Overzicht cyberaanvallen week 35-2021

Gepubliceerd op 6 september 2021 om 15:00

Cybercrimineel perst hogeschool van Arnhem en Nijmegen af, tweede kamer stelt vragen over "hack" bij onderwijsinstelling ROC Mondriaan en Italië gaat ransomware te lijf met giga plan en miljarden budget. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 3.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.

Status op 6 september: 3.052


4 september

Slachtoffer Cybercriminelen Website Land
Dohuk CoomingProject auk.edu.krd Iraq
Pacific City Bank AvosLocker paccity.net USA
Afohs Club – Enjoy The Pride CoomingProject afohsclub.pk Pakistan
Miningbase CoomingProject miningbase.cloud USA
MangaDex - MangaDex CoomingProject mangadex.org USA
Iraqi Government CoomingProject gds.gov.iq Iraq

3 september

Slachtoffer Cybercriminelen Website Land
Ellerboeck BlackMatter ellerboeck.at Austria
Eisvogel Hubert Bernegger GmbH BlackMatter eisvogel.at Italy
FEINBERGLAWOFFICES.COM CL0P feinberglawoffices.com USA

Cybercrimineel perst hogeschool van Arnhem en Nijmegen af

Een onbekende perst de hogeschool van Arnhem en Nijmegen af. Hij heeft mogelijk data van studenten en medewerkers in handen en eist een onbekend bedrag. Dat meldt een bron aan de NOS en een woordvoerder van de HAN bevestigt dat. Wat de hacker precies eist, is niet bekendgemaakt. Ook is onbekend wat hij dreigt te doen als er niet wordt betaald. Mogelijk dreigt hij met publicatie van de gegevens die hij heeft buitgemaakt. Van ransomware, waarbij bestanden worden gegijzeld die pas weer worden teruggegeven na betaling van losgeld, is voor zover bekend geen sprake. De omvang van het datalek is nog niet bekend. Gisteravond zou de oorzaak van het lek nog niet zijn gevonden. De hogeschool meldt op zijn website dat het onderzoek in volle gang is. Studenten en medewerkers wordt opgeroepen om alert te zijn op phishing.


Cisco publiceert vertaalde handleidingen van ransomwaregroep Conti

Cisco heeft de vertaalde handleidingen gepubliceerd die de criminelen achter de Conti-ransomware gebruiken voor het uitvoeren van aanvallen op organisaties. Begin augustus verschenen verschillende technische handleidingen van de Conti-groep op internet. Ze zouden zijn gelekt door een ontevreden partner van de groep die tegen betaling aanvallen op netwerken uitvoert. Conti betaalt deze partners voor het binnendringen van netwerken van organisaties. Via deze toegang wordt vervolgens de ransomware uitgerold. De gelekte handleidingen zouden onder partners worden verspreid zodat ze deze aanvallen kunnen uitvoeren. Eén van deze partners publiceerde de bestanden en handleidingen op een forum voor cybercriminelen, waar ze vervolgens door onderzoekers werden gedownload. Al gauw verschenen automatisch vertaalde versies van de handleidingen online. Cisco heeft de Russische handleidingen door Russisch sprekende medewerkers laten vertalen. Volgens het bedrijf is dit interessant voor de securitygemeenschap aangezien de automatisch vertaalde versies verschillende belangrijke inzichten zouden missen. Vooral het detail van de handleidingen valt op, aldus Cisco. "De gegeven details laten zelfs amateuraanvallers vernietigende ransomware-aanvallen uitvoeren", zegt onderzoeker Caitlin Huey. De handleidingen beschrijven verschillende technieken en procedures en het gebruik van allerlei tools, waaronder Cobalt Strike. Dit is een legitieme tool voor het uitvoeren van penetratietests op systemen en netwerken. Het wordt echter ook gebruikt door aanvallers voor het verder compromitteren van aangevallen organisaties. Verder maakt de Conti-groep onder andere gebruik van Armitage, SharpView, SharpChrome en SeatBelt, tools die volgens Cisco niet vaak door ransomwaregroepen worden toegepast. Via de tools is het mogelijk om exploits en scans uit te voeren, credentials te dumpen en systeemgegevens te verzamelen. Ook bevatten de handleidingen instructies voor het gebruik van de Zerologon-exploit voor Windows. "Deze documentatie biedt zowel ervaren criminelen als die nieuw zijn de mogelijkheid om grootschalige vernietigende campagnes uit te voeren. Dit laat zien dat hoewel sommige van de technieken die deze groepen gebruiken geraffineerd zijn, de aanvallers die de daadwerkelijke aanvallen uitvoeren helemaal niet zo geavanceerd hoeven te zijn", gaat Huey verder. Met de publicatie van de vertaalde handleidingen wil Cisco verdedigers en securityprofessionals meer inzicht geven in de technieken, tactieken en procedures van deze aanvallers. "Deze vertaling kan worden gezien als een kans voor verdedigers om meer grip te krijgen op hoe deze groepen opereren en de tools die ze bij deze aanvallen gebruiken."

Conti Playbook Translated
PDF – 413,9 KB 432 downloads

Italie gaat ransomware te lijf met gigaplan en miljardenbudget

Cyberaanvallen die essentiële diensten in Italië de afgelopen maanden platlegden, hebben de overheid tot drastische maatregelen gebracht. Maar liefst 11,15 miljard euro wordt gestoken in het moderniseren en beveiligen van de digitale infrastructuur van publieke overheden. Waarschuwingen zijn er al voldoende geweest, zoals afgelopen juni nog toen de minister van technologische innovatie - Vittorio Colao - met de schokkende conclusie naar buiten kwam dat 90% van de servers van de Italiaanse publieke diensten onveilig zijn. Maar het was een vloedgolf aan cyberaanvallen op deze diensten de afgelopen weken die er voor hebben gezorgd dat nu alle neuzen dezelfde kant op staan en er actie wordt ondernomen. Bron


Conti-ransomware hackt nu Exchange-servers met ProxyShell-exploits

De Conti ransomware-bende hackt Microsoft Exchange-servers en maakt inbreuk op bedrijfsnetwerken met behulp van een recent bekend gemaakte kwetsbaarheid in de ProxyShell. ProxyShell is de naam van een exploit die gebruikmaakt van drie geketende Microsoft Exchange-kwetsbaarheden ( CVE-2021-34473  CVE-2021-34523  CVE-2021-31207 ) die niet-geverifieerde, externe code-uitvoering op niet-gepatchte kwetsbare servers mogelijk maken. Deze drie kwetsbaarheden werden ontdekt door Devcore's  Orange Tsai , die ze gebruikte als onderdeel van de  Pwn2Own 2021-hackwedstrijd . Hoewel Microsoft deze kwetsbaarheden in mei 2021 volledig heeft gepatcht, zijn onlangs technische details over het misbruiken van de kwetsbaarheden vrijgegeven, waardoor bedreigingsactoren deze bij aanvallen kunnen gaan gebruiken. Tot nu toe hebben we bedreigingen gezien die de ProxyShell-kwetsbaarheden gebruiken om  webshells, backdoors te verwijderen en de LockFile-ransomware te  implementeren .


Broncode beruchte Babuk-ransomware online gezet op hackerforum

Een hacker heeft de volledige broncode voor de Babuk-ransomware online gezet op een Russisch hackerforum. Babuk Locker, of Babyk, was ransomware die begin 2021 werd gebruikt en was vooral gericht op het stelen van bedrijfsgegevens. De gestolen data werd vervolgens versleuteld waarna de hackers de betrokken organisaties probeerden af te persen. Maar na een aanval op de politie van Washington DC, vreesde de hackersgroep ernstige wettelijke gevolgen waarna ze besloten om hun operatie stop te zetten. Meningen waren daarna verdeeld tussen de cybercriminelen om de ransomware opnieuw als Babuk V2 te gebruiken. Zo zou volgens beveiligingsonderzoeker vx-underground, een lid van de Babuk-groep de volledige broncode voor hun ransomware hebben vrijgegeven op een Russisch hackerforum. Het lid 'dyadka0220' beweerde aan terminale kanker te lijden en besloot hierop de broncode online te zetten. Het gedeelde bestand bevat verschillende Visual Studio Babuk ransomware-projecten voor VMware ESXi-, NAS- en Windows-encryptors. De Windows-map bevat de volledige broncode voor de Windows-encryptor, decryptor en een vermoedelijke key-generator.


Maak je klaar voor nieuwe ransomware-varianten op basis van Babuk

Dmitry Smilyanets merkte op dat bedreigingsactoren over de hele wereld waarschijnlijk hun eigen ransomware-operaties zullen lanceren op basis van de gelekte Babuk ransomware-broncode .


2 september

Slachtoffer Cybercriminelen Website Land
ludofact.de Groove ludofact.de Germany
pulmuonewildwood.com LockBit pulmuonewildwood.com USA
Journality CoomingProject journality.hu Hungary
Trust Capital Funding BlackMatter trustcapitalfunding.com USA

Witte Huis waarschuwt om komend weekend alert te zijn op cyberaanvallen

Amerikaanse organisaties en bedrijven moeten het komende weekend alert zijn op cyberaanvallen waarbij bijvoorbeeld wordt geprobeerd om ransomware te verspreiden, zo waarschuwt het Witte Huis. Eerder kwamen de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security al met een waarschuwing dat aanvallers vaak toeslaan tijdens weekenden en feestdagen. Aanstaande maandag is het Labor Day in de Verenigde Staten, waardoor er een lang weekend vrij is. Volgens Anne Neuberger, veiligheidsadviseur voor "cyber en opkomende technologie" van het Witte Huis, is er geen specifieke informatie dat er aanvallen zullen plaatsvinden, maar is het gezien eerdere aanvallen die tijdens feestdagen en weekenden plaatsvonden belangrijk om alert te zijn. Vanwege het lange weekend zijn it-afdelingen vaak onderbemand en hebben aanvallers meer tijd om zich door een netwerk te bewegen, stelt Neuberger. "Nu er een lang weekend voor de deur staat willen we het bewustzijn vergoten. En dit geldt met name voor organisaties in de vitale infrastructuur en partijen die vitale diensten voor Amerikanen beheren", ging de veiligheidsadviseur tijdens een persconferentie verder. Neuberger gaf ook verschillende concrete adviezen, waarbij ze als eerste opriep om alle software binnen organisaties te patchen. "We blijven zien dat ondernemingen worden gecompromitteerd via kwetsbaarheden die al bekend zijn en waarvoor beveiligingsupdates beschikbaar zijn." Tevens werd opgeroepen om ervoor te zorgen dat medewerkers sterke wachtwoorden gebruiken. "Vraag belangrijk personeel om hun wachtwoorden nu te wijzigen", merkte Neuberger op. Als derde adviseerde de veiligheidsadviseur om multifactorauthenticatie toe te passen, wederom voor belangrijk personeel en it-medewerkers. Neuberger stelde dat verschillende techbedrijven hebben laten weten dat het gebruik van multifactorauthenticatie tachtig tot negentig procent van de cyberaanvallen kan voorkomen. Ook riep de veiligheidsadviseur organisaties op om met incidentresponsplannen te oefenen, zodat er in het geval van een aanval snel kan worden gereageerd. Tevens moeten back-ups up-to-date en niet vanaf het netwerk toegankelijk zijn. "En iedereen moet extra waakzaam zijn voor phishingmails en het klikken op links die nieuw zijn of er verdacht uitzien." Afsluitend herhaalde Neuberger dat er geen concrete informatie over op hand zijnde aanvallen is, maar gegeven eerdere aanvallen het belangrijk is om het bewustzijn hierover te vergroten.

BRIEFING ROOM
PDF – 186,7 KB 398 downloads

1 september

Slachtoffer Cybercriminelen Website Land
Potter Concrete AvosLocker potter-concrete.hub.biz USA
Align Technology Karma aligntech.com USA
Saurer Karma saurer.com Switzerland
Sarmad Steel Pysa sarmadsteel.com Iran
Bulley Pysa bulley.com USA
the NET - Northeast Tennessee Media Group Pysa thenetmg.com USA
Famous Supply Pysa famous-supply.com USA
LJ Hooker Aspley Pysa aspley.ljhooker.com.au Australia
WPSD Local 6 Pysa wpsdlocal6.com USA
Karavan Trailers Pysa karavantrailers.com USA
Chamco Industries Ltd Grief chamco.com Canada
ch13bham.com LockBit ch13bham.com USA
advint.com LockBit advint.com USA
Canadian Warmblood Horse Breeders Association - Home CoomingProject canadianwarmbloods.com Canada
Catalogue des cours de Télécom SudParis CoomingProject enseignements.telecom-sudparis.eu France
Fountain CoomingProject fountain.eu France
Annonces et Vous Particuliers CoomingProject particuliers.annoncez-vous.fr France
Bellissima Fashions CoomingProject bellissimafashions.com Canada
Bar-Ilan University Darkrypt biu.ac.il Israel
VIVEA Conti vivea.fr France
DEBTIN CONSULTANTS (PTY) LTD Conti debt-in.co.za South Africa
Bob Poynter Conti bobpoynter.com USA

FBI: toename van ransomware-aanvallen tijdens weekenden en feestdagen

Er is een toename van het aantal grote ransomware-aanvallen die tijdens weekenden en feestdagen plaatsvinden, zo waarschuwen de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Volgens beide overheidsinstanties is het belangrijk dat organisaties zich hiervan bewust zijn en maatregelen nemen om zichzelf te beschermen. De afgelopen maanden werden meerdere Amerikaanse bedrijven en organisaties het slachtoffer van impactvolle ransomware-aanvallen die tijdens feestdagen en weekenden, en dan met name lange weekenden, plaatsvonden. De FBI en het CISA stellen dat aanvallers tijdens deze periode een voorsprong hebben omdat er minder it-personeel van de aangevallen organisatie beschikbaar is. Zo werden verschillende organisaties in de vitale Amerikaanse infrastructuur getroffen in de weekenden van Memorial Day en Independence Day. Om organisaties binnen te dringen gebruiken ransomwaregroepen verschillende technieken, maar de twee belangrijkste aanvalsmethodes zijn volgens de twee overheidsinstanties phishing en het bruteforcen van onbeveiligde remote desktop protocol (RDP)-systemen. Daarnaast ziet de FBI ook infecties door middel van ongepatchte kwetsbaarheden, misbruik van managed serviceproviders en het gebruik van gestolen inloggegevens. Zodra er toegang tot het netwerk is verkregen kijken de aanvallers of het slachtoffer het losgeld kan betalen en een reden heeft om dit te doen. Tevens wordt er data gestolen om de onderneming ook zo onder druk te zetten. Verder melden het CISA en de FBI dat er ook informatie voor verdere aanvallen wordt buitgemaakt voordat de uitrol van de ransomware plaatsvindt. Naast de standaardadviezen om ransomware en andere malware te voorkomen raden de Amerikaanse overheidsinstanties ook aan om een baseline van normaal gedrag binnen de it-omgeving op te stellen. Zoals wanneer gebruikers inloggen en waarvandaan. Tevens moeten organisaties hun logbestanden controleren, intrusion prevention systemen implementeren en honeytokens inzetten om laterale bewegingen binnen het netwerk te detecteren.

De Cyber Kill Chain

Door je te verplaatsen in de werkwijzen van cybercriminelen kun je voorzorgsmaatregelen treffen. Lockheed Martin is een grote Amerikaanse aanbieder van militaire technologie. Het bedrijf heeft een veelgebruikt hulpmiddel ontwikkeld waarin de stappen van cybercrime worden beschreven: De cyber kill chain. Dit model beschrijft 7 stappen en, zoals bij alle modellen, wijken individuele gevallen vaak af, maar geeft het wel een heel goed beeld van de algemene modus operandi. Lees verder

Alert AA 21 243 A
PDF – 277,6 KB 392 downloads

FBI: voedsel- en landbouwsector doelwit van ransomware-aanvallen

De Amerikaanse voedsel- en landbouwsector zijn het doelwit van ransomware-aanvallen, wat gevolgen voor zowel ondernemingen als de voedselvoorziening heeft, zo stelt de FBI in een waarschuwing. De opsporingsdienst is bekend met een boerderij die begin dit jaar door ransomware werd getroffen en vanwege de tijdelijke productiestop zo'n negen miljoen dollar schade leed. "Voedsel- en landbouwbedrijven die het slachtoffer van ransomware worden lijden grote financiële verliezen door het betalen van losgeld, productiviteitsverlies en herstelkosten", aldus de FBI. Ook kan het voorkomen dat vertrouwelijke bedrijfsinformatie en persoonlijke data wordt buitgemaakt, wat voor imagoschade kan zorgen. Doordat steeds meer bedrijven in deze sectoren gebruikmaken van technologie wordt ook het aanvalsoppervlak vergroot, zo laat de FBI weten. Een ander incident dat de opsporingsdienst in de waarschuwing noemt betreft een bakkerij die in juli door een ransomware-aanval via hun managed serviceprovider een week plat lag, waardoor het bestellingen van klanten niet kon leveren. Verder wordt er gewezen naar de aanval op vleesverwerker JBS en een niet nader genoemde drankenfabrikant die werd getroffen. De aanvallen vonden onder andere plaats via gestolen inloggegevens en malafide e-mailbijlagen. De waarschuwing wordt afgesloten met enkele adviezen om ransomware-infecties te voorkomen en de impact te beperken, waaronder het offline bewaren van back-ups, implementeren van netwerksegmentatie, het uitschakelen van ongebruikte remote access/RDP-toegang, het uitschakelen van hyperlinks in ontvangen e-mails en het geregeld geven van cybersecurity-awarenesstrainingen aan het personeel.

Fbi Tlp White Pin Cyber Criminal Actors Targeting Food Agriculture Sector Ansomware Attacks 9 1 21
PDF – 617,6 KB 366 downloads

31 augustus

Slachtoffer Cybercriminelen Website Land
iRely LLC Payload.bin rely.com USA
seiei-ashd.co.jp LockBit seiei-ashd.co.jp Japan
IGNITECO LV igniteco.com Australia
maximusinfoware.in LockBit maximusinfoware.in India
Network Telecom / Enreach BlackMatter enreach.co.uk UK
Orha Muvek Everest orhamuvek.hu Hungary
3V Sigma Vice Society 3vsigma.com USA
Toray Industries, Inc Marketo toray.com Japan
Georgia Healthcare Alliance Marketo gha911.org Georgia
The Brokerage Land Co Marketo brokeragelandco.com USA
One Source Marketo onesourceinc.net USA

Bangkok Airways meldt datalek met passagiersgegevens na ransomware-aanval

De Thaise luchtvaartmaatschappij Bangkok Airways heeft passagiers gewaarschuwd voor een datalek nadat criminelen achter de LockBit-ransomware toegang tot systemen wisten te krijgen. Vorige week meldde de ransomwaregroep op de eigen website dat het meer dan tweehonderd gigabyte aan data had buitgemaakt en het deze gegevens zou publiceren als de luchtvaartmaatschappij het losgeld niet betaalde. In een verklaring op de eigen website bevestigt Bangkok Airways dat het slachtoffer van een cyberaanval is geworden en er ongeautoriseerde toegang tot systemen heeft plaatsgevonden. Daarbij zijn ook persoonlijke gegevens van passagiers buitgemaakt, waaronder naam, nationaliteit, geslacht, telefoonnummer, e-mailadres, adresgegevens, contactgegevens, paspoortinformatie, reisgeschiedenis, gedeeltelijke creditcardinformatie en maaltijdvoorkeuren. Van hoeveel passagiers de gegevens zijn gestolen is niet bekendgemaakt. Wel waarschuwt de luchtvaartmaatschappij passagiers om alert te zijn op verdachte e-mails of telefoontjes waarbij aanvullende gegevens worden ontfutseld. Verdere details over de aanval zijn niet gegeven. Bangkok Airways stelt dat het de beveiliging van de systemen wel gaat aanscherpen. Aangezien de luchtvaartmaatschappij het gevraagde losgeld niet betaalde heeft de LockBit-groep de gestolen data via de eigen website inmiddels openbaar gemaakt.


ROC Mondriaan heeft nog weken last van aanval op systemen

Onderwijsinstelling ROC Mondriaan heeft nog weken last van de aanval op de systemen die onlangs plaatsvond. In de scholen kan nog altijd geen enkele computer worden gebruikt. "We gaan terug naar de basis met pen en papier" zegt Brigitte Laukens, schooldirecteur van het ROC horeca en dienstverlening in Den Haag, tegenover Omroep West. Om wat voor soort aanval het precies gaat is nog altijd niet bekendgemaakt. Het schoolbestuur verwacht dat het nog weken gaat duren voordat het systeem weer is hersteld. "Onze bedrijfskritische systemen hebben wel back-ups gemaakt van bijvoorbeeld financiën en leerlingvolgsystemen, maar het duurt een paar weken om erachter te komen wat we daarvan in de lucht kunnen houden", laat Hans Schutte weten, voorzitter van het college van bestuur van ROC Mondriaan. De onderwijsinstelling weet nog altijd niet hoe de aanvallers zijn binnengekomen en wat ze willen. "Of dat losgeld is of iets anders. Vooralsnog richten wij ons eerst op het op gang brengen van onze systemen, zodat onze leerlingen en docenten weer normaal hun werk kunnen doen." Een securitybedrijf dat onderzoek naar de aanval doet adviseerde ROC Mondriaan om de systemen tijdelijk uit te schakelen, om zo de omvang en impact van de aanval in kaart te brengen en systemen te kunnen herstellen.


BlackMatter en  Babuk gebruiken dezelfde webserver voor het delen van gelekte bestanden

BlackMatter publiceerde de gelekte bestanden en documenten met betrekking tot geïnfecteerde bedrijven op 1 augustus. Wat opviel is dat deze bestandsserver dezelfde is als die van Babuk.  

Black Matter X Babuk
PDF – 1,4 MB 313 downloads

Babuk, BlackMatter en Groove delen dezelfde dataleksite

Babuk, Groove en BlackMatter ransomware-bendes delen dezelfde datahostingserver op Darkweb. Ze kunnen hetzelfde kartel zijn. Ze runnen ook een ransomware-forum genaamd RAMP op Darkweb.


Mount Locker, Astro Team en XING Locker delen dezelfde Tor-site

Mount Locker, Astro Team en XING Locker ransomware bendes gebruiken dezelfde Tor Network Infrastructure op Darkweb. Ze zouden  dezelfde groep kunnen zijn die dezelfde hostingservers deelt. Ze draaien op DarkWeb-servers die VPS(vm)'s gebruiken die worden gehost door amhost (.) netto. Het maakt ook gebruik van leaseweb (.) netto VPS.


30 augustus

Slachtoffer Cybercriminelen Website Land
world-electronics Conti world-electronics.com USA
Alispharm Everest alispharm.fr France
overseas-ast.com LockBit overseas-ast.com United Arab Emirates
pridepak.co.za LockBit pridepak.co.za South Africa
hellmich-partner.de LockBit hellmich-partner.de Germany
johnbead.com LockBit johnbead.com Canada
nutrix.co.th LockBit nutrix.co.th Thailand
yakimacoop.com LockBit yakimacoop.com USA

Tweede Kamer stelt vragen over "hack" bij onderwijsinstelling ROC Mondriaan

In de Tweede Kamer zijn vragen gesteld aan demissionair minister Van Engelshoven van Onderwijs over de "hack" bij onderwijsinstelling ROC Mondriaan, waardoor systemen voor medewerkers en studenten ontoegankelijk zijn. Zo wil de VVD weten of er sprake is van een ransomware-aanval en vraagt D66 wanneer de systemen weer volledig toegankelijk zijn. Vanwege de aanval worden de lessen vandaag, op de eerste dag van het nieuwe schooljaar, in aangepaste vorm gegeven. "Omdat de docenten geen gebruik kunnen maken van de techniek en applicaties", aldus ROC Mondriaan op de eigen website. Details over de aanval zijn nog altijd niet gegeven. "Is er sprake van ransomware (gijzelsoftware)? Indien er sprake is van ransomware, zijn er al losgeldeisen van de criminele hackers bekend bij ROC Mondriaan en/of de minister?", vragen VVD-Kamerleden El Yassini en Rajkowski. Die willen ook weten, als er losgeldeisen bekend zijn, of ROC Mondriaan het losgeld aan de aanvallers al heeft betaald of dat het van plan is dit te doen. Verder vragen de twee VVD'ers wat het beleid is van de minister wat betreft de betaling van losgeld aan criminelen om schoolsystemen weer toegankelijk te maken. "Deelt u de mening dat er geen losgeld betaald dient te worden, omdat misdaad niet mag lonen?" Van Engelshoven moet ook duidelijk maken of er gegevens van leerlingen, cursisten en medewerkers zijn gestolen. D66-Kamerleden Van Meenen en Van Ginneken willen van de minister weten welke gevolgen de aanval tot op heden heeft voor docenten en studenten en wanneer de systemen naar verwachting weer volledig toegankelijk zijn. Ook moet Van Engelshoven laten weten wanneer het onderzoek naar de aanval verschijnt. "Zijn andere ROC's goed toegerust op het voorkomen van een soortgelijke hack?", vragen de D66-Kamerleden verder. Afsluitend willen ze van de minister weten hoe een dergelijke aanval op een ROC in de toekomst kan worden voorkomen. Van Engelshoven heeft drie weken om de vragen te beantwoorden.

Het Bericht Dat Het ROC Mondriaan In Den Haag Is Gehackt
PDF – 50,2 KB 273 downloads
Het Bericht Grote Hack Bij ROC Mondriaan Computers Plat En Bestanden Ontoegankelijk
PDF – 69,3 KB 297 downloads

Politie: ransomware-infecties bij mkb-bedrijven schering en inslag

Ransomware-infecties bij mkb-bedrijven zijn schering en inslag. Toch doen veel slachtoffers geen aangifte bij de politie en dat is wel belangrijk. Dat laat Matthijs Jaspers van de Nationale Politie tegenover RTL Nieuws weten. "We weten, het is schering en inslag, een ongelofelijke dreiging, maar dat zie je niet perse terug in de aangiftes." Volgens Jaspers willen veel bedrijven hun 'wonden likken en doorgaan'. Het is echter belangrijk dat ondernemers aangifte doen of in ieder geval melding maken. "Hoe meer puzzelstukjes wij hebben, hoe proactiever we kunnen optreden." Jaspers stelt dat hij ondernemingen aan ransomware kapot heeft zien gaan. "Nog los van financiële schade kan het maanden kosten voordat je weer vol kunt draaien."


CEO T-Mobile: ‘Hacker viel onze systemen aan met brute force attack’

Twee weken nadat het datalek bij T-Mobile aan het licht kwam, kan de provider nog steeds weinig details delen over de precieze toedracht. Het telecombedrijf ontkent echter met kracht dat de beveiliging van klantgegevens te wensen overlaat. Sterker nog, de dader gebruikte ‘gespecialiseerde tools’, brute force attacks en andere methoden om zich een weg te banen door de IT-infrastructuur van het bedrijf. Dat zegt Mike Sievert, CEO van T-Mobile, in een uitgebreide verklaring. Het is de eerste keer dat de topman ingaat op het incident.


Hackers stelen personeelsgegevens van 1.400 ambtenaren provincie Gelderland

Cybercriminelen hebben twee weken geleden de personeelsgegevens van ongeveer veertienhonderd ambtenaren van de provincie Gelderland gestolen. De provincie vermoedde dat al en het is na forensisch onderzoek bevestigd. Bij de provincie werken zo'n zestienhonderd mensen. De hackers hebben allerlei data gestolen, waaronder dus de dossiers van de ambtenaren. Volgens de provincie is de inbraak uitgevoerd door "een buitenlandse groep hackers". Zij zouden niet doelgericht op zoek zijn geweest naar de dossiers. "Er zijn vooralsnog geen signalen dat er gegevens uit de personeelsdossiers in de openbaarheid zijn gekomen", zegt de provincie maandag tegen De Gelderlander. Er wordt nog onderzocht of en welke gegevens in handen van derden zijn gekomen, aldus de provincie. Haar medewerkers zijn geïnformeerd. "Vooralsnog heeft de hack geen consequenties voor de veiligheid van andere digitale, provinciale werkzaamheden", meldt de provincie. Een extern ICT-bedrijf uit Brabant dat de dossiers van de provinciemedewerkers bijhoudt, ontdekte de inbraak eerder deze maand. Na het dichten van het lek heeft de provincie aangifte gedaan bij de politie. Ook heeft zij aangifte gedaan bij de Autoriteit Persoonsgegevens. Gelderland werkt niet meer samen met het gehackte bedrijf.


Cloudflare: grootste DDoS aanval ooit afgeweerd

Cloudflare heeft de grootste DDoS aanval met zijn eigen systemen weten te stoppen. De systemen vingen 17,2 miljoen aanvragen per seconde in juli op, 68% van het gemiddelde verkeer voor het tweede kwartaal van Cloudflare. Een financiële dienstverlener, klant van Cloudflare, was waar de kwaadwilligen het op gemunt hadden. De aanval was veel groter dan een aanval waar Cloudflare eerder mee te maken kreeg, zo schrijft product manager Omer Yoachimik in zijn blogpost. Ter vergelijking, het bedrijf handelde aan regulier verkeer in het tweede kwartaal van 2021 gemiddeld 25 miljoen http-verzoeken per seconde af. Deze aanval alleen was al goed voor 17,2 miljoen aanvragen per seconde.


Nieuwe Loki Locker-ransomware


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten

Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »