Zorggroep Charim (NL) getroffen door ransomware aanval, onderzoek naar omvang kan weken duren, RTL Nederland betaalde criminelen losgeld na ransomware aanval en een overzicht van door ransomwaregroepen gebruikte kwetsbaarheden. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Poll
Heeft bovenstaand overzicht meerwaarde voor u?
Meer dan 3.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.
Status op 27 september 2021 : 3.232
Week overzicht
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
Synthetic Roofing Products and Information - InterWrap | CoomingProject | interwrap.com | USA |
Unione Reno Galliera | RansomEXX | renogalliera.it | Italy |
RTI Surgical | Conti | rtix.com | USA |
Memory Express | AvosLocker | memoryexpress.com | Canada |
Freewallet | Multi-currency Online Crypto Wallet for BTC, ETH | CoomingProject | freewallet.org | USA |
iibg.ca | LockBit | iibg.ca | Canada |
myyp.com | Payload.bin | myyp.com | USA |
scisairsecurity.com | LockBit | scisairsecurity.com | USA |
dataspeed.it | LockBit | dataspeed.it | Italy |
peabodyproperties.com | LockBit | peabodyproperties.com | USA |
Cedar Grove Composting | Conti | cedar-grove.com | USA |
Vera Wang Group | Conti | verawang.com | USA |
Jakes Finer Foods | Conti | jakesfinerfoods.com | USA |
advantecmfs.com | LockBit | advantecmfs.com | USA |
IJmond Werkt | Conti | ijmondwerkt.com | Netherlands |
AUTO.RIA | CoomingProject | auto.ria.com | Ukraine |
Aluflexpack | BlackByte | aluflexpack.com | Switzerland |
Clay County Clerk | BlackByte | clayclerk.com | USA |
AZA | BlackByte | aza.cl | Chile |
BOSCA S.p.A | BlackByte | bosca.it | Italy |
IN2 Engineering | Conti | in2.ie | Island |
daylewis.co.uk | LockBit | daylewis.co.uk | UK |
buffingtonlawfirm.com | LockBit | buffingtonlawfirm.com | USA |
robsonstreet.ca | LockBit | robsonstreet.ca | Canada |
tes-amm.com | LockBit | tes-amm.com | Singapore |
sete.co.uk | LockBit | sete.co.uk | UK |
jaylon.com.au | LockBit | jaylon.com.au | Australia |
franklinempire.com | LockBit | franklinempire.com | Canada |
papierswhitebirch.com | LockBit | papierswhitebirch.com | Canada |
Cristália - Indústria Farmacêutica | AtomSilo | cristalia.com.br | Brazil |
PeakLogix | Conti | peaklogix.com | USA |
Office Star Products | Conti | officestarstore.com | USA |
Aria Systems | Hive | ariasystems.com | USA |
Real Time | Conti | rtcnt.com | USA |
BONTEMPI VIBO SPA | Grief | vibo.com | Italy |
C & C FRANCE | Grief | thienot.com | France |
Greensville County Public Schools | Grief | gcps1.com | USA |
Huali Industrial Group | AvosLocker | www.huali-group.com | China |
Whitefish River First Nation | AvosLocker | whitefishriver.ca | Canada |
Unified Technologies | AvosLocker | unified-team.com | USA |
Société de transport de l'Outaouais | AvosLocker | sto.ca | Canada |
Amphenol Canada | AvosLocker | amphenolcanada.com | Canada |
Hamilton Duncan Armstrong | Law firm | Bonaci Group | hdas.com | Canada |
Macdonald Devin, P.C. | Bonaci Group | macdonalddevin.com | USA |
Ward Arcuri Foley & Dwyer | Law Firm | Bonaci Group | wardarcuri.com | USA |
Charles Crown Financial Ltd | Bonaci Group | charlescrownfinancial.co.uk | UK |
riscossa.it | LockBit | riscossa.it | Italy |
mitchellsternlaw.com | LockBit | mitchellsternlaw.com | USA |
coldwellbankerhubbell.com | LockBit | coldwellbankerhubbell.com | USA |
northstarak.com | LockBit | northstarak.com | USA |
novotech.com | LockBit | novotech.com | Canada |
abcp.org.br | LockBit | abcp.org.br | Brazil |
nrpa.org | LockBit | nrpa.org | USA |
51talk.com | LockBit | 51talk.com | China |
drsdoors.com | LockBit | drsdoors.com | UK |
noone.com.au | LockBit | noone.com.au | Australia |
glenroy.com | LockBit | glenroy.com | USA |
dykman.com | LockBit | dykman.com | USA |
ibes-gmbh.de | LockBit | ibes-gmbh.de | Germany |
grupowec.com | LockBit | grupowec.com | Spain |
johncockerillindia.com | LockBit | johncockerillindia.com | India |
ds.net.au | LockBit | ds.net.au | Australia |
iiservz.com | LockBit | iiservz.com | India |
hotelservicepro.com | LockBit | hotelservicepro.com | USA |
drhrlaw.com | LockBit | drhrlaw.com | USA |
esopro.com | LockBit | esopro.com | USA |
hoffsuemmer.de | LockBit | hoffsuemmer.de | Germany |
wijnendeclerck.be | LockBit | wijnendeclerck.be | Belgium |
ebarc.adv.br | LockBit | ebarc.adv.br | Brazil |
shop.jerryleigh.com | LockBit | shop.jerryleigh.com | USA |
j-addington.com | LockBit | j-addington.com | USA |
EMPIRICAL-RESEARCH.COM | CL0P | empirical-research.com | USA |
Instituto Nacional de Medicina Genómica | CoomingProject | inmegen.gob.mx | Mexico |
Politeknik Elektronika Negeri Surabaya | Emerging Technology | CoomingProject | pens.ac.id | Indonesia |
Pré-Sal Petróleo S.A. PPSA | CoomingProject | presalpetroleo.gov.br | Brazil |
United Health Centers | Vice Society | unitedhealthcenters.org | USA |
Bumper to Bumper Autoparts | BlackMatter | bumpertobumper.com | USA |
Citrocasa GmbH | BlackMatter | citrocasa.com | Austria |
Pramer Baustoffe GmbH | BlackMatter | pramer.at | Austria |
Actief-Jobmade | BlackMatter | actief-jobmade.at | Austria |
CasagrandeGroup | BlackMatter | casagrandegroup.com | Italy |
BCP Securities | BlackMatter | bcpsecurities.com | USA |
LA-Martiniquaise | BlackMatter | la-martiniquaise.com | France |
SCREEN Holdings | Lorenz | screen.co.jp | Japan |
aathonrton | Conti | aathonrton.com | UK |
PowerGrid Services | Conti | powergridservices.com | USA |
NASCO Industries | Conti | nascoinc.com | USA |
BÖWE SYSTEC | Conti | boewe-systec.com | Germany |
Marans Weisz & Newman, LLC | Conti | mwatlaw.com | USA |
Pines Ford Lincoln | Conti | pinesford.com | USA |
Phminc | Cuba | phminc.ca | Canada |
United Carton Industries Company Ltd | RansomEXX | ucic.com.sa | Saudi Arabia |
26 september
Problemen met CoronaCheck-app zijn voorbij: geen ddos-aanvallen meer
De problemen met de CoronaCheck-app lijken zondag voorbij. De app die sinds zaterdag als toegangsbewijs voor restaurants, bioscopen en evenementen geldt, raakte zaterdagavond direct overbelast door grote drukte en een ddos-aanval. Door de storing kregen gebruikers van de app geen QR-code te zien. De servers van de CoronaCheck-app worden niet meer aangevallen, meldt een woordvoerder van het ministerie van Volksgezondheid, Welzijn en Sport (VWS) zondag. Het aanmaken van een QR-code moet geen problemen meer opleveren. Het is volgens de woordvoerder niet duidelijk wie achter de aanval zit. Bij een ddos-aanval wordt geprobeerd een website, server of dienst onbereikbaar te maken. Via een netwerk van gehackte apparaten wordt een computersysteem zo massaal bezocht dat deze crasht. Om de QR-code aan te maken, moet de app eenmalig verbinding met het internet maken. Dat gebeurde zaterdagavond op veel plekken tegelijk. De servers van de app waren volgens het ministerie wel opgeschaald om grote drukte te kunnen verwerken. Koninklijke Horeca Nederland (KHN) reageerde teleurgesteld op de problemen met de app. "In de zomer ging het ook al mis met apps die niet goed werken", verzuchtte voorzitter Robèr Willemsen. "Nu staan wéér overal lange rijen met ontevreden mensen. Op deze manier maakt de overheid het onze branche wel heel moeilijk." Ook op sociale media regende het klachten en werd de spot gedreven met de overheidsapp. Mensen die nog op stap wilden gaan, konden de QR-code het beste thuis downloaden. De code blijft daarna offline beschikbaar.
25 september
CoronaCheck-app overbelast door grote drukte en cyberaanval
De CoronaCheck-app, die sinds zaterdag als toegangsbewijs voor restaurants, bioscopen en evenementen dient, was zaterdagavond direct overbelast door grote drukte. Allestoringen.nl ontving veel meldingen van gebruikers die in de app geen QR-code te zien kregen. Het ministerie van Volksgezondheid erkende dat de app overbelast was. "Het is gewoon druk. Hij ligt er niet uit", zei een woordvoerder tegen Hart van Nederland. Daarnaast werd de app zaterdagavond getroffen door een ddos-aanval. Dat is een gerichte aanval die de server overvraagt. In combinatie met de grote drukte leidde dit ertoe dat veel mensen hun QR-code niet konden laden. Om de QR-code te maken, moet de app eenmalig verbinding maken met het internet. "Dat gebeurt nu veel tegelijk", aldus de woordvoerder. De servers van de app waren wel opgeschaald om grote drukte te kunnen verwerken. Het ministerie adviseerde gebruikers van de app om het later nog eens te proberen. Volgens de woordvoerder kon het even duren voordat die weer naar behoren werkte. Mensen die nog op stap wilden gaan, konden de QR-code het beste thuis downloaden. De code blijft daarna offline beschikbaar. Koninklijke Horeca Nederland (KHN) reageerde teleurgesteld op de problemen met de app. "In de zomer ging het ook al mis met apps die niet goed werken", verzuchtte voorzitter Robèr Willemsen. "Nu staan wéér overal lange rijen met ontevreden mensen. Op deze manier maakt de overheid het onze branche wel heel moeilijk." Ook op sociale media regende het klachten en werd de spot gedreven met de overheidsapp.
Eerste dag Coronacheck in de horeca. Is er genoeg DigiD en Coronacheck server capaciteit?
— mr_e (@mr_nsng) September 25, 2021
Nee. Natuurlijk niet.
Overheid en ICT. Het blijft een lachertje.
Europese Unie overweegt stappen tegen Rusland om cyberaanvallen
De Europese Unie beschuldigt Rusland van gerichte cyberaanvallen in meerdere lidstaten. De 27 EU-landen roepen Moskou op zich verantwoordelijk op te stellen en eisen dat de "kwaadaardige activiteiten" onmiddellijk worden stopgezet. Doet het land dat niet, dan overweegt de EU stappen, meldt buitenlandchef Josep Borrell vrijdag. Een Russische groep met de naam Ghostwriter, die bekendstaat om het verspreiden van desinformatie, wordt verantwoordelijk geacht voor cyberaanvallen op parlementsleden, regeringsfunctionarissen, politici, journalisten en maatschappelijke organisaties. De hackers zoeken toegang tot computersystemen, persoonlijke accounts en gegevens. Ghostwriter is onder meer actief in Duitsland. De Duitse justitie opende eerder deze maand onderzoeken naar cyberaanvallen op Duitse politici waarbij vermoedelijk Russische inlichtingendiensten waren betrokken. De militaire inlichtingendienst GRU zou een rol spelen bij de hacks. Kort voor de verkiezingen in Duitsland zijn parlementariërs van regeringspartijen CDU/CSU en SPD bespioneerd, aldus de Duitse autoriteiten. De Europese Unie strafte eerder een groep hackers die zou werken voor de GRU voor het inbreken op het computernetwerk van de Duitse Bondsdag in 2015. Er werden gegevens gestolen en zelfs het e-mailaccount van bondskanselier Angela Merkel was niet veilig.
24 september
Nederland spreekt Rusland niet aan op ransomware-aanvallen door criminelen
Nederland zal Rusland niet aanspreken op ransomware-aanvallen die cybercriminelen in het land uitvoeren. Dat liet de inmiddels opgestapte demissionair minister Kaag van Buitenlandse Zaken weten tijdens een overleg met de vaste commissie voor Buitenlandse Zaken. Dit overleg vond in juli plaats, maar het verslag is vorige week openbaar geworden (zie hieronder). Tijdens het overleg kwam ook het onderwerp ransomware ter sprake. "Wat kunnen we nog meer doen ten opzichte van een land als Rusland, wanneer we zien dat binnen dat land een private partij cyberaanvallen uitvoert? Recent hebben we de vele ransomware- aanvallen, ook richting Nederlandse doelen, gezien. Helaas is het risico groot dat deze in de zomer weer zullen plaatsvinden. Laten we er alsjeblieft op anticiperen door tegenmaatregelen voor te bereiden", liet VVD-Kamerlid Brekelmans weten. Later in het overleg merkt Brekelmans op dat de ransomware-aanvallen door private partijen worden uitgevoerd, wat de situatie volgens het Kamerlid ingewikkeld maakt. "Het is natuurlijk moeilijk om Rusland aan te spreken op wat een private hackersgroep doet, maar dit is wel de realiteit waarmee we te maken hebben. Misschien doet Rusland het op deze manier wel heel slim. Daarom de vraag aan de minister welke tegenmaatregelen we hierbij kunnen treffen." Rusland aanspreken ziet Kaag echter niet zitten. "Wij spreken geen landen aan als het gaat om activiteiten vanuit zogenaamde private actoren. Dit is natuurlijk een ontzettend probleem", laat ze in haar antwoord weten. "Cybersecurity blijft een prioriteit. Ik denk dat dit ook voor het volgende kabinet een belangrijk thema is op het gebied van criminaliteit en staatsveiligheid. Het is natuurlijk belangrijk om aanvallen te kunnen tegenhouden en, sterker nog, te kunnen voorkomen. Ik denk dat dit ook een investering vraagt." Onlangs liet de Amerikaanse president Biden tegenover de Russische president Poetin weten dat de VS Rusland verantwoordelijk zal houden niet alleen voor wat de regering doet, maar ook voor de houding die ervoor zorgt dat ransomwaregroepen op Russisch grondgebied aanvallen tegen de VS en Amerikaanse vitale infrastructuur kunnen uitvoeren. "Ik heb hem duidelijk gemaakt dat de VS verwacht wanneer een ransomware-aanval vanaf zijn grondgebied afkomstig is, ook al is het niet gesponsord door de staat, we verwachten dat hij actie onderneemt als we ze genoeg informatie geven over wie het is", aldus Biden in een reactie na afloop van een gesprek met Poetin.
VS waarschuwt voor sanctierisico's bij betalen van losgeld ransomware
Het Amerikaanse ministerie van Financiën heeft een advisory afgegeven waarin het bedrijven waarschuwt die losgeldbetalingen bij ransomware doen of faciliteren, waaronder banken en verzekeringsmaatschappijen, dat ze mogelijk regelgeving overtreden en het risico op sancties lopen. Eerder deze week nam het ministerie voor het eerst sancties tegen een cryptobeurs voor het faciliteren van de transacties van ransomwaregroepen. Volgens het ministerie is er tijdens de coronacrisis een toename van het aantal ransomware-incidenten geweest. "Bedrijven die voor slachtoffers ransomwarebetalingen aan aanvallers faciliteren, waaronder financiële instellingen, cyberverzekeringsmaatschappijen en bedrijven betrokken bij digitaal forensisch onderzoek en incident response, moedigen niet alleen toekomstige eisen voor ransomwarebetalingen aan maar riskeren ook het overtreden van OFAC-regelgeving", aldus het ministerie. De Office of Foreign Assets Control (OFAC) is een Amerikaanse overheidsdienst die toeziet op sanctienaleving. Het ministerie stelt in de waarschuwing dat er ook een mogelijk "sanctierisico" is bij het faciliteren en betalen van losgeld. Tegelijkertijd benadrukt het ministerie dat deze vermelding alleen ter informatie is en geen wetgeving betreft. Verder worden bedrijven en burgers in de waarschuwing opgeroepen om het losgeld bij ransomware niet te betalen en zich juist te richten op preventie- en beschermingsmaatregelen tegen ransomware.
Grote Europese callcenter provider gaat ten onder aan ransomware aanval
GSS, de Spaanse en Latijns-Amerikaanse divisie van Covisian, een van Europa's grootste leveranciers van klantenservice en callcenters, heeft te maken gehad met een slopende ransomware-aanval die een groot deel van zijn IT-systemen bevroor en callcenters verlamde in zijn Spaanstalige klantenbestand. Bron
23 september
RTL Nederland betaalde criminelen losgeld na ransomware-aanval
RTL Nederland heeft criminelen losgeld betaald nadat het slachtoffer werd van een ransomware-aanval. Op 9 september werd bekend dat het mediabedrijf mogelijk door ransomware was getroffen, maar details werden niet gegeven. Nu laat RTL Nieuws weten dat het om een aanval met de CryTOX-ransomware ging en er 8500 euro losgeld is betaald. De aanvallers wisten binnen te komen door de inloggegevens van een externe beheerpartij die waren buitgemaakt. Deze partij beheert het netwerk van RTL. Er werd geen gebruikgemaakt van tweefactorauthenticatie, waardoor er met de gestolen inloggegevens meteen verregaande toegang tot het netwerk kon worden verkregen. Verschillende belangrijke systemen werden met de ransomware geïnfecteerd, zoals het redactiesysteem van RTL Nieuws en het advertentieplanningssysteem. RTL Nieuws heeft bijna een week zonder redactiesysteem de uitzendingen moeten maken. RTL laat weten dat de back-ups niet waren versleuteld of verwijderd, waardoor het de getroffen systemen kon herstellen. Toch besloot het contact met de criminelen op te nemen en te kijken wat de eisen waren. De aanvallers vroegen 8500 euro losgeld. RTL besloot het bedrag te betalen om naar eigen zeggen eventuele opsporing mogelijk te maken.
Backdoor in REvil-ransomware maakt ontsleutelen bestanden mogelijk
In recente exemplaren van de REvil-ransomware is een backdoor aangetroffen waarmee de ransomwaregroep bestanden kan ontsleutelen. Mogelijk om zo partners op te lichten, zo stelt onderzoeker Yelisey Boguslavskiy van securitybedrijf Advanced Intelligence. REvil opereert als een ransomware-as-a-service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. REvil stelt dat partners zeventig procent van het losgeld krijgen. Via de backdoor kan de REvil-groep de onderhandelingen met een slachtoffer overnemen en zo zeventig procent van het losgeld verkrijgen dat eigenlijk naar de partner had moeten gaan. Volgens Boguslavskiy heeft de REvil-groep in het verleden ook van dubbele chats gebruikgemaakt. Via de chat kunnen slachtoffers onderhandelden met de REvil-partner. Op een belangrijk moment tijdens de onderhandeling wisselde de REvil-groep de chat van de partner, waarbij de REvil-groep zich voordeed als slachtoffer en de onderhandelingen zonder te betalen stopte. Aan de andere kant zette de REvil-groep de chat met het echte slachtoffer voort en kon zo het volledige losgeld opstrijken, aldus de onderzoeker. Boguslavskiy stelt in een LinkedIn-bericht dat de nu ontdekte backdoor mogelijk een zelfde doel dient, aangezien het de mogelijkheid biedt om bestanden te ontsleutelen als de onderhandelingen zijn afgerond. In de nieuwste exemplaren is de backdoor echter weer verwijderd. Mogelijk is dit gedaan om te voorkomen dat bijvoorbeeld securityteams of beveiligingsonderzoekers bestanden ontsleutelen. Recentelijk presenteerde antivirusbedrijf Bitdefender een gratis decryptietool voor alle REvil-slachtoffers tot 13 juli van dit jaar. Boguslavskiy laat tegenover Threatpost weten dat criminelen nu denken dat de virusbestrijder de backdoorsleutel heeft bemachtigd die het voor de decryptietool gebruikte. Bitdefender stelde dat het samen met een niet nader genoemde opsporingsdienst de decryptietool heeft ontwikkeld.
FBI en NSA melden toegenomen ransomware-aanvallen door Conti-groep
De FBI, de Amerikaanse geheime dienst NSA en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security hebben een waarschuwing afgegeven wegens toegenomen aanvallen door de Conti-ransomwaregroep. Volgens de overheidsinstanties heeft deze groep meer dan vierhonderd aanvallen tegen Amerikaanse en internationale organisaties uitgevoerd. Daarbij worden bestanden gestolen en versleuteld. De FBI en NSA stellen dat Conti een ransomware-as-a-service (RaaS)-model hanteert, maar er wel een verschil is. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. In het geval van de Conti-groep betalen de ontwikkelaars de criminelen die de ransomware verspreiden geen percentage maar een loon. Om toegang tot netwerken te krijgen maken de criminelen gebruik van spearphishing met Microsoft Office-documenten en malafide links, gestolen of zwakke RDP-wachtwoorden, malafide software die via zoekmachineresultaten wordt verspreid, telefoongesprekken en andere malware die al op het systeem aanwezig is. De FBI en NSA hebben de werkwijze van de groep in een advisory beschreven en geven ook adviezen om aanvallen te voorkomen. Het gaat dan om het gebruik van multifactorauthenticatie, netwerksegmentatie, het scannen naar kwetsbaarheden en updaten van software, het verwijderen van onnodige applicaties, het implementeren van endpoint en detection response tools, het beperken van RDP (remote desktop protocol) en het beveiligen van gebruikersaccounts.
22 september
Fabrikanten moeten zich concentreren op het beschermen van hun toeleveringsketens
De maakindustrie is sterk afhankelijk van een veilige toeleveringsketen. Bedrijven die deze sector aandrijven, zijn zich er terdege van bewust hoe een cyberaanval op een onderdeel van een toeleveringsketen hun bedrijf tot stilstand kan brengen.
BlackMatter Ransomware-analyse: The Dark Side Returns
BlackMatter is een nieuwe ransomware-dreiging die eind juli 2021 werd ontdekt. Lees hieronder het onderzoeksrapport van McAfee over hun bevindingen.
VS neemt sancties tegen cryptobeurs voor faciliteren ransomwaregroepen
Het Amerikaanse ministerie van Financiën heeft voor het eerst sancties genomen tegen een cryptobeurs voor het faciliteren van de transacties van ransomwaregroepen. Volgens het ministerie blijkt uit een analyse van de transacties van cryptobeurs Suex dat zeker acht ransomwaregroepen heeft gefaciliteerd en dat meer dan veertig procent van de transacties in verband met criminele partijen wordt gebracht. "Cryptobeurzen zoals Suez spelen een essentiële rol voor de winstgevendheid van ransomware-aanvallen, waarmee andere cybercriminele activiteiten worden gefinancierd. Het ministerie zal deze partijen aansprakelijk houden en verstoren om de drijfveer voor cybercriminelen weg te nemen om deze aanvallen uit te voeren", aldus het ministerie. Door de opgelegde sancties mogen Amerikanen geen zaken meer met Suex doen en zijn alle tegoeden van het bedrijf die onder Amerikaanse jurisdictie vallen bevroren. Volgens Chainanalysis, dat bij het onderzoek naar de cryptobeurs was betrokken, heeft Suex meer dan 160 miljoen dollar van ransomwaregroepen en andere cybercriminelen ontvangen. Het bedrijf staat geregistreerd in Tsjechië, maar zou daar geen fysiek kantoor hebben. In plaats daarvan opereert het vanuit Rusland en het Midden-Oosten, waar het cryptovaluta omzet naar fysiek geld, aldus Chainanalysis. Het Amerikaanse ministerie van Financiën stelt dat sommige cryptobeurzen een onmisbaar onderdeel van het ransomware-ecosysteem zijn. Als onderdeel van een overheidsbrede aanpak van ransomware wordt nu ook naar deze cryptobeurzen gekeken. De Amerikaanse autoriteiten hebben aangegeven dat ze sancties tegen andere cryptobeurzen dan ook niet uitsluiten.
Minister gaat met MBO Raad in gesprek over voorkomen van ransomware-aanvallen
Demissionair minister Van Engelshoven gaat met de MBO Raad in gesprek over het voorkomen van ransomware-aanvallen op ROC's, zo heeft ze naar aanleiding van de aanval op het ROC Mondriaan in Den Haag laten weten. Het is nog altijd onbekend wanneer de systemen van de onderwijsinstelling weer zijn hersteld. Op 21 augustus werd ROC Mondriaan slachtoffer van een aanval op de systemen, maar liet niet weten om wat voor aanval het precies ging. Onlangs meldde de onderwijsinstelling dat gegevens die de aanvallers hadden gestolen op internet waren gepubliceerd. Afgelopen maandag liet de minister weten dat het om een ransomware-aanval ging. D66 had naar aanleiding van de aanval Kamervragen aan Van Engelshoven gesteld. Zo wilden Kamerleden Van Meenen en Van Ginneken weten hoe de minister voorkomt dat een dergelijke aanval in de toekomst nogmaals plaatsvindt op een ROC. "Helaas zijn dergelijke incidenten nooit uit te sluiten. Dat neemt niet weg dat er altijd aanvullende maatregelen genomen kunnen worden om de beveiliging te verbeteren, zoals bijvoorbeeld de hiervoor genoemde dienst SURFsoc", antwoordt Van Engelshoven. SURFsoc is het via SURF aangeboden Security Operations Centre dat onderwijsinstellingen in staat stelt om inbraakpogingen op het netwerk te detecteren en in te grijpen. "Ik zal met de MBO Raad in gesprek gaan over eventuele drempels die de mbo-instellingen ervaren bij de implementatie van dergelijke beveiligingsoplossingen en wat nodig is om deze weg te nemen", voegt de minister verder toe. De D66-Kamerleden vroegen ook wanneer de systemen van het ROC Mondriaan weer operationeel zijn. "Dat is op dit moment niet te zeggen", reageert de minister. "Geleidelijk aan gaan er meer systemen open, maar alleen als dit veilig kan. ROC Mondriaan heeft aangegeven dat het een aantal weken duurt voordat alle systemen weer opnieuw zijn opgebouwd."
"FBI wachtte drie weken met delen van decryptiesleutel REvil-ransomware"
De FBI heeft bijna drie weken gewacht met het delen van de decryptiesleutel van de REvil-ransomware die het via de servers van de ransomwaregroep had verkregen, zo laten anonieme bronnen tegenover The Washington Post weten. Begin juli wist De REvil-groep via kwetsbaarheden in de software van Kaseya een wereldwijde ransomware-aanval uit te voeren. Hierbij werden volgens Kaseya maximaal vijftienhonderd bedrijven wereldwijd getroffen. De criminelen eisten vervolgens 70 miljoen dollar voor een generieke decryptiesleutel waarmee alle slachtoffers hun bestanden kunnen ontsleutelen. Eind juli maakte Kaseya bekend dat het van een niet nader genoemde derde partij een decryptiesleutel had ontvangen voor het ontsleutelen van de data bij alle slachtoffers. In samenwerking met antivirusbedrijf Emsisoft werden getroffen bedrijven vervolgens met het herstellen van hun bestanden geholpen. Kaseya stelde dat het geen losgeld voor de decryptiesleutel had betaald. Bronnen verklaren tegenover The Washington Post dat de FBI toegang had tot servers van de REvil-groep en zo de decryptiesleutel kon bemachtigen. Er werd echter besloten om de sleutel niet meteen te delen met slachtoffers, aangezien de opsporingsdienst bezig was met een operatie om de ransomwaregroep te verstoren. Door het delen van de decryptiesleutel zou de groep worden gewaarschuwd. Daarnaast kostte het testen van de decryptiesleutel de nodige tijd, zo liet FBI-directeur Wray tijdens een hoorzitting voor een senaatscommissie weten. De REvil-websites gingen op 13 juli zonder tussenkomst van de Amerikaanse autoriteiten offline en nog voordat de FBI de geplande operatie kon uitvoeren. Onlangs verschenen verschillende REvil-sites echter weer op internet. Afgelopen donderdag publiceerde antivirusbedrijf Bitdefender een gratis decryptietool voor slachtoffers van de REvil-ransomware van voor 13 juli. Bitdefender stelde dat het de tool samen met een opsporingsinstantie had ontwikkeld, maar noemde geen naam van de instantie.
Nieuwe Quantum ransomware
'dnwls0719' heeft een nieuwe Quantum ransomware ontdekt die de .quantum- extensie toevoegt aan versleutelde bestanden.
.quantum #Ransomware
— dnwls0719 (@fbgwls245) September 22, 2021
D35A5CAF8AF43432EC2F5A2318B20597 pic.twitter.com/Hg64WBXKpd
21 september
Een van de grote Franse alcoholgroepen getroffen door ransomware
La Martiniquaise-Bardinet, de tweede Franse distributeur van sterke drank na Pernod-Ricard, is getroffen door een massale computeraanval. Het bedrijf was het slachtoffer van krachtige ransomware aanval, die een deel van zijn gegevens versleutelde, waardoor het ontoegankelijk werd. De hackers beweren ook dat ze 30 GB aan gegevens van de servers van het bedrijf hebben gestolen, die online zijn gezet.
Solana: DDoS oorzaak voor de downtime van vorige week
Na aanvankelijk “uitputting van hulpbronnen” als oorzaak te hebben aangemerkt, verandert Solana haar verklaring na de netwerkstoring van vorige week. In de afgelopen weken steeg de Solana prijs meer dan vijf keer in waarde. Maar na deze geweldige weken, ging het blockchain-netwerk van Solana vorige week meer dan 17 uur offline. Vandaag heeft de Solana Foundation een eerste verklaring afgegeven, waarin het nieuw licht op de oorzaak werpt. De meeste informatie in het eerste overzichtsrapport bevestigt wat vorige week werd getweet. Er waren berichten via de officiële Twitter-accounts van Solana en van die van de CEO van Solana Labs, Anatoly Yakavenko. In wezen werd het netwerk overspoeld door een stroom van inkomende transacties, die de Foundation eerder had geschat op maximaal 400.000 per seconde. Het enorme aantal inkomende transacties begon met de lancering van een eerste gedecentraliseerd uitwisselingsaanbod (DEX), of IDO. Dit werd gehost op het op Solana gebaseerde gedecentraliseerde financiële (DeFi) protocol, Raydium. Een IDO is een soort tokenlancering die plaatsvindt op een DEX, in plaats van een initiële muntaanbieding (ICO) op een gecentraliseerde exchange. In dit geval was de IDO voor Grape Protocol, een veelgebruikte Solana-toolset voor DeFi-ontwikkelaars. Het netwerk werd overweldigd door transacties die werden gegenereerd door bots. De transacties overspoelden de gedistribueerde nodes van het Solana-netwerk. Hierdoor liepen sommige vast vanwege de hoeveelheid geheugen die werd gebruikt. Het netwerk stopte met het produceren van blokken toen het geen consensus kon bereiken over de huidige status van de blockchain. Vorige week benoemde Solana de “uitputting van hulpbronnen” als de oorzaak van de downtime.
Weer cyberaanval bij CMA CGM
De Franse containerlijn heeft relaties geïnformeerd dat ‘beperkte klantinformatie’ naar buiten is gekomen. Het zou alleen gaan om basisgegevens zoals namen van werknemers bij klanten, hun functie, e-mailadres en telefoonnummer. CMA CGM zegt dat IT-teams onmiddellijk beveiligingspatches hebben ontwikkeld en geïnstalleerd. Het bedrijf heeft klanten geadviseerd om hun wachtwoorden of persoonlijke informatie niet te delen. Klanten is verder gevraagd om de authenticiteit te controleren van een e-mail waarin werd gevraagd om in te loggen op de platforms van de rederij, vooral als werd gevraagd om een wachtwoord opnieuw in te stellen. Eind september vorig jaar werden CMA CGM en de dochterbedrijven APL, ANL en CNC het slachtoffer van een aanval met zogenoemde Ragnar Locker ransomware. Een groot van de sites lag toen dagen plat. De rederij zei toen in eerste instantie met met een intern IT-probleem te kampen, maar moest later erkennen dat het om een cyberaanval van buiten ging. Het kostte CMA CGM toen zo’n twee weken om weer volledig online te komen. De Franse rederij is geen uitzondering in de containervaart. Eind vorig jaar constateerde de Deense IT-beveiliger Improsec op basis van eigen onderzoek dat de IT-beveiliging van veel rederijen ver onder de maat was. De meeste gebruikten te simpele wachtwoorden en de helft had geen verificatieprotocol voor inkomende e-mail. De kroon spande een bedrijf waar het e-mailprogramma met het wachtwoord ‘X’ kon worden geopend.
Ransomware aanval op Marketron raakt duizenden mediabedrijven
Een ransomware-aanval op zakelijke softwareleverancier Marketron heeft duizenden media- en omroepbedrijven geraakt. Marketron biedt advertentieoplossingen waardoor bedrijven aan bezoekers en verkeer op hun website kunnen verdienen. Naar eigen zeggen heeft Marketron zesduizend media- en omroepbedrijven wereldwijd als klant die dagelijks van de diensten van het bedrijf gebruikmaken. Alleen op de Amerikaanse markt zouden deze oplossingen vijf miljard dollar aan advertentie-inkomsten verwerken, afkomstig van meer dan één miljoen adverteerders. In een e-mail aan klanten laat Marketron weten dat het slachtoffer van de BlackMatter-ransomwaregroep is. Deze criminelen zitten ook achter de aanval op de Amerikaanse landbouwcoöperatie New Cooperative. Door de aanval zijn alle Marketron-klanten getroffen, stelt ceo Jim Howard in de e-mail. Op het moment van schrijven zijn nog meerdere producten en diensten van Marketron offline, waaronder het adverteerders- en trafficportaal. Ook de diensten voor alle klanten die hun traffic door Marketron laten beheren zijn getroffen, zo laat de statuspagina zien. Wanneer de diensten weer online zijn is onbekend. Marketron zegt bezig te zijn met het herstellen van de getroffen systemen. Hoe de aanvallers toegang tot de systemen wisten te krijgen is onbekend.
VVD: verbod op betalen losgeld ransomware kan leiden tot faillissementen
Een algemeen verbod op het betalen van losgeld bij ransomware kan leiden tot de faillissementen van getroffen bedrijven. Er moet dan ook meer worden ingezet op preventieve maatregelen en de digitale basishygiëne van ondernemingen, zo vindt de VVD. De partij stelde Kamervragen naar aanleiding van berichtgeving dat het ministerie van Justitie en Veiligheid onderzoekt om verzekeraars te verbieden het losgeld bij ransomware te vergoeden. Er zijn inmiddels allerlei verzekeringsmaatschappen die "cyberverzekeringen" aanbieden en het losgeld vergoeden dat slachtoffers van ransomware betalen om hun bestanden terug te krijgen. Volgens sommige experts zijn aanvallers hierdoor veel hogere losgeldbedragen gaan vragen. "Door losgeld te betalen worden criminele activiteiten beloond en gestimuleerd. Daarnaast is de verwachting van de politie dat het betalen van losgeld leidt tot meer aanvallen van ransomware", liet demissionair minister Grapperhaus van Justitie en Veiligheid eerder weten. "Bent u zich ervan bewust dat een algemeen verbod op het betalen van losgeld zelfs kan leiden tot het faillissement van een getroffen bedrijf? Zo ja, bent u het ermee eens dat dit een zeer onwenselijk scenario is voor getroffen bedrijven en dat een verbod op het betalen van losgeld het probleem van ransomware aanvallen op bedrijven niet oplost? Zo nee, waarom niet?", vraagt VVD-Kamerlid Rajkowski aan minister Grapperhaus. Volgens het Kamerlid kan het niet betalen van losgeld leiden tot een situatie waarin systemen weer vanaf de grond moeten worden opgebouwd wat vaak langer duurt en meer geld kost dan het betalen van losgeld. Rajkowski vraagt de minister aanvullend of hij het ermee eens is dat het betalen van losgeld bij ransomware-aanvallen onwenselijk is en dat bedrijven zich tegelijkertijd soms genoodzaakt voelen het losgeld te betalen omdat anders de continuïteit van het bedrijf in gevaar komt. "Zo ja, hoe beoordeelt u dan een algeheel verbod op het betalen van losgeld?" Het VVD-Kamerlid vindt dat de oplossing moet worden gezocht in het voorkomen van ransomware-aanvallen door te focussen op preventieve maatregelen en het vergroten van de digitale basishygiëne van bedrijven. Ze wil daarbij van Grapperhaus weten welke mogelijkheden de minister hiervoor ziet. De minister heeft drie weken om de vragen te beantwoorden.
Grote Amerikaanse landbouwcoöperatie slachtoffer van ransomware
Een grote Amerikaanse landbouwcoöperatie is slachtoffer van een ransomware-aanval geworden, wat mogelijk gevolgen voor regionale voedselbevoorrading en de logistieke keten kan hebben. De aanvallers eisen 5,9 miljoen dollar van New Cooperative. De coöperatie heeft meer dan vijftig locaties in de Amerikaanse staat Iowa. Verder claimt de organisatie dat veertig procent van de Amerikaanse graanproductie via diens software wordt verhandeld en de aanval gevolgen voor de voedselbevoorrading van elf miljoen dieren kan hebben. Vanwege de aanval heeft New Cooperative naar eigen zeggen de netwerken uit voorzorg uitgeschakeld. Ook een platform dat klanten gebruiken is offline gehaald, zo melden Bloomberg en de Wall Street Journal. In een online chat waarschuwt de organisatie de aanvallers dat ze de vitale infrastructuur hebben aangevallen, zo blijkt uit een screenshot. De aanvallers, die zich BlackMatter noemen, laten daarop weten dat New Cooperative geen onderdeel van de vitale infrastructuur is. Naast het versleutelen van de data claimt de ransomwaregroep dat het ook duizend gigabyte aan data heeft buitgemaakt. Als de landbouwcoöperatie niet betaalt maakt het deze data openbaar. Eerder riep de Amerikaanse president Biden de Russische president Poetin op om ransomwaregroepen in het land aan te pakken. Tijdens een overleg gaf Biden de Russische president ook een lijstje met Amerikaanse sectoren die niet mogen worden aangevallen. Aanleiding waren onder andere de aanval op de Colonial Pipeline die de brandstofvoorziening in de VS verstoorde en de aanval op vleesverwerker JBS. Op de eigen website meldt BlackMatter dat het geen vitale infrastructuur zoals ziekenhuizen, pijplijnen en energiecentrales aanvalt. Onlangs meldde de FBI dat er geen aanwijzingen zijn dat Rusland de ransomwaregroepen in het land aanpakt.
20 september
106 gearresteerd in een zaak tegen online fraudeurs
De Spaanse nationale politie (Policía Nacional), ondersteund door de Italiaanse nationale politie (Polizia di Stato), Europol en Eurojust, heeft een georganiseerde misdaadgroep ontmanteld die banden heeft met de Italiaanse maffia die betrokken is bij online fraude, witwassen van geld, drugshandel en vermogenscriminaliteit. De verdachten hebben honderden slachtoffers opgelicht door middel van phishing-aanvallen en andere vormen van online fraude, zoals het wisselen van simkaarten en het compromitteren van zakelijke e-mail, voordat ze het geld witwassen via een breed netwerk van geldezels en shell-bedrijven. Alleen al vorig jaar wordt de illegale winst geschat op zo'n € 10 miljoen.
Steven Dondorp (northwave) over cyberaanvallen
Cyberaanvallen met ransomware nemen steeds grotere proporties aan, maar de overgrote meerderheid wordt niet herkend door de veiligheidsdiensten. Steven Dondorp, algemeen directeur van cyberveiligheidsbedrijf Northwave, is te gast in BNR Zakendoen. (vanaf 21ste min en 35ste sec)
Zorggroep Charim (NL) getroffen door ransomware-aanval, onderzoek naar omvang kan weken duren
Het onderzoek naar de ransomware-aanval bij Zorggroep Charim in Veenendaal gaat nog weken duren. Vorige week werd de zorginstelling getroffen en sindsdien zijn er bestanden versleuteld. Volgens een woordvoerder is de zorg voor patiënten geen moment in gevaar geweest. "De getroffen bestanden hebben niet te maken met de zorg." Cyberspecialisten, zoals woordvoerder Rufo Petri van Charim ze omschrijft, zijn op dit moment aan het kijken hoe groot de schade is die hackers hebben aangebracht. Dat is een lastig en omvangrijk proces omdat die ransomware ook na enkele dagen weer actief kan worden terwijl je dat niet in de gaten hebt. Petri: "Er wordt gekeken welke bestanden geïnfecteerd zijn en hoe je die vervolgens weer schoon kan krijgen. Er zijn verschillende harde schijven, dus in feite is ieder computerbestand dat opengemaakt wordt, een risico." Charim beschikt over back-ups, dus de versleutelde bestanden kunnen via een omweg alsnog gebruikt worden. Maar hoe dan ook, de zorggroep probeert er het beste van te maken. "Heel vervelend dat zoiets gebeurt. Er wordt met man en macht gewerkt om alles weer in orde te kregen. We moeten zeker weten dat omgeving schoon is, anders gaat zo'n virus weer verder." Er is geen geld overgemaakt aan de hacker of hackers die de cyberaanval hebben uitgevoerd.
Overzicht van door ransomwaregroepen gebruikte kwetsbaarheden
Het afgelopen jaar werden tal van organisaties het slachtoffer van ransomware. De groepen die voor deze aanvallen verantwoordelijk zijn maken naast phishingmails ook gebruik van bruteforce-aanvallen op RDP-systemen en kwetsbaarheden in veelgebruikte software. Onderzoekers hebben nu een overzicht gepubliceerd van kwetsbaarheden die ransomwaregroepen gebruiken om bij hun slachtoffers binnen te dringen. Het gaat om meer dan veertig beveiligingslekken. Iets minder dan de helft werd in dit jaar gevonden en zijn inmiddels door de betreffende leverancier gepatcht. Er zijn echter ook twaalf gebruikte kwetsbaarheden die uit 2017, 2018 en 2019 dateren. Organisaties wordt dan ook aangeraden beschikbare beveiligingsupdates te installeren. Het overzicht, dat werd opgesteld door onderzoeker Allan Liska en een onderzoeker met het alias Pancak3, komt overeen met overzichten van de FBI en de Amerikaanse geheime dienst NSA. De FBI publiceerde in juli van dit jaar een Top 30 van meest aangevallen kwetsbaarheden. De NSA kwam vorig jaar met een Top 25 van aangevallen beveiligingslekken. "Eén van de meest effectieve manieren om kwetsbaarheden te verhelpen is het updaten van software zodra patches beschikbaar zijn en praktisch is. Wanneer dit niet kan, overweeg dan tijdelijke workarounds of andere mitigaties als die door de leverancier zijn gegeven", aldus de FBI. Wanneer het niet mogelijk is voor een organisatie om snel alle software te updaten na het uitkomen van een patch wordt aangeraden om de hoogste prioriteit te geven aan kwetsbaarheden waar al misbruik van wordt gemaakt of waar de meeste systemen risico door lopen.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Tips of verdachte activiteiten gezien? Meld het hier.
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 45-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.