Overzicht cyberaanvallen week 28-2021

Gepubliceerd op 19 juli 2021 om 15:00

Onmiddellijke actie vereist om pandemie van ransomware te voorkomen, cyberaanval in Duitse regio als ramp uitgeroepen en VS looft 10 miljoen dollar uit voor gouden tip over ransomwaregroepen. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


18 juli

Slachtoffer Cybercriminele organisatie
Europeanaccounting LockBit 2.0
Phoenixdunedin LockBit 2.0
Setg LockBit 2.0
Geneva, Ohio AvosLocker
Swift logistics LockBit 2.0

Ransomware treft advocatenkantoren Fortune 500, Global 500-bedrijven

Campbell Conroy & O'Neil, PC (Campbell), een Amerikaans advocatenkantoor dat tientallen Fortune 500- en Global 500-bedrijven adviseert, heeft een datalek bekend gemaakt na een ransomware-aanval in februari 2021. Campbell's  klantenlijst  omvat spraakmakende bedrijven uit verschillende industriesectoren, waaronder de automobiel-, luchtvaart-, energie-, verzekerings-, farmaceutische, retail-, horeca- en transportsector. Enkele van zijn huidige en vroegere klanten zijn Exxon, Apple, Mercedes Benz, Boeing, Home Depot, British Airways, Dow Chemical, Allianz Insurance, Universal Health Services, Marriott International, Johnson & Johnson, Pfizer, Time Warner en vele anderen. "Op 27 februari 2021 werd Campbell zich bewust van ongebruikelijke activiteit op zijn netwerk", onthulde het advocatenkantoor   in een eerder vandaag uitgegeven persbericht. "Campbell voerde een onderzoek uit en stelde vast dat het netwerk werd getroffen door ransomware, waardoor de toegang tot bepaalde bestanden op het systeem werd verhinderd." Het bedrijf huurde externe forensische onderzoekers in om het incident te onderzoeken nadat het de aanval had ontdekt en stelde de FBI op de hoogte van de inbreuk op de beveiliging. Campbell bracht een persbericht uit met een kennisgeving omdat uit het onderzoek bleek dat informatie met betrekking tot getroffen personen werd gebruikt door de cybercriminelen achter de ransomware-aanval. 


Gebruikers van de vergelijkingssite Comparis doelwit van oplichters na ransomware-aanval op deze dienst

Het toonaangevende Zwitserse prijsvergelijkingsplatform Comparis heeft klanten op de hoogte gebracht van een datalek na een ransomware-aanval die vorige week het hele netwerk trof en uitschakelde. Comparis is een van de populairste Zwitserse websites met meer dan 80 miljoen bezoeken per jaar en de grootste Zwitserse online marktplaats voor onroerend goed en auto's. Met de online onafhankelijke vergelijkingsservice kunnen Zwitsers prijzen en producten vergelijken voor onder meer zorgverzekeraars, verzekeringsmaatschappijen, banken en telecomaanbieders. "Op 7 juli werd de Comparis Group het slachtoffer van een georganiseerde cyberaanval van zeer criminele aard. Comparis heeft onmiddellijk alle nodige stappen ondernomen om alle gegevens te beschermen", legt het bedrijf uit  in een officiële verklaring. "Het heeft bijvoorbeeld snel al zijn IT-systemen stilgelegd zodra de aanval zichtbaar werd. De systemen zijn vervolgens in een beveiligde omgeving hersteld." De Comparis Group heeft de Zwitserse wetshandhavingsinstanties en de Zwitserse federale commissaris voor gegevensbescherming op de hoogte gebracht van de aanval en werkt samen met hun cybercriminaliteitsexperts om het incident te onderzoeken. Zoals het online platform tijdens het onderzoek ontdekte, konden de ransomware-operators achter de aanval toegang krijgen tot en waarschijnlijk klantgegevens stelen die zijn opgeslagen op de systemen van Comparis Group. Het bedrijf zegt dat de aanvallers toegang hebben gekregen tot accountgegevens van klanten van Comparis en Comparis-zusterbedrijven, waaronder wachtwoorden die "als hash zijn opgeslagen". Gebruikers met een Comparis-account wordt geadviseerd om hun wachtwoord zo snel mogelijk te wijzigen om mogelijke pogingen om hun online accounts over te nemen met gestolen inloggegevens te blokkeren. Na de aanval hebben sommige Comparis-gebruikers gemeld dat ze telefoontjes ontvingen van personen die zich voordeden als legitieme callcentermedewerkers en advies gaven over hoe om te gaan met de nasleep van het datalek.


Hackers drongen de spoorwegcomputers van Iran binnen lang voor de aanval in juli

Een week na een cyberaanval op het Iraanse ministerie van Wegen en Spoorwegen, meldde een informatiebeveiligingsbureau van de presidentiële administratie zondag dat hackers minstens een maand eerder de computersystemen waren binnengedrongen. Een systeembrede  storing in het computernetwerk van de Iraanse spoorwegen  als gevolg van een cyberaanval op 9 juli heeft honderden operaties verstoord en treinen vertraagd of geannuleerd.


