Overzicht cyberaanvallen week 26-2021

Gepubliceerd op 5 juli 2021 om 15:00

Nederlandse bedrijven getroffen door ransomware-aanval via Kaseya-software, Coop sluit achthonderd supermarkten in Zweden na aanval en cybercrimegroep Trickbot gekoppeld aan nieuwe Diavol-ransomware. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


4 juli


Nederlandse bedrijven getroffen door ransomware-aanval via Kaseya-software

Ook in Nederland en België zijn organisaties getroffen door de wereldwijde ransomware-aanval via de VSA-software van het bedrijf Kaseya. Het aantal via internet toegankelijke Kaseya-servers in Nederland is inmiddels gedaald naar nul. Eén van de getroffen ondernemingen is technisch dienstverlener Hoppenbrouwers Techniek. Het bedrijf meldt via de eigen website dat het slachtoffer is geworden. "Gisteravond is geconstateerd dat wij getroffen zijn door een grootschalige cyberaanval. De aanval is binnengekomen via onze Kaseya software. Er is geen menselijke fout gemaakt door onze collega’s. De consequenties van deze aanval zijn nog niet bekend", aldus de verklaring. Eerder meldde securitybedrijf Huntress dat meer dan duizend bedrijven die hun systemen via de VSA-software door managed serviceproviders laten beheren met ransomware besmet zijn geraakt. Zo zag de Zweedse supermarktketen Coop zich genoodzaakt om achthonderd supermarkten te sluiten. Een ander bedrijf dat met de aanval te kampen heeft is de Nederlandse it-dienstverlener VelzArt. "Een bericht waarvan we gehoopt hadden nooit te hoeven versturen: een wereldwijde ransomware aanval zorgt sinds gisterenavond voor grote problemen bij onze klanten", schrijft het bedrijf op de eigen website in een blogposting over de aanval. VelzArt heeft honderden klanten. Het maakt sinds 2010 gebruik van software van Kaseya voor het beheren en onderhouden van computersystemen bij klanten. Hoeveel systemen van deze klanten via de aanval besmet zijn geraakt is onbekend. "Besmette systemen komen tot nu toe voor in verschillende varianten. Sommige systemen zijn volledig ontoegankelijk, met andere systemen kan nog gewerkt worden", meldt VelzArt. Het bedrijf laat vandaag weten dat voor systemen waarvan inmiddels vaststaat dat ze besmet zijn gestart kan worden met een resetprocedure. Het Dutch Institute for Vulnerability Disclosure (DIVD), dat de kwetsbaarheden ontdekte die de aanvallers bij deze aanval gebruiken en Kaseya waarschuwde, hebben ook organisaties met VSA-servers geïnformeerd. Dit lijkt zeer succesvol, aldus cijfers van het instituut. Het aantal VSA-servers toegankelijk vanaf het internet is inmiddels gedaald van 2200 naar 140. In Nederland daalde het aantal zelfs naar nul.

België

Naast Nederlandse organisaties is ook de Belgische managed serviceprovider (MSP) ITxx getroffen. Door de aanval konden aanvallers alle data en e-mail van het bedrijf en van vijftig lanten van het bedrijf versleutelen. "Daardoor hebben klanten van ITxx momenteel geen toegang tot hun data", zo laat de MSP weten. "We betreuren het dat onze klanten met ons het slachtoffer worden van deze cybercriminelen. We werken met man en macht om deze situatie zo snel mogelijk af te wikkelen, zodat onze klanten hun werkzaamheden kunnen hervatten", zegt Philippe Van Cauwenbergh van ITxx.


DIVD: Kaseya gewaarschuwd voor bij aanval gebruikte kwetsbaarheden

Softwarebedrijf Kaseya, waarvan de software bij een grootschalige aanval is misbruikt om klanten van managed serviceproviders met ransomware te infecteren, is gewaarschuwd voor verschillende kwetsbaarheden waarvan de aanvallers nu misbruik maken. Dat stelt het het Dutch Institute for Vulnerability Disclosure (DIVD) in een blogposting. Bij de aanval hebben criminelen achter de REvil-ransomware via de Kaseya VSA-software malafide updates verspreid die in werkelijkheid ransomware waren. Managed serviceproviders gebruiken VSA om systemen van hun klanten op afstand te beheren. Door de aanval zijn systemen van deze klanten met ransomware besmet geraakt. De Nederlandse beveiligingsonderzoeker Wietse Boonstra ontdekte de kwetsbaarheden in de VSA-software van Kaseya, die het CVE-nummer CVE-2021-30116 hebben gekregen. Volgens het DIVD was Kaseya zeer betrokken en wilde het de problemen verhelpen en klanten gepacht krijgen. De aanvallers wisten de kwetsbaarheden echter te misbruiken voordat klanten zelfs in staat waren om een beveiligingsupdate te installeren, aldus het DIVD. Kaseya meldde op 2 juli dat het de oorzaak van de kwetsbaarheid had gevonden en bezig was om een patch zo snel mogelijk voor klanten beschikbaar te stellen. Beveiligingsonderzoeker Kevin Beaumont meldt op Twitter dat er patches voor CVE-2021-30116 in ontwikkeling zijn, alsmede een lokale scanner waarmee kan worden gekeken of de omgeving is gecompromitteerd. Daarnaast hebben negenhonderd Kaseya-klanten een "Compromise Detection Tool" bij het softwarebedrijf aangevraagd om hun servers te controleren.


Kaseya bevestigt ransomware-aanval via VSA-software: 1000 bedrijven slachtoffer

Softwareleverancier Kaseya heeft bevestigd dat de VSA-software die het levert aan managed serviceproviders (MSP's) is gebruikt voor een wereldwijde ransomware-aanval. Daarbij zijn meer dan duizend bedrijven slachtoffer geworden. Via VSA kunnen managed serviceproviders op afstand de systemen van hun klanten beheren. Hoe de aanval precies is uitgevoerd laat Kaseya niet weten, maar het bedrijf zegt de aanvalsvector te hebben gevonden. Eerder stelde onderzoeker Mark Loman van antivirusbedrijf Sophos dat de aanvallers via een malafide Kaseya-update de ransomware hebben verspreid. Dit wordt nu bevestigd door Cisco en Symantec. Cisco zegt dat de aanvallers gebruikmaakten van een malafide automatische update voor de VSA endpoint monitoringsoftware die uiteindelijk de REvil-ransomware installeert. "In veel gevallen zijn tijdens netwerkgebaseerde ransomware-aanvallen ook back-upservers het doelwit, wat het belang onderstreept van het geregeld testen van een offline back-up- en herstelstrategie", aldus Joe Marshal van Cisco. Volgens securitybedrijf Huntress zijn zo'n dertig MSP's in de Verenigde Staten, Australië, Europa en Latijns-Amerika getroffen waarbij de VSA-software werd gebruikt om meer dan duizend bedrijven met ransomware te besmetten. Voor het ontsleutelen van bestanden eisen de aanvallers bedragen van tussen de 45.000 en 5 miljoen dollar. Eerder liet Kaseya al weten dat wereldwijd minder dan veertig managed serviceproviders slachtoffer zijn geworden. Het softwarebedrijf heeft een "Compromise Detection Tool" ontwikkeld waarmee VSA-klanten kunnen controleren of hun omgeving is gecompromitteerd. De tool is op verzoek bij Kaseya verkrijgbaar. Tevens is de FBI bij het onderzoek naar de aanval betrokken. Kaseya herhaalt het advies aan MSP's om hun VSA-servers offline te houden. Dit heeft als gevolg dat het niet mogelijk is om systemen van klanten op afstand via VSA te beheren.


Chemicaliënleverancier Brenntag meldt datalek na ransomware-aanval

Brenntag, de grootste chemicaliënleverancier ter wereld, heeft bij de procureurs-generaal van verschillende Amerikaanse staten een datalek gemeld nadat het eerder dit jaar slachtoffer werd van een ransomware-aanval door de DarkSide-groep. Dezelfde groep criminelen die achter de aanval op de Colonial Pipeline zat. De aanvallers claimden op hun eigen website dat ze honderdvijftig gigabyte aan data hadden buitgemaakt. Brenntag zou uiteindelijk 4,4 miljoen dollar losgeld hebben betaald, zo stelt Elliptic, een bedrijf dat bitcointransacties analyseert. Volgens Brenntag ontdekte het op 28 april een "informatiebeveiligingsincident" waarop het verschillende systemen uitschakelde om de dreiging te beperken. Verder onderzoek wees uit dat de aanvallers op 26 april toegang hadden gekregen en daarbij ook data van systemen hebben buitgemaakt. Het gaat onder andere om social-securitynummers, geboortedata, rijbewijsnummer en en bepaalde medische informatie. Brenntag stelt dat er geen aanwijzingen zijn dat er misbruik van de gestolen data is gemaakt. Het totaal aantal individuen dat slachtoffer van het datalek is geworden laat Brenntag niet weten, maar alleen in de Amerikaanse staat Main gaat het om 6700 mensen. In de staat Montana betreft het drie personen. Het aantal gedupeerde personen in de staat Massachusetts is nog niet bekendgemaakt. Slachtoffers kunnen kosteloos hun krediet laten monitoren en zijn tot 1 miljoen dollar verzekerd tegen identiteitsdiefstal. Brenntag had vorig jaar een omzet van 11,8 miljard euro. Het bedrijf telt meer dan 17.000 medewerkers en is in 77 landen actief.

21679
PDF – 226,3 KB 375 downloads

Coop sluit achthonderd supermarkten in Zweden na aanval op Kaseya

Supermarktketen Coop heeft gisteren na een aanval op softwareleverancier Kaseya bijna alle winkels in Zweden gesloten. Door de aanval crashten de kassasystemen, waarop Coop zich genoodzaakt om meer dan achthonderd winkels in het land te sluiten, melden de Zweedse krant Aftonbladet en de Zweedse televisieomroep SVT. "We kunnen klanten niet laten betalen en daarom de winkels niet open houden", aldus een woordvoerder. In een eerste verklaring sprak de supermarktketen over een it-aanval op een leverancier waardoor de kassa's niet meer werkten. Later volgde een uitgebreidere reactie aanval waarin wordt verwezen naar de aanval op Kaseya. Dit bedrijf levert software voor managed serviceproviders (MSP), die zo systemen van hun klanten op afstand kunnen beheren. Via deze software zijn aanvallers erin geslaagd om systemen van zeker tweehonderd MSP-klanten met ransomware te infecteren. Volgens Kaseya zijn wereldwijd minder dan veertig managed serviceproviders getroffen. Aangezien een MSP honderden of duizenden klanten kan hebben is het aantal MSP-klanten die met ransomware besmet zijn geraakt nog onbekend. Een handvol Coop-supermarkten was gisteren nog wel open en de keten hoopt dat vandaag meer winkels open zullen zijn. Wanneer alle kassa's weer werken is nog onbekend.


3 juli

Slachtoffer Cybercriminele organisatie Datum
kuk.de / KREBS + KIEFER Sodinokibi (REvil) 2021-07-03
 Sierra Air Conditioning Grief 2021-07-03

Overzicht slachtoffers REvil ransomware cybercriminelen

Dit is een lijst van slachtofferorganisaties die REvil ransomware bende heeft gepost op zijn gelekte blog op de DarkWeb. In totaal zijn er 273 slachtoffers gepost op hun darkweb-lekblogsite.


Waardenburgs bedrijf slachtoffer van grote cyberaanval: ‘Impact is enorm’

Ict-bedrijf VelzArt uit Waardenburg is een van de Nederlandse bedrijven die slachtoffer is geworden van een grootschalige cyberaanval. Naast VelzArt is in Nederland ook technisch dienstverlener Hoppenbrouwers door de aanval getroffen. Volgens VelzArt zijn systemen, die vrijdag tussen 18.00 uur en 20.00 uur hebben aangestaan, geïnfecteerd. ‘Besmette systemen komen tot nu toe voor in verschillende varianten. Sommige systemen zijn volledig ontoegankelijk, met andere systemen kan nog gewerkt worden.’


Antwerpse ICT-dienstverlener ITxx slachtoffer van cyberaanval met ransomware: 50 kmo’s kunnen niet aan hun data

De Antwerpse ICT-dienstverlener ITxx wordt momenteel getroffen door een aanval met ransomware. Vijftig klanten van het bedrijf, voornamelijk kmo’s, hebben daardoor geen toegang meer tot hun data of tot back-ups, zegt Steven Holvoet van ITxx. De aanval is sinds vrijdag aan de gang. De hackers, die voorlopig onbekend blijven, konden alle data en mails van het bedrijf en van vijfitg gehoste klanten versleutelen. De klanten van ITxx - voornamelijk kmo’s actief in human resources, interimkantoren en dienstenchequebedrijven - hebben daardoor voorlopig geen toegang tot hun IT-data of de back-ups daarvan.


Universiteit Leiden meldt datadiefstal van "onvoldoende beveiligde" server

Aanvallers zijn er in geslaagd om van een server van de Universiteit Leiden accountgegevens van medewerkers, adresgegevens en beschrijvingen van onderzoek te stelen. Volgens de universiteit was de server onvoldoende beveiligd. De aanvallers dreigen de gestolen data te publiceren tenzij de universiteit 450.000 euro losgeld betaalt, zo meldt het AD. Er is geen sprake van een ransomware-aanval en de universiteit zegt niet te zullen betalen. De gegevens werden gestolen van een webserver van het universiteitsobservatorium, de oudste nog bestaande universitaire sterrenwacht ter wereld. "De server was onvoldoende beveiligd", aldus een woordvoerder, die stelt dat er tientallen huisadressen en vele tientallen e-mailadressen zijn gestolen. Zes maanden geleden wisten aanvallers ook al op de betreffende webserver in te breken. De server werd gebruikt voor communicatie tussen onderzoekers en stond los van de universitaire omgeving. De universiteit geeft aan dat het nu aanpassingen gaat doorvoeren en alleen openbare gegevens vanaf het internet bereikbaar zal maken. De eerste inbraak op de server werd gemeld bij de Autoriteit Persoonsgegevens en dat zal de universiteit ook voor de tweede inbraak doen. Verder zijn alle betrokken onderzoekers van wie de gegevens zijn buitgemaakt gewaarschuwd en wachtwoorden uit voorzorg gereset.


Tweehonderd bedrijven via managed serviceprovider besmet met ransomware

Bij een grote ransomware-aanval zijn zeker tweehonderd bedrijven via hun managed serviceprovider (MSP) met ransomware besmet geraakt. De aanvallers eisen miljoenen dollars van getroffen bedrijven voor het ontsleutelen van hun bestanden. De aanval lijkt te zijn uitgevoerd door middel van een malafide update voor Kaseya VSA, laat Mark Loman van antivirusbedrijf Sophos op Twitter weten. Managed serviceproviders gebruiken de software voor het op afstand beheren van de systemen van hun klanten. Bijvoorbeeld voor het installeren van updates en verhelpen van problemen. Kaseya roept MSP's op om hun VSA-servers uit te schakelen. Het bedrijf heeft zelf de eigen SaaS-servers uit voorzorg uitgeschakeld. Het Nationaal Cyber Security Centrum (NCSC) adviseert klanten van MSP's die VSA-agents in gebruik hebben, om contact te zoeken met hun managed serviceprovider voor verdere instructies. De exacte oorzaak is nog niet bekend, maar uit onderzoek blijkt dat de aanvallers de toegang van de beheerder tot VSA meteen stoppen.


Wereldwijde hackaanval met gijzelsoftware gaande: systemen Nederlandse mkb’ers ‘volledig ontoegankelijk’

Een aan Rusland gelinkte hackersgroep (REvil) heeft met een grootschalige cyberaanval, die nog altijd aan de gang is, ongeveer tweehonderd bedrijven getroffen. De bedrijven zouden zijn getroffen door gijzelsoftware. Er zijn meerdere Nederlandse firma's betrokken, onder andere uit het midden- en kleinbedrijf (mkb). Zogenoemde gijzelsoftware of ransomware blokkeert toegang tot de bestanden van het slachtoffer. De sleutel wordt meestal alleen vrijgegeven na betaling van losgeld. De wereldwijde aanval die nu gaande is, is mogelijk begonnen bij Kaseya, een leverancier van ICT-beheersoftware. Het Nationaal Cyber Security Centrum in Den Haag roept bedrijven op een product dat wordt gebruikt voor beheer op afstand, uit te schakelen. Dat heet VSA. Volgens het NCSC wordt dat product veel gebruikt bij partijen die ICT-steun verlenen aan andere bedrijven.


Zweedse supermarktketen lamgelegd door cyberaanval

De Zweedse supermarktketen Coop heeft al zijn winkels in het land gesloten vanwege een cyberaanval. Het zijn zo'n 800 winkels. Mogelijk heeft de aanval te maken met de internationale ransomware-aanval waardoor ook 200 Amerikaanse bedrijven zijn getroffen. Coop heeft een marktaandeel van 20 procent in de Zweedse supermarktsector en een jaaromzet van omgerekend ongeveer 1,5 miljard euro. De Zweedse keten heeft overigens niets te maken met Coop Nederland. Door de cyberaanval op de supermarktketen zijn de kassasystemen lamgelegd, meldt de Zweedse omroep SVT. De hele nacht is er aan een oplossing gewerkt, maar zonder succes.


ICT-bedrijf van Wesley getroffen door hackers: 'Dit raakt mij heel diep'

Honderden bedrijven zijn slachtoffer geworden van een grote internationale cyberaanval. Het gaat in ieder geval om twee Nederlandse bedrijven, waaronder klanten van ICT-bedrijf VelzArt. "We zijn met man en macht bezig de klantensituaties te restoren", zegt directeur Wesley Born tegen RTL Nieuws. Gisteravond zijn meerdere computers wereldwijd lamgelegd door een aan Rusland gelinkte hackersgroep. De ransomware werd verspreid via VSA-software van het Amerikaanse bedrijf Kaseya. Die software wordt veel gebruikt door IT-dienstverleners om systemen van hun klanten op afstand te beheren. Lees verder


2 juli


Nederlandse politie neemt servers ransomwaregroep DarkSide in beslag

De Nederlandse politie heeft servers van de ransomwaregroep DarkSide in beslag genomen, zo laat de politie tegenover het Financieele Dagblad weten. De DarkSide-groep zat onder andere achter de aanval op de Colonial Pipeline Company. De grootste brandstofpijplijn van de Verenigde Staten werd op 7 mei slachtoffer van een ransomware-aanval. Net als andere ransomwaregroepen maakte DarkSide gebruik van een website waarop het data van getroffen organisaties publiceerde en nieuwe slachtoffers bekendmaakte. Halverwege mei was de website opeens offline. Daarop liet de groep weten dat hun servers in een niet nader genoemd land door opsporingsdiensten in beslag waren genomen en het stopte met de activiteiten. De aankondiging werd gedeeld door securitybedrijf Intel 471.


REvil ransomware treft 200 bedrijven in MSP supply chain-aanval

Een massale REvil ransomware-aanval treft meerdere managed service providers en hun klanten via een gerapporteerde Kaseya supply chain-aanval. Vanaf vanmiddag richtte de REvil ransomware-bende zich op ongeveer acht grote MSP's, met duizenden klanten, door middel van wat lijkt op een Kaseya VSA supply chain-aanval. Kaseya VSA is een cloudgebaseerd MSP-platform waarmee providers patchbeheer en clientmonitoring voor hun klanten kunnen uitvoeren.


Amerikaanse verzekeringsgigant AJG meldt datalek na ransomware-aanval

Arthur J. Gallagher (AJG), een in de VS gevestigd wereldwijd verzekeringsmakelaardij- en risicobeheerbedrijf, stuurt brieven met kennisgevingen van inbreuken naar mogelijk getroffen personen na een ransomware-aanval die eind september hun systemen trof. "In samenwerking met de cyberbeveiligings- en forensische specialisten om te bepalen wat er mogelijk is gebeurd en welke informatie mogelijk is beïnvloed, hebben we vastgesteld dat een onbekende partij tussen 3 juni 2020 en 26 september 2020 toegang heeft verkregen tot gegevens in bepaalde segmenten van ons netwerk, of deze heeft verkregen." zei AJG  .


1 juli

Slachtoffer Cybercriminele organisatie Datum
Techni+Contact Prometheus 2021-07-01
Stevens & Lee Sodinokibi (REvil) 2021-07-01
GATEWAY Property Management Ragnar_Locker 2021-07-01
WT Microelectronics RansomEXX 2021-07-01
Commune De Villepinte Grief 2021-07-01
Istaff.com Sodinokibi (REvil) 2021-07-01
New Leak GatewayPM Ragnar_Locker 2021-07-01

Mandemakers dankzij back-up maandag weer volledig operationeel

De Mandemakers Groep die eerder deze week door ransomware werd getroffen verwacht dankzij een back-up maandag weer volledig operationeel te zijn en de levering van meubels op te starten. Vanwege de aanval besloot het keuken-, badkamer- en meubelconcern de levering van meubels tijdelijk op te schorten. Het is de verwachting dat ook de showrooms van Mandemakers maandag weer telefonisch bereikbaar zijn. Vandaag kwam de telefooncentrale op het hoofdkantoor weer online, meldt Omroep Brabant.


Mandemakers groep: ‘ondanks adequate beveiliging’ toch slachtoffer

Keuken- en meubelverkoper De Mandemakers Groep (DMG) is het slachtoffer geworden van hackers. Zij slaagden erin om een groot deel van de IT-systemen te blokkeren. DMG heeft aangifte gedaan bij de politie en melding van het voorval gemaakt bij de Autoriteit Persoonsgegevens. Cybersecuritybedrijf Fox-IT helpt het bedrijf bij de afwikkeling van de aanval en het versterken van de beveiligingsmaatregelen. Lees verder


Japan Airport Refueling Co. maakt ransomware-incident bekend; tankwerkzaamheden niet beïnvloed

Security NEXT meldt dat Japan Airport Refueling , dat de tankservice voor vliegtuigen levert, te maken heeft gehad met een ransomware-aanval. Een machinevertaling van het rapport zegt gedeeltelijk dat het interne netwerk van het bedrijf in de vroege ochtend van 21 juni uitviel.


Babuk ransomware is terug, gebruikt nieuwe versie op bedrijfsnetwerken

Na de aankondiging van hun vertrek uit de ransomware-business ten gunste van afpersing van gegevensdiefstal, lijkt de Babuk-bende terug te zijn gevallen in hun oude gewoonte om bedrijfsnetwerken te versleutelen. De criminelen gebruiken momenteel een nieuwe versie van hun bestandsversleutelende malware en hebben de operatie verplaatst naar een nieuwe leksite waarop een handvol slachtoffers wordt vermeld.


Cybercrimegroep Trickbot gekoppeld aan nieuwe Diavol-ransomware

De beveiligingsonderzoekers van FortiGuard Labs hebben een nieuwe ransomware-stam genaamd Diavol gekoppeld aan Wizard Spider, de cybercriminaliteitsgroep achter het Trickbot-botnet. Diavol- en Conti-ransomware-payloads werden begin juni 2021 op verschillende systemen ingezet bij een ransomware-aanval die werd geblokkeerd door de EDR-oplossing van het bedrijf. De voorbeelden van de twee ransomware-families zijn uit hetzelfde hout gesneden, van het gebruik van asynchrone I/O-bewerkingen voor file-encryptie-wachtrijen tot het gebruik van vrijwel identieke opdrachtregelparameters voor dezelfde functionaliteit (bijv. scannen).

Siavol Ransomware
PDF – 1,7 MB 346 downloads

30 juni

Slachtoffer Cybercriminele organisatie Datum
BERMAN SOBIN GROSS & DARBY Hive 2021-06-30
CYMZ Sodinokibi (REvil) 2021-06-30
Vic Pharma Industry and Trade Ltd. Sodinokibi (REvil) 2021-06-30
Masmovil ibercom SA Sodinokibi (REvil) 2021-06-30
neroindustry.com Sodinokibi (REvil) 2021-06-30
Booneville School District Grief 2021-06-30
Evron Foods Limited Grief 2021-06-30

Cyber Security Beeld Nederland 2021: "De schade van ransomware is groot"

In het zojuist verschenen Cyber Security Beeld Nederland (CSBN) is dit jaar een apart hoofdstuk gewijd aan ransomware en het complexe ondergrondse criminele ecosysteem daaromheen. ‘De schade van ransomware is groot: de schattingen lopen uiteen van miljoenen tot miljarden, maar als alleen al 46 procent van het MKB in Nederland aangeeft ermee te maken te hebben gehad, dan staan we voor een ongekende uitdaging’, aldus hoofdofficier Michiel Zwinkels, binnen het OM portefeuillehouder cybercrime. ‘Hoewel het CSBN beschrijft dat er in Nederland tot nu nog geen aanval op een vitaal proces heeft plaatsgevonden, betekent dat niet dat er géén cruciale processen zijn verstoord.’ Lees verder


Nederlandse politie haalt vpn-provider DoubleVPN offline

Tijdens een internationale operatie, geleid door de Landelijke Eenheid van de Nederlandse politie, is vpn-provider DoubleVPN offline gehaald. Volgens de autoriteiten maakten onder andere ransomwaregroepen gebruik van DoubleVPN. De dienst, die op allerlei fora voor cybercriminelen adverteerde, bood klanten anonimiteit door niet alleen enkelvoudige, maar ook dubbele, driedubbele en zelfs viervoudige vpn-verbindingen aan te bieden.


Gelekte Babuk Locker ransomware-builder gebruikt in nieuwe aanvallen

Een gelekte tool die door de Babuk Locker-operatie werd gebruikt om aangepaste ransomware-uitvoerbare bestanden te maken, wordt nu gebruikt door een andere dreigingsactor in een zeer actieve campagne gericht op slachtoffers over de hele wereld. Babuk Locker was een ransomware-operatie die begin 2021 werd gelanceerd toen het zich begon te richten op bedrijfsslachtoffers en hun gegevens te stelen in dubbele afpersingsaanvallen. Na het uitvoeren van een aanval op de Metropolitan Police Department (MPD) van Washington DC en het voelen van de druk van wetshandhavers, stopte de ransomware-bende in april en schakelde over op een niet-versleutelend gegevensafpersingsmodel onder de naam PayLoad Bin.


CISA lanceert nieuwe zelf evaluatie-beveiligingscontroletool voor ransomware

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft de Ransomware Readiness Assessment (RRA) uitgebracht, een nieuwe module voor zijn Cyber ​​Security Evaluation Tool (CSET). RRA is een zelf beoordelingstool voor beveiligingsaudits voor organisaties die beter willen begrijpen hoe goed ze zijn uitgerust om zich te verdedigen tegen en te herstellen van ransomware-aanvallen die gericht zijn op hun informatietechnologie (IT), operationele technologie (OT) of industrieel controlesysteem (ICS) middelen. Deze CSET-  module is op maat gemaakt voor RRA om verschillende niveaus van ransomware-dreigingsgereedheid te beoordelen om nuttig te zijn voor alle organisaties, ongeacht hun volwassenheid op het gebied van cyberbeveiliging.


REvil Twins: duik diep in de TTP's van productieve RaaS-filialen

In deze blogpost willen we ons concentreren op een van de meest actieve ransomware-collectieven, REvil, en hun RaaS-programma, dat steeds meer filialen aantrekt vanwege de sluiting van andere RaaS. De DFIR-experts van Group-IB doken diep in de modus operandi van REvil-filialen en deelden wat informatie over de waargenomen tactieken, technieken en procedures van verschillende aangesloten filialen, zodat verdedigers hun detectiemogelijkheden daarop kunnen afstemmen.

R Evil Twins
PDF – 4,9 MB 390 downloads

29 juni

Slachtoffer Cybercriminele organisatie Datum
University Medical Center of Southern Nevada Sodinokibi (REvil) 2021-06-29
Agencia de Aduana Juan León Prometheus 2021-06-29
Grúas & Equipos Cruz del Sur Prometheus 2021-06-29
***** (NL) Sodinokibi (REvil) 2021-06-29
Kawasaki Kisen Kaisha, Ltd. (“K” LINE) Marketo 2021-06-29
Cognyte Data Leak Dark Leak Market 2021-06-29
DreamHost Data Leak Dark Leak Market 2021-06-29

NCSC publiceert acht basismaatregelen voor digitaal veilige organisaties

Het Nationaal Cyber Security Centrum (NCSC) heeft een overzicht van acht basismaatregelen gepubliceerd die elke organisatie zou moeten nemen en die helpen om cyberaanvallen zoals ransomware en phishing tegen te gaan. Dat laat de overheidsinstantie in Handreiking Cybersecuritymaatregelen weten, die tegelijkertijd met het Cybersecurity Beeld Nederland 2021 (CSBN2021) is verschenen. Het CSBN2021 geeft een overzicht van de ontwikkelingen op het gebied van cybersecurity en cyberdreigingen. "Uit het CSBN2021 blijkt opnieuw dat basismaatregelen bij veel organisaties ontbreken of nog onvoldoende zijn geïmplementeerd. Het gaat dan bijvoorbeeld om het gebruik van multifactorauthenticatie, tijdige patching en logging van netwerkverkeer", stelt demissionair minister Grapperhaus van Justitie en Veiligheid in een reactie op het Cybersecuritybeeld.

NCSC Handreiking Cybersecuritymaatregelen Def
PDF – 507,6 KB 611 downloads

NCTV: ransomware is risico voor nationale veiligheid van Nederland

Ransomware is een risico voor de nationale veiligheid van Nederland, zo stelt de Nationaal Coördinator Terrorismebestrijding (NCTV) in het vandaag verschenen Cybersecuritybeeld Nederland 2021 (pdf). Ook politie en het Openbaar Ministerie luiden de noodklok. Volgens de NCTV kunnen ransomware-aanvallen vitale processen verstoren. Dergelijke aanvallen hebben zich nog niet in Nederland voorgedaan, maar wel in het buitenland. Wel zijn in Nederland organisaties, bedrijven en overheden getroffen. Zo noemt de NCTV de ransomware-aanval op de gemeente Hof van Twente een "moedwillige aantasting van de integriteit van de digitale ruimte van de overheid", die gevolgen kan hebben voor de continuïteit van de dienstverlening door de overheid en het maatschappelijk vertrouwen daarin.

CSBN 2021
PDF – 3,1 MB 339 downloads

Patiënten klagen Amerikaanse zorgverlener aan wegens datalek door ransomware

De Amerikaanse zorgverlener Scripps Health, dat onder andere vijf ziekenhuizen beheert, is door meerdere patiënten aangeklaagd nadat hun persoonlijke gegevens vorige maand bij een omvangrijke ransomware-aanval werden gestolen. Vanwege de aanval, die in mei plaatsvond, moest zorgpersoneel op pen en papier teruggevallen. Digitale patiëntendossiers waren offline, alsmede het systeem met de geplande afspraken. Ook het online portaal waar patiënten hun eigen dossiers kunnen inzien was onbereikbaar. Zorgpersoneel kon bij al bekende patiënten gebruikmaken van papieren dossiers. Ernstige noodgevallen, zoals hartaanvallen, werden omgeleid naar andere ziekenhuizen. Begin deze maand waarschuwde Scripps Health meer dan 147.000 patiënten dat hun persoonlijke gegevens bij de aanval zijn buitgemaakt. Daarop zijn verschillende patiënten rechtszaken tegen de zorgverlener gestart, meldt NBC. Volgens de massaclaims heeft de zorgverlener patiëntgegevens niet goed beveiligd en de inbraak op de systemen niet tijdig ontdekt, terwijl het wegens aanvallen op andere zorgverleners alert had moeten zijn.


Onderzoekers: cybercriminelen zijn eigenlijk ondernemers met een start-up

Bij de aanpak van cybercrime wordt er naar verschillende invalshoeken gekeken, maar één belangrijke benadering ontbrak nog, en dat is dat cybercriminelen eigenlijk ondernemers zijn die een start-up runnen. Dat stellen onderzoekers van de Universiteiten van Cambridge, Edinburgh en Innsbruck. Ze ontwikkelden een framework waarbij er vanuit het gezichtspunt van ondernemerschap naar cybercrime wordt gekeken.

Weis 21 Anderson
PDF – 249,1 KB 481 downloads

Phishing meest voorkomende start cyberincident bij middelgrote en kleine bedrijven

Een cyberaanval op middelgrote en kleine bedrijven (MKB) heeft ernstige gevolgen voor de bedrijfsvoering. De helft van de ondernemers vreest dat zo’n aanval het einde van zijn bedrijf betekent. De grootste bedreiging voor het MKB is echter geen cyberaanval, maar phishing. In het rapport Cybersecurity for SMEs – Challenges and Recommendations concludeert het cybersecurityagent dat veel ondernemers door de coronacrisis een beroep moesten doen op moderne technologieën waar ze nog nooit mee gewerkt hadden. Denk aan apparaten die QR-codes genereren of mobiele pinbetalingen verrichten. Dat het MKB zich vol op deze technologieën heeft gestort om hun bedrijfsvoering voort te zetten, is lovenswaardig. Lees verder


Lorenz ransomware decryptor herstelt de bestanden van slachtoffers gratis

Het Nederlandse cyberbeveiligingsbedrijf Tesorion heeft een gratis decryptor voor de Lorenz-ransomware uitgebracht, waarmee slachtoffers sommige van hun bestanden gratis kunnen herstellen zonder losgeld te betalen. Lorenz is een ransomware die in april 2021 begon te werken en sindsdien twaalf slachtoffers heeft gemaakt wiens gegevens ze hebben gestolen en gelekt op hun ransomware-dataleksite. De Lorenz ransomware-decoderingstool kan worden  gedownload van NoMoreRansom  en stelt slachtoffers in staat enkele van hun versleutelde bestanden te herstellen.


Hackeraanval op Gerry Weber: IT-systeem en klanten getroffen

De Duitse textielwinkelketen Gerry Weber werd het slachtoffer van een hackeraanval. Dat bevestigt het bedrijf op verzoek van Business Insider. Zoals Business Insider uitsluitend van medewerkers vernam, was het IT-systeem van de kledingretailer in heel Duitsland meer dan een week lamgelegd. Enerzijds treft de systeemstoring de medewerkers, die niet meer regelmatig kunnen werken omdat de tijdregistratie of het printen van etiketten niet meer werkt. Gerry Weber bevestigt deze beperkingen en schrijft dit toe aan het feit dat uit voorzorg mogelijk getroffen systemen werden uitgeschakeld. Bron


Gemeente Cagliari slachtoffer van een hackeraanval, systemen op tilt en verminderde services

Sinds gisteren is de gemeente Cagliari het slachtoffer van een hackeraanval met het CryptoLocker- virus , waardoor de pc's van medewerkers in een neerwaartse spiraal terecht zijn gekomen. De directie van de gemeente nodigde met een bericht op WhatsApp haar medewerkers uit om de kantoor-pc's niet aan te zetten en de netwerkkabel los te koppelen. Dit komt omdat CryptoLocker malware is die zich over het netwerk verspreidt en bestanden versleutelt . In plaats daarvan kregen medewerkers in slim werken het advies om Amazon WorkSpaces niet te gebruiken of de werk-pc niet aan te zetten, om te voorkomen dat deze via de VPN verbinding zou maken met het gemeentelijk netwerk. Bron


HADES ransomware-operators zetten aanvallen voort

Accenture Security beoordeelt met een matige tot hoge mate van vertrouwen dat een  voorheen gemelde onbekende dreigingsgroep  nu meerdere ransomwarevarianten gebruikt bij cybercriminaliteit die gevolgen heeft gehad voor ten minste zeven (7) slachtoffers.

HADES Ransomware Operators Continue Attacks
PDF – 251,0 KB 331 downloads

28 juni

Slachtoffer Cybercriminele organisatie Datum
Factoring Baninter Prometheus 2021-06-28
DAVACO Inc Conti 2021-06-28
Whitehouse Independent School District Vice Society 2021-06-28
FILGO Vice Society 2021-06-28
Salzburg Milch Grief 2021-06-28
Leiden University Hacked Arvin Club 2021-06-28
UtAir Arvin Club 2021-06-28

Ransomware-bendes maken nu websites om partners te werven

Sinds twee prominente Russisch sprekende cybercriminaliteitsforums ransomware-gerelateerde onderwerpen hebben verboden, worden criminele operaties gedwongen om hun service via alternatieve methoden te promoten. Ten minste twee ransomware-bendes die hackers nodig hebben om de aanvallen uit te voeren, gebruiken hun sites om reclame te maken voor functies van hun versleutelingstools om nieuwe rekruten aan te trekken. Bron


De nieuwe Linux-encryptor van REvil ransomware richt zich op virtuele ESXi-machines

De REvil ransomware-operatie maakt nu gebruik van een Linux-encryptor die zich richt op Vmware ESXi virtuele machines en deze versleutelt. Nu de onderneming overstapt op virtuele machines voor eenvoudigere back-ups, apparaatbeheer en efficiënt gebruik van bronnen, creëren ransomware-bendes steeds vaker hun eigen tools om de opslag die door VM's wordt gebruikt massaal te versleutelen. In mei  deelde Yelisey Boguslavskiy van Advanced Intel een forumbericht van de REvil-operatie waarin ze bevestigden dat ze een Linux-versie van hun encryptor hadden uitgebracht die ook op NAS-apparaten zou kunnen werken.


Hackeraanval op elf bedrijven in Weiden (D)

Elf bedrijven in Weiden hebben al een paar dagen te maken met een hackeraanval, waarvan sommige de bedrijven lamlegden en hun voortbestaan ​​bedreigden. Volgens de politie gebruikten criminelen een encryptie-trojan om de gegevens van een bedrijf te achterhalen. Bron


Cyberaanval op Ponta Delgada-ziekenhuis vertraagt ​​​​de vrijgave van testresultaten naar covid-19

De minister van Volksgezondheid van de regering van de Azoren, Clélio Meneses, erkende vandaag dat er vertragingen waren bij de bekendmaking van negatieve tests voor covid-19 in de regio als gevolg van de cyberaanval op het ziekenhuis Divino Espírito Santo (HDES), in Ponta Delgada. Bron


Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten

Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »