FBI deelt technische details over Hive-ransomware, Ragnarok ransomware cybercriminelen geven master decryptor key vrij en script van een ransomware bende toont precies de bestanden die ze zoeken. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Meer dan 2.900 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.
Status op 30 augustus: 2993
29 augustus
| Slachtoffer | Cybercriminelen | Website | Land |
|---|---|---|---|
| pla-pumpen.de | LockBit | pla-pumpen.de | Germany |
| Missouri Delta Medical Center | Hive | missouridelta.com | USA |
| pro-beam.com | LockBit | pro-beam.com | Germany |
28 augustus
| Slachtoffer | Cybercriminelen | Website | Land |
|---|---|---|---|
| Master Chemical | AvosLocker | masterfluidsolutions.com | USA |
| Diamond Schmitt | BlackMatter | dsai.ca | Canada |
| Apple Ridge Farm | Marketo | appleridge.org | USA |
| Arbas Group, Inc | Marketo | arbasgroup.com | USA |
| Virginia Department of Wildlife Resources | Marketo | dwr.virginia.gov | USA |
| Puma | Marketo | puma.com | Germany |
| Luxottica Group S.p.A. | Marketo | luxottica.com | Italy |
| Epicor Software Corporation | Marketo | epicor.com | USA |
| Esited | Marketo | esited.com | UK |
| Simon, Peragine, Smith & Redfearn | Marketo | spsr-law.com | USA |
| Fujitsu | Marketo | fujitsu.com | Japan |
| Morgan Truck Body, LLC | Marketo | morgancorp.com | USA |
| Bowman Plating Company | Marketo | bowmanplating.com | USA |
| CBSL Transportation Services | Marketo | cbsltrans.com | USA |
| Millensys | Marketo | millensys.com | Egypt |
| GigaTribe | Marketo | gigatribe.com | France |
27 augustus
| Slachtoffer | Cybercriminelen | Website | Land |
|---|---|---|---|
| Tampa Tank INC | Everest | tti-fss.com | USA |
| InfraBuild | Everest | infrabuild.com | Australia |
| e-button.com.tw | LockBit | e-button.com.tw | Taiwan |
FBI deelt technische details over Hive-ransomware
De FBI heeft technische details over de Hive-ransomware gedeeld, die vanwege gebruikte tactieken en technieken volgens de opsporingsdienst voor "grote uitdagingen" kan zorgen. Om toegang tot organisaties te krijgen maken de aanvallers achter de ransomware gebruik van malafide e-mailbijlagen. Vervolgens wordt het remote desktop protocol (RDP) gebruikt om zich lateraal door het netwerk te bewegen. Nadat het netwerk is gecompromitteerd schakelen de aanvallers processen van antivirus- en back-upsoftware uit. Vervolgens wordt aanwezige data gestolen, waarna bestanden worden versleuteld. Via een live chat kunnen slachtoffers in contact met de aanvallers komen om hun bestanden terug te krijgen. Ook hebben slachtoffers laten weten dat ze door de aanvallers zijn gebeld. Slachtoffers krijgen tussen de twee en zes dagen om het gevraagde losgeld te betalen, maar op verzoek van getroffen bedrijven hebben de aanvallers de deadline verlengd. Wanneer slachtoffers niet betalen dreigen de aanvallers gestolen data openbaar te maken. De FBI heeft verschillende Indicators of Compromise gedeeld waarmee organisaties de ransomware kunnen detecteren.
Microsoft meldt grootschalige phishingcampagne via open redirects
Bij een grootschalige phishingcampagne bedoeld om inloggegevens te stelen maken criminelen gebruik van open redirects en captcha's om slachtoffers te misleiden, zo meldt Microsoft. De aanval begint met een phishingmail die zich onder andere voordoet als Zoom-uitnodiging, melding van Microsoft 365 of een bericht dat het wachtwoord is verlopen. Gebruikers wordt vervolgens gevraagd om een link in het bericht te openen. Hierbij maken de aanvallers gebruik van een open redirect, waarbij er wordt gewezen naar een legitieme dienst. De gebruikte link bevat echter een parameter die naar de phishingsite wijst. Zodra een gebruiker de link opent zorgt de open redirect bij de legitieme dienst ervoor dat de gebruiker naar de phishingsite wordt gestuurd. Het gebruik van open redirects bij phishingaanvallen is niet nieuw, zo laat Microsoft weten. Een link die naar een vertrouwd domein wijst kan eindgebruikers echter op het verkeerde been zetten. Wanneer gebruikers op de phishingpagina terechtkomen moeten ze eerst een captcha oplossen. Mogelijk hebben de aanvallers deze captcha toegevoegd om scanpogingen en analyses van de pagina te voorkomen, waardoor de phishingpagina langer online kan blijven. Na het oplossen van de captcha wordt de gebruiker om zijn wachtwoord gevraagd, waarbij zijn e-mailadres al is ingevuld. Wanneer het slachtoffer zijn wachtwoord invult verschijnt er een foutmelding en moet het wachtwoord nog een keer worden ingevuld. Dit wordt waarschijnlijk gedaan om het slachtoffer twee keer het wachtwoord in te laten vullen, zodat de aanvallers weten dat ze het juiste wachtwoord hebben. Voor het versturen van de phishingmails maken de aanvallers gebruik van gratis e-maildiensten, gecompromitteerde legitieme domeinen en zelf geregistreerde domeinnamen. Tijdens de campagne werden meer dan 350 unieke domeinen waargenomen. "Dit laat niet alleen de omvang van deze aanval zien, maar ook hoeveel de aanvallers erin investeren, wat een potentieel aanzienlijk rendement suggereert", aldus Microsoft.
26 augustus
| Slachtoffer | Cybercriminelen | Website | Land |
|---|---|---|---|
| Duke Manufacturing Co. | Conti | dukemfg.com | USA |
| brunsrealty.com | LockBit | brunsrealty.com | USA |
| softvision.com.br | LockBit | softvision.com.br | Brazil |
| KLEINBERGLANGE.COM | CL0P | kleinberglange.com | USA |
| BlackHawk | Cuba | bhid.com | USA |
| American Megatrends International | RansomEXX | ami.com | USA |
ROC Mondriaan: ‘Lessen gaan maandag door’
Studenten die hoopten vrij te hebben vanwege de hackaanval op ROC Mondriaan, komen bedrogen uit. De scholengemeenschap benadrukt dat de lessen aanstaande maandag gewoon doorgaan. Onderwijs wordt daarentegen wel ‘in aangepaste vorm’ aangeboden, omdat docenten en leerlingen geen gebruik kunnen maken van de computersystemen en applicaties.
Dat schrijft de MBO-scholengemeenschap in een updatebericht op haar website.
Man die zegt T-Mobile te hebben gehackt: 'Beveiliging is flut'
De Amerikaanse hacker John Binns, die de verantwoordelijk heeft opgeëist voor de diefstal van de gegevens van meer dan 50 miljoen T-Mobile-gebruikers, noemt de beveiliging van het telecombedrijf 'belabberd'. Binns sprak via de versleutelde berichtendienst Telegram met de Wall Street Journal en "besprak details over de hack voordat deze publiekelijk bekend werden". Ook kon de man aantonen dat hij toegang had tot een account dat screenshots had geplaatst van beelden uit de T-Mobile-database. The Wall Street Journal lijkt het daarom aannemelijk te achten dat Binns de waarheid spreekt. De 21 jaar oude Amerikaan, die in Turkije woont, was "in paniek" toen hij realiseerde dat hij binnen was. Hij zou "lawaai hebben willen maken" met de hack, zei hij tegen de Amerikaanse zakenkrant. Volgens Binns zit de Amerikaanse overheid achter hem aan. Hij zegt dat hij al eens eerder gekidnapt is in Duitsland en gevangen werd gezet in een niet-bestaande behandelfaciliteit voor geestelijke gezondheid.
Ragnarok ransomware cybercriminelen geven master decryptor key vrij
De Ragnarok ransomware-bende lijkt ermee te stoppen en heeft de hoofdsleutel vrijgegeven die bestanden kan decoderen die zijn vergrendeld door hun malware. De cybercriminelen verving plotseling alle slachtoffers op hun leksite door een korte instructie over het decoderen van bestanden. Bron
25 augustus
| Slachtoffer | Cybercriminelen | Website | Land |
|---|---|---|---|
| UNISELF - SOCIEDADE DE RESTAURANTES PÚBLICOS E PRIVADOS, S.A. | Grief | uniself.pt | Portugal |
| Hanwha Life Vietnam | Conti | hanwhalife.com.vn | South Korea |
| Boskovich Farms, Inc. | Grief | boskovichfarms.com | USA |
| Kocks Ardelt Kranbau GmbH | Grief | kocksardelt.de | Germany |
| Socfinaf | Grief | socfin.com | Luxembourg |
| nepgroup.com | LockBit | nepgroup.com | USA |
| stetsonexpo.com | LockBit | stetsonexpo.com | USA |
| conmoto.de | LockBit | conmoto.de | Germany |
| bangkokair.com | LockBit | bangkokair.com | Thailand |
| MAS & Coronis Health | Hive | coronishealth.com | USA |
| MIDPLAZA HOLDING | Conti | midplaza.com | Indonesia |
| Great Lakes Plumbing and Heating Company | Conti | glph.com | USA |
| Americo Manufacturing | Conti | americomfg.com | USA |
ROC Mondriaan kreeg advies om systemen tijdelijk onbereikbaar te maken
Mbo-scholengemeenschap ROC Mondriaan heeft op advies van een securitybedrijf de eigen systemen en bestanden tijdelijk onbereikbaar gemaakt. Dat heeft de onderwijsinstelling in een update over het incident laten weten. Maandag werd bekend dat ROC Mondriaan het slachtoffer van een aanval is geworden. Om wat voor soort aanval het precies gaat is nog altijd onbekend. Om de omvang en impact van de aanval in kaart te brengen en de systemen te herstellen werd ROC Mondriaan geadviseerd systemen en bestanden tijdelijk onbereikbaar te maken tot nader bericht. "Daarna kunnen we het systeem weer veilig opnieuw opbouwen en online laten gaan", aldus de scholengemeenschap. Die heeft securitybedrijf NFIR ingeschakeld voor het onderzoek. Deze partij deed ook onderzoek naar de ransomware-aanval op de gemeente Hof van Twente. "De impact van deze hack is binnen en buiten onze school voelbaar. We werken met man en macht om zo spoedig mogelijk met een oplossing te komen. We zetten alles op alles om aanstaande maandag met de lessen te kunnen starten, zij het in aangepaste vorm", zegt Harry de Bruijn van het ROC Mondriaan. Vanwege de aanval konden leerlingen van de zomerschool maandag geen examen doen. Verder hebben leerlingen nog geen lesrooster voor de komende periode gekregen, aangezien die ook in de digitale leeromgeving staat die onbereikbaar is, meldt Omroep West.
Negen activisten uit Bahrein gehackt met Pegasus-software
De iPhones van negen activisten uit Bahrein zijn gehackt en besmet geraakt met Pegasus, afluistersoftware van het Israëlische bedrijf NSO Group. Om hun smartphones binnen te dringen, maakte de aanvaller gebruik van twee zero-click exploits in iMessage. Vermoedelijk heeft de regering van Bahrein opdracht gegeven om de iPhones van de dissidenten te hacken.
Dat blijkt uit onderzoek van The Citizens Lab van de universiteit van Toronto.
24 augustus
| Slachtoffer | Cybercriminelen | Website | Land |
|---|---|---|---|
| paladinadvisors.com | LockBit | paladinadvisors.com | USA |
| alta-electronics.com | LockBit | alta-electronics.com | Canada |
| COMPASSNRG.COM | CL0P | compassnrg.com | Canada |
| zipbcc.com | LockBit | zipbcc.com | Zambia |
| fragerlaw.com | LockBit | fragerlaw.com | USA |
| servisistanbul.com.tr | LockBit | servisistanbul.com.tr | Turkey |
| faberinc.com | LockBit | faberinc.com | USA |
| nsuship.co.jp | Payload.bin | nsuship.co.jp | Japan |
| irely.rip | Payload.bin | irely.rip | USA |
| g-able.com | BlackMatter | g-able.com | Thailand |
FBI waarschuwt voor ransomwaregroep die slachtoffers via macro's infecteert
De FBI heeft een waarschuwing afgegeven voor een ransomwaregroep genaamd "OnePercent" die organisaties via macro's in Word- en Excel-documenten infecteert. Volgens de Amerikaanse opsporingsdienst is de groep al sinds november 2020 verantwoordelijk voor ransomware-aanvallen tegen Amerikaanse organisaties. De aanval begint met een zip-bestand dat via e-mail wordt verstuurd. Dit zip-bestand bevat weer een Word- of Excel-document met een malafide macro. Wanneer de ontvanger het zip-bestand opent en de macro in het document activeert wordt het systeem met IcedID trojan besmet. Vervolgens wordt via deze malware Cobalt Strike gedownload. Cobalt Strike is een tool voor het uitvoeren van penetratietests op systemen en netwerken. Het wordt echter ook gebruikt door aanvallers voor het verder compromitteren van aangevallen organisaties. OnePercent gebruikt Cobalt Strike om zich lateraal door het netwerk van de aangevallen organisatie te bewegen. Zodra er gevoelige informatie is gevonden gebruiken de aanvallers het programma rclone om deze data te stelen. Na de datadiefstal volgt de uitrol van de ransomware, die alle bestanden op besmette systemen versleutelt. De aanvallers maken vervolgens gebruik van gespoofte telefoonnummers om de getroffen organisatie te bellen, aldus de FBI. De aanvallers eisen ook met een vaste onderhandelaar te spreken, anders dreigen ze de gestolen data te publiceren. De FBI geeft organisaties verschillende adviezen om zich te beschermen, waarbij ook wordt gewezen op het gebruik van het programma rclone. Zo kunnen organisaties letten op de verschillende hashes van de software. Verder volgen generieke adviezen, zoals het maken van offline back-ups, patchen van systemen, implementeren van netwerksegmentatie en het gebruik van multifactorauthenticatie.
Onderwijsinstelling ROC Mondriaan in Den Haag slachtoffer van grote cyberaanval
De Haagse onderwijsinstelling ROC Mondriaan is afgelopen weekend gehackt. Alle computers liggen plat, waardoor medewerkers en studenten niet bij hun bestanden kunnen. De school zet alles op alles om het systeem voor volgende week maandag weer aan de praat te krijgen. Lees verder
Het script van een ransomware bende toont precies de bestanden die ze zoeken
Een PowerShell-script dat wordt gebruikt door de Pysa ransomware-operatie geeft ons een voorproefje van de soorten gegevens die ze proberen te stelen tijdens een cyberaanval. Wanneer ransomwarebendes een netwerk compromitteren, beginnen ze meestal met beperkte toegang tot een enkel apparaat. Vervolgens gebruiken ze verschillende tools en exploits om andere inloggegevens te stelen die op het Windows-domein worden gebruikt of om verhoogde rechten te krijgen op verschillende apparaten. Zodra ze toegang krijgen tot een Windows-domeincontroller, zoeken en stelen ze gegevens op het netwerk voordat ze apparaten versleutelen. De dreigingsactoren gebruiken deze gestolen gegevens op twee manieren. De eerste is om losgeld te genereren op basis van bedrijfsinkomsten en of ze verzekeringspolissen hebben. De tweede is om de slachtoffers bang te maken om losgeld te betalen omdat de bende de gegevens zal lekken. Bron
De volledige lijst van 123 trefwoorden die de cybercriminelen van Pysa gebruiken in hun script staat in de onderstaande tabel.
| 941 | confident | Info | RRHH |
| 1040 | Crime | insider | saving |
| 1099 | claim | Insurance | scans |
| 8822 | Terror | investigation | sec |
| 9465 | Confidential*Disclosure | IRS | secret |
| 401K | contact | ITIN | security |
| 4506-T | contr | K-1 | studen |
| ABRH | CPF | letter | seed |
| Audit | CRH | List | Signed |
| Addres | Transact | Login | sin |
| agreem | DDRH | soc | |
| Agreement*Disclosure | Demog | NDA | SS# |
| ARH | Detail | Numb | SS-4 |
| Assignment | Disclosure*Agreement | Partn | SSA |
| balanc | Disclosure*Confidential | passport | SSN |
| bank | DRH | passwd | Staf |
| Bank*Statement | emplo | password | statement |
| Benef | Enrol | pay | Statement*Bank |
| billing | federal | payment | SWIFT |
| budget | Finan | payroll | tax |
| bureau | finance | person | Taxpayer |
| Brok | Form | Phone | unclassified |
| card | fraud | privacy | Vend |
| cash | government | privat | W-2 |
| CDA | hidden | pwd | w-4 |
| checking | hir | Recursos*Humanos | W-7 |
| clandestine | HR | report | W-8BEN |
| compilation | Human | Resour | w-9 |
| compromate | i-9 | resurses*human | W-9S |
| concealed | illegal | RHO | |
| confid | important | routing |
23 augustus
| Slachtoffer | Cybercriminelen | Website | Land |
|---|---|---|---|
| Consiglio nazionale forense | Conti | consiglionazionaleforense.it | Italy |
| envisioncu.com | LockBit | envisioncu.com | USA |
| Lycra | Cuba | lycra.com | USA |
| Pascoli Group | BlackByte | pascoligroup.com | Italy |
| ELTECH | BlackByte | eltech.com.pl | Poland |
LockFile-ransomware combineert ProxyShell- en PetitPotam-aanvallen
Een nieuwe ransomwaregroep genaamd LockFile combineert twee aanvallen om organisaties via hun Microsoft Exchange-servers met ransomware te infecteren. Volgens securitybedrijf Symantec zijn al zeker tien organisaties met de ransomware besmet geraakt. Voor de eerste stap combineren de aanvallers drie kwetsbaarheden met de naam ProxyShell. Daarmee is het mogelijk om kwetsbare Exchange-servers op afstand over te nemen, zo stelt beveiligingsonderzoeker Kevin Beaumont. Vervolgens wordt de PetitPotam-aanval gebruikt om de domeincontroller van de organisatie over te nemen. Zodra de aanvallers de domeincontroller in handen hebben worden alle machines in het netwerk geïnfecteerd met ransomware. Symantec stelt dat productiebedrijven, financieel, juridische en zakelijke dienstverleners zijn getroffen, alsmede bedrijven in de reisbranche. De meeste slachtoffers werden in de Verenigde Staten en Azië waargenomen. De aanvallers gaan daarbij vrij snel te werken. Tussen de tijd dat de Exchange-server wordt gecompromitteerd en de uitrol van de ransomware zit slechts twintig tot dertig minuten, aldus het securitybedrijf. Beveiligingsupdates voor de ProxyShell-kwetsbaarheden in Exchange zijn sinds april en mei beschikbaar. Daarnaast kunnen organisaties verschillende maatregelen treffen om zich tegen de PetitPotam-aanval te beschermen, aldus Microsoft.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Tips of verdachte activiteiten gezien? Meld het hier.
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 45-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.