Overzicht cyberaanvallen week 33-2021

Gepubliceerd op 23 augustus 2021 om 15:00

Ransomware groep zoekt bij slachtoffers naar informatie over cyber verzekering, ransomware aanval kost Amerikaanse zorgverlener 113 miljoen euro en Haagse stichting sleept it bedrijf na ransomware aanval voor de rechter. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 2.900 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.

Status op 22 augustus: 2944


22 augustus

Slachtoffer Cybercriminelen Website Land
Martin, Harding & Mazzotti LLP Marketo 1800law1010.com USA
Marcus & Millichap - Real Estate Investment Services BlackMatter marcusmillichap.com USA

Bijna tweeduizend Exchange-servers besmet via ProxyShell-lekken

Bijna tweeduizend Microsoft Exchange-servers zijn de afgelopen dagen besmet via drie kwetsbaarheden die bekendstaan als "ProxyShell". Door de drie beveiligingslekken te combineren is het mogelijk voor ongeauthenticeerde aanvallers om kwetsbare Exchange-servers op afstand over te nemen. Deze servers worden onder andere met ransomware geïnfecteerd. De Amerikaanse overheid roept organisaties op om snel in actie te komen. Microsoft kwam in april en mei met beveiligingsupdates voor de kwetsbaarheden, aangeduid als CVE-2021-34473, CVE-2021-34523 en CVE-2021-31207. Orange Tsai, de onderzoeker die de beveiligingslekken ontdekte, gaf begin deze maand tijdens de Black Hat- en Defcon-conferenties een presentatie waarin hij technische details over de kwetsbaarheden besprak. Aan de hand van deze informatie konden exploits worden gepubliceerd, die vervolgens tegen kwetsbare Exchange-servers werden ingezet. Het Internet Storm Center meldde recentelijk op basis van een scan van zoekmachine Shodan dat er nog meer dan 30.000 ongepatchte Exchange-servers op internet waren te vinden. De afgelopen dagen is er een toename van het aantal aanvallen op deze machines. Zo meldde securitybedrijf Huntress Labs dat het meer dan honderdveertig verschillende webshells op bijna tweeduizend ongepatchte Exchange-servers heeft aangetroffen. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren. Beveiligingsonderzoeker Kevin Beaumont laat weten dat er een groep aanvallers is die de kwetsbaarheden gebruiken om Exchange-servers met ransomware te infecteren, genaamd LockFile. Deze ransomware versleutelt bestanden voor losgeld. Vanwege de toegenomen aanvallen roept het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security organisaties op om met spoed kwetsbare Exchange-servers binnen het eigen netwerk te identificeren en de beveiligingsupdates van Microsoft te installeren. Meer info


21 augustus

Slachtoffer Cybercriminelen Website Land
abecho.co.jp LockBit abecho.co.jp Japan
delrantownship.com LockBit delrantownship.com USA
Hyper Microsystems Pysa hypermicro.com USA
Geotechnical Consultants Inc. Pysa gci2000.com USA
Cyclone Steel Pysa cyclonesteel.com USA
OHL Judlau Pysa judlau.com USA
The Fashion Group International Pysa fgi.org USA
Upstate HomeCare Pysa upstatehomecare.com USA
Vermont Personal Injury Lawyers Pysa bpflegal.com USA
My Cloud Star Pysa mycloudstar.com USA
Kaydon Corporation (SKF Group Brand) BlackMatter kaydonbearings.com USA
SOLWARE Conti solware.fr France

