Vierhonderd organisaties door Conti-ransomware aangevallen, Toyota slachtoffer cyberaanval en verzekeraar CNA betaalde ransomware groep 40 miljoen dollar losgeld. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
23 mei
Slachtoffer | Cybercriminele organisatie | Datum |
---|---|---|
UNIQUE TOOLING PTY LTD | LV | 2021-05-23 |
Agile Property Holdings | Sodinokibi (REvil) | 2021-05-23 |
Cybercriminelen bieden data van Air India aan voor $ 3000 op het Darkweb
Cybercriminelen bieden data van Dominos India aan voor $ 1000 op het Darkweb
22 mei
Slachtoffer | Cybercriminele organisatie | Datum |
---|---|---|
Saipa Press | Nefilim | 2021-05-22 |
TPG Internet | Nefilim | 2021-05-22 |
Angstrom automotive group | Sodinokibi (REvil) | 2021-05-22 |
FBI: vierhonderd organisaties door Conti-ransomware aangevallen
De groep criminelen achter de Conti-ransomware heeft wereldwijd meer dan vierhonderd organisaties aangevallen, waarvan zich er 290 in de Verenigde Staten bevinden, zo stelt de FBI. Het gaat onder andere om zorginstellingen, gemeenschappen en politiediensten. De Ierse nationale gezondheidszorg HSE werd onlangs nog slachtoffer van de Conti-ransomware, wat gevolgen had voor de dienstverlening aan patiënten. Voor het ontsleutelen van bestanden eist de groep bedragen tot wel 25 miljoen euro.
Cyberveiligheid: België als vogeltje voor de kat
Op 4 mei 2021 kreeg Belgie een ongeziene cyberaanval te verduren. Het Belgische bedrijf Belnet dat internetverkeersdiensten levert aan verschillende overheids- en onderwijsinstellingen, TaxOnWeb, MyMinFin en vele andere diensten werden getroffen. Zo lagen ook enkele boekingssites van vaccinatiecentra een tijdlang plat. Zelfs enkele zittingen in het parlement werden geschorst. De desbetreffende aanval was een DDOS aanval. Bij dat soort aanvallen worden sites bestookt met berichten van over de hele wereld. Dit gaat door totdat de website overbelast geraakt en niet meer beschikbaar is. Lees verder
21 mei
Toyota slachtoffer cyberaanval
De eerste trof de Europese activiteiten van haar dochteronderneming Daihatsu Diesel Company, een bedrijfsentiteit van Toyota die motoren ontwerpt. In een verklaring [pdf] van 16 mei zei Daihatsu dat het "op 14 mei 2021 een probleem had met de toegang tot zijn bestandsserver in het interne systeem."
サイバー攻撃でトヨタ車体子会社も情報流出 #モーサテ pic.twitter.com/CWkSAZhJjT
— 世界四季報 (@4ki4) May 19, 2021
'Verzekeraar CNA betaalde ransomwaregroep 40 miljoen dollar losgeld'
Verzekeringsmaatschappij CNA heeft de groep criminelen die het netwerk met ransomware infecteerde veertig miljoen dollar losgeld betaald voor het ontsleutelen van bestanden. Het zou mogelijk om het hoogste losgeld gaan dat voor zover bekend bij een ransomware-aanval is betaald. Dat laten bronnen tegenover persbureau Bloomberg weten.
Ransomware infecteert QNAP-systemen via lek in Hybrid Backup Sync
NAS-systemen van fabrikant QNAP die een kwetsbare versie van Hybrid Backup Sync (HBS 3) draaien zijn sinds de week van 19 april het doelwit van ransomware-aanvallen. Daarvoor waarschuwt de NAS-fabrikant in een security advisory. HBS 3 is een oplossing voor het maken en terugplaatsen van back-ups. Het ondersteunt een groot aantal lokale, remote server en cloudopslagdiensten.
Meerdere QNAP-gebruikers vonden dat ze niet goed door de NAS-fabrikant werden geholpen. Het ging onder andere om lange wachttijden voor de helpdesk. Vandaag komt QNAP met een update over de aanvallen door Qlkocker en stelt dat de ransomware misbruik maakt van het eerder genoemde lek in HBS 3. Gebruikers wordt dan ook opgeroepen om naar een nieuwere versie van de software te updaten.
Ierse rechter verbiedt ransomwaregroep om gestolen patiëntdata te publiceren
Het Ierse hooggerechtshof heeft de groep achter de Conti-ransomware verboden om gegevens die bij de Ierse nationale gezondheidszorg zijn gestolen te delen, verwerken, verkopen of publiceren. De Health Service Executive (HSE) liet het hof weten dat mogelijk alle data die het bezit gecompromitteerd is. De aanvallers, die de gezondheidszorg inmiddels een decryptietool hebben gegeven voor het ontsleutelen van de data, eisen twintig miljoen dollar om publicatie van de gestolen gegevens te voorkomen. De aanvallers hebben naar eigen zeggen zevenhonderd gigabyte aan data buitgemaakt.
Het gerechtelijke bevel is gericht tegen "onbekende personen". Naast het verbod om de gestolen data te openbaren of verspreiden, worden de aanvallers ook verplicht om zichzelf te identificeren door hun namen, adresgegevens en e-mailadressen te verstrekken. Het primaire doel van het bevel is om legitieme it-providers, zoals Google en Twitter, duidelijk te maken dat verspreiding van de gegevens niet is toegestaan, zo melden de Irish Examiner en de Independent.
DarkSide-partners claimen de bitcoin-storting van de bende op het hackerforum
Sinds de DarkSide-ransomware-operatie een week geleden werd stopgezet, hebben meerdere partners geklaagd over het feit dat ze niet zijn betaald voor eerdere services en hebben ze een claim ingediend voor bitcoins in escrow op een hackerforum. Russisch-talige cybercriminele gemeenschappen hebben doorgaans een escrow-systeem om oplichting tussen verkopers en kopers te voorkomen. Voor ransomware-operaties is de aanbetaling een duidelijke verklaring dat ze big business betekenen.
Criminals are still submitting claims to DarkSide Ransomware.https://t.co/lVlUW6bEJm pic.twitter.com/MEJxgLqrAb
— 3xp0rt (@3xp0rtblog) May 20, 2021
20 mei
Slachtoffer | Cybercriminele organisatie | Datum |
---|---|---|
FEBANCOLOMBIA | Avaddon | 2021-05-20 |
Cube Audit Ltd | Avaddon | 2021-05-20 |
Halwani Bros Ltd | Avaddon | 2021-05-20 |
Rate Rabbit Inc | Avaddon | 2021-05-20 |
JetSJ | Avaddon | 2021-05-20 |
Maryan beachwear group GmbH | Avaddon | 2021-05-20 |
360 InStore | Avaddon | 2021-05-20 |
PKMK law&finance s.r.o | Avaddon | 2021-05-20 |
SOLVERE LLC | Avaddon | 2021-05-20 |
RINGSPANN GmbH | Avaddon | 2021-05-20 |
PT. Realta Chakradarma | Conti | 2021-05-20 |
Multifeeder | Lorenz | 2021-05-20 |
Commport Communications | Lorenz | 2021-05-20 |
STEMCOR | RansomEXX | 2021-05-20 |
Ash Industries, Inc. | Conti | 2021-05-20 |
Cairns Marine | Conti | 2021-05-20 |
Cable Color S.A. de C.V. | Conti | 2021-05-20 |
B.P. MITCHELL HAULAGE CONTRACTORS LIMITED | Conti | 2021-05-20 |
Bartec Gmbh | Conti | 2021-05-20 |
Birtcher Anderson & Davis Associates, Inc. | Conti | 2021-05-20 |
Electronic Environments Co. LLC | Conti | 2021-05-20 |
Creative Liquid Coatings, Inc | Conti | 2021-05-20 |
cardinalmfg.com | LV | 2021-05-20 |
RPE CONTRACTING | Conti | 2021-05-20 |
Michael Stevens Interests, Inc. | Conti | 2021-05-20 |
MHA MacIntyre Hudson | Conti | 2021-05-20 |
Frank G. Love Envelopes, Inc. | Conti | 2021-05-20 |
ResCon Group | Conti | 2021-05-20 |
Vendrig Holding B.V. | Conti | 2021-05-20 |
TURLA SRL | Conti | 2021-05-20 |
TELCAL srl | Conti | 2021-05-20 |
Sanger & Altgelt Insurance Agents | Conti | 2021-05-20 |
Ransomwaregroep dreigt met publicatie van Ierse patiëntgegevens
De groep achter de Conti-ransomware die onlangs de systemen van de Ierse nationale gezondheidszorg versleutelde dreigt honderden gigabytes aan patiëntgegevens te zullen publiceren of verkopen tenzij de Ierse overheid twintig miljoen dollar betaalt. Als bewijs van de datadiefstal zijn van enkele patiënten al de gegevens online gezet, melden The Journal, Bloomberg en de Financial Times. Vanwege de aanval is de dienstverlening aan patiënten nog altijd verstoord en kunnen meerdere ziekenhuizen geen radiotherapie bieden.
'Honderden QNAP-gebruikers betalen losgeld na ransomware-infectie'
Honderden mensen met een NAS-systeem van fabrikant QNAP hebben het losgeld betaald nadat hun apparaat met ransomware besmet raakte. De NAS-systemen raakten door middel van verschillende bekende kwetsbaarheden met de Qlocker-ransomware geïnfecteerd. Deze ransomware versleutelt bestanden en eist 0,01 bitcoin voor het ontsleutelen van de data.
In de vier weken dat de ransomware actief is hebben bijna negenhonderd mensen bij elkaar zo'n 350.000 dollar betaald om hun bestanden terug te krijgen, zo stelt Bleeping Computer op basis van de bitcoin-wallets die de aanvallers gebruikten. Het bedrag kan mogelijk hoger liggen als er ook nog andere bitcoin-wallets zijn gebruikt.
Colonial Pipeline bevestigt betalen van 4,4 miljoen dollar losgeld
De Colonial Pipeline Company heeft bevestigd dat het de criminelen achter de recente ransomware-aanval 4,4 miljoen dollar losgeld heeft betaald voor het ontsleutelen van bestanden. "Ik weet dat het een zeer controversiële beslissing is", laat Colonial Pipeline-ceo Joseph Blount tegenover The Wall Street Journal weten. Volgens Blount was het geen eenvoudige beslissing. "Ik was er niet blij mee dat er geld naar dit soort mensen ging. Maar het was het juiste om te doen voor het land."
Microsoft: massale malware campagne levert nep-ransomware
De nieuwste versie van de op Java gebaseerde STRRAT-malware (1.5) werd vorige week verspreid via een enorme e-mailcampagne. Deze RAT is berucht om zijn ransomware-achtige gedrag waarbij de bestandsextensie .crimson aan bestanden wordt toegevoegd zonder ze daadwerkelijk te versleutelen.
The latest version of the Java-based STRRAT malware (1.5) was seen being distributed in a massive email campaign last week. This RAT is infamous for its ransomware-like behavior of appending the file name extension .crimson to files without actually encrypting them. pic.twitter.com/mGow2sJupN
— Microsoft Security Intelligence (@MsftSecIntel) May 19, 2021
Energy Hamburg terug met lokale programma’s na cyberaanval
Radiozender Energy Hamburg heeft de lokale programma’s weer hervat, nadat de radiozender vorige week was platgelegd door een cyberaanval. Sinds woensdag is de reguliere programmering weer te horen op der zender. Bron
19 mei
Slachtoffer | Cybercriminele organisatie | Datum |
---|---|---|
Finolex Cables Ltd. | Conti | 2021-05-19 |
empire physicians Medical Group | Conti | 2021-05-19 |
Iaffaldano, Shaw & Young LLP | Sodinokibi (REvil) | 2021-05-19 |
Eitan Medical | N3tw0rm | 2021-05-19 |
MountLocker ransomware gebruikt Windows API om door netwerken te worstelen
De MountLocker-ransomwarebewerking gebruikt nu Windows Active Directory-API's voor bedrijven om door netwerken te worstelen. MountLocker begon in juli 2020 te werken als een Ransomware-as-a-Service (RaaS) waar ontwikkelaars de leiding hebben over het programmeren van de ransomwaresoftware en betalingssite. Filialen worden gerekruteerd om bedrijven te hacken en hun apparaten te versleutelen. Deze week deelde MalwareHunterTeam een voorbeeld van wat werd verondersteld een nieuw uitvoerbaar bestand van MountLocker te zijn dat een nieuwe wormfunctie bevat waarmee het zich kan verspreiden en versleutelen naar andere apparaten op het netwerk.
No one seems to talking about MountLocker ransomware recently, while they keep updating it.
— MalwareHunterTeam (@malwrhunterteam) May 17, 2021
Most interesting probably recently is the "worm" feature...
cc @demonslay335 @VK_Intel pic.twitter.com/ENakgtwTLv
18 mei
Slachtoffer | Cybercriminele organisatie | Datum |
---|---|---|
Loudoun Mutual Insurance Company | Conti | 2021-05-18 |
ARWORLD | Conti | 2021-05-18 |
ENPOL LLC | Sodinokibi (REvil) | 2021-05-18 |
L.F. Manufacturing (LFM) Inc. | Conti | 2021-05-18 |
Hentzen Coatings, Inc. | Conti | 2021-05-18 |
HBD Industries, Inc. | Conti | 2021-05-18 |
Transports P. Fatton Inc. | Conti | 2021-05-18 |
DigiCon Technologies Limited | Conti | 2021-05-18 |
AZ INVESTIGATION | Conti | 2021-05-18 |
RIB GROUP | Conti | 2021-05-18 |
MOSS BROS GROUP | Conti | 2021-05-18 |
Mauffrey Group | Conti | 2021-05-18 |
LG CNS | Conti | 2021-05-18 |
Seifert Logistics Group | Conti | 2021-05-18 |
Riwega S.R.L. | Conti | 2021-05-18 |
OSF Healthcare System | XING LOCKER | 2021-05-18 |
'Grootste brandstofpijplijn in VS uitgeschakeld wegens zorgen over facturatie'
Het uitschakelen van de grootste brandstofpijplijn in de Verenigde Staten, wat bij duizenden tankstations voor tekorten zorgde, is gedaan wegens zorgen over de facturatie, zo laten bronnen tegenover CNN en journalist Kim Zetter weten. De ransomware-aanval tegen de Colonial Pipeline Company raakte het facturatiesysteem. De brandstofpijplijn zelf werd niet direct door de aanval getroffen.
Ransomware-aanval op Iers ministerie van Volksgezondheid afgeslagen
Niet alleen de Ierse gezondheidszorg was vorige week het doelwit van een ransomware-aanval, ook het Ierse ministerie van Volksgezondheid werd aangevallen. Deze laatste aanval kon echter worden afgeslagen. Dat meldt het Ierse National Cyber Security Centre (NCSC) in een rapport.
DarkSide-ransomware heeft in slechts negen maanden $ 90 (€73,8) miljoen "verdiend"
De DarkSide-ransomware-bende heeft de afgelopen negen maanden minstens €73,8 miljoen aan losgeld verzameld dat door zijn slachtoffers is betaald aan meerdere Bitcoin-portefeuilles. Ongeveer 10% van de winst kwam binnen een week van de aanval op slechts twee bedrijven, Colonial Pipeline het grootste oliepijpleidingsysteem in de Verenigde Staten en Brenntag een groot chemiedistributiebedrijf in Duitsland. Blockchain-analysebedrijf Elliptic vond en analyseerde losgeldbetalingen aan DarkSide uit 47 verschillende Bitcoin-portefeuilles. De transacties bedroegen in totaal iets meer dan €73,8 miljoen sinds oktober 2020.
Utrechts Archief eind mei weer online bereikbaar na cyberaanval: ‘Er wordt met man en macht aan gewerkt’
Het door een cyberaanval getroffen Utrechts Archief hoopt eind mei online weer geheel bereikbaar te zijn. En als de voorspelde versoepelingen vanwege corona doorgaan, zou de studiezaal aan de Alexander Numankade komende donderdag weer beperkt open mogen, laat directeur Chantal Keijsper weten. Bron
17 mei
Slachtoffer | Cybercriminele organisatie | Datum |
---|---|---|
Intermountain Farmers Association - IFA COUNTRY STORES | Conti | 2021-05-17 |
Tegut | Nefilim | 2021-05-17 |
The MADSACK Media Group | Nefilim | 2021-05-17 |
Experts: wijzigen van taalinstelling kan ransomware-infectie voorkomen
Door het wijzigen van de taal- en toetsenbordinstellingen van een computer kunnen infecties door ransomware worden voorkomen, zo stellen experts. Het is al jaren bekend dat verschillende malware-exemplaren, voordat ze een systeem infecteren, eerst de taal- en toetsenbordinstellingen controleren. Wanneer op het systeem de taalinstelling van bijvoorbeeld voormalige Sovjet-landen wordt aangetroffen schakelt de malware zichzelf uit.
Benzinetekort in Verenigde Staten door ransomware-aanval neemt af
Het benzinetekort aan de Amerikaanse oostkust als gevolg van de ransomware-aanval op de Colonial Pipeline Company is aan het afnemen, maar de situatie is nog altijd niet hersteld. De afgelopen dagen zaten duizenden tankstations zonder brandstof, mede door Amerikanen die op grote schaal benzine en diesel hamsterden en het feit dat er geen brandstof werd geleverd. Op het hoogtepunt moesten zestienduizend tankstations nee verkopen aan klanten.
Zaterdag meldde de Colonial Pipeline dat de werking van de pijplijn is hersteld en het brandstof weer met miljoenen liters per uur wordt vervoerd. Toch zal het nog wel even duren voordat de volledig 'supply chain' is hersteld, laat het bedrijf tegenover persbureau Reuters weten. Zo zou in Washington D.C zo'n zeventig procent van de tankstations nog altijd zonder brandstof zitten, aldus cijfers van GasBuddy.
Divisie verzekeringsmaatschappij AXA getroffen door ransomware-aanval
Een Aziatische bedrijfsdivisie van verzekeringsmaatschappij AXA is recentelijk getroffen door een ransomware-aanval. Onlangs maakte de Franse tak nog bekend dat het voortaan geen losgeld meer vergoedt dat slachtoffers van ransomware-aanvallen betalen om hun bestanden terug te krijgen of het openbaar maken van gestolen data te voorkomen.
De aanval op de bedrijfsdivisie vond volgens bronnen plaats voordat AXA Frankrijk besloot het beleid te veranderen. De aanval op de AXA-divisie is opgeëist door de groep achter de Avaddon-ransomware. De groep claimt dat het drie terabyte aan data heeft buitgemaakt, meldt de Financial Times. Het zou onder andere gaan om persoonlijke informatie van klanten, waaronder medische dossiers en verzekeringsclaims, alsmede data van ziekenhuizen en artsen.
Slachtoffer van ransomware laat zien waarom transparantie bij aanvallen belangrijk is
Aangezien verwoestende ransomware-aanvallen verstrekkende gevolgen blijven hebben, proberen bedrijven de aanvallen nog steeds te verbergen in plaats van transparant te zijn. Gelukkig zijn er ook uitzonderingen! Op 5 mei kreeg Volue, leverancier van groene energie-technologie, te maken met een Ryuk-ransomware-aanval die invloed had op enkele van hun front-end klantplatforms.
Met speciale dank aan: Anonieme tipgevers
Tips of verdachte activiteiten gezien? Meld het hier.
Wat is Ransomware?
Ransomware is software waarmee de computer wordt ‘gegijzeld’. Het slachtoffer kan niet meer bij zijn persoonlijke bestanden. Bij het opstarten van de computer verschijnt een melding dat een bedrag betaald moet worden om weer toegang te krijgen. Wil je meer weten over Ransomware, dan kun je hier verder lezen.
Meer weten over de historie van Ransomware klik dan hier.
Doxware
Doxware is een soort ransomware die persoonlijke gegevens aan het publiek dreigt vrij te geven als de gebruiker het losgeld niet betaalt.
De term komt van de hacker-term 'doxing' of het vrijgeven van vertrouwelijke informatie via internet. Doxware-aanvallen infecteren computers vaak via phishing-e-mails. Meer weten over doxware, dan kun je hier verder lezen.
Advies
- Installeer een goede virusscanner.
- Houd alle software up-to-date, waaronder besturingssysteem, internetbrowser, browser aanvullingen en populaire programma's, zoals Adobe Reader. Met ScanCircle zie je snel hoe je pc ervoor staat. Voor software als Adobe Flash en Java is uitschakelen aan te raden.
- Klik niet op bijlagen en links in e-mails, tenzij je zeker weet dat het vertrouwd is. Twijfel je, kijk dan op de Opgelicht website of de e-mail daar voorkomt. Zo niet, wacht dan een dag en controleer nogmaals of stuur hem door naar digitaalgids@consumentenbond.nl voor uitsluitsel.
- Schakel geen macro's bij Office-documenten van derden, zeker niet als daar in het document om wordt gevraagd.
- Ransomware is vaak een uitvoerbaar .exe-bestand, vermomd als ander soort bestand, bijvoorbeeld een pdf-document. Schakel bestandsextensies weergeven, zodat je de vermomming kunt doorzien.
- En tenslotte: back-ups maken! Dat is sowieso verstandig, maar bij ransomware-besmetting vaak het enige redmiddel om verlies van al je gegevens te voorkomen.
Wilt u weten hoe uw digitale veiligheid is? Doe dan hier de test en ontvang uw test score. (.../10)
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 45-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Ransomware nieuws
Ransomware in Nederland: Groeiende bedreiging voor organisaties en privacy
Reading in 🇬🇧 or another language
De alarmerende stijging van ransomware-aanvallen: een toename van 73%
Reading in 🇬🇧 or another language
Ransomware in 2024: Opkomende trends en recente ontwikkelingen
Reading in 🇬🇧 or another language
De strijd tegen LockBit: Technologische vooruitgang en Internationale triomf
EN: Click here and choose your language using Google's translation bar at the top of this page ↑
De internationale overwinning op LockBit ransomware
EN: Click here and choose your language using Google's translation bar at the top of this page ↑
Een strijd van wilskracht: De afname van losgeldbetalingen en de toekomst van ransomware
EN: Click here and choose your language using Google's translation bar at the top of this page ↑
Alle het nieuws
Tip van de week: Cyberdreigingen - Blijf voorop in het digitale strijdveld
Reading in 🇬🇧 or another language
Actueel politie cyber nieuws - huidige maand
Reading in 🇬🇧 or another language
Politie cyber nieuws 2024 oktober
Reading in 🇬🇧 or another language
Analyse van kwetsbaarheden op het gebied van cyberbeveiliging oktober 2024
Reading in 🇬🇧 or another language
Malden - Helpdesk fraude
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 45-2024
Reading in 🇬🇧 or another language