De Conti-ransomwaregroep "verdiende" sinds juli van dit jaar zeker 25,5 miljoen dollar, cyberaanval op Heijmans hackers proberen 1300 accounts te kraken en Russische ransomware bendes gaan samenwerken met Chinese hackers. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Meer dan 3.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.
Status op 22 november 2021 : 3.865
Week overzicht
| Slachtoffer | Cybercriminelen | Website | Land |
|---|---|---|---|
| Law Society of South Australia | Haron | www.lawsocietysa.asn.au | Australia |
| systematicatec.com | LockBit | systematicatec.com | Switzerland |
| evans.co.id | LockBit | evans.co.id | Unknown |
| consortiumlegal.com | LockBit | consortiumlegal.com | Nicaragua |
| telemovil.com.sv | LockBit | telemovil.com.sv | Luxembourg |
| siix.co.jp | LockBit | siix.co.jp | Japan |
| Beaverhead County High School | AvosLocker | bchsmt.com | USA |
| The Cochran Firm | AvosLocker | cochranfirm.com | USA |
| ochsnerEFS | AvosLocker | ochsnerefs.com | USA |
| VR Souliere | AvosLocker | vrsouliere.com | Canada |
| EL Pruitt Co | AvosLocker | www.elpruitt.com | USA |
| NLB Corporation | Conti | www.nlbcorp.com | USA |
| apower.com.sg | LockBit | apower.com.sg | Singapore |
| centerspacehomes.com | LockBit | centerspacehomes.com | USA |
| MINISTRY OF ECONOMY AND FINANCE Peru | Everest | www.mef.gob.pe | Peru |
| The Della Toffola Group | Conti | www.dellatoffola.it | Italy |
| Herman & Kittle Properties Inc. | Suncrypt | hermankittle.com | USA |
| Hospitality Furnishings & Design Inc. | Suncrypt | hfdcorp.com | USA |
| a1ssi.com | LockBit | a1ssi.com | USA |
| duncandisability.com | LockBit | duncandisability.com | USA |
| Pueblo Bonito Pacifica Golf & Spa Resort | Grief | www.pueblobonito.com | Mexico |
| SNR Shopping PUREGOLD | AvosLocker | snrshopping.com | Philippines |
| FLUID COMPONENTS INTERNATIONAL | Conti | www.fluidcomponents.com | USA |
| HELSA Group International | Conti | www.helsa.com | Germany |
| Area Energy & Electric | Conti | www.areaelectric.com | USA |
| FTI Group | Conti | www.fti.de | Germany |
| GC Micro | AvosLocker | www.gcmicro.com | USA |
| adhhealth.com | LV | adhhealth.com | USA |
| hanshin-dp.co.jp | LockBit | hanshin-dp.co.jp | Japan |
| peschl-ultraviolet.com | LockBit | peschl-ultraviolet.com | Germany |
| reiss-beck.de | LockBit | reiss-beck.de | Germany |
| royole.com | LockBit | royole.com | China |
| btc-alpha.com | LockBit | btc-alpha.com | UK |
| General RV Center | Conti | www.generalrv.com | USA |
| docol.com.br | LV | docol.com.br | Brazil |
| pkf.com.au | LockBit | pkf.com.au | UK |
| essextec.com | LockBit | essextec.com | USA |
| scotttesting.com | LV | scotttesting.com | USA |
| HARTMANN FINANCIAL ADVISORS LLC | Conti | www.hartmannadvisors.com | USA |
| JAFTEX Corporation | Conti | www.jaftex.com | USA |
| Bruss North America | Conti | www.bruss.de | USA |
| Aisha Steel-ASML | Conti | www.aishasteel.com | Pakistan |
| LOGROS S.A. | Conti | logrossa.com | Argentina |
| Unione dei Comuni Terre di Pianura | RansomEXX | terredipianura.it | Italy |
| cloudpros.com | LockBit | cloudpros.com | USA |
| Canada West Land | BlackByte | canadawestland.com | Canada |
| Emery Jensen Distribution | BlackByte | emeryjensendistribution.com | USA |
| Purifoy Chevrolet Co. | BlackByte | www.purifoychevrolet.com | USA |
| Williams & Rowe Company, Inc. | BlackByte | williamsrowe.com | USA |
| Unit 8200 | Moses Staff | Unknown | Israel |
| 3D imagery of israel | Moses Staff | Unknown | Israel |
| Police Brazil | Everest | Unknown | Brazil |
| Gibbs Wire And Steel | Conti | www.gibbswire.com | USA |
| The Center for Rural Development | Conti | www.centertech.com | USA |
| National Material | Conti | www.nmlp.com | USA |
Banken VS moeten ransomware en ddos-aanvallen binnen 36 uur melden
Vanaf 1 mei volgend jaar zijn banken in de Verenigde Staten verplicht om ernstige cyberincidenten zoals ransomware-infecties en ddos-aanvallen na ontdekking binnen 36 uur bij de federale toezichthouder FDIC (Federal Deposit Insurance Group) te melden. Volgens de toezichthouder zit erop dit moment een gat in het tijdig door banken worden gewaarschuwd over ernstige cyberincidenten. Met de nu aangekondigde meldplicht moeten de FDIC en andere financiële toezichthouders beter in staat zijn om op cyberdreigingen voor de banksector te reageren. De meldplicht geldt voor alle cyberincidenten die invloed hebben op de bedrijfsvoering en de mogelijkheid om producten en diensten aan te bieden of de stabiliteit van de financiële sector. Als voorbeeld noemt de FDIC ddos- of ransomware-aanvallen. Wanneer blijkt dat het cyberincident gevolgen heeft voor klanten en dit langer duurt van vier uur zijn banken verplicht om dit aan de klanten te laten weten. De meldplicht gaat op 1 april 2022 in en vanaf 1 mei 2022 is volledige compliance vereist.
Conti's Tor-onderhandelingssite kort stilgelegd door kaping
Conti guys has some small problems it seems... pic.twitter.com/u9pW3r5IlI
— MalwareHunterTeam (@malwrhunterteam) November 18, 2021
Nieuwe Memento-ransomware schakelt over naar WinRar na mislukte versleuteling
Een nieuwe ransomware-groep genaamd 'Memento' hanteert de ongebruikelijke aanpak om bestanden met een wachtwoord beveiligde archieven te vergrendelen nadat hun versleutelingsmethode steeds werd gedetecteerd door beveiligingssoftware. Vorige maand werd de groep actief toen ze een VMware vCenter Server-webclientfout begonnen uit te buiten voor de eerste toegang tot de netwerken van slachtoffers. De vCenter-kwetsbaarheid wordt bijgehouden als ' CVE-2021-21972 ' en is een niet-geverifieerde, externe code-uitvoeringsbug met een 9,8 (kritieke) prioriteitsclassificatie. Door deze fout kan iedereen met externe toegang tot TCP/IP-poort 443 op een blootgestelde vCenter-server opdrachten uitvoeren op het onderliggende besturingssysteem met beheerdersrechten. Een patch voor deze fout kwam in februari uit, maar zoals blijkt uit de operatie van Memento, hebben tal van organisaties hun installaties niet gepatcht. Dit beveiligingslek wordt sinds april door Memento uitgebuit, terwijl in mei een andere actor werd opgemerkt die het misbruikte om XMR-mijnwerkers te installeren via PowerShell-commando's.
Ransomwaregroep verdiende sinds juli 25,5 miljoen dollar
De Conti-ransomwaregroep verdiende sinds juli van dit jaar zeker 25,5 miljoen dollar, zo claimt securitybedrijf Prodaft op basis van een analyse van de bitcoinadressen die de criminelen gebruikten. In september waarschuwden de FBI, de Amerikaanse geheime dienst NSA en het Cybersecurity and Infrastructure Security Agency (CISA) voor een toename van aanvallen door de Conti-groep. Volgens de overheidsinstanties heeft deze groep meer dan vierhonderd aanvallen tegen Amerikaanse en internationale organisaties uitgevoerd. Conti hanteert een ransomware-as-a-service (RaaS)-model. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. In het geval van de Conti-groep betalen de ontwikkelaars de criminelen die de ransomware verspreiden geen percentage maar een loon, aldus de FBI en NSA. Om toegang tot netwerken te krijgen maken de criminelen onder andere gebruik van malafide e-mailbijlagen, gecompromitteerde vpn- en rdp-wachtwoorden en bekende kwetsbaarheden in Windows en firewalls van Fortinet. "Conti weet dat veel gebruikers hun beveiligingsupdates niet tijdig installeren. De partners van de ransomwaregroep gaan ervan uit dat gebruikers dagen of soms zelfs weken wachten met het installeren van patches. Met een geautomatiseerd RaaS-model zoals dat van Conti is het mogelijk voor aanvallers om ongepatchte systemen uren na het uitkomen van beveiligingsupdates aan te vallen", aldus Prodaft. Tijdens het onderzoek naar de Conti-groep ontdekte Prodaft 113 bitcoinadressen die bij de aanvallen werden gebruikt. Sinds juli ontvingen deze adressen 25,5 miljoen dollar in bitcoin. Daarnaast blijkt dat één van de partners van de Conti-groep ook voor de DarkSide-groep heeft gewerkt, die achter de aanval op de Colonial Pipeline in de Verenigde Staten zat. Recentelijk meldde Europol dat de Conti-groep dit jaar twaalf miljoen dollar zou hebben verdiend.
Cyberaanval op Heijmans, hackers proberen 1300 accounts te kraken
Hackers hebben 24 uur lang geprobeerd om in te breken in het computersysteem van bouwbedrijf Heijmans in Rosmalen. Geprobeerd, want de digitale beveiliging van het bedrijf was gelukkig op orde. ‘’Een aanval gebeurt vaker maar in deze omvang hebben we het nog niet eerder gezien’’, vertelt woordvoerder Jeroen van den Berk. Het gaat om zo’n 1300 accounts waarop ingelogd werd. Van zondagavond tot maandagavond ondervond het bedrijf enige overlast van de hackpogingen. ‘’Er werd geprobeerd om toegang te krijgen op de accounts van medewerkers van Heijmans. De beveiliging werkte goed waardoor accounts op slot gingen na drie foute inlogpogingen.’’ Doordat accounts tijdelijk onbruikbaar werden, konden de hackers maar ook de medewerkers niet meer inloggen. ‘’Dat is vervelend voor de medewerkers maar hierdoor hebben we erger kunnen voorkomen. We hebben gelukkig geen schade opgelopen’’, aldus de woordvoerder. Lees verder
Russische ransomware bendes gaan samenwerken met Chinese hackers
Er is een ongebruikelijke activiteit aan de gang op Russisch sprekende cybercriminaliteitsforums, waar hackers contact lijken te zoeken met Chinese tegenhangers voor samenwerking. Deze pogingen om Chinese dreigingsactoren in te schakelen, worden voornamelijk gezien op het RAMP-hackforum, dat Mandarijnsprekende actoren aanmoedigt om deel te nemen aan gesprekken, tips te delen en samen te werken aan aanvallen.
Duitse overheid verwacht toename van ddos-aanvallen op webwinkels
De Duitse overheid verwacht de komende tijd een toename van ddos-aanvallen op webwinkels en roept ondernemers op om maatregelen te nemen. Criminelen zouden Black Friday, Cyber Monday en de kerstperiode aangrijpen om winkeliers door middel van ddos-aanvallen af te persen. "De afgelopen weken hebben we ddos-aanvallen tot 21,8 miljoen requests per seconde (MRPS) gezien. Dit is een toename van 28 procent in vergelijking met eerdere aanvallen. Gevreesd wordt dat de aanvalstechnologieën tijdens de komende drukke periode worden ingezet, met name voor ddos-afpersing", zegt Arne Schönbohm, hoofd van het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Volgens Schönbohm is het belangrijk dat webshops voorzorgsmaatregelen treffen. Daarbij moet vooral worden gelet op UDP-reflectie-aanvallen met veel requests. Verder roept het BSI aangevallen winkeliers op om niet op afpersingspogingen te reageren. Onlangs meldde Cloudflare dat het een ddos-aanval van 2 Tbps heeft geblokkeerd. De grootste aanval die het tot nu toe heeft gezien.
Dit zijn de cryptomixers die hackers gebruiken om hun losgeld op te schonen
Cryptomixers zijn altijd het epicentrum geweest van cybercriminaliteit, waardoor hackers cryptovaluta die van slachtoffers zijn gestolen, kunnen "opschonen", waardoor het voor wetshandhavers moeilijk wordt om ze te volgen. Wanneer cybercriminelen cryptocurrency stelen of ontvangen als losgeld, kunnen wetshandhavers of onderzoekers zien naar welke cryptocurrency-portemonnee het geld is gestuurd. Mixers stellen cybercriminelen in staat om illegaal verkregen cryptocurrency te deponeren en deze vervolgens te mengen in een grote pool van "willekeurige" transacties. Op deze manier raakt de originele crypto verstrikt in een grote verzameling sommen uit veel verschillende en onbekende bronnen. Wanneer dit klaar is, wordt de "opgeschoonde" crypto naar een ander adres gestuurd dat eigendom is van de cybercriminelen die nog niet eerder zijn gebruikt en onbekend is bij wetshandhavers. Voor het gebruik van deze service nemen de cryptomixers een commissie (meestal 1-3%) van de gemengde cryptocurrency. "Sommige services stellen gebruikers in staat om een "dynamische" servicevergoeding te kiezen, wat hoogstwaarschijnlijk wordt gedaan om onderzoeken naar illegale cryptocurrency-fondsen te bemoeilijken door het bedrag dat wordt witgewassen in verschillende stadia van het proces te wijzigen, waardoor het moeilijker wordt om het geld aan een specifieke misdaad of individu", legt het rapport van Intel471 uit.
Nieuwe ChiChi Ransomware ontdekt
.chichi Babuk #Ransomware
— dnwls0719 (@fbgwls245) November 17, 2021
2C1BACB056654515171BEDADAECFE67E
Mutex: chichigotmanagedyou pic.twitter.com/eWRBkBmuAa
Voorafgaand aan de hoorzitting publiceert de commissie een nieuwe nota over losgeldaanvallen op Amerikaanse bedrijven
Carolyn B. Maloney, voorzitter van de Committee on Oversight and Reform, heeft vandaag (16-11-21) een aanvullende memo vrijgegeven die nieuwe inzichten biedt in hoe de spraakmakende ransomware-aanvallen op CNA Financial Corporation (CNA), Colonial Pipeline Company (Colonial) en JBS Foods USA (JBS) zich ontvouwden, en hoe wetgeving en beleidsreacties kunnen worden ontwikkeld om de dreiging van ransomware tegen te gaan. In juni 2021 startte de commissie een onderzoek naar ransomware-aanvallen en losgeldbetalingen door Amerikaanse bedrijven aan cybercriminelen. Als onderdeel van dit onderzoek heeft de commissie brieven gestuurd naar bedrijven die het slachtoffer waren van enkele van de meest prominente ransomware-aanvallen van het afgelopen jaar, waaronder CNA Financial Corporation , Colonial Pipeline Company en JBS Foods USA.
Honderden WordPress-sites getroffen door zogenaamde ransomware-infectie
Honderden WordPress-sites zijn getroffen door een zogenaamde ransomware-infectie waarbij bezoekers het bericht te zien krijgen dat de website is versleuteld. Dat meldt securitybedrijf Sucuri. Volgens het bericht op de website moet er voor het ontsleutelen van de versleutelde bestanden 0,1 bitcoin worden betaald, wat op het moment van schrijven overeenkomt met ruim 5300 euro. In het verleden zijn er vaker aanvallen op websites uitgevoerd waarbij bestanden van de site voor losgeld werden versleuteld of gestolen. Bij de nu getroffen WordPress-sites is daar geen sprake van en zijn er geen bestanden versleuteld. Aanvallers hebben een plug-in weten te installeren die de losgeldboodschap toont. Het verwijderen van de plug-in is dan ook voldoende om de melding te verwijderen. Volgens Sucuri stond de teller gisteren op 291 getroffen websites. Hoe de aanvallers in staat zijn om de plug-in te installeren is op dit moment onduidelijk. Op basis van logbestanden blijkt dat de aanvallers over inloggegevens van getroffen websites beschikken, die mogelijk via een bruteforce-aanval of andere manier zijn verkregen. Beheerders van getroffen websites wordt dan ook geadviseerd om alle beheerderswachtwoorden te wijzigen en alle bestaande beheerders van de site te controleren.
FBI bevestigt misbruik van beveiligingslek in portaal voor opsporingsdiensten
Een beveiligingslek in een portaal van de FBI waarmee opsporingsdiensten informatie uitwisselen is door een aanvaller misbruikt voor het versturen van nepmails, zo heeft de Amerikaanse opsporingsdienst in een verklaring bekendgemaakt. Het Law Enforcement Enterprise Portal (LEEP) is een "beveiligd platform" dat Amerikaanse opsporingsdiensten, inlichtingengroepen en andere justitiële onderdelen gebruiken voor het uitwisselen van documenten, profielen van verdachten en informatie over dreigingen. Een aanvaller wist via een kwetsbaarheid in de registratieprocedure van het portaal zelfverzonnen berichten te versturen die vanaf een e-mailadres en server van de FBI afkomstig waren. In het bericht werden ontvangers gewaarschuwd dat hun systemen waren gecompromitteerd. Tegenover it-journalist Brian Krebs verklaarde de aanvaller dat hij via de kwetsbaarheid veel ergere aanvallen had kunnen uitvoeren en bijvoorbeeld data van organisaties had kunnen ontfutselen. De FBI spreekt zowel over een misconfiguratie als een beveiligingslek waardoor de aanval mogelijk was. De server die de nepmails verstuurde maakt geen deel uit van de zakelijke mailservice van de opsporingsdienst. De kwetsbaarheid is inmiddels verholpen en alle partners zijn over de nepmails gewaarschuwd. Volgens de opsporingsdienst heeft de aanvaller geen toegang tot data of persoonlijke informatie op het FBI-netwerk gekregen. Verdere details zijn niet bekendgemaakt.
‘Emotet’ botnet krabbelt weer op na acties Interpol
De zogeheten Emotet-malware wordt opnieuw verspreid na infecties met de TrickBot-malware. Verschillende vooraanstaande beveiligingsonderzoekers signaleren dat kwaadwillenden hiermee het Emotet botnet willen herstellen. Afgelopen voorjaar namen Europol en de Duitse autoriteiten het botnet over en gebruikten de infrastructuur om de malware op alle geïnfecteerde computers te verwijderen. Beveiligingsonderzoekers van Cryptolaemus, GData en Advanced Intel zien sinds kort dat criminelen computers die geïnfecteerd zijn met Trickbot, malware gebruiken om de Emotet malware weer uit te rollen en het beruchte gelijknamige botnet te herstellen.
2021-11-14: 🔥The "#Emotet partner ($) loader" program appears resorcing from existing #TrickBot infections.
— Vitali Kremez (@VK_Intel) November 15, 2021
📌TrickBot launched what appears to be the newer Emotet loader.
👇https://t.co/nVugStaAvE https://t.co/GHupFlENaQ
This is our 3rd anniversary of Cryptolaemus1. Thanks for all the follows and sharing of intel these past 3 years! To celebrate, Ivan has released a new version of Emotet because he feels left out and wants to be part of the party. More details coming soon. As always watch URLHaus pic.twitter.com/Qwvel32ibB
— Cryptolaemus (@Cryptolaemus1) November 15, 2021
Moses Staff-hackers richten grote schade aan op Israëlische organisaties met versleuteling zonder losgeld
Een nieuwe hackergroep genaamd 'Moses Staff' heeft onlangs de verantwoordelijkheid opgeëist voor talrijke aanvallen op Israëlische entiteiten, die politiek gemotiveerd lijken omdat ze geen losgeld eisen. De dreigingsactoren hebben de afgelopen maanden herhaaldelijk schade toegebracht aan Israëlische systemen, door netwerken te infiltreren en bestanden te versleutelen, en vervolgens de gestolen kopieën naar het publiek te lekken. Als zodanig is het duidelijke motief van de groep om maximale operationele verstoring en schade aan zijn doelen te veroorzaken door bedrijfsgeheimen en andere gevoelige informatie bloot te leggen via speciale datalekkensites, Twitter-accounts en Telegram-kanalen.
Tienduizenden spamberichten door FBI verstuurd na cyberaanval
Er zijn tienduizenden spamberichten verstuurd vanuit servers van de FBI. Volgens bepaalde cybersecurity-onderzoekers is dit het gevolg van een cyberaanval die een lek in het systeem moet aantonen. Afgelopen weekend werden via servers van de FBI tienduizenden spamberichten verzonden. Volgens onderzoeksjournalist Brian Krebs is dit het werk van een hacker die een programmeerfout het FBI-platform wil aantonen.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Tips of verdachte activiteiten gezien? Meld het hier.
Meer weekoverzichten
Iedere maandag om 15:00 het complete overzicht van de afgelopen week. Wil je deze in de mail ontvangen zodat je geen enkel overzicht mist? Laat het ons dan weten via het volgende e-mailadres aanmelden.cybercrimeinfo.nl@gmail.com onder de vermelding van 'Aanmelding overzicht cyberaanvallen'
Slachtofferanalyse en Trends van Week 45-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
