Holland America Line alweer getroffen, Zuid-Korea's Nuclear Research-bureau gehackt en betaal je aan ransomware criminelen, dan komen ze bijna altijd terug. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
20 juni
Slachtoffer | Cybercriminele organisatie | Datum |
---|---|---|
Lamaziere | Everest | 2021-06-20 |
Epsilon Hydraulique | Everest | 2021-06-20 |
HAAI GmbH | Sodinokibi (REvil) | 2021-06-20 |
Always Group | Everest | 2021-06-20 |
19 juni
Slachtoffer | Cybercriminele organisatie | Datum |
---|---|---|
Moore Stephens Cape Town | Sodinokibi (REvil) | 2021-06-19 |
Zuid-Korea's Nuclear Research-bureau gehackt door VPN-lek
Het Zuid-Koreaanse 'Korea Atomic Energy Research Institute' heeft gisteren bekendgemaakt dat hun interne netwerken vorige maand zijn gehackt door Noord-Koreaanse dreigingsactoren met behulp van een VPN-kwetsbaarheid. Het Korea Atomic Energy Research Institute, of KAERI, is het door de overheid gesponsorde instituut voor onderzoek en toepassing van kernenergie in Zuid-Korea. De inbreuk werd eerder deze maand voor het eerst gemeld door de Zuid-Koreaanse media Sisa Journal. In een verklaring en persconferentie die KAERI gisteren heeft gehouden, heeft het instituut de aanval officieel bevestigd en excuses aangeboden voor de poging het incident in de doofpot te stoppen.
18 juni
Slachtoffer | Cybercriminele organisatie | Datum |
---|---|---|
Voltalia | Conti | 2021-06-18 |
Uniware Systems | Conti | 2021-06-18 |
Maître Prunille | Conti | 2021-06-18 |
Groupe Traon Industrie Development | Conti | 2021-06-18 |
Windmill Health Products | Conti | 2021-06-18 |
Betaal je aan ransomware criminelen, dan komen ze bijna altijd terug
Ransomware-aanvallen blijven de krantenkoppen halen, en met goede reden: gemiddeld is er elke 11 seconden een nieuwe ransomware-aanval, en de verliezen voor organisaties door ransomware-aanvallen zullen naar verwachting oplopen tot $ 20 miljard in de loop van 2021, na een recordtoename van verliezen van meer dan 225% in 2020. Maar wat zijn de werkelijke kosten voor bedrijven die zijn getroffen door een ransomware-aanval? Lees verder
Holland America Line alweer getroffen
Cruisemaatschappijen Holland America Line, Carnival Cruise Line en Princess Cruises zijn getroffen door een datalek nadat een aanvaller toegang wist te krijgen tot e-mailaccounts van moedermaatschappij Carnival Corp. Er zijn aanwijzingen dat er misbruik van de gestolen data wordt gemaakt. Dat blijkt uit een datalekmelding die het bedrijf deed bij de procureur-generaal van de Amerikaanse staat Montana.
Getroffen klanten en medewerkers kunnen hun krediet kosteloos een jaar laten monitoren en van een identiteitsbeschermingsdienst gebruikmaken. Carnival Cruise werd vorig jaar nog getroffen door een ransomware-aanval waarbij er ook gegevens werden gestolen.
Poolse vicepremier zegt dat Rusland achter grote cyberaanval zit
Russische hackers hebben deze week een zware cyberaanval uitgevoerd op Polen. Dat zei vicepremier Jaroslaw Kaczynski vrijdag op basis van een analyse die de afgelopen dagen is uitgevoerd door de geheime diensten van het land. "De analyse van onze geheime diensten laat zonder twijfel zien dat de cyberaanval is uitgevoerd vanuit Rusland", aldus Kaczynski. Onder anderen een aantal ministers en andere politici zouden zijn getroffen. Bron
Nep DarkSide-bende richt zich op energie en voedingsindustrie
Cybercriminelen imiteren de inmiddels ter ziele gegane DarkSide Ransomware-operatie, in valse afpersingsmails die naar bedrijven in de energie- en voedselsector worden gestuurd. In een nieuw rapport onthullen Trend Micro-onderzoekers dat er in juni een nieuwe afpersingscampagne is gestart waarbij cybercriminelen zich voordoen als de DarkSide ransomware-bende. "Verschillende bedrijven in de energie- en voedingsindustrie hebben onlangs dreigende e-mails ontvangen, zogenaamd van DarkSide", legt Trend Micro-onderzoeker Cedric Pernet uit.
LockBit RaaS In-Depth Analysis
Het PRODAFT Threat Intelligence (PTI)-team heeft dit rapport gepubliceerd om diepgaande kennis te verschaffen over de cybercriminelen die LockBit-ransomware gebruiken. Het PTI-team is erin geslaagd om decoderingstools te extraheren voor de meeste slachtoffers die door de LockBit werden getroffen. Alle filialen van de ransomware-groep, inclusief de ontwikkelaar, werden ook geïdentificeerd tijdens het onderzoek van het PTI-team. Dit rapport geeft antwoord op vragen als: Hoe selecteren ze hun doelen? Hoeveel doelen hebben ze aangevallen? Hoe werkt het netwerk? Wie zijn de aangeslotenen?
17 juni
Slachtoffer | Cybercriminele organisatie | Datum |
---|---|---|
Vogel Heating & Cooling | Conti | 2021-06-17 |
Sunsations Inc. | Conti | 2021-06-17 |
Performance Award Center | Marketo | 2021-06-17 |
Contrast Lighting | Conti | 2021-06-17 |
BRANGEON Groupe | Conti | 2021-06-17 |
Ascenz | Conti | 2021-06-17 |
Au Forum Du Batiment SAS | Conti | 2021-06-17 |
Groupe ISERBA | Conti | 2021-06-17 |
Cerfrance Côtes d'Armor | Conti | 2021-06-17 |
Sterke toename in hoeveelheid RDDoS aanvallen
Link11 IT-beveiligingsprovider kondigt vandaag aan dat het Security Operations Center (LSOC) een sterke toename ziet in de hoeveelheid ransom distributed denial of service (RDDoS of RDoS) aanvallen. Bedrijven uit allerlei verschillende sectoren ontvangen afpersingsmails van Fancy Lazarus. In mail eist de hackersgroep 2 Bitcoins (ongeveer 66.000 euro): "It's a small price for what will happen when your whole network goes down. Is it worth it? You decide!” Tot nu toe heeft LSOC meldingen ontvangen van RDoS-aanvallen uit de VS, Canada en verschillende Europese landen. Lees verder
Savannah ziekenhuissysteem ondervindt storing na ransomware-aanval
Het ziekenhuissysteem St. Joseph's/Candler (SJ/C) in Savannah is donderdagochtend het slachtoffer geworden van een ransomware-aanval. WSAV sprak met een patiënt die zegt dat alle computers rond 4 uur 's ochtends uitvielen en dat verpleegkundigen gedwongen werden om medicijnen bij te houden met pen en papier. Bron
Reproductive Biology Associates en My Egg Bank stellen 38.538 patiënten op de hoogte van ransomware-incident
Reproductive Biology Associates en de aan haar gelieerde My Egg Bank North America hebben een inbreukmelding uitgegeven met betrekking tot een ransomware-incident dat gevolgen had voor de Atlanta-entiteiten. Volgens de kennisgeving die is ingediend bij de procureur-generaal van Maine en soortgelijke verklaringen op hun websites, werden de entiteiten zich voor het eerst bewust van een mogelijk gegevensincident op 16 april 2021 toen ze ontdekten dat een bestandsserver met embryologische gegevens was versleuteld en daarom ontoegankelijk. Ze melden dat ze snel hadden vastgesteld dat dit een ransomware-aanval was en dat ze de getroffen server binnen dezelfde werkdag hebben afgesloten, waardoor de toegang van de actor werd beëindigd.
De exit van Avaddon ransomware werpt licht op het landschap van slachtoffers
Een nieuw rapport analyseert de onlangs vrijgegeven Avaddon ransomware-decoderingssleutels. "Vandaag werpen we licht op dit verloren en verborgen criminele imperium met behulp van unieke datasets - de volledige lijst van Avaddon-slachtoffers die ooit het doelwit waren van de groep in het jaar van zijn bestaan", zegt het rapport van Advanced Intel .
16 juni
Slachtoffer | Cybercriminele organisatie | Datum |
---|---|---|
eCapital | Conti | 2021-06-16 |
The Brock Group | Conti | 2021-06-16 |
ENE TECHNOLOGY, Inc | SynACK | 2021-06-16 |
American Cotton Coop Association | Grief | 2021-06-16 |
Verdachten achter Clop-ransomware aangehouden in Oekraïne
De Oekraïense autoriteiten hebben zes personen aangehouden die worden verdacht van betrokkenheid bij de Clop-ransomware. Tevens zijn er woningen doorzocht en servers in beslag genomen die voor het infecteren van organisaties werden gebruikt. Volgens de Oekraïense Cyberpolitie zijn de verdachten verantwoordelijk voor aanvallen tegen onder andere Amerikaanse en Zuid-Koreaanse organisaties.
Zo wordt een aanval op vier Zuid-Koreaanse bedrijven omschreven die in 2019 met de Clop-ransomware besmet raakten. De aanvallers wisten in totaal 810 servers en computers te versleutelen. Ook de Universiteit van Maastricht werd in 2019 slachtoffer van de Clop-ransomware. Tijdens de doorzoekingen die in Kiev en de regio van de hoofdstad plaatsvonden werden verschillende auto's en omgerekend 150.000 euro in contanten in beslag genomen.
In onderstaande video is de operatie tegen de verdachten te zien. Hierbij waren ook agenten van de Zuid-Koreaanse politie aanwezig. De verdachten hangt een gevangenisstraf van maximaal acht jaar boven het hoofd.
Update
Securitybedrijf Intel 471 stelt dat de operatie gericht was tegen personen die zich bezighielden met het witwassen van het losgeld dat slachtoffers betaalden. De daadwerkelijke ontwikkelaars en beheerders zouden buiten schot zijn gebleven.
Paradise Ransomware-broncode vrijgegeven op een hack forum
De volledige broncode voor de Paradise Ransomware is vrijgegeven op een hack forum, waardoor elke potentiële cybercrimineel zijn eigen aangepaste ransomware-operatie kan ontwikkelen.
Verdachte die crypters aanbood voor het omzeilen van antivirus veroordeeld
Een 41-jarige Russische man is in de Verenigde Staten veroordeeld voor het aanbieden van zogeheten crypters waarmee het mogelijk is om malware voor antivirussoftware te verbergen. De verdachte werkte volgens de aanklager samen met de beheerder van het Kelihos-botnet.
De Russische man bood de botnetbeheerder een apart systeem dat de Kelihos-malware meerdere keren per dag aanpaste om detectie door virusscanners te voorkomen. Een federale jury in Connecticut oordeelde vandaag dat de man schuldig is. De strafmaat wordt op 20 september bekendgemaakt. De Rus kan een gevangenisstraf van maximaal vijftien jaar krijgen.
Zuid-Koreaanse politie arresteert computerreparateurs die ransomware hebben gemaakt en verspreid
De Zuid-Koreaanse autoriteiten hebben vandaag een aanklacht ingediend tegen negen medewerkers van een lokaal computerreparatiebedrijf voor het maken en installeren van ransomware op de computers van hun klanten. De criminele activiteiten leverden de verdachten meer dan 360 miljoen ($ 321.000) op aan ransomware-betalingen van 40 bedrijven die in 2020 en 2021 slachtoffer werden. Bron
UMass Lowell gesloten vanwege cyberbeveiligingsincident
De University of Massachusetts Lowell (UMass Lowell) heeft te maken gehad met een cybersecurity-inbreuk die de afgelopen twee dagen heeft geleid tot schoolsluitingen. Het incident werd voor het eerst aangekondigd op 15 juni als een "IT-storing:"
De normale site van de universiteit is momenteel onbereikbaar, maar de universiteit heeft updates op een tijdelijke site geplaatst.
SCOOP: UnitingCare betaalde honderdduizenden dollars aan REvil voor decoderingssleutel en verwijdering van bestanden
Op 25 april werd UnitingCare Queensland (UCQ) het slachtoffer van een ransomware-aanval die meerdere ziekenhuizen en ouderenzorgcentra in Queensland trof. De volgende dag plaatsten ze een bericht op hun website om mensen te informeren over wat er gebeurde en de impact ervan. En op 5 mei plaatsten ze een tweede update waarin ze onthulden dat het REvil (Sodinokibi) cybercriminelen waren die hen hadden aangevallen. Die update beschreef de stappen die ze sinds het incident hadden genomen om services veilig te herstellen en te herstellen.
15 juni
Slachtoffer | Cybercriminele organisatie | Datum |
---|---|---|
Mechdyne Corporation | Marketo | 2021-06-15 |
Chilli Beans | Prometheus | 2021-06-15 |
Sincor-SP | Prometheus | 2021-06-15 |
PM Law Solicitors | Sodinokibi (REvil) | 2021-06-15 |
lstaff.com | Sodinokibi (REvil) | 2021-06-15 |
atworksprofessional | Sodinokibi (REvil) | 2021-06-15 |
Homewood Health | Marketo | 2021-06-15 |
Agency Matrix LLC | Marketo | 2021-06-15 |
Master Publicidade Ltda | Prometheus | 2021-06-15 |
Parlement Polen bijeen na serie 'enorme' cyberaanvallen
Poolse parlementariërs komen woensdag achter gesloten deuren bijeen om bijgepraat te worden over een reeks 'enorme' cyberaanvallen tegen hun land. Hackers hadden het volgens Poolse media onder meer voorzien op de mailbox en accounts op sociale media van Michal Dworczyk, de rechterhand van de premier die ook verantwoordelijk is voor het Poolse vaccinatieprogramma.
Premier Mateusz Morawiecki heeft zelf gevraagd om de speciale zitting van het parlement. Hij wil volgens zijn woordvoerder een recente "serie enorme cyberaanvallen" tegen zijn land bespreken. De cyberaanvallen zouden gevolgen hebben gehad voor een groot aantal mensen, onder wie ook politici. De autoriteiten doen nog onderzoek naar de incidenten.
Brits NCSC: ransomware grootste dreiging voor burgers en bedrijven
Niet statelijke actoren, maar ransomware is de grootste dreiging voor burgers, bedrijven en het grootste deel van de vitale infrastructuur, zo stelt Lindy Cameron, hoofd van het Britse National Cyber Security Centre (NCSC). Cameron gaf gisteren een speech voor het Royal United Services Institute (RUSI).
Ze liet weten zich vooral zorgen te maken over het cumulatieve effect van het niet goed managen van cyberrisico's en het niet serieus nemen van de dreiging van cybercrime. "Voor het grootste deel van de Britse burgers en bedrijven, en voor het grootste deel van de vitale infrastructuur en overheidsdienstverleners, is de primaire dreiging geen statelijke actoren, maar cybercriminelen en dan met name de dreiging van ransomware."
HMM e-mailsystemen getroffen door cyberaanval
De Zuid-Koreaanse rederij HMM heeft bevestigd dat haar e-mailsystemen op 12 juni nog steeds worden getroffen door een virusaanval. HMM zei dat er in de vroege uren van 12 juni een niet-geïdentificeerde inbreuk op de beveiliging van zijn e-mailservers was gedetecteerd, waardoor de toegang tot e-mailsystemen beperkt was. Gedurende de volgende twee dagen zei het dat de meeste bevestigde schade aan het systeem was hersteld en dat er geen lekkage van gegevens of informatie was gevonden. Bron
Bijgewerkte Avaddon-decryptor vrijgegeven
Emsisoft heeft een bijgewerkte Avaddon-decryptor uitgebracht om meer slachtoffers te ondersteunen.
Hades Ransomware-operators gebruiken onderscheidende tactieken en infrastructuur
Hades-ransomware is sinds december 2020 op het toneel, maar er is beperkte openbare berichtgeving over de dreigingsgroep die het exploiteert. De inzet van Secureworks® incident response (IR) in het eerste kwartaal van 2021 gaf onderzoekers van Secureworks Counter Threat Unit™ (CTU) een uniek inzicht in het gebruik van onderscheidende tactieken, technieken en procedures (TTP's) door de groep.
14 juni
Slachtoffer | Cybercriminele organisatie | Datum |
---|---|---|
Aero-Space Computer Supplies | Prometheus | 2021-06-14 |
segepo.fr | LV | 2021-06-14 |
Whittlesey & Hadley | Sodinokibi (REvil) | 2021-06-14 |
BridgePoint Financial Services | Sodinokibi (REvil) | 2021-06-14 |
HPW | Pysa | 2021-06-14 |
G7-landen willen dat Rusland criminelen achter ransomware aanpakt
De G7-landen hebben in een gemeenschappelijke verklaring de Russische regering opgeroepen om criminelen die vanuit het land ransomware-aanvallen uitvoeren en zich met andere vormen van cybercrime bezighouden aan te pakken. De groep van zeven grote industrielanden gaf de verklaring aan het einde van de G7-top die vorige week in het Britse Cornwall plaatsvond.
In de verklaring laten de landen weten dat ze zullen samenwerken om de groeiende en gedeelde dreiging van ransomware te bestrijden. Daarbij roepen de G7-landen alle staten op om ransomwaregroepen die vanuit hun grenzen opereren te identificeren, te verstoren en verantwoordelijk voor hun acties te houden. Iets verder in de verklaring wordt specifiek Rusland opgeroepen om in actie tegen ransomwaregroepen en andere cybercriminelen te komen.
Fujifilm twee weken na ransomware-aanval weer volledig operationeel
De Fujifilm Corporation in Japan is twee weken na een ransomware-aanval volledig operationeel en kan zodoende weer bestellingen verwerken en leveren. Dat laat het bedrijf via de eigen website weten. Op 1 juni meldde Fujifilm dat het "ongeautoriseerde toegang tot een server" vanuit het buitenland onderzocht. Daarop werden alle netwerken en servers uitgeschakeld.
Op 4 juni meldde het bedrijf dat het om een ransomware-aanval ging en een specifiek netwerk in Japan was getroffen. Dezelfde dag werden alle netwerken, servers en computers waarvan was vastgesteld dat ze veilig waren weer online gebracht. Vandaag laat Fujifilm weten dat het volledig operationeel is wat betreft klanten en bedrijfspartners, waaronder klantencontact, bestellingen en leveringen die weer plaatsvinden. Het bedrijf zal vertragingen die zich de afgelopen twee weken voordeden proberen op te lossen.
Bedrijf dat actief is in nucleair-wapenprogramma is slachtoffer van ransomware
De Amerikaanse defensieaannemer Sol Oriens is getroffen door ransomware. Het bedrijf werkt onder andere aan het nucleaire-wapenprogramma van de VS. Het bedrijf is getroffen door de REvil-ransomware, die ook data heeft gestolen van het bedrijf.
Het bedrijf zou in mei zijn geïnfecteerd, bevestigt een woordvoerder aan het Amerikaanse CNBC. Sol Oriens is getroffen door de REvil-ransomware, van een beruchte Russische ransomwarebende die de gijzelsoftware als malware-as-a-service aanbiedt. Sol Oriens is een bedrijf dat onder andere het Amerikaanse ministerie van Defensie begeleidt met het uitvoeren van het nucleaire programma, zoals het beheer van het arsenaal.
Overzicht cyberaanvallen week 23-2021
Vleesverwerker JBS betaalde ransomwaregroep 11 miljoen dollar losgeld, hackers maken inbreuk op gaming gigant Electronic Arts en stelen broncode van games en nieuwe RaaS ontdekt op het darkweb genaamd HimalayA. Hier het overzicht van afgelopen week en het nieuws van dag tot dag. Lees verder
Met speciale dank aan: Anonieme tipgevers
Tips of verdachte activiteiten gezien? Meld het hier.
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 45-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.