Ransomware weekoverzicht 11-2021

Gepubliceerd op 22 maart 2021 om 15:00

Wetenschapsfinancier NWO raakte via e-mail besmet met ransomware, Utrechts Archief deels offline als gevolg van ransomware aanval en tijdens Darkweb onderzoek ontdekken we een lijst met maar liefst 1714 slachtoffers van ransomware. Hier het overzicht van de nieuwste ransomware vormen en het nieuws van dag tot dag.

15 maart 2020

College sluit alle campussen voor een week na 'grote' cyberaanval

Een universiteit in Birmingham heeft al zijn campussen een week lang gesloten voor studenten na een "grote" ransomware-cyberaanval die zijn belangrijkste IT-systemen heeft uitgeschakeld. Bron

EDAG getroffen door cyberaanval

Verschillende dochterondernemingen van EDAG Engineering Group AG waren het doelwit van een gerichte cyberaanval in de nacht van 13 maart 2021. Het bestaande EDAG-systeemlandschap werd gedeeltelijk aangetast. 
Als preventieve maatregel om onze klanten, medewerkers en partners te beschermen, werden direct de nodige maatregelen genomen om de aanval met objectieve maatregelen tegen te gaan. Bron

16 maart 2020

Hof van Twente raakte door zwak wachtwoord besmet met ransomware

De criminelen die systemen van de gemeente Hof van Twente met ransomware wisten te infecteren konden dankzij het wachtwoord "Welkom2020" binnendringen. Dat blijkt uit onderzoek dat de gemeente naar de aanval liet uitvoeren en vandaag is gepubliceerd. Sinds 29 oktober 2019 was een FTP-server van de gemeente voor iedereen op het internet via RDP (remote desktop protocol) benaderbaar. Lees verder

Het grootstedelijk gebied van Barcelona lijdt opnieuw aan een Ransomware-aanval, zoals de SEPE

De Metropolitan Area van Barcelona, ​​AMB, heeft zijn digitale diensten stopgezet na een computeraanval waarvan wordt vermoed dat het een ransomware is, zoals de recente van SEPE. Bron

Een interview met REvil's Unknown

'Unknown' sprak onlangs met Dmitry Smilyanets, een expert op het gebied van dreigingsinformatie van Recorded Future. Ze spraken over het gebruik van ransomware als wapen en experimenteren met nieuwe tactieken en nog veel meer. Het interview is in het Russisch afgenomen en met de hulp van een professionele vertaler naar het Engels vertaald. Lees verder  / Audio fragment

Nieuwe variant Xorist ransomware

Xiaopao ontdekt een nieuwe variant met extensie *.sandboxtest

Cyberaanval op drie Praagse poliklinieken

Hackers vielen drie privé poliklinieken in het centrum van Praag aan, meldde de server van Deník N. dinsdag. De internet aanval op het bedrijf Poliklinika IPP werd bevestigd door de uitvoerende macht en ook door het Nationaal Bureau voor Cyber- en Informatiebeveiliging (NÚKIB). Bron

17 maart 2020

Wetenschapsfinancier NWO raakte via e-mail besmet met ransomware

De Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO) raakte vorige maand via een malafide e-mail besmet met ransomware. Dat laat de organisatie via de eigen website weten. Vanaf volgende week zal de NWO weer subsidieaanvragen verwerken. Vanwege de aanval lag het subsidieproces vijf weken stil. "Wij realiseren ons dat de gevolgen daarvan groot zijn voor alle betrokkenen. Wij doen er dan ook alles aan om de impact zo klein mogelijk te laten zijn", aldus de organisatie.

FBI: toenemend aantal onderwijsinstellingen doelwit van Pysa-ransomware

Een toenemend aantal onderwijsinstellingen in de Verenigde Staten is doelwit van de Pysa-ransomware geworden, zo waarschuwt de FBI. De aanvallers achter de ransomware weten netwerken meestal binnen te dringen door wachtwoorden voor het Remote Desktop Protocol (RDP) te compromitteren en malafide e-mails (pdf).

Is het betalen van losgeld bij ransomware niet in strijd met de wet?

Juridische vraag: Zoals iedereen kan zien komt het steeds vaker voor dat organisaties worden getroffen door een ransomware aanval waarbij er losgeld moet worden betaald om weer toegang te krijgen tot de gegevens. Veel organisaties kiezen hiervoor omdat het in veel gevallen goedkoper is om te betalen, maar is dit eigenlijk niet tegen de wet? Er zijn toch strenge regels over "ongebruikelijk" betalingsverkeer en betalen aan verdachte landen?