17 juli

Slachtoffer Cybercriminele organisatie
Colligan Law LockBit 2.0
Belperio Clark LockBit 2.0
IBC24 News Hive
Florida Sugar Cane League Hive
Dragon Capital Group LockBit 2.0
Aquazzura Firenze LockBit 2.0

HelloKitty-ransomware richt zich op kwetsbare SonicWall-apparaten

CISA waarschuwt voor cybercriminelen die zich richten op "een bekende, eerder gepatchte, kwetsbaarheid" gevonden in SonicWall Secure Mobile Access (SMA) 100-serie en Secure Remote Access (SRA)-producten met end-of-life firmware. Zoals het Amerikaanse federale agentschap ook  toevoegt, kunnen de aanvallers dit beveiligingslek misbruiken als onderdeel van een gerichte ransomware-aanval. Deze waarschuwing komt nadat SonicWall een "urgente beveiligingskennisgeving" heeft afgegeven en e-mails heeft verzonden om klanten te waarschuwen voor het "dreigende risico van een gerichte ransomware-aanval". Hoewel het bedrijf zei dat het risico van ransomware aanvallen beperkt is, bevestigd Coveware CEO Bill Siegel  dat de aanvallen momenteel plaats vinden. CISA dringt er op aan om SonicWall-  beveiligingsverklaring te bekijken  en de apparaten te upgraden naar de nieuwste firmware of om alle apparaten die aan het einde van hun levensduur zijn onmiddellijk los te koppelen.

Ransomware Risk In Unpatched EOL Sonic Wall SRA And SMA 8 X Products CISA
PDF – 241,0 KB 382 downloads

VS plaatst zes Russische organisaties op zwarte lijst wegens cyberspionage

De Verenigde Staten hebben vier Russische IT-bedrijven en twee andere Russische organisaties op een zwarte lijst gezet vanwege digitale spionage. Ze zouden deelnemen aan "agressieve en schadelijke activiteiten", aldus het Amerikaanse ministerie van Economische Zaken. Door de actie van de VS, waar maanden aan is gewerkt, kunnen Amerikaanse bedrijven niet zonder vergunning spullen of onderdelen verkopen aan de betreffende bedrijven. Deze vergunningen worden maar zelden verleend. Onder de bedrijven die nu aan de zwarte lijst zijn toegevoegd, zijn onder meer een onderzoekscentrum en technologiepark van het Russische ministerie van Defensie en een IT-bedrijf dat onderzoek doet voor de Russische inlichtingendienst. Niet alle bedrijven waren direct bereikbaar voor commentaar of wilden reageren, andere ontkenden de beschuldigingen. Onlangs zijn meerdere grote Amerikaanse bedrijven getroffen door cyberaanvallen vanuit Rusland. Zo werd de grootste oliepijplijn van de Verenigde Staten platgelegd, net als Amerikaanse productielocaties van een grote vleesverwerker uit Brazilië.


Door de staat gerunde CNT-telco van Ecuador getroffen door RansomEXX-ransomware

Het door de staat gerunde Corporación Nacional de Telecomunicación (CNT) van Ecuador is getroffen door een ransomware-aanval die de bedrijfsvoering, het betalingsportaal en de klantenondersteuning heeft verstoord. CNT is de door de staat gerunde telecommunicatiemaatschappij van Ecuador die vaste telefonie, mobiele telefonie, satelliet-tv en internet biedt. Vanaf deze week begon de CNT-website een waarschuwing weer te geven dat ze het slachtoffer waren van een aanval en dat klantenservice en online betalen niet langer toegankelijk zijn.


16 juli

Slachtoffer Cybercriminele organisatie
Gateway College Vice Society

Reeks DDoS-aanvallen op DirectVPS

Via een statuspagina houdt DirectVPS klanten op de hoogte van de problemen. Het bedrijf meldt dat servers en diensten door de aanval niet of slecht bereikbaar zijn. De aanvallen zijn al even aan de gang. Uit de statuspagina blijkt dat de eerste aanval op 12-07 plaatsvond, waarna het bedrijf dagelijks is bestookt met DDoS-aanvallen.Directeur Larry Kos meldt aan Tweakers een e-mail te hebben ontvangen waarin de aanvallen worden opgeëist. De aanvallers melden de aanval te staken nadat een bedrag in bitcoins is betaald. Kos meldt echter dat het standpunt van DirectVPS bij afpersing helder is: niet betalen. Door te betalen vreest Kos zichzelf tot een blijvend doelwit te maken. Onder meer de Nationale Wasstraat is ingezet. Deze 'wast' netwerkverkeer schoon van DDoS-verkeer. Hierdoor wordt malafide verkeer geblokkeerd, terwijl legitiem wel doorgang vindt. Dit moet servers ondanks een DDoS-aanval bereikbaar houden. Het is niet bekend wie voor de aanval verantwoordelijk is. Wat is RDDoS?


