Luik (B) meldt grootschalige en gerichte aanval op gemeentesystemen, ransomware-aanval kostte Ierse gezondheidszorg al 100 miljoen euro en ChaChi RAT-trojan richt zich met ransomware op onderwijs. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
26 juni
| Slachtoffer | Cybercriminele organisatie | Datum |
|---|---|---|
| ADG SARDA SRL | Prometheus | 2021-06-26 |
| Transform SR Brands, LLC | Sodinokibi (REvil) | 2021-06-26 |
| Service Gel Srl | Prometheus | 2021-06-26 |
25 juni
| Slachtoffer | Cybercriminele organisatie | Datum |
|---|---|---|
| KOMPAN A/S | Conti | 2021-06-25 |
| Scott Felder Homes | Conti | 2021-06-25 |
| Nickerson Insurance Services, Inc | Conti | 2021-06-25 |
| Sleep Outfitters | Conti | 2021-06-25 |
| JAMAC FROZEN FOODS | Conti | 2021-06-25 |
| Grupo Herdez, S.A.B. de C.V. Holding Companies | Conti | 2021-06-25 |
| FNA GROUP | Conti | 2021-06-25 |
| Fischer Homes | Conti | 2021-06-25 |
| Engineered Specialty Products, Inc | Conti | 2021-06-25 |
| Concept Building Services | Conti | 2021-06-25 |
| Cambium Inc | Conti | 2021-06-25 |
| The Waterloo Networking Company | Conti | 2021-06-25 |
| Southern Eagle Distributing | Conti | 2021-06-25 |
| Perfume Worldwide Inc. | Conti | 2021-06-25 |
| Lareau Courtiers d’assurances | Conti | 2021-06-25 |
| Megaforce | Cuba | 2021-06-25 |
| Innovairre | Cuba | 2021-06-25 |
| Xefi | Everest | 2021-06-25 |
| Grupo Fleury | Sodinokibi (REvil) | 2021-06-25 |
| GROUPE CONFIANCE IMMOBILIER | Everest | 2021-06-25 |
| Primo Water | Sodinokibi (REvil) | 2021-06-25 |
| Software company Xoriant | Ragnar_Locker | 2021-06-25 |
| Yuba County | DoppelPaymer | 2021-06-25 |
'Vertraging Testen voor Toegang kwam door hack'
Stichting Open Nederland zegt dat de vertragingen bij de teststraten van Testen voor Toegang "naar alle waarschijnlijkheid" veroorzaakt zijn door een hackpoging. Nadat op vrijdagochtend onregelmatigheden waren vastgesteld in het IT-systeem, zijn onmiddellijk maatregelen genomen om de systemen veilig te stellen en vergelijkbare hackpogingen uit te sluiten, zegt de stichting in een persbericht. Tom Middendorp van Stichting Open Nederland is teleurgesteld over de vermoedelijke hackpoging: "Duizenden mensen kijken ernaar uit om voor het eerst in maanden weer een avond te gaan stappen en veel testlocaties zijn vandaag volgeboekt. Het is dan ook zeer teleurstellend om te zien dat iemand dit van buitenaf probeert te verstoren." De stichting doet samen met externe partijen verder onderzoek naar de aanvalspoging.
Ransomware-aanval kostte Ierse gezondheidszorg al 100 miljoen euro
Het herstel van een grootschalige ransomware-aanval die in mei plaatsvond heeft de Ierse gezondheidszorg HSE al honderd miljoen euro gekost, maar het bedrag kan naar een half miljard oplopen. Dat liet HSE-directeur Paul Reid tegenover een commissie van het Ierse parlement weten. Het gaat onder andere om geld dat wordt uitgegeven aan de infrastructuur, upgrades en het vervangen van systemen, alsmede externe experts en bedrijven die moesten worden ingeschakeld, meldt The Independent. Door de aanval zagen ziekenhuizen zich genoodzaakt om allerlei afspraken te annuleren en werd de dienstverlening aan patiënten ontregeld.
Zuid-Afrikaanse broers verdacht van diefstal miljarden euro's aan bitcoins
Twee Zuid-Afrikaanse broers zijn verdwenen met 69.000 bitcoins, met een waarde van omgerekend zo'n 1,97 miljard euro. Indien de bitcoins zijn gestolen gaat het om de grootste diefstal van cryptovaluta ooit. Bloomberg meldt dat de diefstal plaatsvond op bitcoin exchange Africrypt. De Chief Operating Officer van het bedrijf informeerde klanten in april dat het bedrijf doelwit zou zijn geworden van een cyberaanval. Hij vroeg getroffen klanten geen melding te maken bij de autoriteiten en geen advocaat in te schakelen, aangezien dit het herstel van de gestolen valuta zou vertragen.
24 juni
| Slachtoffer | Cybercriminele organisatie | Datum |
|---|---|---|
| Trasporti Internazionali Transmec s.p.a. | Sodinokibi (REvil) | 2021-06-24 |
| Forefront Dermatology | Cuba | 2021-06-24 |
| Dynamic NC | Conti | 2021-06-24 |
| Buchanan Hauling & Rigging | Lorenz | 2021-06-24 |
| Malcolm C Foy & Co Limited | Sodinokibi (REvil) | 2021-06-24 |
| Proponent | Conti | 2021-06-24 |
| Xoriant | Ragnar_Locker | 2021-06-24 |
Binance exchange hielp Clop ransomware witwassers op te sporen
Cryptocurrency-uitwisselingsdienst Binance speelde een belangrijke rol bij de recente arrestaties van Clop ransomware-groepsleden, en hielp de politie bij hun poging om de verdachten te identificeren en uiteindelijk aan te houden. Met de naam FANCYCAT om naar de groep te verwijzen, zegt Binance dat de criminelen geld witwassen als gevolg van ransomware-aanvallen en verschillende andere illegale activiteiten. Het witwassen van illegale winsten gebeurt "via geneste services en parasitaire exchanger-accounts die in macro-VASP's [Virtual Asset Service Providers] leven" , zegt Binance , eraan toevoegend dat cybercriminelen uitwisselingen gebruiken als tussenpersonen bij het opschonen van het gestolen geld.
Colonial Pipeline opnieuw aangeklaagd wegens grove nalatigheid
De Colonial Pipeline Company is voor de tweede keer aangeklaagd wegens de recente ransomware-aanval. Volgens de klagers was het bedrijf grof nalatig bij het beveiligen van het eigen netwerk. Criminelen wisten door middel van een gelekt vpn-wachtwoord toegang tot het netwerk te krijgen en ransomware uit te rollen. Een tweede factor om in te loggen was niet vereist. Vanwege de aanval zag Colonial Pipeline zich genoodzaakt om de grootste brandstofpijplijn in de Verenigde Staten uit te schakelen, wat grote gevolgen had voor de brandstofvoorziening in de VS. Zo kwamen duizenden tankstations zonder brandstof te zitten. Het bedrijf betaalde de aanvallers uiteindelijk 4,4 miljoen dollar voor een decryptietool om zo de data te kunnen ontsleutelen.
Microsoft: criminelen verspreiden ransomware via malafide callcenter
Criminelen maken gebruik van een malafide callcenter om organisaties met ransomware te infecteren, zo laat Microsoft via Twitter weten. Het techbedrijf heeft een campagne ontdekt die met een e-mail begint. Volgens het bericht maakt de ontvanger gebruik van een bepaald programma en zal daar binnenkort voor moeten worden betaald. Om het zogenaamde abonnement te annuleren moet een opgegeven telefoonnummer worden gebeld. Dit telefoonnummer komt uit bij een malafide callcenter. Slachtoffers die bellen worden door een callcentermedewerker doorgestuurd naar een website waar een Excel-bestand kan worden gedownload om het abonnement op te zeggen. Dit Excel-document bevat een kwaadaardige macro. Wanneer gebruikers deze macro inschakelen wordt er malware op het systeem gedownload en uitgevoerd.
We're tracking an active BazaCall malware campaign leading to human-operated attacks and ransomware deployment. BazaCall campaigns use emails that lure recipients to call a number to cancel their supposed subscription to a certain service. pic.twitter.com/RS5wGSndhv
— Microsoft Security Intelligence (@MsftSecIntel) June 22, 2021
FBI herhaalt oproep aan bedrijven om geen losgeld bij ransomware te betalen
De FBI heeft bedrijven en organisaties opnieuw opgeroepen om geen losgeld bij ransomware te betalen. Volgens FBI-directeur Christopher Wray zal het betalen van losgeld criminelen alleen maar aanzetten om de aanvallen op te voeren. De Amerikaanse opsporingsdienst ontmoedigt al jaren het betalen van losgeld. Ook stelde Wray dat getroffen bedrijven en organisaties zo snel mogelijk bij de FBI moeten aankloppen. Wray getuigde gisteren voor een panel van de Amerikaanse senaat. In zijn getuigenis benoemde de FBI-directeur ook de dreiging van ransomware, waarmee criminelen ziekenhuizen, politiekorpsen en bedrijven kunnen lamleggen. "We moeten het lastiger en pijnlijker voor hackers en criminelen maken om te doen wat ze doen", aldus Wray, die toevoegde dat er sancties moeten worden opgelegd aan cybercriminelen.
Wat we kunnen leren van Ransomware-acteur "Beveiligingsrapporten"
Casestudy's van echte ransomware-onderhandelingen waarbij de dreigingsactor gedetailleerde details verstrekte over de volledige levenscyclus van de aanval, inclusief gebruikersnamen en wachtwoorden van gecompromitteerde accounts en specifieke CVE's die zijn gebruikt om toegang te krijgen. Houd er rekening mee dat deze rapporten niet zijn bewerkt of op spelling zijn gecontroleerd en dat we identificerende informatie hebben verwijderd. Bovendien werden de tactieken beschreven door de dreigingsactoren hierin gevalideerd na grondig forensisch onderzoek.
23 juni
| Slachtoffer | Cybercriminele organisatie | Datum | |
|---|---|---|---|
| Goetze Dental | Conti | 2021-06-23 | |
| USI | Conti | 2021-06-23 | |
| Cerfrance Côtes d | Conti | 2021-06-23 | |
| Sea Mar Community Health Centers | Marketo | 2021-06-23 | |
| LENAJA DISTRIBUTION | Grief | 2021-06-23 | |
| Altus Group | Hive | 2021-06-23 |
Gezondheidszorggigant Grupo Fleury getroffen door REvil ransomware-aanval
Het Braziliaanse medische diagnostische bedrijf Grupo Fleury heeft te maken gehad met een ransomware-aanval die de bedrijfsvoering heeft verstoord nadat het bedrijf zijn systemen offline had gehaald. Grupo Fleury is het grootste bedrijf in medische diagnostiek in Brazilië, met meer dan 200 servicecentra en meer dan 10.000 medewerkers. Het bedrijf voert ongeveer 75 miljoen klinische onderzoeken per jaar uit. Bron
Nachtelijke cyberaanval verlamt SalzburgMilch
Onbekenden hebben alle wachtwoorden in het IT-systeem van SalzburgMilch gewijzigd. "Niets werkt meer, de daders hebben het bevel over ons overgenomen", zeggen ze. De recherche van de deelstaat Salzburg is hierbij betrokken. Bron
‘ChaChi RAT-trojan richt zich met ransomware op onderwijs’
Onderzoekers van BlackBerry signaleren dat overheden, waaronder scholen, steeds meer last hebben van de remote access trojan (RAT) ChaChi die ransomware-aanvallen van de PYSA-variant mogelijk maakt. BlackBerry geeft in het onderzoek aan dat de ChaChi-trojan nu slachtoffers maakt in de Verenigde Staten. Vooral onderwijsinstellingen, van lager onderwijs tot universiteiten, zijn daar het slachtoffer. Ook gezondheidszorginstellingen en bedrijven zijn geliefde doelen voor de hackers die deze RAT-trojan gebruiken. De trojan dook al in een eerdere variant begin vorig jaar in Frankrijk op, waar het lokale overheden aanviel.
Clop ransomware is weer actief na recente arrestaties
De Clop ransomware-operatie is weer in bedrijf na recente arrestaties en is begonnen met het opnieuw vermelden van nieuwe slachtoffers op hun dataleksite. Vorige week leidde een wetshandhavingsoperatie uitgevoerd door de nationale politie van Oekraïne, het Koreaanse nationale politiebureau en de VS tot de arrestatie van Clop Ransomware-bendeleden.
Ransomware: groeiend aantal aanvallers dat virtuele machines gebruikt
Symantec heeft bewijs gevonden dat een toenemend aantal ransomware-aanvallers virtuele machines (VM's) gebruikt om hun ransomware-payloads uit te voeren op gecompromitteerde computers. De motivatie achter de tactiek is stealth. Om argwaan te wekken of antivirussoftware te activeren, zal de ransomware-payload zich "verbergen" in een VM terwijl de bestanden op de hostcomputer worden versleuteld.
22 juni
| Slachtoffer | Cybercriminele organisatie | Datum |
|---|---|---|
| The Smith & Wollensky Restaurant Group, Inc. | Sodinokibi (REvil) | 2021-06-22 |
| City of Tulsa | Conti | 2021-06-22 |
| VALLEY TRUCK & TRACTOR | CL0P | 2021-06-22 |
| KSS ARCHITECTS LLP | CL0P | 2021-06-22 |
Tulsa waarschuwt voor datalek nadat Conti ransomware politiecitaten lekt
De stad Tulsa, Oklahoma, waarschuwt inwoners dat hun persoonlijke gegevens mogelijk openbaar zijn gemaakt nadat een ransomware-bende politiecitaten online had gepubliceerd. Begin mei kreeg Tulsa te maken met een ransomware-aanval die ertoe leidde dat de stad haar netwerk afsloot om de verspreiding van de malware te voorkomen. Bron
Luik meldt grootschalige en gerichte aanval op gemeentesystemen
De Belgische stad Luik is het doelwit van een "grootschalige en gerichte computeraanval" geworden, waardoor gemeentesystemen deels onbereikbaar zijn, wat gevolgen heeft voor de dienstverlening aan burgers. Dat meldt de stad op de eigen website en Twitter. Onder ander de dienstverlening met betrekking tot geboorten, begrafenissen en huwelijken zijn niet beschikbaar. Ook andere diensten zijn getroffen, maar het volledige overzicht wordt later bekendgemaakt.
Alle burgers die afspraken met de gemeente hebben worden opgeroepen om niet te komen. Met hen zal een nieuwe afspraak worden gemaakt. Volgens de Belgische Radio- en televisieomroep RTBF eisen de aanvallers losgeld, wat op een ransomware-aanval zou kunnen duiden. Andere Belgische media melden dat het niet duidelijk is of er gegevens zijn gestolen of dat er geld wordt geëist. Verdere details over de aanval zijn op dit moment onbekend.
⚠️ Certains services et programmes de la Ville de Liège sont actuellement inaccessibles suite à une attaque informatique. C'est notamment le cas des mairies de quartier.
— Ville de Liège (@VilledeLiege) June 21, 2021
Mysterieuze ransomware-betaling herleid tot een sensuele massagesite
Een ransomware gericht op een Israëlisch bedrijf heeft ertoe geleid dat onderzoekers een deel van een losgeldbetaling hebben gevolgd op een website die sensuele massages promoot. De aanval werd uitgevoerd door een recentere ransomware-operatie die bekend staat als Ever101, die een Israëlische computerfarm compromitteerde en vervolgens de apparaten versleutelde. "Tijdens ons onderzoek naar de geïnfecteerde machines kwamen we iets tegen dat leek op een schat aan informatie die was opgeslagen in de map Muziek. Het bestond uit het ransomware-binaire bestand zelf, samen met verschillende andere bestanden - sommige versleuteld, andere niet - die we geloven de dreigingsactoren gebruikten om informatie te verzamelen en zich via het netwerk te verspreiden", legt Profero's en Security Joe's rapport uit .
21 juni
| Slachtoffer | Cybercriminele organisatie | Datum |
|---|---|---|
| ASSURANCES ET COURTAGES LYONNAIS | Everest | 2021-06-21 |
| Alltech France | Everest | 2021-06-21 |
| Dicky Smith & Co Inc | Sodinokibi (REvil) | 2021-06-21 |
| https://www.vedderprice.com/ | Noname | 2021-06-21 |
| areteir.com | Noname | 2021-06-21 |
| crownlaboratories.com | Noname | 2021-06-21 |
| Canad Inns. | Sodinokibi (REvil) | 2021-06-21 |
| Grupo La Moderna, S.A. de C.V. | LV | 2021-06-21 |
| Navistar | Marketo | 2021-06-21 |
| French Connection | Sodinokibi (REvil) | 2021-06-21 |
IT-systemen stad Luik in Belgie plat door cyberaanval
Het computernetwerk van de stad Luik ligt sinds maandagochtend deels plat door een cyberaanval. Dat schrijft het stadsbestuur op de website. Door de hack kunnen bij verschillende diensten geen documenten geprint worden, of dossiers bijgewerkt.
De stad analyseert momenteel de omvang van de aanval, en probeert er alles aan te doen om de informaticasystemen te herstellen. Met name de dienst bevolking en de burgerlijke stand ondervinden hinder. Met burgers die een afspraak bij deze diensten hebben wordt persoonlijk contact gezocht om een nieuwe afspraak te maken. Het is niet duidelijk of er gegevens gestolen zijn, of dat er geld wordt geëist. Bron
Belastingadviseurs: losgeld ransomware fiscaal aftrekbaar in VS
De miljoenen dollars losgeld die door ransomware getroffen bedrijven betalen zijn fiscaal aftrekbaar, zo stellen verschillende Amerikaanse belastingadviseurs tegenover persbureau AP. Belastingadvocaat Scott Harty van Alston & Bird zou klanten adviseren om het losgeld af te trekken. "Het past binnen de definitie van een gewone en noodzakelijke uitgave."
Hoogleraar belastingrecht Don Williamson van de Kogod School of Business schreef in 2017 een paper genaamd "Ransomware: Tax Compliance Issues for a New Reality" waarin hij onder andere ingaat op de fiscale aftrekbaarheid van losgeldbetalingen bij ransomware. Sinds de publicatie is het aantal ransomware-aanvallen toegenomen en daarmee ook het argument voor de Amerikaanse belastingdienst IRS om losgeld als aftrekpost toe te staan. "Het komt steeds vaker voor en is daarmee gewoon geworden", stelt Williamson
Australisch wetsvoorstel verplicht melden van betalen losgeld bij ransomware
De Australische Labourpartij heeft een wetsvoorstel gepresenteerd dat grote bedrijven verplicht om bij de overheid te melden dat ze van plan zijn om het losgeld bij ransomware-aanvallen te betalen. Aanleiding voor het wetsvoorstel zijn recente aanvallen op de Colonial Pipeline Company in de Verenigde Staten en vleesverwerker JBS. De laatstgenoemde betaalde de aanvallers 11 miljoen dollar losgeld. Volgens het Australian Cyber Security Centre (ACSC) is ransomware de grootste dreiging voor Australische bedrijven.
Door de "Ransomware Payments Bill 2021" moeten inlichtingen- opsporingsdiensten informatie kunnen verzamelen over waar het geld precies naar toe gaat, waarmee vervolgens de daders zijn te achterhalen, stelt Labor-lid en bedenker van het wetsvoorstel Tim Watts. Mocht het wetsvoorstel worden aangenomen gaat die gelden voor overheidsinstellingen en bedrijven met een omzet van meer dan tien miljoen dollar.
Ragnar Locker ransomware cybercriminelen hebben 700 GB aan data van ADATA
De Ragnar Locker ransomware-bende heeft downloadlinks gepubliceerd voor meer dan 700 GB aan gearchiveerde gegevens die zijn gestolen uit de Taiwanese geheugen- en opslagchipmaker ADATA. Een set van 13 archieven, die naar verluidt gevoelige ADATA-bestanden bevatten, zijn al enige tijd openbaar beschikbaar op een cloudgebaseerde opslagservice.
Marktplaats voor datalekken zet slachtoffers onder druk door concurrenten te e-mailen
De marktplaats voor gegevensdiefstal van Marketo oefent maximale druk uit op slachtoffers door hun concurrenten te e-mailen en voorbeeldpakketten van de gestolen gegevens aan te bieden. De gegevens die op deze sites worden verkocht, worden verkregen via de eigen aanvallen van de markt, van andere cybercriminelen of door gegevens te verzamelen die vrijkomen bij andere aanvallen, zoals ransomware of datalekken op websites. De gestolen gegevens worden verkocht voor slechts $ 100 tot tienduizenden dollars, afhankelijk van de markt.
N.Koreaanse hackers richten zich op S.Koreaanse onderzeeër gegevens
Vermoedelijke Noord-Koreaanse hackers hebben vorig jaar een enorme hoeveelheid gegevens gestolen van Daewoo Shipbuilding and Marine Engineering, dat een nieuwe onderzeeër van 3.000 ton voor de marine fabriceert.
Ze vielen onlangs ook het door de staat gerunde Korea Atomic Energy Research Institute aan, dat betrokken was bij de ontwikkeling van een kleine reactor voor het aandrijven van kernonderzeeërs. Bron
Lucky Star Casino's hebben bevestigd dat ze te maken hebben gehad met ransomware-aanvallen
Nadat de locaties over de hele staat in het weekend waren gesloten, zei Lucky Star Casinos maandag dat het het onderwerp was van een ransomware-aanval. Het casino heeft zaterdag op zijn Facebook-pagina aangekondigd dat het zijn locaties in de staat heeft gesloten. De casino's blijven op dit moment gesloten. Bron
Overzicht cyberaanvallen week 24-2021
Holland America Line alweer getroffen, Zuid-Korea's Nuclear Research-bureau gehackt en betaal je aan ransomware criminelen, dan komen ze bijna altijd terug. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.. Lees verder
Met speciale dank aan: Anonieme tipgevers
Tips of verdachte activiteiten gezien? Meld het hier.
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 45-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.