Antwoord: Het is niet expliciet verboden om losgeld te betalen wanneer je data gegijzeld wordt. Nergens in het Wetboek van Strafrecht is bepaald dat dit niet mag.

Bevindingen ransomware aanval gemeente Hof van Twente

Hackers weten de computersystemen van de gemeente te infiltreren. Daarbij versleutelen en stelen ze privacygevoelige informatie, zowel de gemeente als haar inwoners. Het gaat om de financiële administratie van de gemeente en aanvragen voor jeugdzorg en omgevingsvergunningen. Ook vertrouwelijke informatie over werk, inkomen en schulden van burgers wordt buitgemaakt. Tot slot slaagden de aanvallers er in om de back-up systemen plat te leggen. De gemeente lag op dat moment volledig plat en kon niets voor haar burgers betekenen. Lees verder

Gemiste kans: bug in LockBit-ransomware maakte gratis decodering mogelijk

Een lid van de cybercriminele gemeenschap heeft een bug in de LockBit-ransomware ontdekt. De bug heeft gevolgen voor  LockBit, een ransomware-as-a-service (RaaS) -operatie die in januari 2020 werd gelanceerd en waarmee de LockBit-bende toegang verhuurt tot een versie van hun ransomware. Lees verder

Tri County Sheriff Dispatch getroffen door een ransomwareaanval

Het Sheriff's Office van Albany County zegt dinsdag rond 21.30 uur dat het Tri County Public Safety-netwerk, dat Albany, Saratoga en Rensselaer Counties omvat, werd getroffen door een ransomware-aanval. Hun kantoor werkte naar verluidt de hele nacht samen met hun leveranciers, evenals met het NYDHSES Office of Counter Terrorism Cyber ​​Incident Response Team om de aanval te stoppen. Bron

Scholen in South Gloucestershire (UK) getroffen door een ransomwareaanval

Een aantal scholen in South Gloucestershire heeft geen toegang meer tot hun IT-systemen na te zijn blootgesteld aan een gerichte ransomwareaanval. Bron

Nieuwe variant CrySiS Dharma ransomware

JakubKroustek ontdekt een nieuwe variant met extensie *.liz

Nieuwe variant Rapid ransomware

Dnwls0719 ontdekt een nieuwe variant met extensie *.lock

Nieuwe variant Hackbit ransomware

Xiaopao ontdekt een nieuwe variant met extensie *.PROM

Nieuwe variant SFile ransomware

Xiaopao ontdekt een nieuwe variant met extensie *.zuadr

18 maart 2020

FBI waarschuwt voor aanval met zogenaamde verkeersovertreding

De FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security waarschuwen voor een aanvalscampagne waarbij een zogenaamde verkeersovertreding wordt gebruikt voor het stelen van gevoelige informatie en het verspreiden van ransomware.

Vierhonderd Exchange-servers in België geïnfecteerd met malware

Van meer dan vierhonderd Exchange-servers in België staat vast dat ze geïnfecteerd zijn met malware, zo stelt het Centrum voor Cybersecurity België (CCB) van de Belgische overheid. De organisatie waarschuwde eerder deze week al voor een "tsunami aan cyberaanvallen" als gevolg van de kwetsbaarheden in de mailserversoftware van Microsoft.

Utrechts Archief deels offline als gevolg van ransomware-aanval

Het Utrechts Archief kampt als gevolg van een ransomware-aanval met een gedeeltelijke ict-verstoring en zag zich genoodzaakt om het online archief tijdelijk offline te halen. De herstel- en onderzoekswerkzaamheden naar de aanval zullen naar verwachting enkele weken in beslag nemen. Volgens het Utrechts Archief zijn erop dit moment geen aanwijzingen dat er als gevolg van de aanval gegevens verloren zijn gegaan. Ook is nog niet vastgesteld dat de aanvallers gegevens hebben gestolen. De aanval is wel gemeld bij de Autoriteit Persoonsgegevens. Daarnaast zal het Utrechts Archief aangifte bij de politie doen. Hoe de aanval kon plaatsvinden is niet bekendgemaakt. Er zal nog een onderzoek naar het incident worden ingesteld.