VS looft 10 miljoen dollar uit voor gouden tip over ransomwaregroepen

De Amerikaanse overheid heeft tien miljoen dollar uitgeloofd voor de gouden tip over ransomwaregroepen en andere aanvallers die in opdracht van buitenlandse staten cyberaanvallen op de vitale infrastructuur van de Verenigde Staten uitvoeren. Het is één van de maatregelen die de Amerikaanse regering tegen ransomware heeft aangekondigd. Zo heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security een website genaamd "Stop Ransomware" gelanceerd, met informatie over het voorkomen van ransomware en wat organisaties kunnen doen als ze toch worden getroffen. Eerder deze week lieten de Amerikaanse autoriteiten al weten dat ze ransomware niet alleen als een zaak voor de opsporingsdiensten beschouwen, maar ook als een zaak van de nationale veiligheid zien. Het tipgeld van maximaal 10 miljoen dollar is voor informatie over de identificatie of locatie van personen die in opdracht van een buitenlandse staat deelnemen aan cyberaanvallen tegen de Amerikaanse vitale infrastructuur. Daarbij wordt als voorbeeld ransomware genoemd. Om de veiligheid van tipgevers te beschermen heeft het ministerie naar eigen zeggen ook een website op het Tor-netwerk gelanceerd. Het Witte Huis stelt dat de nu aangekondigde middelen en initiatieven Amerikaanse bedrijven en gemeenschappen tegen ransomware-aanvallen moeten beschermen.

Reward Offer For Information On Foreign Malicious Cyber Activity Against U S Critical Infrastructure
PDF – 111,6 KB 487 downloads

D-Box Technologies getroffen door ransomware

D-BOX kondigt aan dat de Corporation het slachtoffer was van een ransomware-cyberaanval op zijn informatietechnologiesystemen. De malware die werd gebruikt om de aanval uit te voeren, versleutelde elektronische gegevens die zijn opgeslagen op het netwerk van het bedrijf, zodat deze niet kunnen worden gelezen of gebruikt. De aanval vond plaats na de sluiting van de activiteiten op 12 juli 2021 en werd op dezelfde dag gedetecteerd. Er werden onmiddellijk maatregelen genomen om de mogelijke impact op de gegevens en activiteiten van het bedrijf in te dammen en te beperken en het herstelproces te starten. D-BOX onderzoekt nog steeds de omvang van de aanval, maar aangezien de aanval de meeste van zijn systemen trof, wordt verwacht dat de bedrijfsactiviteiten van D-BOX enkele dagen en mogelijk langer nadelig zullen worden beïnvloed, afhankelijk van hoe snel het bedrijf zijn gegevens kan herstellen. gegevens en volledig gebruik maken van haar systemen. Bron


15 juli

Slachtoffer Cybercriminele organisatie
Alcedo LockBit 2.0
Nottingham City Transport LockBit 2.0
Grupo DINA S.A. LockBit 2.0
Paxton Access XING LOCKER

Computer gehackt: criminelen chanteren de Wolfenbüttel-kliniek in Duitsland

Het hele IT-systeem van de kliniek is buiten werking. Medewerkers kunnen geen e-mails ontvangen of verzenden, en ook geen patiëntgegevens inzien of doorsturen. Daarom moeten de medewerkers tijdelijk weer met pen en papier aan de slag. IT-specialisten zijn bezig om de systemen te herstellen. Dat kan echter tijd kosten, zegt directeur Axel Burghardt van de kliniek. Bron


SonicWall waarschuwt voor ransomware-aanval tegen end-of-life apparaten

Netwerkbeveiligingsbedrijf SonicWall waarschuwt organisaties die van kwetsbare end-of-life apparaten gebruikmaken voor een naderende ransomware-aanval. Volgens het bedrijf maken aanvallers misbruik van een bekende kwetsbaarheid in Secure Mobile Access (SMA) 100 series en Secure Remote Access (SRA) producten met kwetsbare en niet meer ondersteunde firmware. Het gaat onder andere om de SSL-VPN 200/2000/400 (end-of-life sinds 2013/2014), SRA 4200/1200 (end-of-life sinds 2016) en SRA 4600/1600 (end-of-life sinds 2019). De SMA is een gateway waarmee medewerkers vanaf allerlei willekeurige apparaten op afstand toegang tot de netwerken en cloudomgevingen van hun organisatie kunnen krijgen. Ook de SRA-producten bieden remote toegang tot bedrijfsnetwerken. SonicWall adviseert organisaties die nog met deze apparaten werken om ze meteen los te koppelen en wachtwoorden te resetten. In het geval van de SMA 400/200 en SMA 210/410/500v worden deze apparaten nog wel ondersteund en moeten organisaties naar een nieuwere firmwareversie updaten. Bedrijven die geen maatregelen treffen lopen een groot risico om slachtoffer van een gerichte ransomware-aanval te worden, aldus SonicWall. Beveiligingsonderzoeker Kevin Beaumont laat weten dat het gebruik van end-of-life apparaten die niet meer met patches worden ondersteund binnen veel it-omgevingen vrij gewoon is.


Openbare databases van Moldavische rekenkamer vernietigd door cyberaanval

Chisinau, 15 juli /MOLDPRES/ - De rekenkamer van Moldavië heeft meegedeeld dat de officiële webpagina van de instelling, www.ccrm.md, het doelwit was van een cyberaanval en dat alle openbare databases werden vernietigd. “Het is voor het eerst dat de rekenkamer met een dergelijke situatie wordt geconfronteerd. De vernietiging van de openbare pagina vond plaats in het kader van belangrijke audits en met impact in de samenleving, in het stadium van rapportage en openbaarmaking van de belangrijkste auditmissies die gepland waren in het werk van de instelling'', aldus de Rekenkamer. Bron


Organisator Zomercarnaval en Parkpop geplaagd door DDoS-aanval

Evenementenorganisatie Ducos is getroffen door een ddos-aanval. Daardoor kunnen internetters niet de webpagina's van onder meer het Zomercarnaval in Rotterdam en Parkpop in Den Haag bezoeken. Bij een ddos-aanval wordt een internetsite bestookt met grote hoeveelheden data zodat de server overbelast raakt en en de site moeilijk of helemaal niet meer te bereiken is. Wie er achter de aanvallen zit, is onbekend. "Het komt voor ons ook totaal onverwacht," aldus een woordvoerder. De ddos-aanval komt bovenop de ellende die er al is bij Ducos. Door de coronamaatregelen zag het bedrijf zich genoodzaakt dit jaar het Zomercarnaval en Parkpop af te gelasten. Wat is een DDoS aanval?


Het Witte Huis kondigt een ransomware-taskforce aan – en hacken is een optie

Onder toezicht van de taskforce nemen federale agentschappen maatregelen zoals het verbeteren van de digitale weerbaarheid van kritieke infrastructuurbedrijven, het stoppen van losgeldbetalingen via cryptocurrency-platforms en het coördineren van activiteiten met Amerikaanse bondgenoten, volgens een senaatsmedewerker die om anonimiteit verzocht om te spreken. De hoge regeringsfunctionaris zei dat de groep tussen instanties het Witte Huis regelmatig updates geeft over de inspanningen van de instanties, eraan toevoegend dat de instantie “wekelijks” de inspanningen volgt om “de nationale anti-ransomwarecampagne te implementeren”. De functionaris, die verslaggevers eind woensdag informeerde, sprak anoniem over het beleid van het Witte Huis.


Mespinoza Ransomware-bende noemt slachtoffers 'partners'

Terwijl cyberafpersing floreert, veranderen ransomware-bendes voortdurend van tactiek en bedrijfsmodellen om de kans te vergroten dat slachtoffers steeds hogere losgelden betalen. Naarmate deze criminele organisaties geavanceerder worden, gaan ze steeds meer de vorm aannemen van professionele ondernemingen. Een goed voorbeeld is de Mespinoza-ransomware, die wordt beheerd door een productieve groep met een voorliefde voor het gebruik van grillige termen om zijn hacktools te noemen.

Mespinoza Ransomware Gang Calls Victims
PDF – 7,3 MB 382 downloads

AvosLocker Onder de loep: Een Nieuwe Geavanceerde Ransomware-Groep

Tijdens ons routine-onderzoek naar Open-source Intelligence (OSINT) kwamen we een nieuwe ransomware-groep tegen met de naam AvosLocker. Het is een kwaadaardig programma dat Windows-machines infecteert om documentbestanden van het slachtoffer te versleutelen en om losgeld vraagt ​​als onderdeel van zijn afpersingsprogramma. AvosLocker voegt de versleutelde bestanden toe met de extensie .avos en dwingt slachtoffers om losgeld te betalen voor de decoderingstool om hun gegevens te herstellen. De AvosLocker ransomware-groep gebruikt spamcampagnes of wantrouwende advertenties als primaire leveringsmechanismen voor de malware. Het gebruikt een aangepaste Advanced Encryption Standard (AES) met blokgrootte 256 om de gegevens te coderen.

Avos Locker Under The Lens A New Sophisticated Ransomware Group
PDF – 885,4 KB 417 downloads

14 juli

Slachtoffer Cybercriminele organisatie
Breydons Solicitors AvosLocker

 Één REvil server nog online

Het is waar dat de meeste darkweb-servers van de REvil ransomware-bende dood zijn. Er is echter nog steeds één levende datahostingserver. De hostingserver werkt sinds hij een maand geleden opnieuw werd opgestart.


Verdwijning ransomware cybercriminelen 'REvil' een mysterie

De servers en websites van de aan Rusland gelieerde hackersgroep REvil gingen dinsdagavond Nederlandse tijd uit het niets op zwart. De beruchte hackersbende gebruikt diverse sites, voornamelijk op het darkweb, om met slachtoffers te onderhandelen over losgeld. Van het ene op het andere moment waren deze spontaan niet langer in de lucht. Lees verder


Kremlin 'weet niets' van verdwijnen beruchte ransomware-groep

Rusland weet naar eigen zeggen niets van de digitale verdwijning van de beruchte ransomware-groep REvil. Dat meldt het Russische persbureau Tass. Volgens Tass weet het Kremlin dus ook niet of de verdwijning iets te maken heeft met recente gesprekken tussen de Russische president Poetin en zijn Amerikaanse collega Biden over dat onderwerp. Volgens Biden moet Rusland meer doen tegen Russische internetcriminelen die Amerikaanse bedrijven aanvallen. De beruchte groep zat onder meer achter de grote ransomware-aanval van anderhalve week geleden, waarbij honderden bedrijven werden aangevallen. Ook vleesverwerker JBS werd door de groep aangevallen. Een van de mogelijke scenario's is dat Rusland is gezwicht voor de toenemende druk en de cybercrime-groep offline heeft gehaald. Een andere mogelijkheid is dat de grond de criminelen zelf te heet onder de voeten werd, zegt beveiligingsonderzoeker Frank Groenewegen van Deloitte. "Bijvoorbeeld omdat ze merkten dat er overheden of onderzoekers in hun systemen zaten, en ze daarvan in paniek raakten", aldus Groenewegen. Mogelijk zou de groep dan weer opnieuw onder een andere naam kunnen opduiken. Een laatste mogelijkheid is dat de infrastructuur offline is gehaald door de Amerikaanse overheid. "Maar meestal treden de autoriteiten daar dan wel mee naar buiten", zegt Groenewegen. Dat is vooralsnog niet gebeurd. Zeker is dat alle bekende infrastructuur van de groep is verdwenen: van de publieke website waar slachtoffers die niet betaalden aan de schandpaal werden genageld, tot de website waar slachtoffers contact konden onderhouden met de aanvallers over onder meer de betaling. Ook betalingen zijn niet meer mogelijk. Dat zou het ook onmogelijk maken voor recente slachtoffers weer bij hun systemen te kunnen.


SonicWall waarschuwt voor 'kritiek' ransomware-risico voor EOL SMA 100 VPN-apparaten

SonicWall heeft een "urgent security notice" uitgegeven waarin klanten worden gewaarschuwd voor ransomware-aanvallen die gericht zijn op niet-gepatchte  end-of-life  (EoL) Secure Mobile Access (SMA) 100-serie en Secure Remote Access (SRA) producten. "Door de samenwerking met vertrouwde derde partijen is SonicWall op de hoogte gebracht van bedreigingsactoren die zich actief richten op Secure Mobile Access (SMA) 100-serie en Secure Remote Access (SRA) producten met ongepatchte en end-of-life (EOL) 8. x-firmware in een op handen zijnde ransomware-campagne met behulp van gestolen inloggegevens ", aldus het bedrijf. Volgens SonicWall zijn de aanvallen gericht op een bekende kwetsbaarheid die is gepatcht in nieuwere firmwareversies en hebben ze geen invloed op producten uit de SMA 1000-serie. "Organisaties die geen passende maatregelen nemen om deze kwetsbaarheden op hun SRA- en SMA 100-serie producten te verminderen, lopen een direct risico op een gerichte ransomware-aanval "waarschuwt SonicWall 


Hackeraanval op het stadsbestuur Geisenheim in Duitsland

De gemeente Geisenheim (D) is het slachtoffer geworden van een cyberaanval op het IT-netwerk van de stad. Een maleware-virus (trojaans paard) is het systeem binnengesmokkeld. Hoewel dit werd gedetecteerd door de zeer gevoelige virusscanner, kon de installatie van de Trojan niet worden voorkomen. Het kan waarschijnlijk een geïnfecteerd bestand zijn geweest, dat niet direct herkenbaar was als een kwaadaardig bestand. Bron


13 juli

Slachtoffer Cybercriminele organisatie
Agrokasa Holdings Grief
Arabian Cargo Group AvosLocker
Heller Injury Lawyers AvosLocker
On logistics Services Algeciras, S.L AvosLocker
Home in Brussels AvosLocker
Breydons Solicitors AvosLocker

Cyberaanval in Duitse regio als ramp uitgeroepen: alle servers stilgelegd, situatie kan maanden duren

Een cybercrimineel heeft de toegang tot de administratieve computernetwerken van het Duitse Anhalt-Bitterfeld geblokkeerd. Hij zou losgeld eisen. Ondertussen kunnen er geen sociale uitkeringen betaald worden, geen geboortebewijzen uitgereikt worden en ligt alle administratie van het district plat. Het lokale bestuur noemt het ‘een ramp’.


Apex Legends: cross-progressiewerk is aangetast door hackeraanvallen

Dat de eerste Titanfall bijna onspeelbaar was op de pc is ontstaan door een groep hackers die een paar dagen geleden Apex Legends hebben gehackt. Respawn Entertainment moest tegen de klok werken om de problemen op te lossen, iets dat de ontwikkeling van andere functies van deze batte royale-videogame  heeft vertraagt. Zo werkt onder andere het model free-to-play (dat wil zeggen gratis maar met microtransacties) nog niet naar behoren. Na onderzoek is er erkend dat het cross-platform is aangetast door de recente aanval. Bron


Ransomware-bende REvil verdwijnt van Darkweb!?

De aan Rusland gelinkte ransomware-bende REvil lijkt van het internet verdwenen te zijn. Het is nog niet bekend of de sites tijdelijk uit de lucht zijn of dat de groep – of de politie – de websites offline heeft gehaald. De bende is nergens meer te vinden op het darkweb. Het darkweb is een beetje de onderwereld van het internet en niet vindbaar via gewone zoekmachines. De bende onderhield verschillende pagina’s die hun ransomware-activiteiten tentoonstelden. Ransomware is gijzeltechnologie. Een bedrijf dat wordt aangevallen door ransomware, en dus gezijgeld wordt, kan niet verderwerken tot een geldsom betaald is. Een van de pagina’s van REvil heet The Happy Blog. Ook die is weg. “Het is nog te vroeg om iets te zeggen, maar ik heb nog nooit AL hun infrastructuur op deze manier offline gezien”. Dat zei Allan Liska, senior dreigingsanalist bij cyberbeveiligingsbedrijf Recorded Future Inc, in een reactie aan Bloomberg. “Ik kan niets van hun infrastructuur online vinden. Hun afperspagina is weg, al hun betaalportalen zijn offline, net als hun chatfunctie.” Liska zei dat de websites offline gingen rond 1 uur ’s nachts oostelijke tijd. Slechts enkele dagen voor de plotse uitval had Amerikaans president Joe Biden bij Russische president Vladimir erop aangedrongen om harder op te treden tegen de hackers. “Ik heb hem heel duidelijk gemaakt dat de Verenigde Staten verwachten dat hij optreedt wanneer er een ransomware-operatie van zijn grondgebied komt. Ook al wordt die niet door zijn staat gesponsord,” zei Biden tegen verslaggevers. Cyberbeveiligingsbedrijven en de Amerikaanse overheid denken dat de hackers van REvil vanuit Rusland opereren. De bende werd onlangs nog beschuldigd van een aanval op de grote vleesleverancier JBS SA. Die betaalde de hackers 11 miljoen dollar losgeld. De groep heeft nog recenter bedrijven van over de hele wereld aangevallen met ransomware. Wel honderden bedrijven werden getroffen. De hackers hadden het gemunt op softwarebedrijf Kaseya Ltd en zijn klanten. 


Hackeraanval legt verzekeraars lam

De aansprakelijkheidsverzekeraar VVaG uit de buurt van Darmstadt is dagenlang verlamd na een hackeraanval. Na de aanval heeft het bedrijf in het weekend zijn IT-systemen offline gehaald, meldt een externe woordvoerder van de verzekeraar dinsdag. De aansprakelijkheidsverzekeraar is momenteel niet bereikbaar via internet en telefoon en kan slechts een beperkte bedrijfsvoering voeren. Bron


Kledingmerk Guess meldt datalek na aanval door DarkSide-ransomwaregroep

Kledingmerk Guess is eerder dit jaar slachtoffer geworden van een aanval door de groep criminelen achter de DarkSide-ransomware, die ook verantwoordelijk was voor de aanval op de Colonial Pipeline. Bij de aanval zijn gegevens van klanten buitgemaakt, zo heeft het bedrijf in een datalekmelding richten gedupeerden laten weten. De ransomware-aanval deed zich voor op 19 februari. Uit onderzoek dat werd ingesteld bleek dat de aanvallers van 2 februari tot en met 23 februari toegang tot het netwerk van het kledingmerk hadden. Hoe deze toegang werd verkregen wordt niet vermeld. Op 26 mei bleek uit het onderzoek dat de aanvallers ook klantgegevens hadden gestolen, waaronder socialsecurity-nummers, rijbewijsnummers, paspoortnummers en rekeningnummers. Volgens de datalekmelding die Guess deed bij de procureur-generaal van de Amerikaanse staat Maine zijn van meer dan 1300 mensen de gegevens buitgemaakt. Die kunnen een jaar lang kosteloos van een identiteitbeschermingsdienst gebruikmaken. Eerder deze maand werd bekend dat de Nederlandse politie servers van de DarkSide-ransomwaregroep in beslag heeft genomen. De groep liet eerder al weten dat het vanwege de inbeslagname stopte met de activiteiten.


Overheidsdiensten in Duitse Anhalt-Bitterfeld liggen plat na cyberaanval

Cybercriminelen hebben de toegang tot de administratieve computernetwerken geblokkeerd. De hackers eisen losgeld. De rijksrecherche van Saksen-Anhalt verwacht langdurig onderzoek. De administratie ligt sindsdien praktisch helemaal stil, maar er wordt geprobeerd om de alimentatie en huurtoeslag te continueren. Bron


12 juli

Slachtoffer Cybercriminele organisatie
Virginia Defense Force Marketo
Mambrino S.A.C. Prometheus
Cinépolis Prometheus
Walsin RansomEXX
IMASA Conti
comparis.ch AG Grief
Landkreis Anhalt-Bitterfeld Grief
ALBIOMA Conti

Georganiseerde cyberaanval op kledingwebwinkel Spreadshirt

Spreadshirt, een bedrijf dat gepersonaliseerde kleding verkoopt, waarschuwt voor een datalek. Adres-, bank- en PayPal-gegevens van particuliere en zakelijke klanten en partners zijn door criminelen gestolen. Ook wachtwoordhashes die voor 2014 zijn opgeslagen, zijn gekopieerd. Spreadshirt stelt het doelwit te zijn geweest van een 'georganiseerde cyberaanval'. Criminelen kregen hierbij toegang tot interne gegevens. Het gaat om adres- en contractgegevens van klanten, partners, medewerkers en externe dienstverleners. Ook zijn de 'betalingsgegevens geschaad van een klein deel van de klanten die via een overschrijving bij Spreadshirt, Spreadshop of TeamShirts hebben betaald of een terugbetaling hebben ontvangen'. Van andere klanten zouden er geen rekeninggegevens zijn opgeslagen op de gehackte servers. Het bedrijf laat verder via een mail aan klanten weten dat er gehashte wachtwoorden en bank- of PayPal-gegevens zijn gestolen. Tweakers heeft deze mail ingezien. Spreadshirt zegt niet hoe de wachtwoorden zijn gehasht, maar alleen dat wachtwoorden die voor 2014 zijn opgeslagen, gekopieerd zijn. In de mail worden klanten aangeraden hun PayPal- en Spreadshirt-wachtwoorden te wijzigen. Spreadshirt zegt samen te werken met cyberbeveiligingsexperts en 'opsporingsinstanties' te hebben ingelicht. Over een melding bij de Autoriteit Persoonsgegevens wordt niet gesproken. Spreadshop en TeamShirts zijn onderdeel van hetzelfde bedrijf als Spreadshirt. De laatste twee bedrijven laten klanten eigen kleding personaliseren en laten ontwerpers kleding aanbieden voor verkoop. Kopen klanten kleren van een ontwerper, dan ontvangt de ontwerper commissie. Spreadshop laat mensen weer merchandise ontwikkelen en verkopen. De websites zijn van oorsprong Duits en zijn naast in België, Duitsland en Nederland, ook in onder meer Italië en de Verenigde Staten. Ook deze klanten worden gewaarschuwd voor het datalek.


Mode retailer Guess onthult datalek na ransomware-aanval

Het Amerikaanse modemerk en retailer Guess brengt getroffen klanten op de hoogte van een datalek na een ransomware-aanval in februari die leidde tot datadiefstal. "Een forensisch cyberbeveiligingsbedrijf werd ingeschakeld om te helpen bij het onderzoek en identificeerde ongeautoriseerde toegang tot de systemen van Guess tussen 2 februari 2021 en 23 februari 2021", zei het bedrijf in brieven met kennisgevingen van inbreuken die naar de getroffen klanten werden gestuurd.


Onmiddellijke actie vereist om pandemie van ransomware te voorkomen

INTERPOL-secretaris-generaal Jürgen Stock heeft politiediensten wereldwijd opgeroepen om een ​​wereldwijde coalitie te vormen met industriële partners om een ​​mogelijke ransomware-pandemie te voorkomen. Tijdens het INTERPOL High-Level Forum on Ransomware (12 juli) zei secretaris-generaal Stock dat, hoewel sommige oplossingen nationaal of bilateraal bestonden, het effectief voorkomen en ontwrichten van ransomware betekende dat dezelfde internationale samenwerking moest worden gevolgd die wordt gebruikt om terrorisme, mensenhandel of maffia te bestrijden groepen zoals de 'Ndrangheta. Bron


Kaseya patcht bij ransomware-aanval gebruikte VSA-kwetsbaarheden

Softwarebedrijf Kaseya heeft beveiligingsupdates uitgerold voor kwetsbaarheden in het programma VSA die vrijdag 2 juli bij een wereldwijde ransomware-aanval werden gebruikt. Inmiddels is 95 procent van de SaaS-klanten van Kaseya weer online. Managed serviceproviders (MSP's) gebruiken VSA om de systemen van hun klanten op afstand te beheren. MSP's kunnen VSA op hun eigen servers installeren of de SaaS-omgeving van Kaseya gebruiken. Vanwege de aanval adviseerde Kaseya aan managed serviceproviders om hun VSA-servers meteen offline te halen en te houden totdat er meer informatie bekend was. Ook de SaaS-omgeving van Kaseya zelf ging offline. Dit had tot gevolg dat MSP's de systemen van hun klanten niet meer via VSA konden beheren. VSA-systemen mochten pas weer online nadat de updates geïnstalleerd waren. Met VSA 9.5.7a worden meerdere kwetsbaarheden in de software verholpen, die onder andere door onderzoekers van het Dutch Institute for Vulnerability Disclosure (DIVD) werden gevonden en gerapporteerd aan Kaseya. Het gaat mede om een "credentials leak and business logic flaw" (CVE-2021-30116), cross-site scripting-kwetsbaarheid (CVE-2021-30119) en een manier om de tweefactorauthenticatie te omzeilen (CVE-2021-30120). Verschillende andere verholpen kwetsbaarheden, waaronder een beveiligingslek waardoor het ongeautoriseerd uploaden van bestanden naar de VSA-server mogelijk was, hebben vooralsnog geen CVE-nummer gekregen. Naast het uitbrengen van de patches heeft Kaseya ook een "Hardening and Best Practice Guide" online gezet voor het verder beveiligen van de VSA-omgeving. Kaseya heeft aangegeven dat het getroffen MSP's financieel zal ondersteunen.


Belgische MSP ITxx betaalt 300.000 dollar losgeld na ransomware-aanval

De Belgische managed serviceprovider (MSP) ITxx heeft criminelen achter de Conti-ransomware die bestanden van klanten versleutelden 300.000 dollar losgeld betaald. ITxx werd op 2 juli door de aanvallers getroffen, op een manier die veel gelijkenissen vertoonde met de wereldwijde aanval door de REvil-groep, zo meldt de Belgische krant De Tijd. Hoe de aanval precies in zijn werk ging is niet duidelijk gemaakt. Wel wisten de aanvallers bij ITxx data van een zestigtal klanten te versleutelen. De bedrijfsvoering van deze bedrijven werd hierdoor ernstig verstoord. "Na een grondig onderzoek bleek dat betaling van het losgeld de enige manier was om klanten weer in het bezit te stellen van hun data", laat ITxx op de eigen website weten. De aanvallers eisten in eerste instantie 1,5 miljoen dollar, maar uiteindelijk werd er een bedrag van 300.000 dollar overeengekomen, meldt De Tijd. ITxx stelt dat er geen andere oplossing was. "Qua beveiliging van de infrastructuur en klantendata wijst alles erop dat ITxx geen schuld trof in de ransomwareaanval." Uit voorlopig onderzoek blijkt dat er geen gegevens van klanten, medewerkers of ITxx zelf zijn gestolen.


Biden roept Putin op om Russische ransomwaregroepen aan te pakken

De Amerikaanse president Biden heeft de Russische president Putin in een telefoongesprek opgeroepen om ransomwaregroepen in het land aan te pakken. "Ik heb hem duidelijk gemaakt dat de VS verwacht wanneer een ransomware-aanval vanaf zijn grondgebied afkomstig is, ook al is het niet gesponsord door de staat, we verwachten dat hij actie onderneemt als we ze genoeg informatie geven over wie het is", aldus Biden in een reactie na afloop van het gesprek. Biden herhaalde ook dat de Verenigde Staten elke noodzakelijke actie zal ondernemen om de eigen bevolking en vitale infrastructuur tegen ransomware-aanvallen te beschermen. Er is inmiddels een communicatiekanaal tussen beide landen geopend om onder andere over ransomware-aanvallen te overleggen, liet Biden verder weten. Perssecretaris Jen Psaki ging ook nog in op de ransomware-aanval via de software van Kaseya, die door de REvil-groep is uitgevoerd. "We weten dat REvil vanuit Rusland en andere landen in de wereld opereert en we hebben geen aanvullende of nieuwe informatie dat de Russische overheid deze aanvallen heeft aangestuurd. We weten ook en vinden dat ze een verantwoordelijkheid hebben. Ze hebben een verantwoordelijkheid om actie te ondernemen", aldus Psaki.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten

Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »