naar behoren werken. Door de it-storing bij Lufthansa heeft de Duitse luchtverkeersleiding de luchthaven van Frankfurt tijdelijk gesloten voor landingen. De problemen leiden daar in Frankfurt tot vertragingen en annuleringen van vluchten én tot grote drukte bij passagiers. De it-problemen hebben ook gevolgen voor bij Brussels Airlines, een dochterbedrijf van Lufthansa. Door de storing lukt ook bij hen een automatische incheck niet meer. Al zouden de vluchten van Brussels Airlines wel nog doorgaan. Een woordvoerster van Lufthansa meldt aan het persagentschap Bloomberg dat het bedrijf hard aan een oplossing werkt. De oorzaak van het euvel is evenwel nog niet bekend. Zo is het onduidelijk of de problemen gelinkt zijn aan cyberaanval waarmee de Scandinavische luchtvaartmaatschappij SAS AB deze week te maken kreeg. De laatste tijd hebben meer vliegmaatschappijen af te rekenen met it-problemen. In het jaareinde was er een incident bij Southwest in de VS. Daar lagen de it-problemen aan verouderde software.
Van wanbetalers tot medische attesten: persoonsgegevens van vooral kwetsbare personen gestolen bij stad Geraardsbergen
Criminelen hebben persoonsgegevens die bij een ransomware-aanval op de Belgische stad Geraardsbergen zijn buitgemaakt gepubliceerd op internet. Volgens de Belgische beveiligingsonderzoeker Inti De Ceukelaire gaat het vooral om gegevens van kwetsbare personen. Vorig jaar september raakten de computers van de stadsdiensten geïnfecteerd met ransomware. Hierdoor was de dienstverlening aan inwoners dagenlang ontregeld.Bij de aanval werden ook gegevens van inwoners gestolen. Geraardsbergen telt zo'n 34.000 inwoners. Als de gemeente het losgeld niet betaalde dreigden de aanvallers de data openbaar te maken. Dat is nu gebeurd, aldus de stad in een verklaring. Volgens De Ceukelaire hebben de aanvallers waarschijnlijk toegang gehad tot een systeem van de de dienst Financiën, zo laat hij tegenover VRT NWS weten. Daarop stonden onder andere gegevens van wanbetalers van parkeerboetes en aanmaningen."Maar ook medische gegevens van bepaalde personen omdat die relevant kunnen zijn voor de gemeentebelasting. Zo zijn er attesten gelekt voor blijvende incontinentie waarop ook de namen van die personen staan." De onderzoeker voegt toe dat het vooral om mensen in collectieve schuldbemiddeling gaat of met een ziekte. Het zijn daarnaast niet alleen mensen uit Geraardsbergen van wie gegevens zijn gelekt. "Als je ooit fout geparkeerd hebt in die stad, kan het zijn dat je op die computer bent beland."
Ook medische gegevens (onder de vorm van attesten voor gezinsbelasting) zijn gelekt, bijvoorbeeld burgers met "blijvende incontinentie", stoma, wondzorg, nalatenschap,...
— Inti De Ceukelaire (@intidc) February 15, 2023
Luchtvaartmaatschappij SAS lijdt onder cyberaanval, klantgegevens gelekt
De Scandinavische luchtvaartmaatschappij SAS is dinsdagavond getroffen door een cyberaanval waarbij haar website werd lamgelegd en klantgegevens uit haar app werden gelekt, aldus nieuwsberichten. Karin Nyman, hoofd pers bij SAS, zei dat het bedrijf dinsdagmiddag was getroffen door een cyberaanval waarbij zijn app en website waren aangetast, en voegde eraan toe dat ze bezig waren het probleem op te lossen. "We kunnen nu niet veel meer zeggen omdat we op dit moment midden in de aanval zitten," zei Nyman.
Israëlische Technion Universiteit getroffen door ransomware-aanval van nieuwe DarkBit groep
Een nieuwe groep genaamd 'DarkBit' heeft de verantwoordelijkheid opgeëist voor de ransomware-aanval en geëist dat het losgeld van 80 bitcoins binnen de komende 48 uur zou worden betaald. De Israëlische Technion-universiteit kreeg zondag te maken met een ransomware-aanval, waardoor de universiteit alle communicatienetwerken proactief moest blokkeren. Een nieuwe groep die zichzelf DarkBit noemt, heeft de verantwoordelijkheid voor de aanval opgeëist. “De Technion staat onder cyberaanval. De omvang en aard van de aanval worden onderzocht', schreef Technion, een van de beste universiteiten van Israël, in een Tweet. Technion uit Haifa, opgericht in 1912, ook wel bekend als het Israel Institute of Technology - is een wereldwijde pionier geworden op gebieden als biotechnologie, stamcelonderzoek, ruimte, informatica, nanotechnologie en energie. Vier Technion professoren hebben Nobelprijzen gewonnen. De universiteit heeft ook bijgedragen aan de groei van de hightech-industrie en innovatie van Israël, waaronder het technische cluster van het land in Silicon Wadi. De universiteit zei dat het geplande examens uitstelt vanwege de ransomware-aanval, maar de lessen zullen doorgaan zoals gewoonlijk. De website bleef op het moment van schrijven ontoegankelijk.
Nieuwe Info-Stealer ontdekt terwijl Rusland een nieuw offensief voorbereidt
Beveiligingsonderzoekers hebben een nieuwe variant van informatie stelende malware ontdekt die gericht is op Oekraïense organisaties. De infostealer heeft de naam 'Graphiron' gekregen en is gelinkt aan de Russische 'Nodaria-groep'. Symantec, het beveiligingsbedrijf dat de infostealer vond, stelt dat de groep minstens sinds maart 2021 actief is. Nodaria werd voor het eerst herkend voor de WhisperGate-aanvallen gericht op Oekraïense organisaties aan het begin van het conflict. Net als andere door de groep gebruikte infostealers is Graphiron geschreven in Go en waarschijnlijk ingezet via spear phishing e-mails. De malware bestaat uit een downloader en een payload en kan gegevens stelen zoals systeeminformatie, bestanden, screenshots en referenties. Veiligheidsdeskundigen hebben gewaarschuwd voor een nieuwe reeks cyberaanvallen op kritieke infrastructuur in Oekraïne in de aanloop naar een Russisch offensief in Donbas.
Cloudflare zegt grootste ddos-aanval van 71 miljoen requests per seconde te zien
Cloudflare zegt dat het afgelopen weekend de grootste http-ddos-aanval heeft afgeslagen die het bedrijf ooit zag. Het zou gaan om een HTTP/2-aanval die op het hoogtepunt 71 miljoen requests per second overschreedt. Daarmee was de aanval ruim een derde groter dan het vorige record. Cloudflare schrijft dat het in het afgelopen weekend meerdere ddos-aanvallen heeft afgeslagen voor klanten. Het gaat om enkele tientallen aanvallen waarvan de meerderheid tussen de 50 en 70 miljoen requests per second afvuurden. In het ernstigste geval bedroeg een van de aanvallen 71 miljoen rps. Tijdens de vorige grootste aanval die Cloudflare ooit detecteerde, werden er 46 miljoen rps afgevuurd richting doelwitten. Dat gebeurde in juni van 2022. In augustus sloeg Google ook al zo'n grote aanval af. Veel details over de aanval geeft Cloudflare niet, maar het gaat volgens het bedrijf in ieder geval om HTTP/2-aanvallen waarbij de requests van 30.000 verschillende IP-adressen afkomstig waren. De aanvallen vonden plaats op verschillende websites van gameproviders, cryptovalutabedrijven, hostingproviders en cloudplatformen. Volgens Cloudflare werden de botnets aangestuurd vanaf 'vele cloudproviders', al geeft het bedrijf daar verder geen details over. De aanval zou niets te maken hebben met recente aanvallen van vorige week die plaatsvonden op ziekenhuizen en andere zorginstellingen. De aanvallers zouden daar andere methodes voor gebruiken. Ook zegt Cloudflare dat de aanval niets te maken heeft met de Superbowl, die dit weekend in Amerika plaatsvond.
Beveiligde NAVO-netwerken niet getroffen door cyberaanval
De cyberaanval op NAVO-websites van afgelopen zondag heeft de beveiligde netwerken van de alliantie niet getroffen. Dat zegt de topman van de NAVO, Jens Stoltenberg. Volgens de secretaris-generaal van de verdragsorganisatie werkt het merendeel van de NAVO-websites zoals normaal. 'We hebben pogingen tot denial of service-incidenten (waarbij een website ontoegankelijk wordt, nvdr.) op NAVO-websites gezien sinds zondag', aldus Stoltenberg. 'Maar de beveiligde netwerken van de NAVO zijn niet getroffen.'
Cyberaanval op NAVO-websites, KillNet verdacht
De websites van de NAVO waren zondag het doelwit van een cyberaanval, meldde het Duitse persbureau dpa. Hierbij verwees het naar de woordvoerder van de alliantie, Oana Lungescu. Volgens bericht van het persbureau heeft de hacker meerdere websites tegelijk aangevallen. Lungescu merkte op dat de cyberdeskundigen van het bondgenootschap het incident actief onderzoeken. Het persbureau zegt dat sommige informatie op sociale media suggereerde dat “pro-Russische activisten” achter de aanval op de website van het NAVO Special Operations Headquarters(NSHQ) zouden zitten, die tijdelijk niet beschikbaar was. Met name “de Russische hackersgroep KillNet” kreeg de schuld, aldus dpa. Het NAVO Special Operations Headquarters werd opgericht na de NAVO-top in Riga in 2006 en “geeft strategisch advies, maakt ontwikkeling mogelijk en synchroniseert activiteiten om bedreigingen af te schrikken en het NAVO-bondgenootschap te verdedigen”, aldus de website. AZGeopolitics, een alternatieve nieuwssite, gebruikte hun Twitter-account om enkele inzichten in de vermeende KillNet NAVO-operatie te posten. “”Mijn aanval op de Ramstein basis, jullie komen ook aan de beurt”-KILLNET” was een citaat dat zij zouden hebben onderschept van de KillNet bende. Dit, volgens AZ, was het KillNet team dat “het begin van aanvallen op alle NAVO-afdelingen” aankondigde. KillNet is een groep “hacktivisten” die volgens Google is met het Russische leger. Zij werden actief bij het begin van de Russische invasie in Oekraïne en werden onlangs beschuldigd van een hackingaanval op het Europees Parlement als reactie op het feit dat Rusland door dat orgaan werd aangemerkt als “staatssponsor van terrorisme”. Toen werd de website van het Europees Parlement enkele uren offline gehaald door een DDoS-aanval (Distributed Denial-of-Service) die werd toegeschreven aan KillNet. Doelwitten van de groep waren onder meer politiediensten, luchthavens en regeringen in Litouwen, Duitsland, Italië, Roemenië, Noorwegen en de Verenigde Staten. Zoals de tweet van AZGeopolitics suggereert, zou de KillNet-groep nu ook NAVO-websites aanvallen. Afgezien van de Tweet is er echter geen ander bewijs geleverd dat deze bewering ondersteunt, aldus dpa.
This is the start of the day screen for KILLNET hakers. 😆😆😆😆 pic.twitter.com/xJWHizKWZp
— Jury (@Jury70110484) February 13, 2023
Phishingaanval op SendGrid via Namecheap
Aanvallers zijn erin geslaagd om via het SendGrid-account van registrar Namecheap phishingmails te versturen. Daarop besloot het bedrijf om tijdelijk geen e-mails meer te versturen, waaronder authenticatiecodes en wachtwoordresetmails, te stoppen. SendGrid is een marketingplatform voor e-mail. Tal van bedrijven gebruiken de dienst voor onder andere het versturen van marketingmails, nieuwsbrieven en andere communicatie. Dit weekend bleek dat aanvallers via het SendGrid-account van Namecheap phishingmails hadden verstuurd die van Metamask en DHL afkomstig leken. Namecheap heeft de phishingaanvallen via SendGrid bevestigd. De registrar stelt in een verklaring dat de eigen systemen niet zijn gecompromitteerd en producten, accounts en persoonlijke informatie van klanten veilig zijn. Hoe het SendGrid-account kon worden gekaapt laat het bedrijf niet weten. Naar aanleiding van de aanval besloot Namechap om tijdelijk te stoppen met het versturen e-mails, waaronder ook authenticatiecodes, wachtwoordresetmails en verificatie van 'trusted devices'. Vanochtend laat het bedrijf weten dat de 'mail delivery' is hersteld. Er is een onderzoek naar de aanval ingesteld en Namecheap zegt met meer informatie te komen zodra het bekend is.
We are looking into this now this now, it may be related to this https://t.co/4nYcpaJZSC as we use sendgrid.
— Richard Kirkendall (@NamecheapCEO) February 12, 2023
Beware of phishing emails coming out of @Namecheap’s @SendGrid account. DHL, MetaMask, digitally signed with DKIM. Looks like low level hackers were able to get into their systems. PII looks to be exposed. pic.twitter.com/IuLE8mo2w6
— Kathy Zant (@kathyzant) February 12, 2023
Pepsi Bottling Ventures getroffen door hack en datalek
Pepsi Bottling Ventures, de grootste producent van onder andere Pepsi-Cola, Dr. Pepper, Starbucks en Lipton in Noord-Amerika, is getroffen door een datalek, zo heeft het bedrijf aan de procureur-generaal van de Amerikaanse staat Montana laten weten (pdf). Volgens de datalekmelding werd er op 10 januari ongeautoriseerde activiteit op de it-systemen ontdekt. Verder onderzoek wees uit dat een aanvaller de systemen op of rond 23 december vorig jaar met malware had geïnfecteerd en gegevens had gedownload. Het gaat om naam, adresgegevens, e-mailadres, rekeninggegevens, waaronder een beperkt aantal wachtwoorden, pincodes of andere toegangsgegevens, identificatienummers, zoals die van rijbewijs en identiteitskaart, social-securitynummers, paspoortinformatie, digitale handtekening, beperkte medische geschiedenis en gezondheidsclaims. Hoe de aanvaller toegang tot de systemen kon krijgen en om wat voor malware het precies ging is niet bekendgemaakt. Ook is het aantal getroffen personen onbekend. Naar aanleiding van de aanval zijn verschillende maatregelen getroffen, waaronder het resetten van alle bedrijfswachtwoorden. Getroffen personen kunnen een jaar lang gratis hun krediet laten monitoren. Pepsi Bottling Ventures is een joint venture van PepsiCo en de Suntory Group.
Actieve aanvallen op NAS-systemen fabrikant TerraMaster
NAS-systemen van fabrikant TerraMaster zijn het doelwit van aanvallen, zo waarschuwt de Amerikaanse overheid. In het TerraMaster Operating System (TOS), dat op de NAS-systemen draait, bevindt zich een kwetsbaarheid (CVE-2022-24990) waardoor een aanvaller op afstand het beheerderswachtwoord kan achterhalen, om daarmee vervolgens in te loggen. Het beveiligingslek is aanwezig in versie 4.2.29 en eerder. TerraMaster kwam vorig jaar maart en april met firmware-updates (4.2.31). Destijds maakten de onderzoekers die het probleem ontdekten ook de details bekend. Het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security, laat nu weten dat aanvallers actief misbruik van de kwetsbaarheid maken. De NAS-systemen van TerraMaster worden vooral in zakelijke en professionele omgevingen gebruikt. Het CISA heeft Amerikaanse overheidsinstanties nu opgedragen om de update voor 3 maart te installeren.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in 🇬🇧 or another language