Douglas County (VS) doelwit als onderdeel van een internationale cyberaanval

De servers van Douglas County behoorden tot de duizenden servers die het doelwit waren van een cyberaanval door een groep uit China. Het was een internationale aanval die op 2 maart plaatsvond en misbruik maakte van een zwakte in Microsoft-servers, zei Brad Hudson, manager managementinformatiesystemen van Douglas County. De aanval vereiste dat Hudson van vrijdag tot en met zondag de servers van Douglas County moest bijwerken. De provincie heeft geen gegevens verloren, maar het kostte veel tijd om te reageren. Lees verder

De REvil ransomware heeft een nieuwe 'Windows Veilige modus' versleutelingsmodus

De REvil ransomware-operatie heeft een nieuwe mogelijkheid toegevoegd om bestanden te versleutelen in Windows Veilige Modus, waardoor detectie door beveiligingssoftware waarschijnlijk wordt omzeild. 

De politie (D) doet onderzoek naar de cyberaanval op verf fabrikanten

Tot nu toe hebben onbekende daders een cyberaanval gepleegd op chemiebedrijf Remmers uit Löningen. Dit meldt NDR 1 Nedersaksen. De lak- en verffabrikant uit de wijk Cloppenburg moest daarom grote delen van zijn productie stopzetten. Inmiddels zijn delen van het systeem weer opgestart, zei een woordvoerder van het bedrijf 's middags. De politie doet ook onderzoek. Tot nu toe wilde het bedrijf geen nadere informatie geven over de mogelijke daders en de motieven voor het misdrijf om het onderzoek niet te verstoren. Remmers heeft ongeveer 1.500 medewerkers, waarvan de meeste op het hoofdkantoor in Löningen. Bron

Door een cyberaanval moest Eastern Health, een van de grootste openbare gezondheidsdiensten van Australië, verschillende operaties uitstellen.

Na de cyberaanval op de servers van het Australische ziekenhuis, die plaatsvond in de vroege uren van dinsdag 17 maart, werden alle minder urgente operaties geclassificeerd als "Categorie 2 en 3" opgeschort, zo luidt een verklaring van het Management. Ziekenhuis , terwijl die van "Categorie 1" die niet kunnen worden uitgesteld, zijn ingevuld.

Nieuwe variant PewPew ransomware

Amigo-A ontdekt een nieuwe variant met extensie *.optimus

Nieuwe variant Stopp Djvu ransomware

Dnwls0719 ontdekt een nieuwe variant met extensie *.enfp

19 maart 2020

Door ransomware-software te installeren, houden ze de organisatie in hun greep

De Autoriteit Persoonsgegevens heeft de afgelopen weken 75 meldingen van datalekken ontvangen die zijn veroorzaakt door inbraken op Microsoft Exchange-servers. De toezichthouder verwacht dat het werkelijke aantal datalekken veel hoger ligt en veel inbraken nog niet door organisaties zijn ontdekt.

Ransomwaregroep claimt succesvolle aanval op computerfabrikant Acer

De groep criminelen achter de REvil-ransomware claimt dat het een succesvolle aanval op computerfabrikant Acer heeft uitgevoerd. Voor het ontsleutelen van de data vraagt de ransomwaregroep omgerekend 50 miljoen dollar, zo blijkt uit een screenshot van de REvil-website dat door onderzoeker Marcelo Rivero van Malwarebytes op Twitter werd gedeeld.

Cyberaanval: $ 50 miljoen aan losgeld geëist van Acer

Exploitanten van de Revil-ransomware, ook wel bekend als Sodinokibi, hebben Acer toegevoegd aan de lijst met slachtoffers. Ze geven Acer nog 9 dagen de tijd om te onderhandelen, anders verdubbelen ze hun eisen. Lees verder

Cyberaanval brengt de werking van Celg-GT-applicaties en -bestanden uit Brazilië in gevaar

Celg Geração e Transmissão (Celg GT) bevestigd dat het 's nachts een cyberaanval heeft ondergaan waardoor toegang tot het volledige bedrijfsnetwerk van applicaties en bestanden is gecompromitteerd. Bron

Ransomware statistieken voor 2020: jaar samengevat

2020, het jaar van de pandemie, was opnieuw een lucratief jaar voor ransomware. Terwijl landen over de hele wereld probeerden de verspreiding van het virus te vertragen, probeerden cybercriminelen te profiteren van de chaos. Bron

Nieuwe variant SFile ransomware

Xiaopao ontdekt een nieuwe variant met extensie *.Technomous-zbtrqyd

20 maart 2020

Cybercrime in de VS (Internet Crime Report 2020)

Ransomware eiste eveneens de nodige slachtoffers in de VS. Hackers infiltreren het bedrijfsnetwerk van een organisatie. Als ze voldoende privileges aan zichzelf hebben toegekend, installeren ze gijzelsoftware op de servers. De software steelt en vergrendelt zoveel mogelijk bedrijfsgevoelige informatie als ze maar kan. De bestanden zijn versleuteld, wat betekent dat medewerkers er niet langer bij kunnen. Pas als de getroffen organisatie losgeld betaalt, wordt de decryptiesleutel overhandigd. Het IC3 ontving afgelopen jaar 2.474 klachten over ransomware. Totale schade: 29,1 miljoen dollar. Lees verder

Nieuwe variant Thanos ransomware

MalwareDev ontdekt een nieuwe variant met extensie *.skyland

21 maart 2020

De serviceprovider van Nunavut-scholen wordt aangevallen door ransomware

Het ministerie van Onderwijs van Nunavut heeft bevestigd dat er een ransomwareaanval heeft plaatsgevonden bij de serviceprovider voor het schoolinformatiesysteem van het gebied dat cijfers, aanwezigheid en inschrijving van leerlingen opslaat. Lees verder

REvil publiceert eerste documenten Acer

De ransomwaregroep Sodinokibi (REvil) publiceert op zijn website, binnen de Tor-netwerken, de eerste documenten die tijdens een recente cyberaanval van Acer zijn gestolen. Lees verder

Ontdekking slachtoffer lijst Ransomware

Tijdens mijn onderzoek op het Darkweb ontdek ik een lijst met maar liefst 1714 ransomware slachtoffers!

PS: Als je de volledige lijst wil ontvangen, laat het ons dan weten via de Cybercrimeinfo.nl Chat.

Met speciale dank aan: anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.

Identificeren van Ransomware

Upload een ransom bericht en/of een geëncrypteerd bestand om de ransomware te identificeren die uw bestanden heeft geëncrypteerd (versleuteld).

Ransomware

Ransomware cyberaanvallen zijn een big business, zo groot zelfs dat onderzoek verwacht dat een bedrijf elke 11 seconden wordt aangevallen door een cybercrimineel  en dat de schade als gevolg van deze aanvallen tegen 2021 ongeveer 20.000.000.000.000,- (20 biljoen) dollar zal bedragen .

Wat is Ransomware?

Ransomware is software waarmee de computer wordt ‘gegijzeld’. Het slachtoffer kan niet meer bij zijn persoonlijke bestanden. Bij het opstarten van de computer verschijnt een melding dat een bedrag betaald moet worden om weer toegang te krijgen. Wil je meer weten over Ransomware, dan kun je hier verder lezen.

Doxware

Wat is Doxware?

Doxware is een soort ransomware die persoonlijke gegevens aan het publiek dreigt vrij te geven als de gebruiker het losgeld niet betaalt.

De term komt van de hacker-term 'doxing' of het vrijgeven van vertrouwelijke informatie via internet. Doxware-aanvallen infecteren computers vaak via phishing-e-mails. Meer weten over doxware, dan kun je hier verder lezen.

Advies

  1. Installeer een goede virusscanner.
  2. Houd alle software up-to-date, waaronder besturingssysteem, internetbrowser, browser aanvullingen en populaire programma's, zoals Adobe Reader. Met ScanCircle zie je snel hoe je pc ervoor staat. Voor software als Adobe Flash en Java is uitschakelen aan te raden.
  3. Klik niet op bijlagen en links in e-mails, tenzij je zeker weet dat het vertrouwd is. Twijfel je, kijk dan op de Opgelicht website of de e-mail daar voorkomt. Zo niet, wacht dan een dag en controleer nogmaals of stuur hem door naar digitaalgids@consumentenbond.nl voor uitsluitsel. 
  4. Schakel geen macro's bij Office-documenten van derden, zeker niet als daar in het document om wordt gevraagd.
  5. Ransomware is vaak een uitvoerbaar .exe-bestand, vermomd als ander soort bestand, bijvoorbeeld een pdf-document. Schakel  bestandsextensies weergeven, zodat je de vermomming kunt doorzien.
  6. En tenslotte: back-ups maken! Dat is sowieso verstandig, maar bij ransomware-besmetting vaak het enige redmiddel om verlies van al je gegevens te voorkomen.

Wilt u weten hoe uw digitale veiligheid is? Doe dan hier de test en ontvang uw test score. (.../10)

Meer weekoverzichten

Ransomware berichten

Alle blogs