Ransomware weekoverzicht 17-2021

Gepubliceerd op 3 mei 2021 om 15:00

Amerikaanse politie bevestigt cyberaanval nadat ransomware bende gegevens heeft gelekt, spear ransomware aanvallen nemen flink toe en de ransomware criminelen van Babuk stappen over op Doxware. Hier het overzicht van de nieuwste ransomware vormen en het nieuws van dag tot dag.

26 april

USA: Politie bevestigt cyberaanval nadat ransomware-bende gegevens heeft gelekt

De Metropolitan Police Department heeft bevestigd dat ze een cyberaanval hebben ondergaan nadat de Babuk-ransomwarebende screenshots van gestolen gegevens had gelekt. "We zijn ons bewust van ongeautoriseerde toegang tot onze server. Terwijl we de volledige impact bepalen en activiteiten blijven beoordelen, hebben we de FBI ingeschakeld om deze zaak volledig te onderzoeken." - Metropolitan Police Department.

Bron: darkweb

Ransomware-bende waarschuwt nu dat ze nieuwe Apple-logo's en iPad-plannen zullen lekken

De REvil-ransomware-bende heeft op mysterieuze wijze Apple's schema's van hun dataleksite verwijderd nadat ze Quanta privé hadden gewaarschuwd dat ze tekeningen voor de nieuwe iPad en nieuwe Apple-logo's zouden lekken. Eerder deze maand voerde de ransomwarebende een aanval uit op Quanta, een in Taiwan gevestigde Original Design Manufacturer (ODM) die helpt bij de productie van de Apple Watch, Apple Macbook Air en Apple Macbook Pro.

Bron: darkweb

DEU: Cyberaanval op kruidenier Tegut

Niet-geïdentificeerde personen hebben een cyberaanval gepleegd op het IT-netwerk van kruidenier Tegut. Alle IT-netwerksystemen op het hoofdkantoor werden vervolgens conform het noodplan afgesloten en uit het netwerk gehaald. Dit heeft onder meer invloed op de merchandise management programma's die de dispositie in de logistiek beheersen. Dit kan soms leiden tot knelpunten in de beschikbaarheid van goederen. Bron

NOR: Ransomware-aanval op Nordlo schakelde de ziektesignaleringssystemen van Vakt og Alarm in verschillende zorginstellingen uit

Nordlo is een leverancier van digitalisering en beheerde IT-diensten in Noorwegen en Zweden. VG meldt dat een ransomwareaanval op het kantoor van het bedrijf in Haugesund op vrijdag ook Vakt og Alarm AS heeft getroffen . Vakt og Alarm biedt alarm-, communicatie- en beveiligingsoplossingen voor zorg en open instellingen. Nordlo bevindt zich in het datacenter van Vakt og alarm. Bron

AUS: Ziekenhuizen en ouderen zorgcentra in Queensland zijn verlamd door een cyberaanval

Meerdere ziekenhuizen en ouderen zorgcentra in Queensland zijn verlamd door een cyberaanval, wat heeft geleid tot verschillende verstoringen van interne systemen. Het volledige interne IT-systeem van UnitingCare Queensland werd aangevallen door ransomware-software, waarbij alle UCQ-ziekenhuizen en bejaardenhuizen tot nader order zonder IT-systemen zitten. Bron

Accellion-datalekken drijven de gemiddelde losgeldprijs op

De datalekken veroorzaakt door de Clop-ransomwarebende die misbruik maakt van een zero-day-kwetsbaarheid, hebben geleid tot een sterke stijging van het gemiddelde losgeld dat wordt berekend voor de eerste drie maanden van het jaar. De aanvallen van Clop versleutelden geen enkele byte, maar stalen gegevens van grote bedrijven die vertrouwden op de legacy File Transfer Appliance (FTA) van Accellion en probeerden ze af te persen met hoge eisen aan losgeld. De incidenten begonnen in december 2020 en duurden voort in januari 2021. In februari was Clop al begonnen met het publiceren van gegevens van slachtoffers die weigerden hen te betalen. Bron

ITA: Cyberaanval op het farmaceutische bedrijf Zambon

Vorige week stond de productie van het farmaceutisch bedrijf Zambon vijf dagen stil door een cyberaanval . De activiteit zijn opgeschort in de fabriek van Vicenza waar 217 mensen werken. Bron

ITA: Het farmaceutische bedrijf Mipharm SPA slachtoffer van een hackeraanval

De groep cybercriminelen Sodinokibi (REvil) heeft enkele screenshots gepubliceerd van de gegevens die tijdens de cyberaanval zijn gestolen op de servers van het Milanese farmaceutische bedrijf. Bron

JAP: Ransomware criminelen REvil beweren Kajima corp te hebben gehackt en lekken data op het Darkweb

JAP: Storing bij Nissan in het online handelssysteem als gevolg van cyberaanval

Nissan Securities heeft een verklaring uitgegeven waarin wordt onthuld dat het op 25 april 2021 ongeautoriseerde toegang heeft ondervonden. De verklaring luidt als volgt. "Sinds 25 april 2021 is het online handelssysteem (handel in opties / futures op aandelenindexen, klik 365, klik aandelen 365) beschadigd door ongeautoriseerde toegang door een derde partij. Als gevolg van deze storing is het netwerk met betrekking tot het online handelssysteem afgesloten en worden er herstelwerkzaamheden uitgevoerd. Op dit moment hebben we geen nadelig effect op onze andere netwerken (inclusief onze website) of online handelssysteem of het lekken van klantinformatie bevestigd. Onze excuses voor het ongemak voor alle betrokken partijen. We houden je op de hoogte over de toekomstige situatie."

USA: Guilderland Central Schools getroffen door malware-aanval

Vorige week werd een van de velen in New York getroffen scholen besmet met een malware aanval. Bron

Nieuwe variant Conti ransomware

Dnwls0719 ontdekt een nieuwe variant met extensie *.ALNBR

Nieuwe variant Phobos ransomware

PCrisk ontdekt een nieuwe variant met extensie *.lookfornewitguy

27 april

FRA: Savoie: Stadhuis Bourg-Saint-Maurice doelwit van cyberaanval

Afgelopen weekend waren de computerservers van de stad Bourg-Saint-Maurice - Les Arcs het doelwit van een cyberaanval. "Het vereiste de sluiting van de servers en de applicaties", legt Guillaume Desrues de burgemeester van de stad uit in een persbericht dat op dinsdag 27 april werd gepubliceerd. Bron

Ransomware: Revil ketent slachtoffers ... die niet betalen

De REvil-groep aan het roer van de Sodinokibi-ransomware is een hit met het aantal ransomware slachtoffers. Recentelijk Acer, Quanta, en indirect daarmee Apple. Maar er zijn ook een aantal mislukkingen. Bron

De kosten van ransomware in 2021: een analyse per land

De onderstaande statistieken tonen de verwoestende economische tol die ransomware op een aantal belangrijke markten heeft geëist. De gegevens omvatten losgeld, de kosten van downtime en de totale wereldwijde kosten van ransomware, evenals afzonderlijke statistieken gericht op de publieke en private sector. Bron

28 april

Kwetsbare SharePoint-servers doelwit van ransomware-aanvallen

Criminelen maken gebruik van een ruim twee jaar oude kwetsbaarheid in SharePoint om servers met ransomware te infecteren, wat aantoont dat nog altijd veel organisaties de beschikbare beveiligingsupdate niet hebben geïnstalleerd, zo waarschuwt antivirusbedrijf Trend Micro. De kwetsbaarheid, aangeduid als CVE-2019-0604, werd in februari en maart 2019 door Microsoft gepatcht. Door een speciaal geprepareerde SharePoint-appplicatie naar een SharePoint-server te uploaden kan een aanvaller willekeurige code op de server uitvoeren.

Hello Ransomware Uses Updated China Chopper Web Shell
PDF – 1,0 MB 400 downloads

Spear ransomware aanvallen neemt flink toe

"De teller van het aantal organisaties dat slachtoffer is geworden van ransomware staat op 28 april 2021 maar liefst op 2.031." aldus Darktracer en Cybercrimeinfo. De meeste bedrijven proberen een cyberaanval af te doen met een storing, waardoor het daadwerkelijke aantal slachtoffers niet of nauwelijks het nieuws haalt. Lees verder

ENG: Het Britse spoorwegnet Merseyrail getroffen door Lockbit-ransomware

Het Britse spoorwegnet Merseyrail heeft een cyberaanval bevestigd. Merseyrail is een Brits spoorwegnet dat treindiensten biedt via achtenzestig stations in de regio Liverpool City in Engeland. "We kunnen bevestigen dat Merseyrail onlangs het slachtoffer was van een cyberaanval. Een volledig onderzoek is gestart en wordt voortgezet. In de tussentijd hebben we de relevante autoriteiten op de hoogte gebracht", vertelde Merseyrail gisteren. Bron

FRA: Ardennen Invicta Group slachtoffer van een cyberaanval

Volgens de getuigenis van een werknemer zou het op zondag hebben plaatsgevonden, aangezien hij via een sms op de hoogte werd gebracht van de tijdelijke werkonderbreking. "De cyberaanval treft een aantal servers en had de impact van een tijdelijke stopzetting van activiteiten op ons initiatief", bevestigt het bedrijf in een persbericht aan L'Ardennais. De gieterij van Vivier-au-Court, en waarschijnlijk het hoofdkantoor van Donchery, is sinds maandagochtend verlamd. De 250 werknemers zijn technisch werkeloos door de cyberaanval tot alle computersystemen weer online zijn, hopelijk "zo snel mogelijk"Bron

Nieuwe variant CrySiS Dharma ransomware

Dnwls0719 ontdekt een nieuwe variant met extensie *.cum

29 april

Ransomware Task Force wil meldplicht bij betalen van losgeld ransomware

De Ransomware Task Force die onlangs door de Amerikaanse overheid werd gelanceerd heeft een eerste framework gepubliceerd voor de aanpak van ransomware. Zo zouden organisaties moeten worden verplicht om het betalen van losgeld bij ransomware te melden bij de overheid, moeten organisaties verplicht eerst alternatieven overwegen voordat ze tot de betaling overgaan en moet cryptovaluta strenger worden gereguleerd.

IST Ransomware Task Force Report
PDF – 2,0 MB 342 downloads

QNAP waarschuwt voor AgeLocker-ransomware die NASsen versleutelt

QNAP heeft eigenaren van een NAS-systeem gewaarschuwd voor een variant van de AgeLocker-ransomware die data op de apparaten versleutelt. Onlangs werden QNAP-NASsen ook al doelwit van de Qlocker-ransomware die honderden systemen infecteerde. Verdere details over de ransomware zijn nog niet gegeven. QNAP stelt dat het onderzoek nog gaande is.

QNAP Investigating
PDF – 59,1 KB 345 downloads

CAN: Whistler resort gemeente getroffen door ransomware aanval

De gemeente Whistler in British Columbia, Canada, is getroffen door een cyberaanval door een nieuwe ransomware-operatie. De Resort Municipality of Whistler (RMOW) is een resort gemeenschap met ongeveer 12.000 inwoners en meer dan drie miljoen bezoekers per jaar. Het skigebied staat ook bekend om het skigebied Whistler Blackcomb, waar tijdens de Olympische Winterspelen van 2010 de alpineskiën plaatsvonden. Bron

BRA: Het Braziliaanse Rio Grande do Sul-rechtssysteem is getroffen door de REvil-ransomware

Het Braziliaanse Tribunal de Justiça do Estado do Rio Grande do Sul werd gisteren getroffen door een REvil ransomware-aanval die de bestanden van de werknemers versleutelde en de rechtbanken dwong hun netwerk te sluiten. Hof van Justitie van de staat Rio Grande do Sul (TJRS) is het rechtssysteem voor de Braziliaanse staat Rio Grande do Sul.

ITA: BCC Roma lijdt aan een cyberaanval die 188 takken treft

Banco di Credito Cooperativo (BCC Roma) is een van de grootste coöperatieve kredietbanken in Italië. Nu meldt Andrea Grecodat operaties dat 188 vestigingen zijn getroffen door een cyberaanval.

FRA: Baclesse verbreekt de internetverbinding om de verspreiding van een computerworm te voorkomen

Het Centre François Baclesse is een van de drie protontherapiecentra voor kankerbestrijding in Frankrijk. Deze week moesten ze ook vechten tegen een cyberaanval door harteloze criminelen. Gelukkig lijkt hun recente investering in het verbeteren van hun cybersecurity zijn vruchten af ​​te werpen. Op 28 april gaf het centrum de volgende verklaring af op hun website

Nieuwe CryBaby ransomware

Malwrhunterteam ontdekt een nieuwe 'CryBaby' ransomware

Nieuwe variant Phobos ransomware

PCrisk ontdekt een nieuwe variant met extensie *.XHAMSTER

30 april

De ransomware criminelen van Babuk stappen over op Doxware

Babuk stopt met ransomware-encryptie (ransomware) en richt zich op afpersing van gegevensdiefstal (Doxware). Bron: darkweb

DUI: De technische universiteit van Berlin slachtoffer van ransomware aanval

Een aanval op de Windows-omgeving van de TU Berlin eerder vandaag, 30 april 2021, heeft ervoor gezorgd dat het systeem van de universiteit is uitgevallen. De impact van de aanval blijft onduidelijk. Bron

1 mei

Zerodaylek in SonicWall-vpn gebruikt voor verspreiding ransomware

Criminelen hebben begin dit jaar een zerodaylek in een vpn-oplossing van netwerkbeveiliger SonicWall gebruikt voor de verspreiding van ransomware voordat een beveiligingsupdate beschikbaar was. Verschillende organisaties raakten zo met ransomware besmet en werden door de criminelen afgeperst, meldt securitybedrijf FireEye. Deze aanvallen vonden in januari en februari van dit jaar plaats.

Fire Eye Threat Research
PDF – 2,8 MB 400 downloads

Ransomware-aanval op cloudprovider Swiss Cloud raakt duizenden klanten

Een ransomware-aanval op de Zwitserse cloudprovider Swiss Cloud heeft duizenden klanten van het bedrijf geraakt die geen gebruik meer van de systemen en diensten kunnen maken. De aanval, die volgens de provider gericht was, vond afgelopen dinsdag plaats en zorgde ervoor dat delen van de infrastructuur uitvielen en 6500 klanten geen toegang meer tot de diensten van Swiss Cloud hebben (pdf).

UPDATE Swisscloud Cyberattack 210430
PDF – 89,1 KB 292 downloads

ENG: Colchester Institute krijgt te maken met cyberaanval

Het onderwijs wordt al lang erkend als een relatief gemakkelijk doelwit voor criminelen. Nu is het Colchester Institute in het VK ten prooi gevallen aan een cyberaanval. De aanval werd voor het eerst aangekondigd op 29 april, maar had eerder in de week plaatsgevonden. 

TUR: Cyberaanval tegen het bedrijf dat de Çanakkale-brug uit 1915 bouwde ... Gegevens van 20 duizend mensen werden getroffen

Het bedrijf, dat ook het Çanakkale Bridge-project uit 1915 in Çanakkale uitvoerde, werd aangevallen door cyberaanvallen. Sommige servers en bestanden van het bedrijf zijn gecodeerd met ransomware. Er werd aangekondigd dat gegevens van 20 duizend mensen werden getroffen door de aanval. Bron

2 mei

Iraanse hackers hebben H&M Israël getroffen terwijl lokale firma's een nieuwe golf van cyberaanvallen bestrijden

Israël bevindt zich midden in een nieuwe golf van cyberaanvallen, ongeveer zes maanden nadat meer dan 80 Israëlische bedrijven het doelwit waren van een reeks ransomware aanvallen die volgens experts ideologisch en niet financieel gemotiveerd waren. Bron

IND: Gegevens gestolen van de overheidsscholen van Sector 23

Hacker steelt en beschadigd data van de computersystemen van de overheidsscholen district 23. Bron

Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.

Identificeren van Ransomware

Upload een ransom bericht en/of een geëncrypteerd bestand om de ransomware te identificeren die uw bestanden heeft geëncrypteerd (versleuteld).

Ransomware

Ransomware cyberaanvallen zijn een big business, zo groot zelfs dat onderzoek verwacht dat een bedrijf elke 11 seconden wordt aangevallen door een cybercrimineel  en dat de schade als gevolg van deze aanvallen tegen 2021 ongeveer 20.000.000.000.000,- (20 biljoen) dollar zal bedragen .

Wat is Ransomware?

Ransomware is software waarmee de computer wordt ‘gegijzeld’. Het slachtoffer kan niet meer bij zijn persoonlijke bestanden. Bij het opstarten van de computer verschijnt een melding dat een bedrag betaald moet worden om weer toegang te krijgen. Wil je meer weten over Ransomware, dan kun je hier verder lezen.

Doxware

Wat is Doxware?

Doxware is een soort ransomware die persoonlijke gegevens aan het publiek dreigt vrij te geven als de gebruiker het losgeld niet betaalt.

De term komt van de hacker-term 'doxing' of het vrijgeven van vertrouwelijke informatie via internet. Doxware-aanvallen infecteren computers vaak via phishing-e-mails. Meer weten over doxware, dan kun je hier verder lezen.

Advies

  1. Installeer een goede virusscanner.
  2. Houd alle software up-to-date, waaronder besturingssysteem, internetbrowser, browser aanvullingen en populaire programma's, zoals Adobe Reader. Met ScanCircle zie je snel hoe je pc ervoor staat. Voor software als Adobe Flash en Java is uitschakelen aan te raden.
  3. Klik niet op bijlagen en links in e-mails, tenzij je zeker weet dat het vertrouwd is. Twijfel je, kijk dan op de Opgelicht website of de e-mail daar voorkomt. Zo niet, wacht dan een dag en controleer nogmaals of stuur hem door naar digitaalgids@consumentenbond.nl voor uitsluitsel. 
  4. Schakel geen macro's bij Office-documenten van derden, zeker niet als daar in het document om wordt gevraagd.
  5. Ransomware is vaak een uitvoerbaar .exe-bestand, vermomd als ander soort bestand, bijvoorbeeld een pdf-document. Schakel  bestandsextensies weergeven, zodat je de vermomming kunt doorzien.
  6. En tenslotte: back-ups maken! Dat is sowieso verstandig, maar bij ransomware-besmetting vaak het enige redmiddel om verlies van al je gegevens te voorkomen.

Wilt u weten hoe uw digitale veiligheid is? Doe dan hier de test en ontvang uw test score. (.../10)

Meer weekoverzichten

Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »

Ransomware nieuws

Alle het nieuws