Noord-Koreaanse aanvallers deden zich voor als Samsung, website Marokkaans ondernemersverbond gehackt door Algerijnen en IKEA e-mailsystemen getroffen door cyberaanval. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Meer dan 3.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.
Status op 29 november 2021 : 3.924
Week overzicht
| Slachtoffer | Cybercriminelen | Website | Land |
|---|---|---|---|
| gaben.cz | LV | gaben.cz | Czech Republic |
| DUNMORE | Conti | www.dunmore.com | USA |
| Aspen Avionics | Conti | aspenavionics.com | USA |
| Cadence Aerospace | snatch | www.cadenceaerospace.com | USA |
| Bock, Hatch, Lewis & Oppenheim, LLC | snatch | bockhatchllc.com | USA |
| Landmark Builders | snatch | www.landmarkbuilders.com | USA |
| Daylesford Organic | snatch | www.daylesford.com | UK |
| Amtech Corporation | snatch | www.amtechcorp.com | USA |
| APG Neuros | snatch | apg-neuros.com | Canada |
| Match MG | snatch | www.matchmg.com | USA |
| Salinen Austria | snatch | www.salinen.com | Austria |
| Ishida | snatch | www.ishida.com | Japan |
| Arbitech | snatch | www.arbitech.com | USA |
| hsvgroup.talentnetwork.vn | LockBit | hsvgroup.talentnetwork.vn | Vietnam |
| nextech-asia.com | LockBit | nextech-asia.com | Thailand |
| telepro.com.mx | LockBit | telepro.com.mx | USA |
| effectual.com | LockBit | effectual.com | USA |
| Creative Solutions Group | Conti | csgnow.com | USA |
| lenzcontractorsinc.com | LockBit | lenzcontractorsinc.com | USA |
| MUSCHERT-GIERSE.DE | CL0P | muschert-gierse.de | Germany |
| Alixa Rx LLC | Entropy | www.alixarx.com | USA |
| Acne Studios | Conti | www.acnestudios.com | Sweden |
| vicksburgha.org | LockBit | vicksburgha.org | USA |
| ardebolassessors.cat | LockBit | ardebolassessors.cat | Spain |
| mpusd.net | LockBit | mpusd.net | USA |
| inlad.com | LockBit | inlad.com | USA |
| iveqi.com | LockBit | iveqi.com | Ivory Coast |
| Supernus Pharmaceuticals | Hive | supernus.com | USA |
| West Virginia Parkways Authority | AvosLocker | wvturnpike.com | USA |
| WELLS FARM DAIRY LIMITED | Grief | www.wellsfarmdairy.co.uk | UK |
| atlas.ind.br | LockBit | atlas.ind.br | Brazil |
| SWIRESPO.COM | CL0P | swirespo.com | Hong Kong |
| Grupo5 | Hive | grupo5.net | Spain |
| Otip | Cuba | www.otip.com | Canada |
| lawrencegroup.net.au | LockBit | lawrencegroup.net.au | Australia |
| jurelus.de | LockBit | jurelus.de | Germany |
| ALPSRX.COM | LV | alpsrx.com | USA |
| Società Italiana degli Autori ed Editori | Everest | www.siae.it | Italy |
| mtradeasia.com | LockBit | mtradeasia.com | Malaysia |
| Team Computers Ltd. | Ragnar_Locker | www.teamcomputers.com | India |
| Transco Süd Internationale Transporte Gesellschaft mit beschränkter Haftung | Grief | www.transco.eu | Germany |
| Goodwill of Central and Coastal Virginia, Inc. | BlackByte | goodwillvirginia.org | USA |
| INOXPA | BlackByte | www.inoxpa.com | Spain |
| Argentina GOV | Everest | www.argentina.gob.ar | Argentina |
| APR Supply | Hive | aprsupply.com | USA |
| Charley's Greenhouse Supply, LLC | Grief | charleysgh.com | USA |
| The British Columbia Institute Of Technology | Hive | bcit.ca | Canada |
| Marshall Investigative Group | Bonaci Group | www.mi-pi.com | USA |
| REV Engineering | Conti | www.reveng.ca | Canada |
| DKS Deutsch Kerrigan LLP | Conti | www.deutschkerrigan.com | USA |
| Charlie Hebdo | Everest | charliehebdo.fr | France |
| EDAN.COM | CL0P | edan.com | China |
| fluidsealingproducts.com | LockBit | fluidsealingproducts.com | USA |
| planters-oil.net | LockBit | planters-oil.net | USA |
| kankakeetitle.com | LockBit | kankakeetitle.com | USA |
| wnrllc.com | LockBit | wnrllc.com | USA |
| mecfond.com | LockBit | mecfond.com | Italy |
| Dealers Auto Auction Group | Conti | www.dealersauto.com | USA |
IKEA e-mailsystemen getroffen door cyberaanval
Na VDL en Mediamarkt is nu ook Ikea getroffen door een cyber aanval. Erik Westhovens zegt over deze cyber aanval die mogelijk kan worden gebruikt voor ransomware doeleinden: "Waar Ikea verschilt tegenover de twee eerder genoemden is de manier van de aanval. Bij Ikea word een relatief nieuwe techniek gebruikt om systemen te infecteren en toegang te krijgen. Deze techniek heet 'reply chain attack' waarbij medewerkers mails ontvangen die als een reply komen op schijnbaar eerder verzonden mails. Doordat de medewerker dus denkt dat het een antwoord is op een eerder verstuurde mail is deze sneller geneigd om hem te openen. In de mails zitten dan attachments die misbruik maken van een eerder geconstateerd HTML lek waardoor de documenten lijken opgemaakt te zijn in een verouderde versie van Word of Excel. Deze geeft dan een pop-up en als de gebruiker dan op enable content klikt word de demonware geïnstalleerd en is het systeem gecompromised. Toch is dit makkelijk te voorkomen door de mogelijkheid te blokkeren. Het disablen van activeX in Office helpt al met het detecteren en als je dan eenvoudige regels gebruikt als Block LSASS abuse en run LSASS in protective mode voorkomt dat de payload zich verhoogde rechten kan geven. Ook hier is detectie je beste vriend en helpt het je om de juiste maatregelen te treffen."
Nederlandse digitale infrastructuur populair bij cybercriminelen
De Nationale Politie doet een dringend beroep op Nederlandse internet- en hostingproviders om bepaalde hosting-resellers die klant zijn, goed ‘tegen het licht te houden’. Het leeuwendeel zijn Russische wederverkopers. Het Team High Tech Crime vraagt de sector om de contracten met deze klanten op te zeggen als ze overduidelijk cybercriminaliteit faciliteren. De politie heeft daartoe een lijst van 71 merendeels Russische wederverkopers opgesteld die op het surface web (het gewone internet) heel openlijk vertellen over hun dienstverlening aan cybercriminelen. Op deze lijst bevinden zich zelfs partijen die abuse of bulletproof in hun naam hebben staan. Lees verder
Google: Noord-Koreaanse aanvallers deden zich voor als Samsung
Een groep aanvallers werkzaam voor de Noord-Koreaanse overheid heeft aanvallen op personeel van Zuid-Koreaanse securitybedrijven uitgevoerd door zich voor te doen als recruiters van techgigant Samsung, zo claimt Google. De groep was volgens het techbedrijf eerder verantwoordelijk voor aanvallen op beveiligingsonderzoekers. De recente aanvallen die Googles Threat Analysis Group ontdekte waren gericht tegen medewerkers van Zuid-Koreaanse securitybedrijven die antivirussoftware verkopen. De aanvallers verstuurden zogenaamde vacatures voor posities bij Samsung. De meegestuurde pdf was echter kapot en niet te openen. Wanneer slachtoffers reageerden dat ze de taakomschrijving niet konden openen lieten de aanvallers weten dat er een "Secure PDF Reader" moest worden gedownload. Deze pdf-lezer was te downloaden via een meegestuurde link die naar Google Drive wees. De Secure PDF Reader was in werkelijkheid een aangepaste versie van pdf-lezer PDFTron en voorzien van malware waarmee de aanvallers willekeurige commando's op besmette machines konden uitvoeren, alsmede bestanden konden uploaden. Vorig jaar ontdekte Google een aanval waarbij een aangepaste versie van pdf-lezer SumatraPDF werd gebruikt. "Pdf's en bijbehorende lezers blijven een aanvalstactiek waar verschillende groepen gebruik van maken", aldus Google in een nieuw rapport van het Cybersecurity Action Team (pdf).
Evil Corp: “De jacht op 's werelds meest gezochte hackers”
Veel van de mensen op de lijst van meest gezochte cybercriminelen van de FBI zijn Russisch. Terwijl sommigen naar verluidt voor de overheid werken en een normaal salaris verdienen, worden anderen ervan beschuldigd een fortuin te verdienen met ransomware-aanvallen en online diefstal. Als ze Rusland zouden verlaten, zouden ze gearresteerd worden, maar thuis lijken ze vrij spel te krijgen. Lees verder
Smartphones aantrekkelijk doelwit voor cyberaanvallen
De Amerikaanse overheid adviseert eigenaren van een smartphone om bluetooth, nfc, wifi en gps uit te schakelen wanneer er geen gebruik van wordt gemaakt. Ook moeten openbare wifi-netwerken worden vermeden. Dat staat in een checklist die het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security voor eindgebruikers en organisaties heeft opgesteld. "Smartphones zijn een integraal onderdeel van ons leven. Naar schatting zijn er 294 miljoen smartphones in de Verenigde Staten, wat deze toestellen een aantrekkelijk doelwit voor cybercriminelen maakt", aldus het CISA. Volgens de overheidsinstantie kunnen gebruikers en organisaties eenvoudige stappen nemen om de cybersecurity van hun telefoons te verbeteren. Het gaat dan onder andere om het installeren van updates, het gebruik van biometrische authenticatie en tweefactorauthenticatie, het verwijderen van onnodige apps en het beperken van persoonlijke informatie in apps en het beveiligen van netwerkcommunicatie. Zo moeten onnodige netwerkradio's als bluetooth, nfc, wifi en gps worden uitgeschakeld. "Elke verbinding is een potentiële aanvalsvector", zo stelt het CISA. Ook moet er geen gebruik worden gemaakt van openbare wifi-netwerken. Verder adviseert het CISA om alleen vertrouwde opladers en kabels te gebruiken. "Een malafide oplader of pc kan je smartphone met malware infecteren en zo het toestel overnemen. Een besmette telefoon kan ook een dreiging vormen voor externe systemen zoals pc's." Naast een checklist voor eindgebruikers (pdf) heeft het CISA ook een checklist uitgebracht die organisaties kunnen gebruiken voor het beveiligen van de smartphones van medewerkers (pdf). Daarin wordt verder aangeraden om smartphones geen verbinding met vitale systemen te laten maken.
Apple waarschuwt gebruikers via e-mail en iMessage voor staatsaanvallen
Apple waarschuwt gebruikers voortaan via e-mail en iMessage wanneer ze het doelwit zijn geworden van door staten uitgevoerde en gesteunde aanvallen. Ook krijgen gebruikers een melding te zien wanneer ze inloggen op appleid.apple.com. Dat heeft het techbedrijf bekendgemaakt. "Deze gebruikers worden individueel aangevallen vanwege wie ze zijn of wat ze doen", aldus Apple. Volgens het techbedrijf maken door staten gesteunde aanvallers gebruik van uitzonderlijke middelen om een klein aantal, specifieke personen en hun toestellen aan te vallen, waardoor deze aanvallen veel lastiger te detecteren en te voorkomen zijn. "Door staten gesteunde aanvallen zijn zeer complex, kosten miljoenen dollars om te ontwikkelen en zijn vaak kort bruikbaar. De meeste gebruikers zullen nooit doelwit van dergelijke aanvallen zijn", zo laat Apple weten. Wanneer het bedrijf ontdekt dat gebruikers toch doelwit zijn geworden zal het deze personen op twee manieren informeren. Bij het inloggen op appleid.apple.com verschijnt er bovenaan de pagina een melding. Daarnaast verstuurt Apple waarschuwingen via e-mail en iMessage naar het e-mailadres en telefoonnummer van het Apple ID. In de waarschuwingen staan aanvullende maatregelen die gebruikers kunnen nemen om hun systemen te beschermen. Om te controleren of de meldingen echt van Apple afkomstig zijn wordt aangeraden om in te loggen op appleid.apple.com. Verder stelt Apple dat gebruikers best practices moeten toepassen om zich tegen cybercriminelen en "consumentenmalware" te beschermen, waaronder het installeren van beveiligingsupdates, het beveiligen van toestellen met een passcode, het gebruik van tweefactorauthenticatie en een sterk wachtwoord voor het Apple ID, het alleen maar installeren van apps uit de App Store en het niet openen van links of bijlagen van onbekende afzenders.
De wederopstanding van Emotet malware
Emotet is sinds vorige week weer actief en beveiligingsexperts vrezen voor een wederopstanding. De komende tijd kunnen we een forse toename aan spam en phishingmails verwachten. Onderzoekers zijn bang dat er wereldwijd honderdduizenden nieuwe slachtoffers gaan vallen. Emotet is de opvolger van GandCrab en dook in 2014 voor het eerst op. De malware deed zich aanvankelijk voor als een Trojaans paard, waarmee hackers bankrekeningnummers en inloggegevens buit probeerden te maken. Tegenwoordig verspreiden cybercriminelen ransomware, spyware en andere malware via Emotet. Tevens proberen ze hiermee een achterdeur aan te brengen op bedrijfsnetwerken. Ze voeren dan op een onverwacht moment een cyberaanval uit, of verkopen de toegang tot het netwerk aan de hoogste bieder. Lees verder
Website Marokkaans ondernemersverbond gehackt door Algerijnen
De officiële website van de Marokkaanse werkgeversorganisatie (CGEM) is het doelwit geworden van een cyberaanval. De website was op maandagavond onbereikbaar. Een Algerijnse hacker zou verantwoordelijk zijn voor de aanval. "No peace between systems" (Geen vrede tussen systemen), kon men lezen op de homepagina van de website van het CGEM, met daarboven de Algerijnse vlag en de handtekening van de hacker: 1337_H4x0rs_DZ. Het zou volgens specialisten om een defacement gaan, dat is een ongevraagde verandering in de presentatie van een website na een hack. De afbeelding die de hacker op de pagina heeft geplaatst is inmiddels verwijderd, maar de website is op dit moment nog steeds onbereikbaar. Alle subdomeinen van de site zijn gehackt. Algerijnse functionarissen hebben Marokko in de afgelopen weken verschillende malen beschuldigd van cyberaanvallen tegen hun land.
Vierduizend webwinkels besmet met malware die creditcardgegevens steelt
De Britse overheid heeft ruim vierduizend webwinkels gevonden waar aanvallers via een kwetsbaarheid in webshopsoftware Magento malware aan hadden toegevoegd die creditcardgegevens steelt. Het National Cyber Security Centre (NCSC) ontdekte tot eind september in totaal 4151 gecompromitteerde webwinkels. De malware die de aanvallers aan de bestelpagina's hadden toegevoegd steelt creditcardgegevens die klanten tijdens het afrekenen invullen. Uit onderzoek bleek dat de aanvallers via een bekende kwetsbaarheid in de Magento-software, waarop de webwinkels draaien, toegang hadden gekregen. Vervolgens konden ze de kwaadaardige code toevoegen. De webshops in kwestie hadden nagelaten een beschikbare beveiligingsupdate te installeren. Het NCSC heeft alle winkels voor de aanwezige malware gewaarschuwd en opgeroepen de Magento-patch te installeren. Van hoeveel klanten de creditcardgegevens zijn gestolen is onbekend.
VS vraagt vitale infrastructuur alert te zijn op cyberaanvallen tijdens feestdagen
De Amerikaanse overheid heeft de vitale infrastructuur in het land opgeroepen om alert te zijn op cyberaanvallen tijdens de feestdagen en in kaart te brengen welke it-medewerkers tijdens een ransomware-aanval of ander incident beschikbaar kunnen zijn. De waarschuwing is afkomstig van de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. De overheidsdiensten hebben naar eigen zeggen geen informatie over specifieke dreigingen die tijdens de aankomende feestdagen kunnen plaatsvinden, maar stellen dat uit het verleden blijkt dat de feestdagen vaak door criminelen worden aangegrepen voor het aanvallen van organisaties, bedrijven en de vitale infrastructuur. Daarom is het volgens de FBI en het CISA belangrijk dat organisaties preventieve maatregelen nemen. Zo moet it-personeel in kaart worden gebracht dat tijdens een ransomware-aanval of ander incident op de feestdagen beschikbaar is. Verder wordt het gebruik van multifactorauthenticatie voor remote acces- en beheerdersaccounts aangeraden en dient er gebruik te worden gemaakt van sterke wachtwoorden. In het geval het remote desktop protocol (RDP) of andere potentieel gevaarlijke diensten in gebruik zijn, moeten die worden beveiligd en gemonitord. Als laatste adviseren de FBI en het CISA om personeel erop te wijzen niet op verdachte links te klikken.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Tips of verdachte activiteiten gezien? Meld het hier.
Meer weekoverzichten
Iedere maandag om 15:00 het complete overzicht van de afgelopen week. Wil je deze in de mail ontvangen zodat je geen enkel overzicht mist? Laat het ons dan weten via het volgende e-mailadres aanmelden.cybercrimeinfo.nl@gmail.com onder de vermelding van 'Aanmelding overzicht cyberaanvallen'
Slachtofferanalyse en Trends van Week 45-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