Provincie Gelderland doelwit van hacker

De provincie Gelderland is getroffen door een cyberaanval. De dader slaagde erin om data uit personeelsdossiers te vergaren. Het datalek kwam woensdagavond aan het licht en is donderdagochtend direct gedicht. De provincie heeft inmiddels aangifte gedaan bij de politie en de Autoriteit Persoonsgegevens op de hoogte gebracht. Dat schrijft de provincie Gelderland zaterdag in een persbericht, zo melden diverse media. De provincie huurt een extern ICT-bedrijf in om alle ICT-voorzieningen te onderhouden. Dat bedrijf ontdekte woensdagavond dat er een inbraak had plaatsgevonden bij het actualiseren van personeelsdossiers. Medewerkers dichtten daarop het lek, zodat de hackers of cybercriminelen niet langer toegang hadden tot het computernetwerk van de provincie. Veel details over de aanval ontbreken op dit moment. Zo is het onbekend wie er verantwoordelijk is voor de datadiefstal en hoe de hackers het netwerk hebben weten te infiltreren. De provincie Gelderland kan op dit moment niet zeggen welke gegevens op straat zijn beland. Wellicht gaat het om persoonlijke gegevens van provinciemedewerkers, zoals namen, adressen, contactgegevens en andere relevante informatie. Dat is echter nog niet officieel bevestigd door de provincie, waar zo’n 1.600 werknemers werken. De provincie Gelderland zegt dat ze donderdagochtend aangifte heeft gedaan bij de politie. Het voorval is eveneens gemeld bij de Autoriteit Persoonsgegevens. De Algemene Verordening Gegevensbescherming (AVG) verplicht bedrijven, organisaties en (politieke) instellingen om een datalek binnen 72 uur te melden aan de nationale privacytoezichthouder. Hoe eerder het lek gemeld wordt en gedupeerden op de hoogte worden gebracht, des te eerder men maatregelen kan nemen om de schade te beperken.

De provincie laat weten dat het onderzoek naar de cyberaanval in volle gang is en ze voorlopig geen aanvullende informatie geeft over het voorval.


20 augustus

Slachtoffer Cybercriminelen Website Land
ANTHONY CATALFANO INTERIORS Hive anthonycatalfanointeriors.com USA
KBM UK Hive kbmuk.co.uk UK
Schuldnerberatung Ostfriesland e. V. Hive schuldnerberatung-ostfriesland.de Germany
EMCO Hive emco.es Spain
WDMANOR.COM CL0P wdmanor.com USA
MMALTZAN.COM CL0P mmaltzan.com USA
Virginia Department of Military Affairs Marketo dma.virginia.gov USA
COULSONGROUP.COM CL0P coulsongroup.com Canada
KSSENTERPRISES.COM CL0P kssenterprises.com USA
autoelectric.com LockBit autoelectric.com Germany
ethiopianairlines.com LockBit ethiopianairlines.com Ethiopia
sdfeg.com LockBit sdfeg.com Panama
Eskenazi Health Foundation Vice Society eskenazihealthfoundation.org USA

Australische overheid ziet ProxyShell-aanvallen op Microsoft Exchange-servers

De Australische overheid waarschuwt organisaties in het land voor aanvallen op Microsoft Exchange-servers waarbij gebruik wordt gemaakt van drie kwetsbaarheden die bekendstaan als "ProxyShell". Door de drie beveiligingslekken te combineren is het mogelijk voor ongeauthenticeerde aanvallers om kwetsbare Exchange-servers op afstand over te nemen. Microsoft kwam in april en mei met beveiligingsupdates voor de kwetsbaarheden, aangeduid als CVE-2021-34473, CVE-2021-34523 en CVE-2021-31207. Orange Tsai, de onderzoeker die de beveiligingslekken ontdekte, gaf begin deze maand tijdens de Black Hat-conferentie een presentatie waarin hij technische details over de kwetsbaarheden besprak. Aan de hand van deze informatie konden exploits worden gepubliceerd, die vervolgens tegen kwetsbare Exchange-servers werden ingezet. Het Australische Cyber Security Centre heeft dergelijke aanvallen nu ook in Australië waargenomen. Organisaties krijgen het advies om hun netwerk op kwetsbare Exchange-servers te controleren en die te updaten. Verder kan in de proxy-logs worden gekeken of misbruik van de kwetsbaarheden al heeft plaatsgevonden.


Microsoft: IoT-botnet besmet routers voor uitvoeren van mitm-aanvallen

Een botnet dat Internet of Things (IoT)-apparaten besmet probeert routers van fabrikanten Netgear, Huawei en ZTE permanent te infecteren om zo man-in-the-middle-aanvallen uit te kunnen voeren, aldus Microsoft. Het gaat om het Mozi-botnet dat al geruime tijd actief is. Mozi infecteert IoT-apparaten, zoals digitale videorecorders, via zwakke Telnet-wachtwoorden en bekende kwetsbaarheden. Besmette machines worden onder andere voor ddos-aanvallen op websites ingezet. Microsoft stelt dat het Mozi-botnet sinds kort routers van Netgear, Huawei en ZTE permanent probeert te infecteren. Vervolgens is het via de gecompromitteerde routers mogelijk voor de aanvallers om man-in-the-middle-aanvallen uit te voeren, bijvoorbeeld via het aanpassen van http-verkeer en dns-spoofing. Hierbij worden gebruikers naar malafide websites doorgestuurd die ransomware proberen te installeren en kunnen de aanvallers veiligheidsincidenten in OT-omgeving veroorzaken, zo stelt Microsoft. Ook voor het aanvallen van de routers maakt het Mozi-botnet gebruik van zwakke wachtwoorden en bekende kwetsbaarheden. In het geval van een succesvolle aanval installeert Mozi een script zodat de malware altijd wordt geladen. Verder blokkeert Mozi verschillende poorten op de router voor remote toegang, waaronder poort 23, 2323 en 7547. Dit moet voorkomen dat de malware wordt verwijderd. Om infecties door Mozi te voorkomen adviseert Microsoft het gebruik van sterke wachtwoorden en het tijdig installeren van beveiligingsupdates.


SynAck ransomware decryptor laat slachtoffers gratis bestanden herstellen

Emsisoft heeft een decryptor voor de SynAck Ransomware uitgebracht, waarmee slachtoffers hun versleutelde bestanden gratis kunnen ontsleutelen. De SynAck ransomware-bende lanceerde haar operatie in 2017, maar veranderde in 2021 in de El_Cometa-bende. Als onderdeel van deze rebranding hebben de bedreigingsactoren de hoofd decodering sleutels  en documentatie voor hun codering algoritme vrijgegeven op hun Tor-dataleksite.


19 augustus

Slachtoffer Cybercriminelen Website Land
completeportables Conti completeportables.com Australia
pdsec.com Payload.bin pdsec.com USA
conferenceusa.com Payload.bin conferenceusa.com USA
sklarwilton.com Payload.bin sklarwilton.com Canada
PARAGONGRI.COM CL0P paragongri.com USA
Zamora Pysa zamora.gob.mx Spain
ATC Transportation Pysa atctransportation.com USA
Commack Fire Department Pysa commackfd.org USA
Zane State College Pysa zanestate.edu USA
AFP Elevator Pysa afpelevator.com Iran
Alliance Architecture Pysa alliancearchitecture.com USA
Aztec Events Pysa aztecusa.com UK
Buffalo Schools Pysa buffaloschools.org USA
St Bede's College Pysa sbcm.co.uk India
SoftwareDesign Consulting Group AvosLocker sd-lb.com Lebanon
Gimmler Gruppe AvosLocker gimmler-gruppe.com Germany

IDC: een derde bedrijven afgelopen jaar getroffen door ransomware-aanval

Een derde van de bedrijven wereldwijd heeft de afgelopen twaalf maanden met een ransomware-aanval te maken gekregen, zo stelt marktvorser IDC op basis van eigen onderzoek onder zo'n achthonderd it-beslissers. Het wereldwijde gemiddeld bedroeg 37 procent. Hoewel verschillende grote Amerikaanse bedrijven de afgelopen maanden slachtoffer van ransomware werden bedroeg het aantal getroffen bedrijven in de VS zeven procent. Dertien procent van de organisaties die met ransomware te maken kreeg gaf aan dat er geen losgeld was betaald. Het gemiddelde betaalde losgeldbedrag bedroeg 250.000 dollar. IDC merkt op dat een aantal grote losgeldbetalingen van meer dan een miljoen dollar het gemiddelde echter vertekenen. Eerder kwam de marktvorser al met onderzoek waaruit blijkt dat veel bedrijven bereid zijn in het geval van ransomware het gevraagde losgeld te betalen. Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een nieuwe factsheet gepubliceerd over de toename van ransomwaregroepen die ook data stelen en dreigen die te openbaren tenzij een slachtoffer losgeld betaalt.

CISA Fact Sheet Protecting Sensitive And Personal Information From Ransomware Caused Data Breaches 508 C
PDF – 302,8 KB 353 downloads

Haagse stichting sleept it-bedrijf na ransomware-aanval voor de rechter

Een stichting uit Den Haag heeft een it-bedrijf uit Berkel en Rodenrijs na een ransomware-aanval voor de rechter gesleept omdat er geen back-up van alle data voorhanden was. De stichting was sinds 2013 klant bij het it-bedrijf. Op 12 april 2018 raakte één van de systemen van de stichting besmet met ransomware, waardoor het systeem onbruikbaar werd en de bedrijfsvoering van de stichting in zijn geheel kwam stil te liggen. Er bleek alleen nog een back-up van juli 2017 beschikbaar, waardoor de stichting veel data kwijt was, alsmede allerlei programmatuur die het door een softwarebedrijf had laten ontwikkelen. De stichting liet een onderzoek naar de ransomware-aanval uitvoeren. Daaruit kwam naar voren dat die waarschijnlijk via Teamviewer heeft plaatsgevonden. Door beperkte logging-informatie kon dit echter niet met zekerheid worden vastgesteld. "Verschillende kwetsbaarheden (afwijkingen van de norm) komen voort uit beginnersfouten, slordigheid, en onverstandige inrichtingskeuzes die een 'normaal en redelijk handelend' ict-leverancier (groot of klein) ondanks ontbrekende beveiligingsafspraken niet mag maken", aldus het securitybedrijf dat het onderzoek uitvoerde. Dat stelt niet verbaasd te zijn dat er een ernstig verstorend incident zich heeft voorgedaan. "Gezien de huidige staat van de ict-omgeving was een dergelijke ernstige verstoring slechts een kwestie van tijd; het niveau van de digitale weerbaarheid is te laag om te kunnen spreken van een passend en marktconform informatiebeveiligingsniveau." Volgens de stichting heeft de it-leverancier nagelaten om periodiek volledige back-ups te maken van de systemen van de stichting en de informatie binnen die systemen. Daarmee is het it-bedrijf tekort geschoten in het nakomen van haar verplichtingen uit de overeenkomst, aldus de aanklacht. Het it-bedrijf stelt dat de ransomware-infectie ook door een medewerker kan zijn ontstaan die een bijlage opende. Wat betreft het ontbreken van data in de back-ups stelt het it-bedrijf dat dit komt door het softwarebedrijf dat software voor de stichting ontwikkelde. De rechtbank stelt dat het op basis van de stellingen van beide partijen niet kan bepalen wat de oorzaak van de ontbrekende data is. Daarom heeft de rechtbank om het oordeel van een onafhankelijke deskundige gevraagd. Die moet vaststellen wat de oorzaak is van het ontbreken van de gemaakte software en andere data in de back-ups van de stichting. Tevens moet de deskundige de oorzaak van ransomwarebesmetting zien te achterhalen en welke rol de beveiliging van het ict-systeem van het it-bedrijf hierbij speelde. Pas met deze informatie zegt de rechtbank tot een oordeel te kunnen komen.


Het is tijd voor een maatschappelijk debat over ransomware

Ransomware krijgt een steeds prominentere rol in ons leven. In Nederland voelde de Universiteit Maastricht zich genoodzaakt om bijna 200.000 euro losgeld te betalen en deze zomer werden honderden bedrijven geraakt door de Kaseya-hack. Onze gast is Bernold Nieuwesteeg, directeur bij het Centre for the Law and Economics of Cyber Security bij de Erasmus Universiteit. Hij en een aantal andere hoogleraren schreven onlangs een opiniestuk in het FD, getiteld: 'Betaal geen losgeld bij een ransomware-aanval'. De boodschap is duidelijk, maar is het wel zo simpel?


18 augustus

Slachtoffer Cybercriminelen Website Land
www.abelsystem Conti abelsystem.de Germany
www.emmawillard.org Payload.bin emmawillard.org USA
www.coreslab.com Payload.bin coreslab.com Canada
Academia de Idiomas y Estudios Profesionales BlackMatter aiep.cl Chile

Ransomwaregroep zoekt bij slachtoffers naar informatie over cyberverzekering

De criminelen achter de Conti-ransomware zoeken actief bij slachtoffers naar informatie over afgesloten verzekeringen, om zo de hoogte van het losgeld te kunnen bepalen. Dat stelt securitybedrijf Advanced Intel in een analyse. Nadat de aanvallers toegang tot het netwerk hebben gekregen wordt er specifiek gezocht naar informatie over verzekeringen, boekhouding en financiële documenten. Volgens onderzoeker Vitali Kremez wordt deze informatie vervolgens gebruikt voor het vaststellen van het losgeld. Onlangs verschenen verschillende instructiehandleidingen van de Conti-ransomwaregroep op internet. Ook daarin wordt aangeraden om te zoeken naar documenten met bepaalde sleutelwoorden, waaronder cyberverzekeringen, beveiligingsbeleid en bankafschriften. Al geruime tijd is er kritiek op verzekeringsmaatschappen die door middel van cyberverzekeringen het losgeld van ransomware-slachtoffers dekken. Dit zou volgens critici voor een toename van ransomware-aanvallen en een hoger geëist losgeldbedrag zorgen.

Hunting For Corporate Insurance Policies
PDF – 2,1 MB 427 downloads

Diavol ransomware toont sterkere gelijkenissen met TrickBot

Een nieuwe analyse van de Diavol ransomware toont een duidelijker verband met de bende achter het TrickBot-botnet en de evolutie van de malware. Het recente onderzoek is het tweede dat raakvlakken vindt in de code van de twee bedreigingen, waardoor ze aan dezelfde actor worden gekoppeld. Eerdere analyse van Diavol (Romanian for Devil) ransomware van Fortinet's FortiGuard Labs onthulde een reeks overeenkomsten met de TrickBot-malware. Fortinet's beoordeling begin juli merkte op dat zowel Diavol als Conti - een ransomware-familie die sterk verbonden is met TrickBot - dezelfde opdrachtregel parameters gebruikten voor een verscheidenheid aan taken (logging, encryptie, scannen).


Japanse verzekeraar Tokio Marine onthult ransomware-aanval

Tokio Marine Holdings, een multinationale verzekeringsholding in Japan, heeft deze week aangekondigd dat haar vestiging in Singapore, Tokio Marine Insurance Singapore (TMiS), is getroffen door een ransomware-aanval. De aankondiging kwam aan het begin van de week en bevat weinig informatie over het incident buiten de maatregelen die zijn genomen om de inbraak aan te pakken. Het bedrijf maakte het incident bekend op hun website in zowel het Japans als het Engels en verontschuldigde zich bij zijn klanten voor het "ongemak en de bezorgdheid die veroorzaakt werd".


17 augustus

Slachtoffer Cybercriminelen Website Land
Centre Hospitalier D'Arles Vice Society ch-arles.fr France
interflex Conti interflex.es Spain
Ningbo Dechang Electric Machinery Manufacturing Co., Ltd. Hive dechang-motor.com China
J.Irwin Company XING LOCKER jirwinco.com USA
Ryan Companies Hive ryancompanies.com USA
GK.NO Hive gk.no Norway
Middleton Reutlinger BlackMatter middletonlaw.com USA

Amerikaanse ziekenhuizen annuleren operaties wegens ransomware-aanval

Tientallen Amerikaanse ziekenhuizen hebben wegens een ransomware-aanval operaties geannuleerd en ambulances omgeleid. De ziekenhuizen zijn onderdeel van Memorial Health System, dat 64 klinieken en ziekenhuizen telt. Vanwege de aanval werden gisteren alle urgente operaties geannuleerd, alsmede alle röntgenonderzoeken. Patiënten die een afspraak hebben staan wordt aangeraden voordat ze langskomen eerst te bellen. De zorgverlener laat in een reactie weten dat voor zover bekend er geen gegevens van patiënten of medewerkers zijn buitgemaakt en het onderzoek naar de aanval en het herstellen van systemen nog gaande is. Het omleiden van ambulances zal net zolang plaatsvinden totdat de systemen weer zijn hersteld. Tijdens een persconferentie liet de ceo van Memorial Health System weten dat er wordt samengewerkt met de FBI en er hopelijk vandaag meer bekend over de aanval wordt, zo meldt The Parkersburg News and Sentinel. Vanwege de aanval zijn bepaalde applicaties voor patiënten niet toegankelijk.


Australische overheid roept op tot het maken van back-ups

De Australische overheid heeft bedrijven, burgers en organisaties in het land opgeroepen om back-ups van hun gegevens te maken, aangezien dit een belangrijke bescherming tegen ransomware is. "Back-ups zijn één van de beste manieren om weerstand tegen ransomware op te bouwen, waardoor het veel lastiger voor cybercriminelen wordt om Australiërs af te persen", zegt Andrew Hastie, onderminister van Defensie. Het Australische Cyber Security Centre ontvangt steeds meer meldingen van ransomware-incidenten. "Het geregeld maken van back-ups en die buiten je netwerk opslaan op een usb-stick of in de cloud maakt het sneller en eenvoudiger om belangrijke bestanden te herstellen mochten ze worden verloren, gestolen of gecompromitteerd", stelt Hastie. "In het geval van ransomware kan het niet mogelijk zijn om zonder offline back-ups je data te herstellen en je bedrijf en projecten weer up en running te krijgen", gaat de onderminister verder. "Je persoonlijke en privé-informatie, gezondheidsinformatie, financiën en foto's, lopen risico als ze niet regelmatig op een veilige plek worden geback-upt."


Braziliaanse regering onthult ransomware-aanval op National Treasury

Het Braziliaanse ministerie van Economische Zaken heeft vrijdagavond, vlak voor het begin van het weekend, een ransomware-aanval bekendgemaakt die enkele computersystemen van het National Treasury trof. "Op vrijdagavond (13) heeft een ransomware aanval op het interne netwerk van het Nationaal Secretariaat Schatkist plaatgevonden," de Braziliaanse regering onthulde dit  op zaterdagavond. De dreiging werd ingeperkt nadat de aanval was ontdekt en onmiddellijk nadat de inperkingsmaatregelen waren toegepast, werd contact opgenomen met de federale politie. Beveiligingsspecialisten van het Rijkssecretariaat en het Secretariaat Digitale Overheid doen nog onderzoek naar de omvang van de inbreuk.


16 augustus

Slachtoffer Cybercriminelen Website Land
Milwaukee World Festival, Inc Conti milwaukeeworldfestival.com USA
My Cloud **** Pysa mycloud****.com In progress
Montour School District Hive montourschools.com USA
ceratube.ma LockBit ceratube.ma Morocco
beardowadams.com LockBit beardowadams.com England
isoftstone.com LockBit isoftstone.com China
garagedeckx.be LockBit garagedeckx.be Belgium
lemonastere.ca LockBit lemonastere.ca USA
livingflame.co.nz LockBit livingflame.co.nz New Zealand

T-Mobile bevestigt dat servers zijn gehackt, onderzoekt datalek

T-Mobile heeft bevestigd dat cybercriminelen hun servers hebben gehackt bij een recente cyberaanval maar nog steeds onderzoeken of klantgegevens zijn gestolen. Gisteren kwam het nieuws naar buiten dat hackers de vermeende persoonlijke gegevens van 100 miljoen T-Mobile-klanten verkocht nadat ze databaseservers van het mobiele netwerk hadden gehackt. De hacker vertelde dat de databases die tijdens de aanval zijn gestolen de gegevens bevatten van ongeveer 100 miljoen T-Mobile-klanten, waaronder IMSI-nummers, IMEI-nummers, telefoonnummers, klantnamen, beveiligingspincodes, burgerservicenummers, rijbewijsnummers en datum van geboorte. Deze gegevens zijn ongeveer twee weken geleden gestolen en bevatten klantgegevens die teruggaan tot 2004.

"Hun volledige IMEI-geschiedenisdatabase die teruggaat tot 2004 is gestolen", vertelde de hacker.

T-Mobile bevestigd dat sommige van hun servers zijn gehackt bij: "We hebben de klok rond gewerkt aan het onderzoeken van beweringen dat T-Mobile-gegevens mogelijk illegaal zijn gebruikt. We nemen de bescherming van onze klanten zeer serieus en voeren samen met digitale forensische experts een uitgebreide analyse uit om de geldigheid van deze gegevens te begrijpen. claims, en we coördineren met de wetshandhaving. We hebben vastgesteld dat ongeautoriseerde toegang tot sommige T-Mobile-gegevens heeft plaatsgevonden, maar we hebben nog niet vastgesteld dat er persoonlijke klantgegevens in het spel zijn. We zijn ervan overtuigd dat het toegangspunt dat werd gebruikt om toegang te krijgen, is gesloten en we gaan door met onze diepgaande technische beoordeling van de situatie in al onze systemen om de aard van gegevens te identificeren die illegaal zijn gebruikt. Dit onderzoek zal enige tijd in beslag nemen, maar we werken met de hoogste mate van urgentie. Totdat we deze beoordeling hebben voltooid, kunnen we het gerapporteerde aantal getroffen records of de geldigheid van verklaringen van anderen niet bevestigen. We begrijpen dat klanten vragen en zorgen hebben, en het oplossen hiervan is van cruciaal belang voor ons. Zodra we een vollediger en geverifieerd begrip hebben van wat er is gebeurd, zullen we proactief communiceren met onze klanten en andere belanghebbenden." - T-Mobile.


Cisco: oorzaak meeste ransomware-infecties door loggingproblemen onbekend

De oorzaak van de meeste ransomware-infecties is door problemen met de logging onbekend, zo stelt Cisco. Het bedrijf ondersteunt organisaties die door ransomware zijn getroffen. Bij de meeste incidenten kan niet worden vastgesteld hoe de aanvallers binnenkwamen omdat logs ontbreken of onvolledig zijn. Organisaties krijgen dan ook het advies om hun logbestanden te bewaren om zo eventuele incident response efficiënter en effectiever te maken. Wanneer de aanvalsvector wel bekend is blijkt dat aanvallers hun slachtoffers in de meeste gevallen weten te infecteren door gebruik te maken van kwetsbaarheden in software. Daarna volgen andere bekende aanvalsvectoren zoals phishing en het compromitteren van accounts, zowel van binnen de aangevallen organisatie als van derde partijen die toegang tot de organisatie hebben. Verder stelt Cisco dat het gebrek aan multifactorauthenticatie (MFA) één van de grootste belemmeringen is voor de veiligheid van organisaties. Het netwerkbedrijf zegt dat het geregeld ransomware-incidenten tegenkomt die voorkomen hadden kunnen worden als MFA voor belangrijke services was ingeschakeld. Cisco roept organisaties dan ook op om multifactorauthenticatie waar mogelijk in te schakelen.

CTIR TAR Q 2 2021 One Pager
PDF – 159,2 KB 424 downloads

Ransomware-aanval kost Amerikaanse zorgverlener 113 miljoen euro

Een ransomware-aanval die in mei van dit jaar plaatsvond heeft de Amerikaanse zorgverlener Scripps Health tot nu toe bijna 113 miljoen dollar gekost. Dat heeft de organisatie in de nieuwste kwartaalcijfers aangekondigd (pdf). Vanwege de aanval moest zorgpersoneel op pen en papier teruggevallen. Digitale patiëntendossiers waren offline, alsmede het systeem met de geplande afspraken. Ook het online portaal waar patiënten hun eigen dossiers kunnen inzien was onbereikbaar. Zorgpersoneel kon bij al bekende patiënten gebruikmaken van papieren dossiers. Ernstige noodgevallen, zoals hartaanvallen, werden omgeleid naar andere ziekenhuizen. Begin juni waarschuwde Scripps Health meer dan 147.000 patiënten dat hun persoonlijke gegevens bij de aanval zijn buitgemaakt. Volgens Scripps Health heeft het door de aanval tot nu toe al 112,7 miljoen dollar aan kosten gemaakt. Het grootste deel daarvan, 91,6 miljoen dollar, betreft misgelopen inkomsten. Kosten voor het verhelpen van de aanval en herstellen van systemen zijn op 21,1 miljoen dollar vastgesteld. Naast deze kosten lopen er inmiddels ook verschillende rechtszaken tegen de zorgverlener die door patiënten zijn aangespannen.

P 11590344
PDF – 357,2 KB 380 downloads

Colonial Pipeline waarschuwt voor datalek na ransomware-aanval

De Colonial Pipeline Company heeft bijna zesduizend mensen gewaarschuwd voor een datalek nadat criminelen eerder dit jaar toegang tot hun persoonlijke gegevens kregen. De data werd gestolen bij de ransomware-aanval in mei. Volgens de brief aan gedupeerde personen hebben aanvallers op 6 mei persoonlijke informatie buitgemaakt, zoals naam, contactgegevens, geboortedatum, social-securitynummer, rijbewijsnummer en gezondheidsgerelateerde informatie. De in totaal 5810 getroffen personen kunnen vanwege het datalek een jaar lang kosteloos hun krediet laten monitoren. De criminelen achter de aanval wisten volgens een securitybedrijf dat het incident onderzocht door middel van een gelekt vpn-wachtwoord binnen te komen. Vanwege de aanval besloot het bedrijf de grootste brandstofpijplijn in de Verenigde Staten uit te schakelen. Alleen de administratiesystemen waren echter door de ransomware getroffen en verschillende bronnen lieten weten dat de beslissing om de brandstofpijplijn uit te schakelen was genomen vanwege zorgen over de mogelijkheid om te kunnen blijven factureren. Vanwege de uitval werd in verschillende staten de noodtoestand afgekondigd en ontstonden er tekorten bij duizenden tankstations. Colonial betaalde de aanvallers uiteindelijk 4,4 miljoen dollar losgeld.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten

Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »