Nederlandse bedrijven kwetsbaar voor ransomware aanvallen door niet updaten beveiliging, Accenture getroffen door ransomware cybercriminelen eisen 42,5 miljoen euro en BlackMatter ransomware komt uit de schaduw van DarkSide. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
15 augustus
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
jjinsurancepr.com | LockBit | jjinsurancepr.com | Puerto Rico |
selinerag.ch | LockBit | selinerag.ch | Switzerland |
pulmuonefoodsusa.com | LockBit | pulmuonefoodsusa.com | South Korea |
Moorfields NHS UK & Dubai | AvosLocker | moorfields.nhs.uk | UK |
14 augustus
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
marlabs.com | LockBit | marlabs.com | USA |
crm.com | Payload.bin | crm.com | UK |
saleeprinting.com | LockBit | saleeprinting.com | Thailand |
13 augustus
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
en.mkb.bg | LockBit | en.mkb.bg | Bulgaria |
Solar Coca-Cola | BlackMatter | solarbr.com.br | Brazil |
meccalte.com | LockBit | meccalte.com | Italy |
jy-oilseal.com | LockBit | jy-oilseal.com | South Korea |
AMPBILLING.COM | CL0P | ampbilling.com | USA |
PENBENS.COM | CL0P | penbens.com | USA |
Huck Bouma PC | BlackMatter | huckbouma.com | USA |
audit-treuhand.ch | LockBit | audit-treuhand.ch | Switzerland |
bpc.ao | LockBit | bpc.ao | Portugal |
Vice Society ransomware sluit zich aan bij lopende PrintNightmare-aanvallen
De ransomwarebende van Vice Society maakt nu ook actief gebruik van de Windows print spooler PrintNightmare kwetsbaarheid voor zijwaartse beweging door de netwerken van hun slachtoffers. PrintNightmare is een reeks recent onthulde beveiligingsfouten (bijgehouden als CVE-2021-1675 , CVE-2021-34527 en CVE-2021-36958 ) die van invloed zijn op de Windows Print Spooler-service, Windows-printerstuurprogramma's en de Windows Point and Print voorzien zijn van. Microsoft heeft in juni , juli en augustus beveiligingsupdates uitgebracht om de bugs CVE-2021-1675 en CVE-2021-34527 aan te pakken , en heeft deze week ook een beveiligingsadvies gepubliceerd met een tijdelijke oplossing voor CVE-2021-36958 (een nul- day bug waardoor privilege-escalatie mogelijk is). Aanvallers kunnen deze reeks beveiligingsfouten misbruiken voor escalatie van lokale bevoegdheden (LPE) of het verspreiden van malware als Windows-domeinbeheerders via externe code-uitvoering (RCE) met SYSTEEM-rechten.
Hack me een keer, nee twee keer
Uit een rapport van Ponemon Institute en in opdracht van Team Cymru bleek dat de helft van de ondervraagde organisaties te maken had met disruptieve cyberaanvallen van herhaalde geavanceerde bedreigingsactoren van wie de meeste exploits onopgelost waren. Hoewel organisaties erkenden te maken te hebben met verstorende aanvallen en van recidivisten was totale sanering niet mogelijk. Volgens het rapport liepen door deze situatie persoonlijke gegevens en de infrastructuur van organisaties het risico op meer aanvallen.
Crypto-hacker looft beloning uit na overval van $600 miljoen
Een hacker die iets meer dan $ 600 miljoen aan cryptocurrency stal, kreeg $ 500.000 en immuniteit aangeboden als beloning voor het teruggeven van het geld. Poly Network deed het controversiële aanbod nadat de hacker had toegezegd het geld terug te sturen. De aanval werd dinsdag ontdekt toen Poly Network de hacker publiekelijk om hulp smeekte. Een voormalige FBI-functionaris zei dat "particuliere bedrijven niet de bevoegdheid hebben om immuniteit tegen strafrechtelijke vervolging te beloven". De aanval is een van de grootste hack-overvallen in de geschiedenis. Poly Network zei dat de persoon een kwetsbaarheid in zijn systeem had misbruikt. Het meeste geld is inmiddels teruggestort, al zegt de hacker niet geïnteresseerd te zijn in de beloning. Kort na de hack plaatste de anonieme persoon notities op de openbaar beschikbare blockchain om het bedrijf te beschimpen en om advies te vragen over hoe hij zijn gestolen rijkdommen wit kon wassen. Later beweerde de crimineel "niet geïnteresseerd te zijn in geld" en beloofde hij alles terug te geven. Bron
SynAck ransomware-bende geeft decoderingssleutels vrij voor oude slachtoffers
De El_Cometa ransomware-bende, voorheen bekend als SynAck, heeft vandaag de hoofddecoderingssleutels vrijgegeven voor de slachtoffers die ze tussen juli 2017 en begin 2021 hebben geïnfecteerd. De gelekte sleutels zijn eerder vandaag aan The Record verstrekt door een persoon die zichzelf identificeerde als lid van de voormalige SynAck-groep.
12 augustus
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
Cornerstone Automation Systems, LLC | Suncrypt | casiusa.com | USA |
Quercus | Cuba | quercus.pl | Poland |
GOABCO.COM | CL0P | goabco.com | USA |
melpaper.com | LockBit | melpaper.com | Greece |
ZUCCHETTIKOS.IT | CL0P | zucchettikos.it | Italy |
RMICO.COM | CL0P | rmico.com | USA |
DAE MYUNG RAINWEAR LANKA (PVT) LTD | Ragnarok | Sri Lanka | |
Navistar (Volkswagen Group) | Marketo | navistar.com | USA |
Honderden bedrijven kwetsbaar voor ernstige Microsoft Exchange kwetsbaarheden
DTC heeft informatie waaruit blijkt dat honderden Exchange mailservers in Nederland niet de noodzakelijke beveiligingsupdates hebben geïnstalleerd. Kwaadwillenden kunnen deze kwetsbaarheden misbruiken om de mailserver volledig over te nemen en zo informatie te bemachtigen of code uit te voeren. Bij uitbuiting door een kwaadwillende is de kans op schade groot. Volgens publieke informatie zijn actoren actief opzoek naar kwetsbare systemen. Daarom vragen wij opnieuw aandacht voor de recente kwetsbaarheden genaamd Microsoft Exchange Proxyshell. Maakt jouw bedrijf gebruik van Microsoft Exchange? Ga dan na of de laatste beveiligingsupdates zijn geïnstalleerd. Wees je ervan bewust dat er handmatige installaties nodig zijn van de zogenaamde "Cumulative Updates". Zie voor meer informatie onze ernstige kwetspaarheden pagina 》
Nederlandse en Belgische slachtoffers van Ransomware in de eerste 7 maanden van 2021 die uit de publiciteit bleven
Slachtoffer | Cybercriminelen | Website | Land | Sector |
---|---|---|---|---|
Brakke Asbestsanering BV | Hive | brakke.eu | Netherlands | Miscellaneous Services |
Fairlight | Haron | fairlight.nl | Netherlands | Miscellaneous Retail |
Rent-All | Haron | rentall.eu | Netherlands | Miscellaneous Services |
Focus Amsterdam BV. | Haron | focusamsterdam.com | Netherlands | Amusement And Recreation Services |
Van der Veen | Haron | vanderveen-ee.nl | Netherlands | Amusement And Recreation Services |
phlippoproductions | Haron | phlippoproductions.com | Netherlands | Miscellaneous Services |
cometgroup.be | LockBit | cometgroup.be | Belgium | Fabricated Metal Products |
Home in Brussels | AvosLocker | homeinbrussels.be | Belgium | Real Estate |
**** nijmegen | Sodinokibi (REvil) | *****.nl | Netherlands | Miscellaneous Manufacturing Industries |
Tetra Law | Avaddon | tetralaw.com | Belgium | Legal Services |
Servilex Advocaten | Avaddon | servilex.be | Belgium | Legal Services |
Syndex | Avaddon | syndex.eu | Belgium | Holding And Other Investment Offices |
XtraSource | Ragnar_Locker | xtrasource.com | Netherlands | Business Services |
Vendrig Holding B.V. | Conti | vendrig.nl | Netherlands | Business Services |
J&S Packaging | Prometheus | j-and-s-packaging.com | Belgium | Miscellaneous Manufacturing Industries |
hitec-ups.com | DarkSide | hitec-ups.com | Netherlands | Electronic, Electrical Equipment, Components |
SHELL.COM | CL0P | shell.com | Netherlands | Oil, Gas |
ECU Worldwide | Mount Locker | ecuworldwide.com | Belgium | Transportation By Air |
Nederlandse Organisatie voor Wetenschappelijk Onderzoek | DoppelPaymer | nwo.nl | Netherlands | Research Service |
PrintNightmare-lek gebruikt voor verspreiding van ransomware
Criminelen hebben de PrintNightmare-kwetsbaarheid in Windows gebruikt voor het aanvallen van Zuid-Koreaanse organisaties met ransomware. Dat stelt securitybedrijf CrowdStrike. Hoewel PrintNightmare eerst voor één beveiligingslek werd gebruikt, wordt er nu een verzameling van kwetsbaarheden in de Windows Print Spooler-service mee aangeduid. Via de beveiligingslekken kan een aanvaller op afstand willekeurige code uitvoeren of op een al gecompromitteerd systeem systeemrechten krijgen. Microsoft heeft inmiddels verschillende beveiligingsupdates uitgebracht. CrowdStrike meldt in een blogposting dat het op 13 juli zag hoe de criminelen achter de Magniber-ransomware één van de PrintNightmare-lekken gebruikten bij aanvallen op Zuid-Koreaanse organisaties. Bij de aanvallen schreven de aanvallers een malafide 'printerdriver' naar het systeem die vervolgens door de Spooler-service werd uitgevoerd. In werkelijkheid kon zo de ransomware worden geladen. Microsoft waarschuwde gisteren voor een nieuwe kwetsbaarheid in de Windows Print Spooler waarvoor nog geen update beschikbaar is. Als oplossing wordt aangeraden de service uit te schakelen, maar dit zorgt ervoor dat het systeem niet meer kan printen.
11 augustus
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
hititgumruk | Ragnarok | hitittrans.com | Turkey |
tastefulselections & WFG | BlackMatter | tastefulselections.com | USA |
accenture.com | LockBit | accenture.com | Ireland |
nwtf.org | LockBit | nwtf.org | USA |
nusantararegas.com | LockBit | nusantararegas.com | Indonesia |
sabre.ca | LockBit | sabre.ca | Canada |
Pine Labs Pvt | BlackMatter | pinelabs.com | India |
Accenture getroffen door ransomware-aanval: 42,5 miljoen euro geëist
Accenture is onlangs getroffen door een ransomware-aanval, waarbij data is buitgemaakt en een som van 42,5 miljoen euro (50 miljoen dollar) gevraagd. Inmiddels is de situatie onder controle en is geen losgeld betaald, zo geeft het consultancybedrijf aan. Accenture is onlangs getroffen door een ransomware-aanval door hackers van de LockBit 2.0 ransomwarebende. Hierbij is maar liefst 6 TB aan data ontvreemd, aldus de hackers. Voor teruggave en het onschadelijk maken van de versleuteling vroegen zij een bedrag van 42,5 miljoen euro (50 miljoen dollar). Accenture heeft zelf weinig gemeld over deze specifieke ransomware-aanval. Meer dan een verklaring dat ‘onregelmatige activiteit’ op het Accenture-netwerk is ontdekt, heeft de consultant niet bekendgemaakt. De deadline voor het losgeld zou inmiddels zijn verlopen, maar er is nog geen data gelekt. Volgens Reuters geeft de consultant aan de situatie onder controle te hebben. De getroffen systemen zouden zijn hersteld vanuit een back-up. Er is ook geen losgeld betaald. Bovendien had de aanval geen enkele impact op de werkzaamheden van Accenture en op de systemen van zijn klanten.
Kaseya's universele REvil-decoderingssleutel gelekt op een hackforum
De universele decoderingssleutel voor de aanval van REvil op Kaseya's klanten is gelekt op hackforums, waardoor onderzoekers een eerste glimp van de mysterieuze sleutel kunnen opvangen. Gisteren melde beveiligingsonderzoeker Pancak3 dat iemand een screenshot had gepost van wat volgens hem een universele REvil-decryptor was op een hackforum.
https://t.co/qLbDUwzv4D https://t.co/Ak66W5xz8W
— pancak3 (@pancak3lullz) August 10, 2021
Forumpost over Kaseya-decryptor op een hackforum
Dit bericht linkte naar een screenshot op GitHub die een REvil-decryptor liet zien die draaide terwijl een base64 gehashte 'master_sk'-sleutel werd weergegeven. Deze sleutel is 'OgTD7co7NcYCoNj8NoYdPoR8nVFJBO5vs/kVkhelp2s=', zoals hieronder weergegeven.
Screenshot van vermeende Kaseya REvil-decryptor
Wanneer REvil ransomware-slachtoffers losgeld betalen, ontvangen ze ofwel een decryptor die werkt voor een enkele versleutelde bestandsextensie of een universele decryptor die werkt voor alle versleutelde bestandsextensies die in een bepaalde campagne of aanval worden gebruikt. De bovenstaande schermafbeelding is voor een universele REvil-decryptor die alle extensies kan decoderen die bij de aanval horen. Voor alle duidelijkheid, hoewel oorspronkelijk werd gedacht dat de decoderingssleutel in deze schermafbeelding de hoofd-operatorsleutel zou kunnen zijn voor alle REvil-campagnes, hebben deskundigen bevestigd dat dit alleen de universele decoderingssleutel is voor slachtoffers van de Kaseya-aanval. Dit werd ook bevestigd door Emsisoft CTO en ransomware-expert Fabian Wosar.
The REvil hardcoded operator public key is 79CD20FCE73EE1B81A433812C156281A04C92255E0D708BB9F0B1F1CB9130635. The leaked key generates public key F7F020C8BBD612F8966EFB9AC91DA4D10D78D1EF4B649E61C2B9ADA3FCC2C853. Therefore, the leaked key is not the operator private key.
— Fabian Wosar (@fwosar) August 11, 2021
Ransomware infecteert NAS-systemen van zowel QNAP als Synology
Onderzoekers waarschuwen voor ransomware die zowel NAS-systemen van QNAP als Synology kan infecteren. Het gaat om de eCh0raix-ransomware. Eerdere versies van deze ransomware werden apart ingezet tegen of QNAP of Synology NAS-systemen. De nu ontdekte variant kan apparaten van beide fabrikanten aanvallen. In het geval van QNAP-systemen maakt de ransomware hiervoor gebruik van een kwetsbaarheid in Hybrid Backup Sync (HBS 3). HBS 3 is een oplossing voor het maken en terugplaatsen van back-ups. Het ondersteunt een groot aantal lokale, remote server en cloudopslagdiensten. Op 22 april kwam QNAP met een waarschuwing en stelde dat er beveiligingsupdates waren uitgerold om het probleem te verhelpen. In mei werd het beveiligingslek vervolgens misbruik door de Qlocker-ransomware. Nu hebben ook de ontwikkelaars van de eCh0raix-ransomware deze kwetsbaarheid aan hun arsenaal toegevoegd, meldt securitybedrijf Palo Alto Networks. In het geval van de Synology NAS-systemen wordt geen aanvalsvector genoemd, maar vorige week kwam Synology zelf met een waarschuwing dat NAS-systemen het doelwit van bruteforce-aanvallen waren waarbij veelgebruikte beheerderswachtwoorden werden geprobeerd. Het securitybedrijf stelt op basis van eigen onderzoek dat er zo'n 240.000 NAS-systemen van QNAP vanaf het internet toegankelijk zijn en zo'n 3500 van Synology. In het geval van een succesvolle aanval worden bestanden op het NAS-systeem versleuteld en moeten slachtoffers losgeld betalen voor het ontsleutelen.
10 augustus
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
Sebastian | Lorenz | sebastiancorp.com | USA |
Miller-Valentine Group | Lorenz | mvg.com | USA |
petrologiscanarias.com | LockBit | petrologiscanarias.com | Spain |
Sutterfield Financial Group | Hive | sutterfieldfinancial.com | USA |
Welliver | Conti | buildwelliver.com | USA |
Synology NAS-systemen via bruteforce-aanval besmet met malware
NAS-fabrikant Synology waarschuwt gebruikers voor een botnet dat bruteforce-aanvallen uitvoert op NAS-systemen die vanaf het internet toegankelijk zijn. Bij de aanvallen probeert het botnet veelgebruikte beheerderswachtwoorden te raden. Is de bruteforce-aanval succesvol dan wordt de StealthWorker-malware geïnstalleerd. Ook zouden de aanvallers ransomware kunnen installeren, stelt Synology. De NAS-fabrikant meldt verder dat de aanvallers besmette systemen voor het aanvallen van andere NAS-systemen kunnen inzetten. Synology werkt inmiddels samen met verschillende CERT-organisaties om de command & control-servers van de malware uit te schakelen. Tevens zegt het bedrijf getroffen klanten te zullen informeren. NAS-beheerders worden aangeraden om hun systemen op zwakke wachtwoorden te controleren en "multi-step" authenticatie in te schakelen.
Veel bedrijven kwetsbaar voor ransomware door lek Microsoft Exchange
Veel Nederlandse bedrijven kunnen gehackt worden door een lek in de e-mailservers van Microsoft Exchange, zegt cybersecuritybedrijf Secutec tegen BNR. Microsoft maakte in april 2021 bekend dat er een groot lek zat in die server. Sindsdien zijn er drie beveiligingsupdates uitgerold. Die zijn door veel bedrijven in Nederland nog niet geïnstalleerd. Hierdoor zijn zij nog steeds kwetsbaar voor ransomware. Bij tot nu toe zo'n 2200 tot 2300 bedrijven in Nederland is de software niet op orde, stelt Martijn van Lom, directeur van Secutec Nederland. Maar het aantal kan nog oplopen, want de 'scan' loopt nog. "Het gaat om een kwetsbaarheid die in april is ontdekt. Dat zijn we gaan onderzoeken en daardoor zijn we erachter gekomen dat de kwetsbaarheid actief wordt misbruikt." Het gaat om bedrijven die gebruik maken van Microsoft Exchange. Van Lom raadt bedrijven aan het probleem op te lossen door de patch uit te voeren. Hiervoor is voorlichting beschikbaar. "Maar veel bedrijven zijn afhankelijk van hun IT-partner. Als die de zaken niet op orde heeft, dan kan je daar dus mee wegkomen. Als je nu ziet dat de update niet is uitgevoerd door veel bedrijven, is het blijkbaar nog steeds nodig om bedrijven te waarschuwen hiervoor." Check Ernstige kwetsbaarheden pagina
Cyberaanval China op Israel
De aanval, onthuld door FireEye, was ook gericht op Israëlische defensie-instanties en maakte deel uit van een bredere campagne van Chinese inlichtingendiensten. Het is het eerste gedocumenteerde geval van een grootschalige Chinese aanval op Israël. Maandag kondigde het internationale cyberbeveiligingsbedrijf FireEye dit aan. Dit is het eerste gedocumenteerde geval van een grootschalige Chinese aanval op Israël. Het maakte deel uit van een bredere campagne die gericht was op veel andere landen, waaronder Iran, Saoedi-Arabië, Oekraïne, Oezbekistan en Thailand. FireEye volgt de operatie al twee jaar. Bron
Game-ontwikkelaar Crytek bevestigt Egregor ransomware-aanval en diefstal van klantgegevens
Game-ontwikkelaar en uitgever Crytek heeft bevestigd dat de Egregor-ransomwarebende in oktober 2020 zijn netwerk heeft gehackt, systemen heeft versleuteld en bestanden heeft gestolen met persoonlijke informatie van klanten die later op de darkweb-leksite van de bende zijn gelekt. Het bedrijf erkende de aanval in brieven die eerder deze maand aan getroffen personen werden gestuurd en die vandaag door een van de slachtoffers werden gedeeld. "We willen u informeren dat Crytek het slachtoffer was van een ransomware-aanval door een aantal onbekende cybercriminelen", zei Crytek in een brief aan een van hun klanten die bij het incident betrokken was. "Tijdens die aanval waren bepaalde gegevens versleuteld en gestolen uit ons netwerk. We hebben onmiddellijk actie ondernomen om de versleuteling van onze systemen te voorkomen, onze omgeving verder te beveiligen en een intern en extern onderzoek naar het incident te starten. Crytek bevestigde dat Egregor-operators later tijdens het incident gestolen documenten op hun dataleksite lekten. " Op basis van onderzoek bevatte de informatie in sommige gevallen de voor- en achternaam, functietitel, bedrijfsnaam, e-mail, bedrijfsadres, telefoonnummer en land", onthulde Crytek.
Crytek ransomware brief
9 augustus
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
WEI | Conti | wei.com | USA |
Ospray Video | Hive | osprayvideo.com | USA |
Brakke Asbestsanering BV | Hive | brakke.eu | Netherlands |
ennsbrothers | Conti | ennsbrothers.com | Canada |
sgrlaw.com | LockBit | sgrlaw.com | USA |
Gigabyte Technology | RansomEXX | gigabyte.com | Taiwan |
megawatts.com.sg | LockBit | megawatts.com.sg | Singapore |
esrmotors.com | LockBit | esrmotors.com | USA |
Australische overheid waarschuwt voor aanvallen met LockBit-ransomware
De Australische overheid heeft een waarschuwing afgegeven voor de LockBit 2.0-ransomware nadat verschillende organisaties in het land slachtoffer zijn geworden. Daarbij werden gegevens op systemen versleuteld. Ook claimen de aanvallers dat er data is buitgemaakt en die zal worden gepubliceerd wanneer de getroffen organisaties geen losgeld betalen. Volgens het Australische Cyber Security Centre (ACSC) zijn de in Australië gemaakte slachtoffers in verschillende sectoren actief zijn, waaronder professionele dienstverlening, bouw, productie, retail en voedsel. De LockBit-ransomware is sinds 2019 actief en wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. In juni van dit jaar verscheen versie 2.0 van de ransomware, aldus het ACSC. Volgens het ACSC maken de aanvallers gebruik van een kwetsbaarheid in Fortinet FortiOS en FortiProxy om toegang tot de netwerken van organisaties te krijgen. Het gaat om een beveiligingslek aangeduid als CVE-2018-13379 waarvoor op 26 november 2019 een beveiligingsupdate verscheen. Via het lek kan een aanvaller de inloggegevens van vpn-gebruikers stelen. Organisaties wordt dan ook aangeraden om de kwetsbaarheid in kwestie te patchen en multifactorauthenticatie voor alle gebruikers in te schakelen. Verder wordt het dagelijks maken van back-ups en netwerksegmentatie aangeraden.
Pc-fabrikant Gigabyte getroffen door aanval met gijzelsoftware
Het Taiwanese bedrijf Gigabyte is afgelopen week getroffen door een ransomwareaanval, waardoor bestanden werden versleuteld. Ook zou er 112 GB aan interne gegevens zijn gestolen, zeggen ingewijden tegen Bleeping Computer. Gigabyte zei tegen de Chinese nieuwswebsite United Daily News dat er een cyberaanval heeft plaatsgevonden die een klein aantal servers trof. Als gevolg daarvan heeft het bedrijf enkele computersystemen gesloten. De hackergroep RansomEXX zou achter de aanval zitten. Bronnen van Bleeping Computer zeggen dat de groep via Gigabyte informatie over chips heeft gestolen van Intel en AMD. De groep dreigt 112 GB aan data openbaar te maken als de hackers niet worden betaald. Het is niet bekend hoeveel geld RansomEXX voor het vrijgeven van de bestanden wil hebben. Gigabyte heeft contact opgenomen met de autoriteiten, maar zegt niet of het bedrijf de groep zal betalen. Dit soort aanvallen kwam dit jaar al vaker voor. Zo werden Acer en een fabrikant van Apple aangevallen door de hackergroep REvil. De groep vroeg in beide gevallen 50 miljoen dollar (42,5 miljoen euro) om bestanden niet te publiceren. Het is niet duidelijk of er is betaald.
BlackMatter ransomware komt uit de schaduw van DarkSide
Op vrijdag 7 mei 2021 raakte een dochteronderneming van de DarkSide Ransomware-as-a-Service (RaaS) Colonial Pipeline, een grote Amerikaanse brandstofpijpleiding. De aanval leidde tot wijdverbreide verstoring van de aanvoer, wereldwijde krantenkoppen en intensieve controle door de nationale autoriteiten. Een week later kondigde DarkSide aan dat het zijn activiteiten zou stopzetten nadat de servers naar verluidt in beslag waren genomen en de cryptocurrency-portefeuilles waren leeggemaakt. Eind juli verscheen een nieuwe RaaS op het toneel. De ransomware, die zichzelf BlackMatter noemt, beweert de leegte te vullen die is achtergelaten door DarkSide en REvil - door de beste tools en technieken van elk van hen over te nemen, evenals van de nog steeds actieve LockBit 2.0.
Nederlandse bedrijven kwetsbaar voor ransomware door niet updaten beveiliging
Veel Nederlandse bedrijven kunnen gehackt worden door een lek in de e-mailservers van Microsoft Exchange. Dat zegt cybersecuritybedrijf Secutec tegen BNR. In april van dit jaar maakte Microsoft bekend dat er een groot lek zat in die server, en sindsdien zijn er ook drie beveiligingsupdates uitgerold. Veel bedrijven in Nederland hebben die nog niet geïnstalleerd en zijn nog steeds kwetsbaar voor ransomware.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Tips of verdachte activiteiten gezien? Meld het hier.
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 45-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.