De supply chain-aanval van 'SolarWinds' heeft het cybersecurity-nieuws van afgelopen week gedomineerd, maar helaas ontbraken de ransomware aanvallen afgelopen week ook niet.
De afgelopen maand is Israël het doelwit geweest van een reeks cyberaanvallen die aan Iran worden toegeschreven. Afgelopen week richtten de 'Pay2Key-ransomware-criminelen' zich op een ander Israëlisch bedrijf in een aanval op 'Intel's Habana Labs'. Deze groep lijkt gefocust op het veroorzaken van schade aan de Israëlische belangen in plaats van het genereren van losgeld.
We zagen ook een cybercrimineel die profiteerde van de release van 'Cyberpunk 2077' door ransomware te verspreiden, vermomd als de game .
En de gemeente 'Hof van Twente' gaat geen losgeld betalen voor het ontsleutelen van de data. Hier het overzicht van nieuwe ransomware vormen en het nieuws van dag tot dag.
14 december 2020
Intel's Habana Labs gehackt door Pay2Key-ransomware, gegevens gestolen
De ontwikkelaar van AI-processor Habana Labs, eigendom van Intel, heeft een cyberaanval ondergaan waarbij gegevens werden gestolen en vervolgens gepubliceerd werden door de cybercriminelen (doxware).
New Conti variant
S!Ri vond een nieuwe Conti-variant die de extensie .KCWTT toevoegt aan versleutelde bestanden.
.KCWTT 77078664B4BBFBE25BE44004431C1A37
— S!Ri (@siri_urz) December 13, 2020
Conti Ransomware pic.twitter.com/mqB7R30XNC
Nieuwe Ouroboros-ransomware variant
S!Ri vond een nieuwe variant van de Ouroboros-ransomware die de extensie .Sophos toevoegt.
.Sophos D2E5DE5FDE2DF40AA2515E9D13B0735C
— S!Ri (@siri_urz) December 14, 2020
Ouroboros #Ransomware
C:\Users\Legion\source\repos\curl\Release\curl.pdb pic.twitter.com/lpSvlAnHcU
Nieuwe Zeoticus-variant
MalwareHunterTeam vond een nieuwe Zeoticus 2.0-ransomware variant die de .2020END- extensie toevoegt.
#Zeoticus 2.0 #Ransomware w/ extension pattern ".<number>.outsourse@tutanota.com.2020END" spotted by @malwrhunterteam
— Michael Gillespie (@demonslay335) December 14, 2020
Sample: https://t.co/YM0f5Arm48
Nieuwe STOP Ransomware-variant
Michael Gillespie vond een nieuwe STOP Ransomware-variant die de .booa- extensie toevoegt.
#STOP #Djvu #Ransomware w/ extension ".booa" (v0271) spotted on ID Ransomware.
— Michael Gillespie (@demonslay335) December 14, 2020
Hackers verlammen Symrise - waarom de zaak bijzonder ernstig is
De Nedersaksen MDax-groep Symrise werd het slachtoffer van een ernstige aanval door onbekende hackers. De productie in het in 2003 in Holzminden opgerichte bedrijf staat grotendeels stil. "Om de gevolgen te kunnen inschatten en mogelijke verdere effecten te voorkomen, heeft het bedrijf alle essentiële systemen stilgelegd", aldus Symrise.
Clop-sample gebruikt op Symrise
Minhee Lee vond de Clop-ransomware variant die werd gebruikt bij de Symrise-aanval.
#Symrise #Clop #Ransomware #TA505
— Minhee Lee (@darb0ng) December 15, 2020
Signed : Insite Software Inc.
(Signature Date : 2020-12-11)
MD5 : ed9b015082f1be50fcf08fecdb6f76d1https://t.co/u4NEnZv3MY pic.twitter.com/5h3Iq0jBxO
15 december 2020
Ransomware-aanval veroorzaakt vertragingen in de facturering voor de stad Missouri
De City of Independence, Missouri, kreeg vorige week te maken met een ransomware aanval die de diensten van de stad blijft verstoren.
Nieuwe Dharma-ransomwarevarianten
Jakub Kroustek vond twee nieuwe Dharma Ransomware-varianten die de .msf- of .lock- extensies toevoegen.
'.msf' - 'metasploit@post.com' - https://t.co/VFv12EN1Kj #CrySiS #Dharma #ransomware
— Jakub Kroustek (@JakubKroustek) December 15, 2020
Nieuwe Phobos Ransomware-variant
Michael Gillespie heeft een nieuwe Phobos-variant gevonden die de extensie ".id []. [ICQ_Sophos] .Antivirus" toevoegt.
#Phobos #Ransomware w/ extension ".id[<id>].[ICQ_Sophos].Antivirus" spotted on ID Ransomware by @PolarToffee
— Michael Gillespie (@demonslay335) December 15, 2020
cc @Sophos 😅 pic.twitter.com/IAfgu6NkaD
16 december 2020
Ransomware-bendes automatiseren de levering van payloads met SystemBC-malware
SystemBC, een commodity-malware die op ondergrondse markten wordt verkocht, wordt gebruikt door ransomware-as-a-service (RaaS) -operaties om kwaadaardig verkeer te verbergen en de levering van ransomware-payloads op de netwerken van gecompromitteerde slachtoffers te automatiseren.
Beazley Breach Insights - Q3 2020
In een ongelooflijk uitdagend jaar waarin ransomware gemakkelijk de grootste cyber dreiging is geworden voor zowel individuen als organisaties, is de ernst van ransomware-aanvallen blijven escaleren. In de loop van 2020 hebben deze incidenten een nieuw niveau van complexiteit bereikt, aangezien ze een lange weg hebben afgelegd sinds de vroege incarnaties van ransomware, ontworpen om te misleiden en op een malafide e-mail te klikken die vervolgens een werkstation en gedeelde bestanden versleutelt.
Nieuwe Hades Ransomware
Michael Gillespie vond een nieuwe ransomware genaamd Hades Ransomware die een willekeurige extensie toevoegt en een losgeld briefje laat vallen met de naam " HOW-TO-DECRYPT-xxxxx.txt ."
#Ransomware Hunt: Calls itself "Hades ransomware". Extension is random 5 lowercase alphanum, note "HOW-TO-DECRYPT-xxxxx.txt" (xxxxx = extension of files)
— Michael Gillespie (@demonslay335) December 16, 2020
Note: https://t.co/UBVkJ7K7yJ
Seen x3 different Tor URLs pointing to the exact same site and Tox address - TA never responds. pic.twitter.com/sy2eYecxXV
Nieuwe HiddenTear-variant
MalwareHunterTeam heeft een HiddenTear-variant gevonden die de extensie .fmfgmfgm toevoegt.
21e70ce90826535cbefb8b1668451f7e1d95f9ceb26b2c4153d6b50db2d10fbf
— MalwareHunterTeam (@malwrhunterteam) December 16, 2020
Extension: .fmfgmfgm
PDB: "c:\Users\Mehmet\Desktop\h\h\h\ENCODER\DISK_ENCODER\obj\Release\DISK_ENCODER.pdb"
Salt bytes contains "[ERROR] MBR patched by bootkit" string...
🤔@demonslay335 pic.twitter.com/FhrQOATKhR
De COVID-20 Ransomware
MalwareHunterTeam vond een dwaze bootlocker genaamd COVID-20 ransomware.
6cd502e46b712ac7984fe3c9f694dfec1fa6d3552f80db8502ca18d30050053f
— MalwareHunterTeam (@malwrhunterteam) December 16, 2020
"You Became a Victim of the Covid-20 Ransomware"
"If you want to get your data back please pay me $1000000 worth of bitcoin"
🤔@demonslay335 pic.twitter.com/K4sXaU4Rly
17 december 2020
Iraanse natiestaat hackers gekoppeld aan Pay2Key-ransomware
De door Iran gesteunde hack groep Fox Kitten is in verband gebracht met de Pay2Key-ransomware-operatie die onlangs is begonnen met het aanvallen van organisaties uit Israël en Brazilië.
Ransomware doet zich voor als mobiele versie van Cyberpunk 2077
Een cybercrimineel verspreidt valse Windows- en Android-installatieprogramma's voor de Cyberpunk 2077-game die een ransomware installeert die zichzelf CoderWare noemt.
❗️ RC4 algorithm with hardcoded key (in this example - "21983453453435435738912738921") is used for encryption. That means that if you got your files encrypted by this #ransomware, it is possible to decrypt them without paying the ransom. https://t.co/Lj1hD1SvRK
— Tatyana Shishkova (@sh1shk0va) December 17, 2020
FBI: slachtoffers van ransomware opgebeld door criminelen
Het afgelopen jaar zijn meerdere slachtoffers van de DoppelPaymer-ransomware door de verantwoordelijke criminelen opgebeld, zo heeft de FBI bekendgemaakt (pdf). De criminelen intimideren slachtoffers en dreigen gestolen gegevens openbaar te maken (doxware), tenzij het losgeld wordt betaald.
18 december 2020
Gemeente Hof van Twente bevestigt aanval door ransomware
Op 1 december merkten we dat we onze eigen systemen niet in konden. Er werd duidelijk dat onbekende derden zich toegang hebben verschaft tot onze systemen en de gegevens op al onze servers voor ons ontoegankelijk hebben gemaakt.
Nieuwe STOP Ransomware-variant
Michael Gillespie vond een nieuwe STOP Ransomware-variant die de .omfl- extensie toevoegt.
#STOP #Djvu #Ransomware w/ extension ".omfl" (v0272) spotted on ID Ransomware.
— Michael Gillespie (@demonslay335) December 18, 2020
Nieuwe Hakbit-variant
xiaopao heeft een nieuwe Hakbit-variant gevonden die de extensie .rastar toevoegt.
#Ransowmare
— xiaopao (@Kangxiaopao) December 18, 2020
ext:.rastar
mail:datarecovery@asiarecovery.ir
ransom note:
md5:d11377a3ead4ef5bb7489f6d8598ad01@comrade335 @demonslay335 pic.twitter.com/sF8eJgImJY
Nieuwe Inferno RaaS
RAKESH KRISHNAN vond een nieuwe ransomware-as-a-service genaamd Inferno die criminelen rekruteren.
#Ransomware Affiliations are on rise! New #RaaS model found on #DarkWeb titled #Inferno RaaS!
— RAKESH KRISHNAN (@RakeshKrish12) December 18, 2020
Email:13hourinferno@secmail.pro
An #EarlyWarning for #infosec! @demonslay335
Found same profile in Sinister#darknet #deepweb #OSINT #CyberAttack #cybersecurity #malware #netsec #tor pic.twitter.com/vC3CYIi09f
19 december 2020
Hof van Twente gaat losgeld voor ontsleutelen data niet betalen
De gemeente Hof van Twente gaat de hackers die verantwoordelijk zijn voor het platleggen van de computersystemen van de gemeente, begin deze maand, niet betalen. Dat heeft burgemeester Ellen Nauta gezegd. De gemeente gaat een nieuwe infrastructuur opbouwen. Het duurt nog een half jaar voor alles weer werkt.
Met dank aan de bijdragers van deze week:
@Seifreed, @FourOctets, @malwareforme, @jorntvdw, @VK_Intel, @malwrhunterteam, @BleepinComputer, @LawrenceAbrams, @DanielGallagher, @Ionut_Ilascu, @ demonslay335, @serghei, @struppigel, @fwosar, @PolarToffee, @GelosSnake, @ sh1shk0va, @ClearskySec, @ProferoSec, @OhadMZ, @Sophos, @thepacketrat, @JakubKroustek, @siri_urz, @BeazleyGroup, @ darb0ng, @Kangxiaopao en @ RakeshKrish12.
Ransomware
Ransomware cyberaanvallen zijn een big business, zo groot zelfs dat onderzoek verwacht dat een bedrijf elke 11 seconden wordt aangevallen door een cybercrimineel en dat de schade als gevolg van deze aanvallen tegen 2021 ongeveer 20.000.000.000.000,- (20 biljoen) dollar zal bedragen .
Wat is Ransomware?
Ransomware is software waarmee de computer wordt ‘gegijzeld’. Het slachtoffer kan niet meer bij zijn persoonlijke bestanden. Bij het opstarten van de computer verschijnt een melding dat een bedrag betaald moet worden om weer toegang te krijgen. Wil je meer weten over Ransomware, dan kun je hier verder lezen.
Doxware
Wat is Doxware?
Doxware is een soort ransomware die persoonlijke gegevens aan het publiek dreigt vrij te geven als de gebruiker het losgeld niet betaalt.
De term komt van de hacker-term 'doxing' of het vrijgeven van vertrouwelijke informatie via internet. Doxware-aanvallen infecteren computers vaak via phishing-e-mails. Meer weten over doxware, dan kun je hier verder lezen.
Advies
- Installeer een goede virusscanner.
- Houd alle software up-to-date, waaronder besturingssysteem, internetbrowser, browser aanvullingen en populaire programma's, zoals Adobe Reader. Met ScanCircle zie je snel hoe je pc ervoor staat. Voor software als Adobe Flash en Java is uitschakelen aan te raden.
- Klik niet op bijlagen en links in e-mails, tenzij je zeker weet dat het vertrouwd is. Twijfel je, kijk dan op de Opgelicht website of de e-mail daar voorkomt. Zo niet, wacht dan een dag en controleer nogmaals of stuur hem door naar digitaalgids@consumentenbond.nl voor uitsluitsel.
- Schakel geen macro's bij Office-documenten van derden, zeker niet als daar in het document om wordt gevraagd.
- Ransomware is vaak een uitvoerbaar .exe-bestand, vermomd als ander soort bestand, bijvoorbeeld een pdf-document. Schakel bestandsextensies weergeven, zodat je de vermomming kunt doorzien.
- En tenslotte: back-ups maken! Dat is sowieso verstandig, maar bij ransomware-besmetting vaak het enige redmiddel om verlies van al je gegevens te voorkomen.
Wilt u weten hoe uw digitale veiligheid is? Doe dan hier de test en ontvang uw test score. (.../10)
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 45-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Ransomware berichten
Ransomware in Nederland: Groeiende bedreiging voor organisaties en privacy
Reading in 🇬🇧 or another language
De alarmerende stijging van ransomware-aanvallen: een toename van 73%
Reading in 🇬🇧 or another language
Ransomware in 2024: Opkomende trends en recente ontwikkelingen
Reading in 🇬🇧 or another language
De strijd tegen LockBit: Technologische vooruitgang en Internationale triomf
EN: Click here and choose your language using Google's translation bar at the top of this page ↑
De internationale overwinning op LockBit ransomware
EN: Click here and choose your language using Google's translation bar at the top of this page ↑
Een strijd van wilskracht: De afname van losgeldbetalingen en de toekomst van ransomware
EN: Click here and choose your language using Google's translation bar at the top of this page ↑
Farnetwork: De sleutelspeler in ransomware-as-a-service markt
EN: Click here and choose your language using Google's translation bar at the top of this page ↑
De opkomende golf van massale Ransomware-aanvallen in 2023
EN: Click here and choose your language using Google's translation bar at the top of this page ↑
De verborgen wereld van Ransomware: Het ontrafelen van de geheimen van 'ShadowSyndicate'
EN: Click here and choose your language using Google's translation bar at the top of this page ↑
Ransomware-aanvallen op instellingen en bedrijven in Nederland: Een diepgaande analyse
EN: Click here and choose your language using Google's translation bar at the top of this page ↑
Ransomware: Begrijpen, voorkomen, herstellen
EN: Click here and choose your language using Google's translation bar at the top of this page ↑
MalasLocker Ransomware: Een Nieuwe Bedreiging Eist Donaties voor Goede Doelen
Click here or click 'CHOOSE LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Doxware berichten
New York Pizza slachtoffer van doxwaring
New York Pizza is het slachtoffer geworden van doxware. Een onbekende dader is er in geslaagd om een groot aantal klantgegevens te bemachtigen. Hij dreigt deze gegevens openbaar te maken of te verkopen. De pizza keten adviseert klanten om het wachtwoord van hun account te veranderen.
Cybercriminelen publiceren tientallen gigabytes aan interne gegevens van LG en Xerox
De cybercriminelen van de Maze-ransomware hebben gisteren tientallen GB interne gegevens van de netwerken van de zakelijke reuzen 'LG' en 'Xerox' gepubliceerd na twee mislukte afpersingspogingen.
LG Electronics slachtoffer van Doxware
De cybercriminelen achter de Maze-ransomware claimt systemen van elektronicagigant 'LG Electronics' te hebben geïnfecteerd, waarbij ook door het bedrijf ontwikkelde broncode is buitgemaakt. Als LG het gevraagde losgeld niet betaalt zullen de criminelen de gestolen data openbaar maken.
Cybercrime algemeen
Hybride cyberaanvallen: de vervagende lijnen tussen staten en criminelen
In deze podcast bespreken we de toenemende samenwerking tussen cybercriminelen en overheden, waarbij ze hun middelen en technieken combineren om zowel financiële als geopolitieke doelen te bereiken. We benadrukken dat ransomware een ernstige bedreiging blijft, met name voor de gezondheidszorg, en dat het gebruik van kunstmatige intelligentie (AI) door zowel cybercriminelen als overheden aanvallen complexer en moeilijker te stoppen maakt. Daarnaast bespreken we het belang van samenwerking tussen de publieke en private sector om cyberdreigingen effectief te bestrijden. De noodzaak voor strengere internationale normen en sancties voor cyberaanvallen komt ook aan bod, evenals de rol van geavanceerde technologieën zoals AI en internationale samenwerkingen voor de toekomst van cyberbeveiliging.
Forse toename van aanvallen op Citrix ADC en Citrix Gateway
Reading in 🇬🇧 or another language
Stijgende kosten van cyberaanvallen: Waarom bedrijven in de Benelux meer betalen voor datalekken
Reading in 🇬🇧 or another language
De illusie van veiligheid: Wat de 1Password-kwetsbaarheid ons leert over wachtwoordkluizen
Reading in 🇬🇧 or another language
Fraude schade in 2024 stijgt met 44% tot meer dan 27 miljoen Euro in Nederland
Reading in 🇬🇧 or another language
De nieuwe gevaren van cybercriminaliteit: inzichten uit het IOCTA 2024 rapport
Reading in 🇬🇧 or another language
Veilige spelomgevingen creëren: hoe we online toxiciteit kunnen doorbreken
Reading in 🇬🇧 or another language
Cyberaanvallen op Nederland: Een groeiende golf van cyberdreigingen in 2024
Reading in 🇬🇧 or another language
Hoe te beschermen tegen nieuwe ransomware varianten door middel van indicators of compromise (IOC)
🇳🇱 🇬🇧
Van mobiele malware tot AI-misbruik: cyberdreigingen in het moderne tijdperk
🇳🇱 🇬🇧
Cybercriminelen maken gebruik van de EK-Opwinding
🇳🇱 🇬🇧
Cybercrime: Een analyse van hedendaagse dreigingen en jongere verdachten
🇳🇱 🇬🇧