Overzicht cyberaanvallen week 27-2021

Gepubliceerd op 12 juli 2021 om 15:00

Biden verzoekt Poetin om gijzelsoftware hackers te stoppen, kamer wil wegens ransomware maatregelen tegen Rusland onderzoeken, en lees mee met onderhandeling tussen slachtoffer en cybercriminelen van REvil. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


11 juli

Slachtoffer Cybercriminele organisatie
ensingerplastics.com Sodinokibi (REvil)

Kaseya was al jarenlang lek en merkt nu genadeloze gevolgen

Hackers infiltreerden vorige week ict-bedrijf Kaseya dat gevestigd is in Florida. De indringers voerden een ransomware-aanval uit, stolen grote hoeveelheden gegevens en eisten 70 miljoen dollar (omgerekend 59 miljoen euro) als losgeld voor de terugkeer van de data. De hack op Kaseya wordt 'de grootste ransomware-aanval ooit' genoemd en heeft wereldwijd honderden bedrijven getroffen, waaronder supermarkten in Zweden en scholen in Nieuw-Zeeland. Leidinggevenden van het ict-bedrijf waren kennelijk al ruim van te voren gewaarschuwd voor kritieke beveiligingsfouten in de software vóór de ransomware-aanval. Medewerkers zouden van 2017 tot 2020 tijdens verschillende gelegenheden hun leidinggevenden op de hoogte hebben gebracht van een breed scala aan cyberbeveiligingsproblemen. Die problemen werden kennelijk vaak niet volledig aangepakt volgens de werknemers die werkzaam waren op de afdeling software-engineering en software-ontwikkeling. Lees verder


Antwerps ICT-bedrijf betaalt 250.000 euro losgeld aan cybercriminelen

Het Antwerpse ITxx heeft 300.000 Amerikaanse dollars (ruim 250.000 euro) losgeld betaald aan cybercriminelen die eerder deze maand de computersystemen van het bedrijf op slot hadden gezet. Dat meldt de ICT-leverancier zondag op de website. Klanten van het bedrijf zouden ‘snel weer operationeel’ moeten zijn, zo laat zaakvoerder Philippe Van Cauwenbergh weten. Zo’n zestig KMO’s konden door de hack sinds vrijdag 2 juli niet meer bij hun data of back-ups, waardoor hun operaties ernstig verstoord werden. Lees verder


Hackers stelen bitcoin (BTC) van politie in Nieuw Zeeland

Helaas komt het nog altijd veels te vaak voor. Hackers en criminelen die grote hoeveelheden cryptocurrencies stelen of gebruiken voor ransomware aanvallen. Dit keer is het raak in Nieuw Zeeland. Daar hadden criminelen wel heel veel lef, want er werd bitcoin (BTC) gestolen van de politie.


Cyberaanvallers schakelen Australische onderwijsafdeling gedeeltelijk uit

De onderwijsafdeling van New South Wales (NSW) in Australië heeft enkele interne systemen gedeactiveerd nadat ze het slachtoffer waren geworden van een cyberaanval.

Blackboard Collab-lek ook?

In ander nieuws dat van invloed is op de onderwijssector van Australië, tweette gisteravond bedreigingjager Chris Vickery


Kritiek op Rusland vanwege ransomware-aanvallen: 'Criminelen kunnen hun gang gaan'

Wordt je bedrijf platgelegd door ransomware? Dan is de kans groot dat de daders nooit voor de rechter zullen komen. Niet omdat niet bekend is wie ze zijn, maar omdat het land waar ze wonen daar weinig zin in heeft. Veel ransomware-groeperingen worden door onderzoekers en overheden aan Rusland gelinkt en dat het land daar weinig aan doet, zorgt voor steeds meer irritatie. Vrijdag nog belde de Amerikaanse president Biden met zijn Russische collega Poetin, met de boodschap dat Rusland echt meer moet doen tegen Russische hackersgroeperingen die Amerikaanse bedrijven aanvallen. Lees verder


10 juli

Slachtoffer Cybercriminele organisatie

Cyberaanval op Vlaamse ICT-dienstverlener ten einde: 50 kmo’s kunnen weer aan hun gegevens na betalen van losgeld

De cyberaanval met ransomware op de Vlaamse ICT-dienstverlener ITxx, waardoor vijftig kmo’s in Vlaanderen niet konden werken, was het werk van hackersgroep Conti en is ten einde. Dat heeft onze redactie vernomen. De aanval op ITxx begon op vrijdag 2 juli. De hackers konden alle data en mails van het bedrijf en van vijftig gehoste klanten - voornamelijk kmo’s actief in human resources, interimkantoren en dienstenchequebedrijven - versleutelen, waardoor ze geen toegang hadden tot hun IT-data of de back-ups daarvan. De hackers eisten 1,5 miljoen dollar losgeld, te betalen in bitcoins, zo hebben wij vernomen. Een week na datum, op vrijdag 9 juli, werd een einde gemaakt aan de aanval. “We hebben de hele week actie ondernomen om de gewiste back-ups terug te zetten, maar de hackers gingen uiterst professioneel te werk”, zegt Geert Baudewijns, CEO van cyberbeveiligingsbedrijf Secutec. Wij vernamen dat het gaat om hackers van Conti, de op een na grootste hackersgroep ter wereld. “Vaak is er nog een spoor, maar uit nader onderzoek bij onder meer een Noorse firma, gespecialiseerd in complexe datarecovery, bleek dat de back-upgegevens definitief onbruikbaar waren gemaakt.” Toen bleek dat de back-ups niet meer aan de praat te krijgen waren, werden onderhandelingen opgestart met de hackers, onder leiding van Baudewijns. Die resulteerden volgens onze bronnen in het betalen van 300.000 dollar in bitcoins, een vijfde van het bedrag dat de hackers initieel eisten. “Meteen hebben we de volledige omgeving vernieuwd en alle servers opnieuw van nul opgebouwd. ITxx werkt nu met een moderne en veilige omgeving”, zegt Baudewijns.


„De werkdruk liep door de cyberaanval behoorlijk op”

Door een grote cyberaanval viel het werk in honderden bedrijven vorig weekeinde stil. Dijkwaard B.V. Glas- en Schilderwerken in Haaften werd ook geraakt. Het bedrijf moest terugvallen op potlood en papier. „Wij werken al jarenlang digitaal”, vertelt werkvoorbereider en planner Pedro van Hartingsveldt (43). Naast het feit dat dit veel papier uitspaart –wat natuurlijk goed is voor het milieu– stipt hij een ander voordeel aan. „Met de computer maken we als bedrijf alle calculaties en werkvoorbereidingen. Als dit allemaal handmatig moet worden gedaan, zouden we veel langer over ons werk doen.” Lees verder


Cyberaanval op de website van de Oekraïense marine

Het Oekraïense ministerie van Defensie heeft hackers de schuld gegeven van de aanval op de website van zijn zeemacht. De hackers hebben connecties met de Russische autoriteiten en publiceerden valse rapporten over de internationale Sea Breeze 2021 militaire oefeningen, aldus het ministerie. Inmiddels is de website van de marine hersteld, zo maakte het ministerie bekend. Bron


9 juli

Slachtoffer Cybercriminele organisatie
Orange County Chrysler Jeep Dodge Ram Dealership Grief
Primo Water Sodinokibi (REvil)
LUCKY STAR CASINO Conti
Mega Vision Hive
Pesquera Exalmar SAA Prometheus
Walter's Mercedes-Benz of Riverside Vice Society

Biden verzoekt Poetin om gijzelsoftware hackers te stoppen

Volgens het Witte Huis heeft Biden benadrukt dat hij zich blijft inzetten tegen de bredere dreiging van gijzelsoftware. Hij „herhaalde dat de Verenigde Staten alle noodzakelijke maatregelen zullen nemen om hun bevolking en hun vitale infrastructuur te beschermen” tegen de voortdurende cyberaanvallen. Een woordvoerster laat weten dat geen nieuwe informatie bekend is die zou wijzen op betrokkenheid van Moskou bij de grote cyberaanval van vorige week. Duizenden bedrijven zijn door die hack getroffen, die naar alle waarschijnlijkheid is uitgevoerd door de aan Rusland gelieerde hackersgroep REvil. Lees verder


Kamer wil wegens ransomware maatregelen tegen Rusland onderzoeken

De Tweede Kamer wil dat het kabinet maatregelen tegen Rusland onderzoekt omdat het land te weinig doet om ransomwaregroepen aan te pakken. Dat blijkt uit een motie van CDA-Kamerlid Agnes Mulder en VVD-Kamerlid Ruben Brekelmans die door een meerderheid in de Tweede Kamer werd aangenomen. Mulder en Brekelmans stellen dat Russische cybercriminelen grote ransomware-aanvallen op westerse bedrijven en instellingen uitvoeren en dat de Russische overheid deze groepen onvoldoende aanpakt en mogelijk zelfs beschermt. Het is echter juridische ingewikkeld om een staat aansprakelijk te stellen voor het handelen van private actoren. Daarom vragen beide Kamerleden de regering om uit te zoeken welke tegenmaatregelen op het gebied van diplomatie en cyber mogelijk zijn als reactie op de ransomware-aanvallen van Russische groepen. De Tweede Kamer zou hier kort na het zomerreces over moeten worden ingelicht. Een meerderheid in de Tweede Kamer stemde in met de motie. Eerder stelde ook de Amerikaanse president Biden dat Rusland meer moet doen om ransomwaregroepen in het land aan te pakken.

Gnes Mulder Over Maatregelen Tegen Ransomwareaanvallen Van Hackersgroepen T V V 21501 02 2384
PDF – 35,7 KB 307 downloads

Verzekeringsgigant CNA meldt datalek na ransomware-aanval

CNA Financial Corporation, een toonaangevende Amerikaanse verzekeringsmaatschappij, stelt klanten op de hoogte van een datalek na een Phoenix CryptoLocker ransomware-aanval die in maart zijn systemen trof. CNA wordt beschouwd als de zevende grootste commerciële verzekeringsmaatschappij in de VS op basis van statistieken van het  Insurance Information Institute. Het bedrijf biedt een uitgebreid scala aan verzekeringsproducten, waaronder cyberverzekeringen, aan particulieren en bedrijven in de VS, Canada, Europa en Azië. "Uit het onderzoek is gebleken dat de dreigingsactor op verschillende tijdstippen toegang heeft gekregen tot bepaalde CNA-systemen van 5 maart 2021 tot 21 maart 2021", zei CNA in de  kennisgevingsbrieven  die vandaag naar de getroffen klanten zijn gestuurd. "Tijdens deze periode kopieerde de dreigingsactor een beperkte hoeveelheid informatie voordat ze de ransomware implementeerde."


Pas op met "updaten van Kaseya"

Hackers proberen munt te slaan uit de crisis rondom de VSA-software van ICT-dienstverlener Kaseya. Ze hebben een spamcampagne opgezet waarbij ze potentiële slachtoffers proberen over te halen om een beveiligingsupdate te installeren die de kwetsbaarheid in VSA verhelpt. In werkelijkheid halen nietsvermoedende slachtoffers een Cobalt Strike payload binnen die een achterdeur toevoegt aan het bedrijfsnetwerk. Op deze manier proberen ze het netwerk binnen te glippen en malware te installeren. Lees verder


Hackers verstoren Iraanse treindienst met valse vertragingsberichten

Het Iraanse spoorwegsysteem werd vrijdag aangevallen door een cyberaanval, meldde een semi-officieel persbureau, waarbij hackers valse berichten over treinvertragingen of annuleringen op displayborden op stations in het hele land plaatsten. Bron


Netwerkbeveiligingsincident' sluit Joplin-stadscomputers af

Wetshandhavers en een cyberbeveiligingsbedrijf zijn ingeschakeld om een ​​"netwerkbeveiligingsincident" te onderzoeken waardoor het computersysteem van het stadsbestuur van Joplin werd afgesloten, zeiden functionarissen donderdag. Het computerprobleem werd woensdag begin woensdag ontdekt en donderdagmiddag werkten de systemen niet. Bron


8 juli

Slachtoffer Cybercriminele organisatie
inocean.no / 2000 GB Sodinokibi (REvil)
South Carolina Legal Services breach Sodinokibi (REvil)
DiaSorin XING LOCKER
Artas Holding / Artas Insaat AvosLocker

Onderhandeling tussen slachtoffer en cybercriminelen van REvil

Terwijl computeranalisten van over de hele wereld hun vaardigheden ter beschikking stellen voor de gemeenschap, heeft REvil de afgelopen dagen geprobeerd rechtstreeks zaken te doen met enkele van hun slachtoffers. Dit was het geval bij een bedrijf dat actief is op het gebied van informatietechnologie en dat met REvil een prijs is overeengekomen voor de sleutel om de versleutelde bestanden te ontsleutelen. Lees verder


Nederlandse onderzoekers vonden zeven kwetsbaarheden in Kaseya-software

Nederlandse beveiligingsonderzoekers hebben begin april zeven kwetsbaarheden in Kaseya VSA gevonden, waaronder één van de twee beveiligingslekken waar criminelen vorige week bij de wereldwijde ransomware-aanval gebruik van maakten. De onderzoekers maken deel uit van het Dutch Institute for Vulnerability Disclosure (DIVD), dat zich bezighoudt met beveiligingsonderzoek en het waarschuwen van kwetsbare organisaties. De beveiligingslekken die de DIVD-onderzoekers ontdekten maken het onder andere mogelijk om code op VSA-servers uit te voeren, de tweefactorauthenticatie te omzeilen, SQL Injection-aanvallen uit te voeren en inloggegevens te bemachtigen waarmee er toegang tot VSA-servers kan worden verkregen. Na ontdekking van de kwetsbaarheden werd Kaseya door het DIVD gewaarschuwd. Vier de van de beveiligingslekken werden vervolgens verholpen via updates die in april en mei verschenen. Drie van de kwetsbaarheden moesten nog in de VSA-software worden gepatcht. Eén van deze beveiligingslekken, aangeduid als CVE-2021-30116, werd vorige week bij de wereldwijde ransomware-aanval door criminelen gebruikt om toegang tot de VSA-servers van managed serviceproviders (MSP's) te krijgen. Via deze servers beheren MSP's de systemen van hun klanten. De standaard remote toegang die VSA biedt gebruikten de criminelen om vervolgens ransomware op klantsystemen te installeren. De ernst van CVE-2021-30116 is op een schaal van 1 tot en met 10 met een 10 beoordeeld. Daarnaast maakten de aanvallers ook misbruik van een andere kwetsbaarheid, zo laat het DIVD weten. Dit beveiligingslek was echter niet door de Nederlandse onderzoekers ontdekt. Het DIVD wil details over de gevonden kwetsbaarheden pas bekendmaken als Kaseya updates heeft uitgebracht en die op voldoende systemen zijn geïnstalleerd, om zo eventueel misbruik te voorkomen.


Afval ophalen kwam afgelopen weekend voor even in gevaar door ransomware-aanval

Duizenden bedrijven in minstens zeventien landen werden het afgelopen weekend getroffen door een massale aanval met gijzelsoftware. Cyclus, ook actief in Alphen, ervaarde daardoor ook problemen, waardoor het er even op leek dat de afvalroutes niet volgens planning gereden konden worden. Door een cyberaanval bij de leverancier van Cyclus konden zij zondag het programma voor de routeplanning van het afval ophalen niet gebruiken. De verwachting was dat dit gevolgen zou hebben voor het ophalen van afval begin deze week. Maar dat bleek gelukkig mee te vallen. Maandag liet Cyclus weten dat de storing in de routesoftware weer was opgelost. Het was niet de enige cyberaanval afgelopen weekend, zo laat de politie weten. ‘’Duizenden bedrijven in minstens zeventien landen zijn het afgelopen weekend getroffen door een massale aanval met gijzelsoftware. Het gaat om een van de grootste ransomware-aanvallen ooit. Ook een aantal Nederlandse bedrijven is getroffen.’’ De gijzelsoftware werd verspreid via zogeheten VSA-software van een bekende Amerikaanse softwareleverancier. Maar het lijkt erop dat de impact beperkt is gebleven. ‘’Dat is te danken aan het werk van een groep Nederlandse ethisch hackers (DIVD) die snel slachtoffers waarschuwden om verdere schade te voorkomen’’, aldus de politie. De politie zal de slachtoffers van de hackaanval proactief benaderen. Bedrijven die nog geen aangifte hebben gedaan, krijgen het verzoek om alsnog aangifte of melding te doen.


Vergelijkingsservice getroffen door cyberaanval

Sommige IT-systemen van de vergelijkingsdienst Comparis werden geblokkeerd door een ransomware-aanval. Volgens de huidige informatie worden klantgegevens niet aangetast. Bron


Conti Ransomware rapport

Dit rapport beschrijft in detail de snelle evolutie van deze ransomware en hoe het zich snel heeft aangepast aan de pogingen van verdedigers om het te detecteren en te analyseren. De belangrijkste bevindingen.

Conti Ransomware Unpacked
PDF – 7,0 MB 394 downloads

7 juli

Slachtoffer Cybercriminele organisatie
Daylesford - BHoldings - Bamford - The Wild Rabbit Sodinokibi (REvil)
Hx5, LLC Sodinokibi (REvil)

Kremlin zegt dat Russische staat niets te maken had met Amerikaanse RNC-hack

MOSKOU, 7 juli (Reuters) - Het Kremlin zei woensdag dat de Russische staat niets te maken had met een hack die gericht was op het Amerikaanse Republikeinse Nationale Comité, en dat het geen gedetailleerde informatie had over de aanval. Bron


Kaseya meldt vertraging bij uitrol van beveiligingsupdate voor VSA-servers

Een beveiligingsupdate van softwarebedrijf Kaseya waardoor duizenden managed serviceproviders (MSP's) hun VSA-servers weer online kunnen brengen heeft vertraging opgelopen, zo meldt het bedrijf. Vorige week maakte de groep achter de REvil-ransomware misbruik van verschillende kwetsbaarheden in de VSA-oplossing van Kaseya om klanten van MSP's met ransomware te infecteren. Managed serviceproviders gebruiken VSA voor het beheren van de systemen van hun klanten. VSA is beschikbaar als SaaS-oplossing en MSP's kunnen het op hun eigen servers installeren. Kaseya wilde eerst de SaaS-oplossing patchen en online brengen en daarna de beveiligingsupdate voor de VSA-servers van MSP's uitbrengen. Bij het online brengen van de SaaS-omgeving hebben zich echter problemen voorgedaan, waardoor de uitrol niet kon worden afgerond. Wanneer de SaaS-dienst nu online komt is onbekend. Dit heeft gevolgen voor MSP's met hun eigen VSA-servers, omdat Kaseya van plan was om na het online brengen van de SaaS-dienst binnen 24 uur een update voor managed serviceproviders uit te brengen. De installatie van deze patch is verplicht om VSA-servers weer online te kunnen brengen. In de tussentijd kunnen MSP's de systemen van hun klanten niet via VSA beheren.


Witte Huis dreigt met actie tegen ransomwaregroepen als Rusland niet ingrijpt

Het Witte Huis dreigt met actie tegen ransomwaregroepen als Rusland niet ingrijpt. Dat maakte perssecretaris Jen Psaki tijdens een persconferentie bekend. Aanleiding is de recente ransomware-aanval via de software van softwarebedrijf Kaseya. Eerder liet de Amerikaanse president Biden weten dat de impact van de aanval op Amerikaanse bedrijven lijkt mee te vallen. Na eerder overleg tussen Biden en de Russische president Putin vindt er tussen beide landen overleg plaats over de aanpak van ransomware. Volgende week staat er weer een meeting over het onderwerp gepland. Daarbij maakt de VS duidelijk dat Rusland meer moet doen om ransomwaregroepen in het land aan te pakken, merkte Psaki op. "Zoals president Biden bij de laatste ontmoeting aan president Putin duidelijk maakte, als de Russische overheid geen actie tegen criminelen in Rusland kan of wil nemen, zullen we actie ondernemen of behouden we het om zelf in te grijpen", aldus de perssecretaris. Ze liet daarnaast weten dat er vandaag overleg plaatsvindt tussen Biden en verschillende Amerikaanse overheidsdiensten over de aanpak van ransomware. Gisteren vond er ook overleg plaats tussen het Witte Huis en de organisatie van Amerikaanse burgemeesters over ransomware en wat kan worden gedaan om de cybersecurity van Amerikaanse steden te versterken. "De dreiging van ransomware is een nationale veiligheid en economische veiligheidsprioriteit voor de regering", stelde Anne Neuberger, veiligheidsadviseur voor "cyber en opkomende technologie" van het Witte Huis, die de gesprekken leidde.


2 juli 2021: '721' grootste ransomware aanvallen ooit

Duizenden bedrijven in minstens zeventien landen zijn het afgelopen weekend getroffen door een massale aanval met gijzelsoftware. Het gaat om een van de grootste ransomware-aanvallen ooit. Ook een aantal Nederlandse bedrijven is getroffen. Ze worden door de politie benaderd. De gijzelsoftware werd verspreid via zogeheten VSA-software van een bekende Amerikaanse softwareleverancier. Bij deze aanvallen is een groot aantal digitale dienstverleners en hun klanten besmet geraakt. Lees verder


6 juli

Slachtoffer Cybercriminele organisatie
Gulf Oil Marketo

Kaseya: geen sprake van supply-chain-aanval, broncode niet aangepast

De aanvallers achter de wereldwijde ransomware-aanval via de software van Kaseya hebben geen toegang tot de broncode van het bedrijf gehad of bijvoorbeeld de updateservers gebruikt om hun ransomware te verspreiden. Er is dan ook geen sprake van een supply-chain-aanval. Dat stelt Kaseya op basis van onderzoek. Volgens het bedrijf hebben de aanvallers gebruik gemaakt van verschillende zerodaylekken in Kaseya VSA. Hierdoor konden ze de authenticatie omzeilen en willekeurige commando's op de VSA-servers van managed serviceproviders (MSP's) uitvoeren. Vervolgens hebben de aanvallers de standaard functionaliteit van Kaseya gebruikt om ransomware bij de klanten van MSP's te installeren. Managed serviceproviders (MSP's) gebruiken Kaseya VSA voor het beheren van de systemen van hun klanten. Via VSA hebben MSP's dan ook op afstand toegang tot deze systemen. Nadat de aanvallers de VSA-servers van managed serviceproviders hadden gecompromitteerd konden ze probleemloos de systemen van klanten aanvallen. Voor zover nu bekend zijn er minder dan vijftienhonderd "downstream businesses" op deze manier getroffen. "We weten dat er veel informatie over dit incident rondgaat. Een deel klopt, maar heel veel niet", aldus Kaseya, dat zegt met meer informatie te zullen komen als dit beschikbaar komt.


Kaseya: minder dan vijftienhonderd bedrijven bij aanval besmet met ransomware

Bij de wereldwijde ransomware-aanval via de software van Kaseya zijn voor zover nu bekend minder dan vijftienhonderd bedrijven getroffen, zo heeft Kaseya in een update over het incident laten weten. Volgens het softwarebedrijf hebben de aanvallers bij minder dan zestig managed serviceproviders (MSP's) toegeslagen. Vervolgens zijn de systemen van vijftienhonderd klanten van deze MSP's met ransomware geïnfecteerd. De aanvallers achter de aanval maakten misbruik van een kwetsbaarheid in Kaseya VSA, software waarmee managed serviceproviders de systemen van hun klanten op afstand beheren. Kaseya heeft een beveiligingsupdate voor dit beveiligingslek ontwikkeld die nu wordt getest. Vandaag brengt Kaseya eerst de eigen SaaS-servers online. Vervolgens is het plan dat binnen 24 uur hierna de beveiligingsupdate beschikbaar komt. Kaseya heeft overlegd met de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security over extra beveiligingsmaatregelen voor zowel de SaaS-dienst als de VSA-servers die MSP's zelf beheren. Een verzameling beveiligingsmaatregelen zal voor het herstarten van de diensten worden gepubliceerd. Tevens is er een nieuwe versie van de detectietool verschenen waarmee managed serviceproviders kunnen controleren of hun VSA-servers zijn gecompromitteerd. Zo'n tweeduizend MSP's hebben de tool inmiddels gedownload, aldus het softwarebedrijf. Verder blijft het eerder gegeven advies gelden dat managed serviceproviders hun VSA-servers offline moeten houden. Kaseya zal laten weten wanneer het veilig is om de systemen te starten. Er zal een patch zijn vereist voor de herstart van VSA-servers.


Mandemakers worstelt nog met nasleep mega-hack maar levert wel weer meubels

Badkamers en keukens worden bij de meubelzaken van de Mandemakers Groep nog altijd met potlood op ruitjespapier ontworpen. Internet is er wel weer, maar het is nog niet veilig te gebruiken. Het zijn de naweeën van de grote ransomware-aanval vorige week. Het bedrijf werd door professionele hackers buitengesloten uit de eigen interne computersystemen en kon niks meer. Inmiddels kunnen wél weer meubels geleverd worden aan klanten. Lees verder


Pro-Trump sociale media GETTR gehackt bij lancering

Op de dag van de officiële lancering is het nieuwe sociale netwerk van en voor Donald Trump-aangangers GETTR getroffen door een cyberaanval. Het nieuwe sociale medianetwerk GETTR lanceerde vorige week als een ‘politiek neutraal sociaal netwerk voor mensen overal ter wereld’. Die beschrijving moet je met de nodige korrels zout nemen. De mensen achter GETTR zijn immers de voormalige campagneleiders en adviseurs van Donald Trump en het sociale netwerk lijkt dus vooral bedoeld te zijn om aanhangers van de voormalige president een platform te bieden nu die niet meer welkom is op Facebook en Twitter. Afgelopen zondag, op de nationale feestdag van de Verenigde Staten, vond de officiële lancering plaats in de Play Store en App Store. Lees verder


Cyberaanval op Republikeins Nationaal Comité

Computersystemen van het Republikeins Nationaal Comité (RNC) waren afgelopen week doelwit van cyberaanvallen. De systemen zijn naar verluid aangevallen door APT 29, een Russische aanvalsgroep die eerder in verband is gebracht met aanvallen op het Democratisch Nationaal Comité in 2016 in de VS. Dit meldt Bloomberg op basis van bronnen. Details over de aanval ontbreken. Het RNC meldt dat de aanvallers systemen van het comité niet zijn binnengedrongen. Ook zijn er geen aanwijzigingen dat informatie is gestolen. Het RNC onderzoekt de zaak in samenwerking met Microsoft en de autoriteiten. De aanval is mogelijk uitgevoerd via het IT-bedrijf Synnex. Topman Richard Walters van RNC meldt dat alle toegang vanuit Synnex-accounts tot cloudomgevingen van RNC zijn geblokkeerd.


De Turkse Akbank is al meer dan een dag uit de lucht, waardoor gebruikers zich afvragen of de bank gehackt is.

Gebruikers van de Turkse Akbank zijn woedend omdat de bank al meer dan een dag uit de lucht is, waardoor geruchten over een mogelijke cyberaanval de ronde doen. Het digitale banksysteem van de bank viel op 6 juli uit, wat miljoenen gebruikers woedend maakte omdat ze hun transacties niet konden uitvoeren. Akbank wees in een verklaring op 6 juli beweringen van de hand dat zij gehackt zou zijn. “Er zijn geen inbreuken op de beveiliging. Onze betrokken eenheden werken aan het oplossen van het probleem,” zei het op Twitter, niet in staat om de gebruikers van de bank te kalmeren.


Kaseya CEO Fred Voccola richt zich op cyberaanvallen en volgende stappen voor VSA-klanten


Stad Leonardtown getroffen door wereldwijde cyberaanval

Op vrijdag 2 juli 2021 omstreeks 12.30 uur werd een internationale cyberaanval uitgevoerd op honderden bedrijven over de hele wereld. Het Stadskantoor is open en doet haar best om de bewoners van dienst te zijn. De gemeente zegt dat de gegevensaanbieders aangeven dat er geen privégegevens van klanten zijn afgenomen. De hackers stuurden ransomware naar de systemen die de gebruikers buitensloten en eisten Crypto om ze te ontgrendelen. De gemeente zegt echter niet te betalen. Bron


5 juli

Slachtoffer Cybercriminele organisatie
KASEYA ATTACK INFO Sodinokibi (REvil)
Rocky's Ace Hardware Hive
HI FLY Hive
PCM Group Grief
SUPPLYFORCE Conti
FRIEDRICH Conti
SAC WIRELESS INC Conti
DIMEO conti

Bericht van REvil cybercriminelen


Wereldwijde ransomware aanval: hackers ontsleutelen voor $50 miljoen

Vrijdag 2 juli werden bedrijven wereldwijd getroffen door een ransomware-aanval. De aanvallers claimen meer dan een miljoen computers te hebben versleuteld en eisen 70 miljoen dollar voor een generieke decryptietool waarmee alle slachtoffers hun bestanden kunnen ontsleutelen. De exacte aanvalsvector was eerst nog onbekend, maar alles wees al snel naar het programma VSA van softwarebedrijf Kaseya. Managed serviceproviders (MSP's) gebruiken deze software om de systemen van hun klanten op afstand te beheren. In dit artikel geeft Security.NL een overzicht van de aanval en de laatste ontwikkelingen. Het artikel zal dan ook steeds worden bijgewerkt. Lees meer »


Zweedse supermarktketen Coop vervangt door ransomware getroffen kassa's

De Zweedse supermarktketen Coop gaat alle door ransomware getroffen kassasystemen vervangen. Coop is één van de slachtoffers van de wereldwijde ransomware-aanval via de VSA-software van Kaseya. Door de aanval werkten de kassa's niet meer. Zowel zaterdag als zondag moest de supermarktketen daardoor zo'n achthonderd winkels in Zweden gesloten houden. Verschillende filialen besloten gisteren voedsel uit te delen om voedselverspilling tegen te gaan. Om de winkels weer te openen werkt Coop aan verschillende oplossingen, melden de Zweedse krant Aftonbladet en de Zweedse nationale radio. Zo worden de door ransomware getroffen kassasystemen vervangen. Daarnaast wil de keten betalen via de "Scan & Pay" app in de winkels mogelijk maken, maar dat is niet in alle winkels haalbaar, zo laat het bedrijf op Facebook weten. Wanneer alle supermarkten weer open zijn kan Coop nog niet zeggen.


Nederlandse vrijwilligers hadden de wereldwijde ransomware-aanval bijna voorkomen

Een Nederlandse stichting heeft de wereldwijde ransomware-aanval nét niet kunnen voorkomen. Vrijwilligers van het Dutch Institute for Vulnerability Disclosure (DIVD) hadden eerder al kwetsbaarheden ontdekt in de software van de getroffen producent Kaseya en het bedrijf op de hoogte gesteld. De oplossing waaraan Kaseya werkte kwam helaas te laat, zegt het DIVD. Hoofdonderzoeker Wietse Boonstra van DIVD had een lek ontdekt in de software van Kaseya waarmee systeembeheerders gemakkelijk toegang krijgen tot de computers in een netwerk. Zo kunnen ze bijvoorbeeld programma’s op de laptops van medewerkers vernieuwen. Het was een riskant lek, juist omdat het toegang biedt tot veel computers tegelijk. Lees verder


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten

Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »