Overzicht cyberaanvallen week 42-2021

Gepubliceerd op 25 oktober 2021 om 15:00

Vermoedelijke Chinese hackers achter aanvallen op tien Israëlische ziekenhuizen, Check Point meldt 66 procent toename cyberaanvallen in België en Evil Corp heeft een nieuwe ransomware 'Macaw Locker'. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 3.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.

Status op 25 oktober 2021 : 3.523


Week overzicht

Slachtoffer Cybercriminelen Website Land
MT Hive Unknown Unknown
Digicel Group RansomEXX digicelgroup.com Jamaica
Israel MOD Moses Staff mod.gov.il Israel
galaxybuilders.com LockBit galaxybuilders.com USA
rockportmusic.org LockBit rockportmusic.org USA
SPF Precut Lumber Conti www.spfprecut.ca Canada
Obeikan Investment Group Conti www.obeikan.com.sa Saudi Arabia
Artsana Conti www.artsana.com Italy
Porto Seguro Conti www.portoseguro.com.br Brazil
DCI, Inc. Conti www.dciinc.com USA
madejwrobel.pl LockBit madejwrobel.pl Poland
Ideal Printers Conti www.idealprint.com USA
Sykes Cottages Conti www.sykescottages.co.uk UK
Grupo Alter Conti www.grupoalter.es Spain
Beedie Conti www.beedie.ca Canada
Vaughn Industries Conti vaughnindustries.com USA
Reliable Parts Conti www.reliableparts.com USA
Schimberg Co. Conti www.schimberg.com USA
episcopalretirement.com Groove www.episcopalretirement.com USA
DiGioia Gray & Associates, LLC BlackByte www.digioiagray.com USA
Fat Brands Inc. Grief fatbrands.com USA
Lufkin Independent School District Vice Society lufkinisd.org USA
Hougen Manufacturing LV hougen.com USA
Albireo Energy Conti albireoenergy.com USA
Townley Grammar School Pysa townleygrammar.org.uk UK
Ruskin Community High School Pysa ruskinhighschool.co.uk UK
Weiss Properties Pysa weissprop.com USA
hagerstownpd.org Groove hagerstownpd.org USA
Epsilor Moses Staff epsilor.com Israel
QUANTUMGROUP.COM CL0P quantumgroup.com USA
NATUS.COM CL0P natus.com USA
srstlaw.com LockBit srstlaw.com USA
wnj.com LockBit wnj.com USA
Vantage Manufacturing & Assembly, LLC Grief vma-llc.com USA
Exacta Corporation Grief wp2.myexactamundo.com USA
trivalleypc.com Groove trivalleypc.com USA
Open Group S.A.S Groove www.opengroupsa.com Columbia
datastorageip.com LockBit datastorageip.com USA
selinigroup.it LockBit selinigroup.it Italy
The National Math and Science Initiative Conti www.nms.org USA
urbis.com.hk LockBit urbis.com.hk Hong Kong
bataviacontainer.com LockBit bataviacontainer.com USA
radium.com.tw LockBit radium.com.tw Taiwan
peabodyproperties.com LockBit peabodyproperties.com USA
meritresources.org LockBit meritresources.org USA
groeflinag.ch LockBit groeflinag.ch Switzerland
continentalcountryclub.com LockBit continentalcountryclub.com USA
Gigabyte INC AvosLocker gigabyte.com Taiwan
Troilus Gold AvosLocker troilusgold.com Canada
Richard Chevrolet AvosLocker www.richardchevy.com USA
Manufacturing Technology Mutual Insurance Company AvosLocker www.mtmic.com USA
Albright Capital AvosLocker albrightcapital.com USA
State Industrial Supply AvosLocker sisaz.com USA
Hill and Associates CPAs AvosLocker hill-cpa.com USA
Lee's Glass & Window Works AvosLocker leesglass.com USA
Network Communications International Corp. Grief ncic.com USA
Central Indiana Orthopedics PC Grief ciocenter.com USA
PHILIPPE FAUVEDER ET CIE Grief fauveder.com France
thefoxhillclub.com LockBit thefoxhillclub.com USA
Creative Extruded Products Conti creativeextruded.com USA
zgoda.net LockBit zgoda.net Poland
Landofrost Cuba landofrost.com USA
Società Italiana degli Autori ed Editori Everest www.siae.it Italy
bagbyelevator.com LockBit bagbyelevator.com USA
North Island Spook www.north-island.com Republic of Seychelles
GENERALE PREFABBRICATI SPA BlackByte www.generaleprefabbricatispa.com Italy
SMARTERASP.NET CL0P smarterasp.net USA
Toos Asphalt Company Spook www.asft.co Iran
Page Automation Spook pageauto.co.za South Africa
All County Surveying Inc Spook www.allcountysurveying.com USA
TONLYELE.COM CL0P tonlyele.com China
dawsoncountyne.org Payload.bin dawsoncountyne.org USA
Lesk Engineering Pysa leskengineers.co.uk UK
Our Lady's Abingdon Pysa ola.org.uk UK
Western Urethane Pysa westernurethane.ca Canada
QPharma Pysa qpharmacorp.com USA
Price Davis LLC Pysa pricedavisllc.com USA
Campus Sacre Coeur Wien Gymnasium Pysa gym.sacre-coeur.at Austria
CreateInfor Pysa createinfor.pt Portugal
InfoSync IT Solutions Pysa infosyncit.com India
Hall Technologies Inc Pysa halltechinc.com USA
TILIA GROUP Quantum tilia.info Germany
PVR Ltd. Quantum www.pvrcinemas.com India
atento.com LockBit atento.com Spain
Grupo Vía Spook grupovia.com Argentina

DarkSide-ransomware haast zich om $ 7 miljoen in Bitcoin uit te betalen

Bijna $ 7 miljoen aan Bitcoin in een portemonnee die wordt beheerd door DarkSide ransomware-operators is verplaatst naar wat lijkt op een achtbaan voor het witwassen van geld. De fondsen zijn sinds gisteren naar meerdere nieuwe portefeuilles verplaatst, waarbij bij elke transactie een kleiner bedrag wordt overgemaakt om het moeilijker te maken om het geld te volgen. De timing komt overeen met de verwijdering van de REvil-ransomware- infrastructuur na het kapen van de Tor-verborgen service van de bende als gevolg van een internationale rechtshandhavingsoperatie. Kijkend naar de transactiehash, begon de verhuizing op 21 oktober 2021 om 07:05 uur (GMT) en de initiële waarde was iets minder dan $ 7 miljoen.

In een blogpost van vandaag laat blockchain-analysebedrijf Elliptic zien hoe de cryptocurrency van DarkSide door verschillende portefeuilles stroomde, krimpend van 107,8 BTC naar 38,1 BTC.

Het op deze manier verplaatsen van het geld is een typische witwastechniek die tracering belemmert en cybercriminelen helpt de cryptocurrency om te zetten in fiatgeld. Elliptic zegt dat het proces nog steeds doorgaat en dat er al kleine bedragen zijn overgemaakt naar bekende beurzen. Het verplaatsen van het geld op dit moment kan een gevolg zijn van wat er is gebeurd met de REvil ransomware-operatie, die dit jaar voor de tweede keer werd stopgezet nadat werd vastgesteld dat de diensten waren gecompromitteerd door een derde partij. De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.

Dark Side Bitcoins On The Move Following Government Cyberattack Against R Evil Ransomware Group
PDF – 84,9 KB 258 downloads

Gegevens van Italiaanse celebs blootgelegd bij ransomware-aanval op SIAE

De Italiaanse gegevensbeschermingsautoriteit Garante per la Protezione dei Dati Personali (GPDP) heeft een onderzoek aangekondigd naar een datalek van de nationale instantie voor auteursrechtbescherming. Società Italiana degli Autori ed Editori (SIAE) is een overheidsinstantie die verantwoordelijk is voor de bescherming van de intellectuele eigendomsrechten van creatieve werken van auteursrechthouders. Gisteren maakte de GPDP bekend dat ze onderzoeken of hackers de persoonsgegevens van geregistreerde leden en medewerkers van SIAE hebben gestolen tijdens een ransomware-aanval.


Groove ransomware roept alle afpersingsbendes op om Amerikaanse belangen aan te vallen

De Groove ransomware-bende roept andere afpersingsgroepen op om Amerikaanse belangen aan te vallen nadat wetshandhavers vorige week de infrastructuur van REvil hebben neergehaald. Vandaag heeft de Groove-ransomwarebende een Russische blogpost gepubliceerd waarin alle andere ransomware-operaties worden opgeroepen om zich op Amerikaanse belangen te richten.

Post op Groove ransomware-dataleksite waarin wordt opgeroepen tot aanvallen op de VS

De blogpost waarschuwt ook dat ransomware-operaties zich niet op Chinese bedrijven moeten richten, aangezien de bendes het land als een veilige haven zouden moeten gebruiken als Rusland een sterker standpunt inneemt over cybercriminaliteit die in zijn land actief is. Het hele vertaalde bericht, is hieronder te lezen.

"In onze moeilijke en onrustige tijden, waarin de Amerikaanse regering ons probeert te bestrijden, dring ik er bij alle aangesloten programma's op aan te stoppen met concurreren. verenig je en begin de staatssector van de VS te vernietigen, laat deze dementerende oude man zien wie de baas is wie de baas is en op internet zal zijn terwijl onze jongens stierven aan honeypots Sachkov van onbeleefde aibi kneep zijn eigen ... maar hij werd beloond met hoger en nu zal hij zitten voor verraad, dus laten we onze staat helpen om zulke griezels te bestrijden als cyberbeveiligingsbedrijven die worden verkocht aan amers, als staat structuren van de VS, ik dring er bij u op aan om de Chinese bedrijven niet aan te vallen, want waar moeten we knijpen als ons vaderland zich plotseling van ons afwendt, alleen naar onze goede buren - de Chinezen! Ik geloof dat alle zones in de VS het aankunnen, alle zwarten zullen deze verdomde Biden in alle schxxren gaan nxxken, ik zal persoonlijk mijn best doen" - Groove ransomware.


Ook ASML en Philips worden geraakt door problemen bij VDL na cyberaanval

Ook chipmachinefabrikant ASML en zorgtechnologiebedrijf Philips worden geraakt door de cyberaanval bij VDL. Dat bevestigen de bedrijven na eerdere berichtgeving van het Eindhovens Dagblad. ASML en Philips laten weten dat VDL voor hen een 'belangrijke leverancier' is. ASML liet bij de presentatie van de kwartaalcijfers eerder deze week al weten dat het bedrijf last heeft van de materiaaltekorten die wereldwijd veel ondernemingen treffen. De problemen na de cyberaanval bij VDL zijn daar onderdeel van, zegt een woordvoerster. VDL maakt onderdelen voor de machines van de chipmachinefabrikant. Voor Philips produceert VDL onderdelen voor medische systemen. Eerder deze maand werden na een cyberaanval bij VDL alle onlinesystemen uitgeschakeld, waardoor bijvoorbeeld autofabriek VDL NedCar in Born een tijd geen auto's in elkaar kon zetten. "We zijn onze bedrijven van veilige digitale systemen aan het voorzien, zodat zij hun productieactiviteiten kunnen uitbreiden", zegt een woordvoerder van VDL. Volgens hem werkt VDL Nedcar sinds vorige week donderdag weer op dezelfde capaciteit als voor de hack. Over de aard van de cyberaanval doet het Eindhovense bedrijf nog geen mededelingen, dus ook niet of het gaat om gijzelsoftware. Experts noemen dat wel waarschijnlijk. Cybercriminelen gebruiken daarbij een zwakke plek in de beveiliging om in de computersystemen van bedrijven te komen, waarna ze onderdelen versleutelen en die pas willen vrijgeven na betaling van losgeld.


"Yeah baby" take down door politie diensten

De Russische hackersgroep REvil is deze week door de FBI, samen met de Amerikaanse Secret Service, het Amerikaanse ministerie van Defensie en diverse buitenlandse mogendheden offline gehaald. Dat schrijft het Amerikaanse persbureau Reuters op basis van diverse bronnen. Lees verder


Cybercriminelen creëren nepbedrijf om pentesters in te huren voor ransomware-aanvallen

De FIN7-hackgroep probeert zich bij de zeer winstgevende ransomware-club aan te sluiten door valse cyberbeveiligingsbedrijven op te richten die netwerkaanvallen uitvoeren onder het mom van pentesting. FIN7 (ook bekend als 'Carbanak') is sinds 2015 betrokken bij cyberaanvallen en geldstelende campagnes, toen ze voor het eerst in de cybercriminaliteit verschenen, waaronder het infecteren van geldautomaten met MITM-malware.  Aangezien ransomware een winstgevende sector is geworden voor cybercriminelen en eerdere ervaring had met nep-frontbedrijven zoals "Combi Security", richtte de groep een nieuw bedrijf op om legitieme IT-specialisten te lokken. De dunne sluier van legitimiteit rond deze nieuwe bedrijfsentiteit werd omtmaskert door onderzoekers van Gemini Advisory, die er achter kwamen dat de website van een nep cyberbeveiligingsbedrijf is dat bekend staat als Bastion Security. De website bestaat uit gestolen en opnieuw gecompileerde inhoud van andere websites.

Bastion Secure website


Evil Corp heeft een nieuwe ransomware 'Macaw Locker'

Evil Corp heeft een nieuwe ransomware gelanceerd, Macaw Locker genaamd, om Amerikaanse sancties te omzeilen die slachtoffers ervan weerhouden losgeld te betalen. De hackgroep Evil Corp, ook wel bekend als Indrik Spider en de Dridex-bende, is sinds 2007 betrokken bij cybercriminaliteit, maar meestal als partners van andere organisaties. Na verloop van tijd begon de groep zich te concentreren op hun eigen aanvallen door een banktrojan te creëren en te verspreiden die bekend staat als Dridex in phishing-aanvallen.

Macaw Locker losgeld nota

De darkweb-onderhandelingssite van de bende bevat een korte introductie over wat er met het slachtoffer is gebeurd, een tool om drie bestanden gratis te decoderen en een chatbox om met de aanvallers te onderhandelen.

Macaw Locker Tor betalingsonderhandelingssite op het darkweb

Nu Macaw Locker is ontmaskerd als een Evil Corp-variant, zullen we waarschijnlijk zien dat de cybercriminelen hun ransomware opnieuw een andere naam zullen geven. Dit constante kat-en-muisspel zal waarschijnlijk nooit eindigen totdat Evil Corp stopt met het uitvoeren van ransomware-aanvallen of de sancties worden opgeheven. Geen van beide scenario's zal zich echter in de nabije toekomst voordoen.


'Hidden persistence' de meest gevreesde cyberaanval

Deep Instinct, aanbieder van een op deep learning gebaseerde security-framework, publiceerde vorige week zijn halfjaarlijkse Voice of SecOps Report. Uit dit rapport blijkt dat organisaties gemiddeld 17,2 uur nodig hebben om op een cyberaanval te reageren, oftewel twee werkdagen. Wereldwijd ligt dit gemiddeld nog hoger, namelijk 20.9 uur. Gezien de vertraging die security-teams vaak oplopen wanneer ze met een beveiligingsincident te maken krijgen, hebben de respondenten weinig vertrouwen in hun vermogen om de constante golf van cyberaanvallen de baas te blijven. Lees verder


DDoS-aanvallen op Russische bedrijven zijn in 2021 bijna verdrievoudigd

Een rapport dat gegevens van het begin van het jaar analyseert, concludeert dat gedistribueerde denial-of-service (DDoS)-aanvallen op Russische bedrijven 2,5 keer zijn toegenomen in vergelijking met dezelfde periode vorig jaar. Een DDoS-aanval is wanneer een aanvaller een service of netwerkbandbreedte overspoelt met meer verzoeken dan hij aankan, waardoor de service uitvalt. Bedreigingsactoren zetten in toenemende mate enorme zwermen DDoS-backing-apparaten (botnets) in om verlammende aanvallen uit te voeren op doelen in een breed scala van industrieën en sectoren. DDoS-aanvallen worden vaak gebruikt om slachtoffers af te persen met losgeldeis of als afleiding voor IT-teams, terwijl hackers kostbare gegevens van gecompromitteerde systemen proberen te stelen. Een andere reden om deze aanvallen op een organisatie uit te voeren, is om hun bedrijf te verstoren, de kwaliteit van hun diensten te verminderen en hun klanten naar concurrerende platforms te leiden.

DDOS Ataki Za Tri Kvartala 2021 Goda
PDF – 6,4 MB 277 downloads

Rapport is in het Russisch


Nieuwe Karma ransomware-groep waarschijnlijk een rebranding van Nemty

Threat-analisten bij Sentinel Labs hebben bewijs gevonden dat de Karma-ransomware slechts een nieuwe evolutionaire stap is in de soort die begon als JSWorm, Nemty, vervolgens Nefilim, Fusion, Milihpen en meest recentelijk Gangbang werd. De naam Karma is al in 2016 gebruikt door ransomware-actoren, maar er is geen relatie tussen die groep en degene die dit jaar opdook. JSWorm verscheen voor het eerst in 2019 en onderging een reeks rebrands in de komende twee jaar, met behoud van code-overeenkomsten die voldoende waren voor onderzoekers om de verbinding te maken.

Karma Ransomware
PDF – 2,4 MB 337 downloads

Ransomware: Begrijp het. Voorkomen. Herstellen

Allan Liska's boek over ransomware is beschikbaar voor pre-order op Amazon!


Nieuwe Foxxy-ransomware

S!Ri vond de in ontwikkeling zijnde Foxxy Ransomware die de .foxxy- extensie toevoegt aan versleutelde bestanden.


BlackByte ransomware decryptor vrijgegeven om gratis bestanden te herstellen

Er is een gratis decryptor voor de BlackByte-ransomware uitgebracht, waardoor voormalige slachtoffers hun bestanden gratis kunnen herstellen. Wanneer ze worden uitgevoerd, genereren de meeste ransomware een unieke coderingssleutel per bestand of een enkele sleutel per machine die bekend staat als sessiesleutels die worden gebruikt om het apparaat van een slachtoffer te coderen. Deze sleutels worden vervolgens versleuteld met een openbare RSA-sleutel en toegevoegd aan het einde van een versleuteld bestand of een losgeldbrief. Deze gecodeerde sleutel kan nu alleen worden gedecodeerd door de bijbehorende privé decoderingssleutel die alleen bekend is bij de ransomware-operatie. Dit zorgt ervoor dat cybercriminelen de versleutelde sleutels kunnen ontsleutelen wanneer een slachtoffer losgeld betaalt.

Als u een BlackByte-slachtoffer bent en de decryptor van Trustwave wilt gebruiken, kunt u de  broncode van Github  hier downloaden.


Acer twee keer in een week gehackt door dezelfde cybercriminelen

Acer heeft in slechts een week een tweede cyberaanval ondergaan door dezelfde hackgroep die zegt dat andere regio's kwetsbaar zijn. Vorige week e-mailden dreigingsactoren, bekend als 'Desorden', journalisten om te zeggen dat ze de servers van Acer India hadden  gehackt  en gegevens hadden gestolen, waaronder klantinformatie. Acer bevestigde later de inbreuk, maar verklaarde dat het een "geïsoleerde aanval" was, die alleen hun after-sales servicesystemen in India aantastte. Naast deze twee inbreuken kreeg Acer in maart 2021 nog een cyberaanval te verduren nadat de REvil-ransomwarebende hun netwerk had versleuteld en losgeld van $ 50 miljoen eisten.


Z-CERT: meer ransomware-aanvallen op Europese zorginstellingen

Er is een sterke toename van het aantal zorginstellingen in Europa dat slachtoffer is geworden van een ransomware-aanval, zo stelt Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorg. De organisatie telde vorig jaar in totaal tien aanvallen tegen Europese zorginstellingen, waarbij geen enkele Nederlandse instelling werd getroffen. Sinds januari van dit jaar staat de teller op 25 aanvallen waarbij 66 zorglocaties zijn geraakt. In Nederland kregen vier zorgorganisaties te maken met ransomware. De aantallen zijn gebaseerd op open bronnenonderzoek en de meldingen van zorginstanties. Volgens Z-CERT ligt het werkelijke aantal vermoedelijk nog vele malen hoger. "We zien nog vaak genoeg dat instanties berichten daarover niet naar buiten brengen. Vermoedelijk uit reputatie-overwegingen of omdat de dienstverlening er niet onder heeft geleden", zegt analist Jan Hanstede. Naast rechtstreekse aanvallen heeft de Europese zorgsector ook hinder van ransomware-aanvallen op leveranciers. Om het aantal ransomware-aanvallen bij te houden heeft Z-CERT nu een teller op de eigen website geplaatst. Meer info


Check Point meldt 66 procent toename cyberaanvallen in België

In september 2021 bereikte het gemiddelde wekelijkse aantal aanvallen op organisaties haar hoogtepunt, met meer dan 870 aanvallen. Dit is meer dan het dubbele van het aantal aanvallen in maart 2020. In België worden nu wekelijks 600 organisaties getroffen, een stijging van maar liefst 66% ten opzichte van vorig jaar. Europa en Noord-Amerika werden geconfronteerd met de grootste toename van cyberaanvallen tussen 2020 en 2021. Organisaties in Afrika ondervonden in 2021 het hoogste aantal aanvallen tot nu toe, met een gemiddelde van 1.615 aanvallen per week. Dit is een stijging van 15% ten opzichte van vorig jaar. In Europa ligt het wekelijkse aantal aanvallen op 665, een stijging van 65%, in Noord-Amerika op 497 (57% stijging). De sectoren met de meeste cyberaanvallen zijn onderwijs/onderzoek met gemiddeld 1.468 aanvallen per week, een toename van 60% ten opzichte van 2020, gevolgd door overheid/militair met 1.082 (toename van 4%) en Gezondheidszorg met 752 (55% stijging). Lees verder


FBI, CISA, NSA delen verdedigingstips voor BlackMatter ransomware-aanvallen

Sinds juli van dit jaar zijn verschillende vitale infrastructuurorganisaties in de Verenigde Staten het doelwit geworden van aanvallen met de BlackMatter-ransomware. De FBI, de Amerikaanse geheime dienst NSA en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security hebben nu beveiligingstips gepubliceerd hoe vitale organisaties en andere bedrijven zich tegen deze aanvallen kunnen beschermen. Volgens de Amerikaanse overheidsinstanties is BlackMatter mogelijk de naam van dezelfde ransomwaregroep die eerst nog als DarkSide bekendstond en verantwoordelijk was voor de aanval op de Colonial Pipeline in de VS. De BlackMatter-groep heeft aanvallen tegen meerdere Amerikaanse organisaties uitgevoerd en daarbij losgeld geëist variërend van tachtigduizend tot vijftien miljoen dollar. Hoe BlackMatter precies toegang tot de systemen van slachtoffers weet te krijgen wordt niet vermeld. Wel melden de overheidsinstanties welke acties de aanvallers uitvoeren nadat ze toegang hebben verkregen. Zo gebruiken ze een apart encryptiebestand voor Linux-gebaseerde machines, versleutelen ze EXSi virtual machines en in plaats van back-ups te versleutelen worden die door de groep verwijderd. Om aanvallen te voorkomen en de impact te beperken geven de FBI, NSA en CISA verschillende tips en signatures. Het gaat om IDS/IPS-rules die de plaatsing van de ransomwaremelding op de eerste versleutelde share blokkeren, en vervolgens aanvullend SMB-verkeer van het "encryptor system" 24 uur lang blokkeren. Tevens wordt aangeraden het aantal onnodige administrative shares te verwijderen, time-based access voor beheerders te implementeren, command-line en scriptingactiviteiten uit te schakelen en Windows Credential Guard te gebruiken. Verder worden organisaties opgeroepen om beveiligingsupdates te installeren, aangezien dat één van de meest efficiënte en effectieve maatregelen is om aanvallen te voorkomen. Tevens moeten systemen met lokale beheerdersaccount een wachtwoordbeleid implementeren waarbij elk apart beheerdersaccount van een uniek en sterk wachtwoord is voorzien en wordt het gebruik van multifactorauthenticatie aangeraden.

Alert AA 21 291 A Black Matter Ransomware
PDF – 323,6 KB 348 downloads

De Sinclair TV-zenders in de VS verlamd door ransomware-aanval afgelopen weekend

Sinclair Broadcast Group heeft bevestigd dat het dit weekend is getroffen door een ransomware-aanval [ persbericht , SEC-aanvraag ]. Sinclair melde ook dat aanvallers gegevens van het netwerk van het bedrijf hebben gestolen. Tv-stations die eigendom zijn van de Sinclair Broadcast Group-uitzendtelevisiemaatschappij gingen in het weekend plat in de VS, waarbij meerdere bronnen vertelden dat een ransomware-aanval de downtime veroorzaakte. Sinclair Broadcast Group is een Fortune 500-mediabedrijf (met een jaaromzet van  $ 5,9 miljard in 2020 ) en een toonaangevende lokale sport- en nieuwsaanbieder met meerdere nationale netwerken. De activiteiten omvatten 185 televisiestations die zijn aangesloten bij Fox, ABC, CBS, NBC en The CW (inclusief 21 regionale merken van sportnetwerken), met ongeveer 620 kanalen in 87 markten in de VS (wat neerkomt op bijna 40% van alle Amerikaanse huishoudens).


Vermoedelijke Chinese hackers achter aanvallen op tien Israëlische ziekenhuizen

Een gezamenlijke aankondiging van het ministerie van Volksgezondheid en het National Cyber ​​Directorate in Israël beschrijft een piek in ransomware-aanvallen in het weekend die gericht waren op de systemen van negen gezondheidsinstellingen in het land. In de  gezamenlijke aankondiging stelt de Israëlische regering dat de pogingen hebben geleid tot geen schade aan de ziekenhuizen en medische organisaties, dankzij de coördinatie op nationaal niveau en de snelle en doortastende reactie van de lokale IT-teams. De twee autoriteiten hadden vóór het weekend tal van defensieve activiteiten in de gezondheidssector uitgevoerd om openstaande kwetsbaarheden te identificeren en te beveiligen, voornamelijk als reactie op  een aanval  op woensdag in het Hillel Yaffe Medical Center. Het lijkt er echter op dat deze inspanningen niet voldoende waren om de blootgestelde eindpunten te beveiligen, en er werden in het weekend nog steeds inbreuken gepleegd op sommige zorgorganisaties. Volgens  berichten in de lokale media wordt de aanval toegeschreven aan een Chinese groep cybercriminelen die de ransomware-stam 'DeepBlueMagic' gebruikt, die in augustus van dit jaar voor het eerst verscheen. Het is bekend dat DeepBlueMagin beveiligingsoplossingen uitschakelt die gewoonlijk pogingen tot bestandscodering detecteren en blokkeren, waardoor succesvolle aanvallen mogelijk zijn.


REvil-ransomwarebende stopt na zelf te zijn gehackt

De verspreiders van de REvil-ransomware stoppen (opnieuw) met hun operaties nu blijkt dat hun betaalportaal, server en site zelf zijn gehackt. REvil kon zijn ransomware het afgelopen jaar bij verschillende grote bedrijven loslaten. Na de aanval op softwarebedrijf Kaseya deze zomer verdwenen de sites van de ransomwarebende al eens. Nu lijkt dat opnieuw te gebeuren, deze keer omdat de organisatie zelf slachtoffer werd. Volgens '0_neday', een gebruiker geliëerd aan de bende, op een forum weten dat zowel het Tor-betaalportaal als hun blog werd gehackt en overgenomen door onbekenden. Later bevestigde die persoon ook dat de servers van de organisatie gecompromitteerd waren. De omstandigheden zijn vaag, maar het lijkt er op dat iemand de private sleutels van de sites bemachtigde en zo dezelfde service opstartte op een andere server. 0_neday suggereert dat de dader zo probeerde de REvil-bende zelf te raken of op te sporen. Het heeft er dus veel van weg dat REvil ermee stopt, al is dat niet de eerste keer. Wel is er intussen heel wat werk verricht door ordediensten en securitybedrijven. Zo is er al een tijdje een decryptiesleutel voor REvil. Niets sluit uiteraard uit dat de daders onder een andere naam, eventueel met andere malware, op termijn hun activiteiten hervatten.

XSS-forumonderwerp over REvil-sites die worden gekaapt

Forumbericht waarin staat dat de REvil-server is gecompromitteerd


Ransomware: Laag risico hoge beloning

Uit 80 miljoen wereldwijd verzamelde malware samples blijkt dat er ruim 130 verschillende zogeheten ransomware families actief zijn. Dit blijkt uit een analyse over de cijfers 2020-2021 van cybersecurity initiatief 'VirusTotal' in opdracht van zoekgigant 'Google'. De meest getroffen landen in deze periode zijn onder andere Israël, Zuid-Korea, Vietnam, China en Singapore. Lees verder


VS linkt 5,2 miljard dollar aan bitcointransacties aan mogelijke ransomwarebetalingen

Het Amerikaanse ministerie van Financiën heeft 5,2 miljard dollar aan bitcointransacties aan mogelijke losgeldbetalingen van ransomwareslachtoffers gelinkt. Het Financial Crimes Enforcement Network (FinCEN) van het ministerie analyseerde 177 bitcoinwallets gebruikt voor ransomware-gerelateerde betalingen van de tien meest actieve ransomware-exemplaren, waaronder REvil/Sodinokibi, Conti, DarkSide, Avaddon en Phobos. De wallets van deze ransomwarevarianten verstuurden voor 5,2 miljard dollar aan bitcoin naar bekende partijen. In 51 procent ging het dan om bitcoinbeurzen, gevolgd door andere diensten die cryptovaluta omwisselen (43 procent). Vijf procent ging naar "darkweb" marktplaatsen en één procent werd naar bitcoinmixers gestuurd. Met een bitcoinmixer wordt geprobeerd om de herkomst of eigenaar van een transactie te verbergen. Het FinCEN benadrukt dat niet alle bitcointransacties die vanuit de onderzochte wallets werden uitgevoerd met ransomwarebetalingen te maken hadden. Verder meldt het FinCEN in een vorige week gepubliceerde analyse dat in de eerste helft van dit jaar er 590 miljoen dollar aan ransomware-gerelateerde meldingen van financiële instellingen zijn ontvangen (pdf). Banken en andere financiële instellingen zijn in de VS verplicht om bij verdachte transacties een "suspicious activity report" in te dienen. De 590 miljoen dollar aan meldingen in de eerste helft van 2021 ligt al 42 procent hoger dan de 416 miljoen dollar over heel 2020. Als de trend van de eerste zes maanden van dit jaar doorzet, stelt FinCEN dat het totaalresultaat van 2021 hoger uitkomt dan de afgelopen tien jaar bij elkaar opgeteld.

Financial Trend Analysis Ransomeware 508 FINAL
PDF – 1,0 MB 350 downloads

VDL Nedcar: de stand van zaken

Sinds woensdagmiddag rollen er weer auto's van de band in de autofabriek van VDL Nedcar in Born. Maar tot het concern, toeleverancier van ASML, Philips en DAF, behoren wereldwijd nog 104 bedrijven die nog altijd last hebben van de brutale digitale aanval. Acht vragen en antwoorden over gijzelsoftware. Lees verder


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten

Iedere maandag om 15:00 het complete overzicht van de afgelopen week. Wil je deze in de mail ontvangen zodat je geen enkel overzicht mist? Laat het ons dan weten via het volgende e-mailadres aanmelden.cybercrimeinfo.nl@gmail.com onder de vermelding van 'Aanmelding overzicht cyberaanvallen'