Verzekeraar ziet claims door ransomware aanvallen sterk toenemen, ransomware bende dreigt de decoderingssleutel te wissen als onderhandelaar wordt ingehuurd en nieuwe ransomware ontdekt ‘JamesBond'. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Meer dan 3.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.
Huidige status: 3.136
19 september
Overheid in actie tegen betalen van losgeld aan ransomware-criminelen
De overheid zit in zijn maag met bedrijven die losgeld betalen aan ransomware-criminelen. Het ministerie van Justitie en Veiligheid onderzoekt onder meer de mogelijkheden om verzekeraars te verbieden om losgeld te vergoeden. Dat melden bronnen aan de NOS. Als een bedrijf wordt platgelegd door een ransomware-aanval, kan een verzekeraar er nu voor kiezen om het losgeld te vergoeden zodat de ondernemer snel weer aan de slag kan. Dat is in veel gevallen goedkoper dan wanneer een bedrijf een paar weken stil ligt en de verzekeraar die kosten moet vergoeden. Eerder zei minister Grapperhaus liever niet te zien dat verzekeraars losgeld betalen. "We onderzoeken hoe we losgeldbetalingen kunnen verminderen", bevestigt een woordvoerder van het ministerie. "Daarover hebben we nog geen besluit genomen." Waarom alleen betalingen door verzekeraars aan banden zouden worden gelegd, en niet alle losgeldbetalingen, is onduidelijk; het ministerie heeft vragen daarover niet beantwoord. Lees verder
18 september
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
Pulmuone Co., Ltd. | BlackMatter | pulmuone.kr | South Korea |
17 september
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
Modern Testing Services | BlackMatter | mts-global.com | USA |
northwoods & spectrumfurniture | BlackMatter | spectrumfurniture.com | USA |
callabsolute.com | LockBit | callabsolute.com | USA |
cimico.net | LockBit | cimico.net | USA |
BRPRINTERS.COM | CL0P | brprinters.com | USA |
VS wil crypto portefeuilles die gebruikt worden voor ransomware sanctioneren
De Biden-administratie zal naar verwachting sancties opleggen tegen crypto uitwisselingen, portemonnees en handelaren die door ransomware bendes worden gebruikt om losgeld in fiatgeld om te zetten. Nu ransomware-aanvallen tegen Amerikaanse belangen en infrastructuur de afgelopen twee jaar escaleerden heeft het Witte Huis zijn inspanningen opgevoerd om ransomware-operaties te verstoren. Volgens berichtgeving door de Wall Street Journal wordt verwacht dat de VS volgende week crypto uitwisselingen, portefeuilles en individuen die ransomware-bendes helpen bij het converteren van cryptocurrency, sancties opleggen. Aangezien cryptocurrency een verplicht onderdeel is van ransomware-operaties, hoopt de Biden-administratie deze betaalmethode en bijbehorende aanvallen met sancties te verstoren. Wanneer ransomware-bendes organisaties aanvallen, eisen ze miljoenen dollars aan cryptocurrency om een decryptor te ontvangen en het vrijgeven van gestolen gegevens te voorkomen.
16 september
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
Steel Projects | Everest | steelprojects.com | France |
AMAX | Conti | amax.com | USA |
Spiezle Architectural Group Inc. | Sodinokibi (REvil) | spiezle.com | USA |
Elementia | Marketo | elementia.com | Mexico |
TPI Corporation | Marketo | tpicorp.com | USA |
BLUEBONNETNUTRITION.COM | CL0P | bluebonnetnutrition.com | USA |
River City Construction | BlackMatter | rccllc.com | USA |
EQUITY TRANSPORTATION | BlackMatter | driveforequity.com | USA |
UUOOI | CoomingProject | uuooi.org | South Korea |
Decryptietool helpt slachtoffers REvil-ransomware bij ontsleutelen data
Slachtoffers van de REvil-ransomware kunnen dankzij een gratis decryptietool hun bestanden nu ontsleutelen. Dat meldt antivirusbedrijf BitDefender, dat de tool samen met een opsporingsinstantie ontwikkelde. De tool werkt bij alle aanvallen met de REvil-ransomware die voor 13 juli van dit jaar zijn uitgevoerd. Op die datum gingen verschillende websites van de REvil-groep offline, waardoor getroffen slachtoffers die geen losgeld hadden betaald hun bestanden niet meer konden herstellen. Deze slachtoffers kunnen via de decryptietool nu alsnog hun bestanden terugkrijgen. De REvil-groep was onder andere verantwoordelijk voor de wereldwijde ransomware-aanval via de software van Kaseya. Bitdefender stelt dat het onderzoek in deze zaak nog gaande is en het geen verdere details kan geven. Er werd echter besloten dat het belangrijk is om de decryptor nu al beschikbaar te stellen nog voordat het onderzoek is afgerond.
"Russische hacker" bevestigde de opstanding van de beroemdste Russische hackers groep
Een "Russische hacker" die samenwerkte met de bekende REvil-groep, bevestigde aan Lente.ru dat cybercriminelen na een onderbreking van twee maanden weer actief zijn. Hij noemde politieke redenen als de belangrijkste reden voor hun terugtrekking. Bron
Microsoft: Windows MSHTML-bug nu uitgebuit door ransomware bendes
Microsoft meldt dat meerdere cybercriminelen, waaronder gelieerde ransomware bendes, zich richten op de onlangs gepatchte Windows MSHTML-beveiligingsfout voor het uitvoeren van externe code.
Cybercriminelen misbruikten exploitatie van dit beveiligingslek (bijgehouden als CVE-2021-40444 ) volgens het bedrijf op 18 augustus, meer dan twee weken voordat Microsoft een beveiligingsadvies met een gedeeltelijke oplossing publiceerde .
15 september
FBI: geen aanwijzingen dat Rusland ransomwaregroepen aanpakt
Er zijn geen aanwijzingen dat de Russische overheid ransomwaregroepen in het land aanpakt die verantwoordelijk zijn voor aanvallen tegen Amerikaanse organisaties, zo stelt Paul Abbate, adjunct-directeur van de FBI. Onlangs meldde Chris Inglis, de Amerikaanse National Cyber Director, dat na een reeks grote ransomware-aanvallen deze zomer op Amerikaanse bedrijven en organisaties er nu een afname zichtbaar is. Eerder riep de Amerikaanse president Biden de Russische president Poetin op om ransomwaregroepen in het land aan te pakken. Tijdens een overleg gaf Biden de Russische president ook een lijstje met Amerikaanse sectoren die niet mogen worden aangevallen. "Gebaseerd op wat we hebben gezien zijn er geen aanwijzingen dat de Russische overheid ransomwaregroepen aanpakt die in deze omgeving die ze hebben gecreëerd opereren", aldus Abbate. De FBI-topman stelde dat de Amerikaanse autoriteiten om hulp en samenwerking hebben gevraagd. "En we hebben niets gezien. Dus in dit opzicht is er niets veranderd." Eerder had Biden al gesteld dat de VS verwacht dat de Russische autoriteiten actie ondernemen wanneer er een ransomware-aanval vanaf Russisch grondgebied plaatsvindt.
Ransomware bende dreigt de decoderingssleutel te wissen als onderhandelaar wordt ingehuurd
De Grief ransomware-bende dreigt de decoderingssleutels van het slachtoffer te verwijderen als ze een onderhandelingsbedrijf inhuren, waardoor het onmogelijk wordt om versleutelde bestanden te herstellen.
14 september
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
Linkmfg | Cuba | linkmfg.com | USA |
ROC Mondriaan | Vice Society | rocmondriaan.nl | Netherlands |
miller-rose.com | LockBit | miller-rose.com | USA |
atstrack.com | LockBit | atstrack.com | USA |
rlsblaw.com | LockBit | rlsblaw.com | USA |
SUNSETHCS.COM | CL0P | sunsethcs.com | USA |
Verzekeraar ziet claims door ransomware-aanvallen sterk toenemen
Verzekeraar Marsh heeft claims die het gevolg zijn van ransomware-aanvallen vorig jaar sterk zien toenemen. Van alle "cyberclaims" die het bedrijf vorig jaar ontving was 32 procent door ransomware veroorzaakt. Meer dan een verdubbeling ten opzichte van de periode 2016 tot 2020, toen het om 14 procent ging, zo laat het bedrijf in een nieuw rapport weten. Van alle cyberclaims in Europa werd vorig jaar 80 procent door aanvallen veroorzaakt, terwijl dat in 2019 nog 70 procent bedroeg. Het totale aantal cyberclaims in 2020 nam met 8 procent toe. Met name de maakindustrie, communicatie, media en technologie en professionele dienstverlening lieten een sterke stijging van het aantal claims zien.
België opnieuw doelwit van FluBot-malware
België is opnieuw getroffen door een golf aan frauduleuze sms-berichten. Telecombedrijven Telenet, Proximus en Orange hebben het afgelopen weekend meer dan 14 miljoen berichten onderschept die een link bevatten naar een pagina waar FluBot werd aangeboden. Tevens hebben de telecombedrijven tijdelijk tweeduizend telefoonnummers tijdelijk geblokkeerd. Dat schrijft het Vlaamse VTM Nieuws.
13 september
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
Irish Pioneer works | Everest | ipw.ie | Ireland |
Hörmanseder Stahlbau GmbH | Everest | hoermanseder.at | Austria |
VIVA Formwork and Scaffolding | Everest | viva.co.za | South Africa |
Southland | Everest | southlandsteel.com | USA |
Andel | Everest | andelsa.es | Spain |
Xmedicalpicture | Everest | xmedicalpicture.com | France |
robinwoodortho.com | Groove | robinwoodortho.com | USA |
Betson Enterprises | Pysa | betson.com | USA |
One Community Health | Pysa | onecommunityhealth.org | USA |
Jesse Engineering Co | Pysa | jesse-co.com | USA |
Grupo SAN | Pysa | gruposan.com | Mexico |
Spartanburg & Pelham OB-GYN | Pysa | spartanburgob.com | USA |
Haverhill High School | Pysa | haverhill-ps.org | USA |
Woodlake Unified | Pysa | w-usd.org | USA |
HABI | Pysa | habi.no | Norway |
cimico.net | LockBit | cimico.net | USA |
erg.eu | LockBit | erg.eu | Italy |
novohamburgo.rs.gov.br | LockBit | novohamburgo.rs.gov.br | Brazil |
gahesa.com | LockBit | gahesa.com | Spain |
cansmart.co.za | LockBit | cansmart.co.za | South Africa |
cimaser.com | LockBit | cimaser.com | Spain |
hbfinanse.pl | LockBit | hbfinanse.pl | Poland |
russellwbho.co.uk | LockBit | russellwbho.co.uk | UK |
pi-hf.com | LockBit | pi-hf.com | Israel |
ofplaw.com | LockBit | ofplaw.com | USA |
tovogomma.it | LockBit | tovogomma.it | Italy |
royalporcelain.co.th | LockBit | royalporcelain.co.th | Thailand |
suenco.co.th | LockBit | suenco.co.th | Thailand |
comebi.mx | LockBit | comebi.mx | Mexico |
tesa46.com | LockBit | tesa46.com | Spain |
ohiograting.com | Sodinokibi (REvil) | ohiograting.com | USA |
CROMOLOGY SERVICES | Grief | cromology.com | France |
BPATPA.COM | CL0P | bpatpa.com | USA |
STORAFILE.CO.UK | CL0P | storafile.co.uk | UK |
GENESISNET.COM | CL0P | genesisnet.com | USA |
De overheid gaat vanaf vandaag ook 'niet-vitale' bedrijven waarschuwen over digitale dreigingen, zoals het risico op een cyberaanval of een beveiligingslek in bepaalde software.
Het Digital Trust Center (DTC), een nieuw onderdeel van het ministerie van Economische Zaken, start vandaag met het 'proactief informeren' van bedrijven over cyberdreigingen. Het DTC gaat bijvoorbeeld waarschuwen voor grote beveiligingslekken en andere acute kwetsbaarheden. Ook wordt gewerkt aan een nieuw 'systeem dat dreigingsinformatie aan grotere groepen bedrijven kan koppelen'. Het gaat hierbij om zogeheten 'niet-vitale' bedrijven. Voor vitale bedrijven, zoals financiële instellingen, energieleveranciers en telecomaanbieders, heeft de overheid al een infrastructuur voor waarschuwingen rond cyberbeveiliging. Maar andere belangrijke bedrijven en organisaties, zoals supermarktketen, voedselleveranciers of universiteiten, konden tot nu toe nog niet worden gewaarschuwd voor het risico op cyberaanvallen. De informatie over cyberdreigingen ontvangt het DTC onder meer van het Nationaal Cyber Security Centrum (NCSC). Het DTC kan ook advies geven over mogelijke maatregelen, zoals het installeren van beveiligingsupdates, het aanpassen van wachtwoorden of het inschakelen van een IT-specialist.
BazarLoader naar Conti Ransomware in 32 uur
Conti is een topspeler in het ransomware-ecosysteem en wordt als 2e algemeen vermeld in het Coveware-ransomwarerapport voor het tweede kwartaal van 2021. De groepen die deze RaaS inzetten, zijn alleen maar gangbaarder geworden. Ondanks het uitlekken van de affiliate-gids van de groep, die veel technieken aan het licht bracht die al in eerdere rapporten zijn behandeld, zal het gebruik van de ransomware door de groep waarschijnlijk niet snel stoppen. In juli waren we getuige van een BazarLoader-campagne die Cobalt Strike implementeerde en eindigde met domeinbrede versleuteling met behulp van Conti-ransomware.
Ransomware versleutelt alle systemen ministerie van Justitie Zuid-Afrika
Door een ransomware-aanval zijn alle systemen van het ministerie van Justitie van Zuid-Afrika versleuteld, wat gevolgen voor allerlei diensten heeft. Op 7 september meldde de Zuid-Afrikaanse overheid dat er problemen met het it-systeem van het ministerie waren, wat gevolgen voor diensten op alle locaties van het ministerie had. Op 9 september meldde het ministerie zelf via Twitter dat het slachtoffer van een ransomware-aanval was geworden, waardoor alle systemen versleuteld zijn. De systemen zijn daardoor niet meer beschikbaar voor medewerkers en het publiek. Dit heeft gevolgen voor alle elektronische diensten van het ministerie, waaronder de dienst voor het betalen van borgtochten en de e-maildienst. Om ervoor te zorgen dat rechtbanken in het land kunnen blijven functioneren worden er handmatig opnames gemaakt. Ook de documentatie voor het begraven van overledenen wordt handmatig verstrekt. De aanval heeft geen gevolgen voor het uitkeren van kinderbijslag, aangezien die al verwerkt was. Verdere details zijn niet over de aanval of ransomware gegeven.
"Techbedrijf Olympus getroffen door ransomware-aanval"
Het Japanse techbedrijf Olympus is getroffen door een ransomware-aanval, zo laat een bron tegenover TechCrunch weten. Op de eigen website meldt Olympus dat het een "mogelijk cybersecurity-incident" onderzoekt dat systemen in Europa, het Midden-Oosten en Afrika heeft getroffen.Volgens Olympus detecteerde het op 8 september verdachte activiteit en wordt er nu gewerkt om het probleem te verhelpen. Vanwege het incident is het uitwisselen van data tussen de getroffen systemen uitgeschakeld, wat gevolgen voor partners heeft. Verdere details over de aanval en of het inderdaad om ransomware gaat worden niet gegeven. Beveiligingsonderzoeker Brett Callow van antimalwarebedrijf Emisoft stelt op basis van de losgeldboodschap die de aanvallers achterlieten dat de aanval is uitgevoerd door de BlackMatter-groep.
'Olympus Europa is getroffen door BlackMatter-ransomware'
De Europese tak van Olympus, een fabrikant van onder andere medische apparatuur, heeft volgens bronnen van TechCrunch te maken met een ransomwareaanval. Olympus zegt zelf dat het een 'potentieel cybersecurityincident' onderzoekt.
Nieuwe ransomware ontdekt 'JamesBond'
JamesBond Ransomware; Extension: .jamesbond2021[@]tutanotacom_jamesbond; Ransom notes: desktop wallpaper and read_it.txt Sample: https://t.co/gXO5ELQGjQ @demonslay335 @LawrenceAbrams @Amigo_A_
— PCrisk (@pcrisk) September 13, 2021
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Tips of verdachte activiteiten gezien? Meld het hier.
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 45-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.