Politiedata gekraakt en online gezet door LockBit ransomware criminelen, REvil 'superhacker' gezocht door FBI wordt ontmaskerd door DailyMail en bende achter Cuba-ransomware ontving 44 miljoen dollar van slachtoffers. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Meer dan 4.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.
Status op 6 december 2021 : 4.007
Week overzicht
| Slachtoffer | Cybercriminelen | Website | Land |
|---|---|---|---|
| serta.com | LV | serta.com | USA |
| ORNATOP SRL | Grief | www.ornatop.it | Italy |
| Versatrim, Inc. | Grief | www.versatrim.com | USA |
| SAS SUD TRADING COMPANY | Grief | www.stcpro.fr | France |
| promhotel.fr | LV | promhotel.fr | France |
| LAVI | Conti | lavi.com | USA |
| RLD Associates | Conti | rldassociates.com | USA |
| CS ENERGY | Conti | www.csenergy.com.au | Australia |
| TRI-COUNTY ELECTRIC COOPERATIVE, INC. | Conti | www.tcec.com | USA |
| HOULE | Conti | www.houle.ca | Canada |
| Spencer Gifts LLC | Conti | www.spencersonline.com | USA |
| Seldin | Everest | www.seldin.com | USA |
| roemer-lueftung.de | LockBit | roemer-lueftung.de | Germany |
| nowiny.pl | LockBit | nowiny.pl | Poland |
| comark.ca | LockBit | comark.ca | Canada |
| Bohlin Cywinski Jackson | Suncrypt | www.bcj.com | USA |
| Sadbhav Engineering | Hive | www.sadbhaveng.com | India |
| atlas.in | LockBit | atlas.in | India |
| psmportraits.com | LockBit | psmportraits.com | USA |
| murrayscheese.com | LockBit | murrayscheese.com | USA |
| CareFirst CHPDC | Snatch | trustedhp.com | USA |
| Lootah Group | Snatch | lootahgroup.com | United Arab Emirates |
| Institute For Systems And Robotics | Hive | www.isr.tecnico.ulisboa.pt | Portugal |
| Groupe LDLC | Ragnar_Locker | www.groupe-ldlc.com | France |
| Premier Crane & Transportation, Inc. | Grief | perrents.com | USA |
| The Adelaïde Group (Verlingue) | Entropy | www.adelaidegroup.fr | France |
| mainstreamdata.com | LockBit | mainstreamdata.com | USA |
| travel-general.com | LockBit | travel-general.com | UK |
| SICAME AUSTRALIA PTY LTD | Grief | www.sicame.com.au | Australia |
| MediaMarkt | Hive | www.mediamarktsaturn.com | Germany |
| Drake & Scull International PJSC | Hive | drakescull.com | Qatar |
| Bohlke International Airways | Hive | www.bohlke.com | U.S. Virgin Islands |
| summit-christian-academy.org | LockBit | summit-christian-academy.org | USA |
| Amigo-Kids.com | CoomingProject | amigo-kids.com | Bulgaria |
| Western Heating & Air Conditioning | AvosLocker | westernhvac.com | USA |
| Hahn Engineering | AvosLocker | hahneng.com | USA |
| Decorator Industries | AvosLocker | decoratorindustries.com | USA |
| MCP Services LLC | 54BB47H (Sabbath) | mcpsrvs.com | USA |
| RocTechnologies | 54BB47H (Sabbath) | roctechnologies.com | UK |
| Starline | 54BB47H (Sabbath) | starlinesupply.com | USA |
| AISD | 54BB47H (Sabbath) | allenisd.org | USA |
| Stoningtonschools | 54BB47H (Sabbath) | www.stoningtonschools.org | USA |
| Flagship | 54BB47H (Sabbath) | www.flagshipcompaniesgroup.com | USA |
| kenwal.com | LockBit | kenwal.com | USA |
| Volvo Car Corporation | Snatch | www.volvocars.com | USA |
| QRS Healthcare Solutions | Snatch | www.qrshs.com | USA |
| UABL S.A. | Quantum | www.atrialogistica.com | Argentina |
| Burda Sanitärtechnik | Conti | burda-online.com | Germany |
| Koltepatil | BlackByte | www.koltepatil.com | India |
| Karges-Faulconbridge, Inc. | BlackByte | www.kfi-eng.com | USA |
| MOTOR VEHICLE ACCIDENT FUND PENSION FUND | BlackByte | www.mvafund.bw | Botswana |
| Отбасы банк | ROOK | hcsbk.kz | Kazakhstan |
| FUND-X S.A. | Entropy | www.fund-x.com | Luxembourg |
| PALMER LOGISTICS | Conti | www.palmerlogistics.com | USA |
| DEWEtech | Conti | www.deinzer-weyland.de | Germany |
| TTC | Conti | www.ttc.ca | Canada |
| Delta Group Electronics | Conti | deltagroupinc.com | USA |
| ION | Conti | www.iongeo.com | USA |
| MGA RESEARCH | Conti | mgaresearch.com | USA |
| NOLATO | Conti | www.nolato.com | Sweden |
| ATA National Title Group | Conti | www.atatitle.com | USA |
| Glamox Group | Conti | glamox.com | Norway |
| MENZ&GASSER | Conti | www.menz-gasser.it | Italy |
| The Grupo Daniel Alonso | Conti | www.grupo-danielalonso.es | Spain |
| KISTERS | Conti | www.kisters.de | Germany |
| DUNA AUTO az Autovaros | Conti | dunaauto.hu | Hungary |
| FRONTIER SOFTWARE | Conti | au.frontiersoftware.com | UK |
| Eberspächer Group of Companies | Conti | www.eberspaecher.com | Germany |
| DAMM | Conti | www.damm.com | Spain |
| Wolverine freight | Grief | www.wolverinefreight.ca | Canada |
| SIRCHIE | Conti | www.sirchie.com | USA |
| totalfire.biz | LockBit | totalfire.biz | USA |
| callay.com.tr | LockBit | callay.com.tr | Turkey |
| dlb.it | LockBit | dlb.it | Italy |
| San Carlo | Conti | www.sancarlo.it | Italy |
| Epple Druckfarben | Conti | www.epple-druckfarben.com | Germany |
| Besson Seguros | RobinHood | bessonseguros.com | Mexico |
| reigroup.com | LV | reigroup.com | Iraq |
'Politiedata gekraakt en online gezet'
De systemen van Abiom, een bedrijf dat communicatietechnologie levert aan onder andere politie, defensie, de Belastingdienst en ziekenhuizen, zijn digitaal aangevallen door hackers. De Volkskrant heeft interne documenten kunnen inzien van vertrouwelijke communicatie met overheden die door ransomwaregroep LockBit online zijn gezet. LockBit-ransomware is gijzelsoftware waarmee de toegang van gebruikers tot computersystemen is geblokkeerd totdat losgeld wordt betaald. Abiom was onbereikbaar voor de krant, maar het lijkt erop dat het bedrijf niet heeft betaald. In ieder geval een deel van de gestolen informatie is openbaar gemaakt, zoals facturen aan de politie, kopieën van paspoorten en details van apparatuur die bij politie- en defensieonderdelen is geplaatst. Die gegevens kunnen criminelen vervolgens weer gebruiken voor bijvoorbeeld bedrijfsspionage of een volgende onlinekraak. LockBit, dat een aantal jaren actief is, heeft inmiddels wereldwijd duizenden organisaties aangevallen.
Androidgebruikers door criminelen gebeld om bankmalware te installeren
Onderzoekers hebben een campagne ontdekt waarbij criminelen Androidgebruikers opbellen en vragen om een app te installeren die in werkelijkheid bankmalware is en allerlei gegevens steelt. De recent ontdekte aanval is gericht tegen Italiaanse bankklanten, maar de verantwoordelijke criminelen maken hierbij ook gebruik van Nederlandse katvangers, zo meldt securitybedrijf Cleafy.
REvil 'superhacker' gezocht door FBI wordt ontmaskerd door DailyMail.com
Een van de meest gezochte mannen van de FBI die gelinkt wordt aan ransomware-bende REvil leeft vrij in een Siberische stad zonder tekenen dat de Russische autoriteiten hun best doen om hem aan te houden. DailyMail.com volgde de vermoedelijke superhacker Yevgeniy Polyanin (28) naar een chique huis van $ 380.000 (USD) in Barnaul, waar hij werd gezien in zijn Toyota Land Cruiser 200 van $ 74.000 en zich blijkbaar onaantastbaar voelde. Zijn vrouw Sofia (28), runt openlijk een luxe sociale media bakbedrijf - inclusief racy vrijgezellenfeest cupcakes versierd met mannelijke genitaliën - terwijl hij door de Amerikaanse autoriteiten wordt beschuldigd van het afpersen van miljoenen dollars van Amerikaanse bedrijven. Het paar geniet van een luxe levensstijl, met helikoptervluchten naar het nabijgelegen schilderachtige Altai-gebergte.
Apple waarschuwt Amerikaans ambassadepersoneel voor spyware-infecties
Apple heeft elf medewerkers van Amerikaanse ambassades gewaarschuwd dat hun iPhones de afgelopen maanden besmet zijn geraakt met de Pegasus-spyware. De waarschuwingen werden vorige maand verstuurd en waren met name gericht aan personeel werkzaam voor de ambassade in Oeganda, zo melden persbureau Reuters en The Washington Post op basis van bronnen.
FBI: bende achter Cuba-ransomware ontving 44 miljoen dollar van slachtoffers
De bende achter de Cuba-ransomware heeft zo'n 44 miljoen dollar losgeld van slachtoffers ontvangen, zo stelt de FBI. Volgens de Amerikaanse opsporingsdienst wisten de criminelen zeker 49 organisaties in vijf vitale infrastructuursectoren te infecteren, waaronder financiële, overheids-, gezondheidszorg-, productie- en it-sectoren. De Cuba-ransomware wordt geïnstalleerd door de Hancitor-malware. De criminelen achter deze malware maken gebruik van phishingmails, kwetsbaarheden in Microsoft Exchange, gecompromitteerde inloggegevens en het remote desktop protocol (RDP) om toegang tot netwerken te krijgen, aldus de FBI. Vervolgens verspreiden ze de Hancitor-malware die uiteindelijk de Cuba-ransomware uitrolt. De ransomwarebende zou zeker 74 miljoen dollar losgeld van slachtoffers hebben geëist en 43,9 miljoen dollar hebben ontvangen. Om infecties door de ransomware te voorkomen doet de FBI verschillende aanbevelingen, waaronder netwerksegmentatie, het uitschakelen van command-line en scriptingactiviteiten en het beheer van offline back-ups (pdf).
Meer sectoren krijgen meldplicht cyberincidenten
In meer sectoren gaat een meldplicht voor ernstige cyberincidenten gelden en moeten bedrijven en organisaties verplicht passende maatregelen nemen om hun netwerken en systemen te beveiligen. Het gaat onder andere om grotere partijen die actief zijn in de voedselproductie en -distributie, maakindustrie en post- en koeriersdiensten. Aanbieders van essentiële diensten, zoals banken, drinkwater, energiesector, worden op dit moment onder de EU Netwerk- en Informatiebeveiligingsrichtlijn door de Rijksoverheid aangewezen. Ook digitale dienstverleners, zoals clouddiensten en online marktplaatsen, vallen nu al onder de richtlijn. Zij moeten maatregelen nemen voor hun digitale veiligheid en hebben een meldplicht voor ernstige cyberincidenten. De EU-ministers zijn akkoord gegaan met het voorstel van de Europese Commissie om de informatiebeveiligingsrichtlijn te herzien, waardoor het aantal sectoren verder wordt uitgebreid. De herziene richtlijn kent twee categorieën: essentiële aanbieders en belangrijke aanbieders. Bij de essentiële aanbieders, voornamelijk partijen uit vitale sectoren, is het toezicht straks proactief. Bij de belangrijke aanbieders vindt het toezicht achteraf plaats, vooral naar aanleiding van een incident. Aanbieders moeten daarnaast verplichte beveiligingsmaatregelen treffen, zoals de beveiliging van de toeleveringsketen en het adequaat afhandelen van incidenten. Over de herziening van de richtlijn zal nog worden onderhandeld met het Europees Parlement en de Europese Commissie. Het doel is om volgend jaar een definitief akkoord te hebben, waarna lidstaten de wetgeving in eigen land kunnen aanpassen. In Nederland is de huidige richtlijn geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni). "Digitale veiligheid regelen, is in eerste instantie ieders eigen verantwoordelijkheid. Maar cyberincidenten hebben in toenemende mate serieuze gevolgen voor maatschappij en economie", zegt demissionair minister Blok van Economische Zaken. "Daarom is het noodzakelijk om de veiligheid van netwerk- en informatiesystemen verder te verhogen en eisen te stellen." Volgens demissionair minister Grapperhaus van Justitie en Veiligheid is de herziening een belangrijke stap in het verder verhogen van de nationale en Europese weerbaarheid tegen cyberdreigingen. "Digitale incidenten hebben de potentie maatschappelijke ontwrichting en grote economische schade te veroorzaken", laat de minister weten. "Uit het Cybersecuritybeeld Nederland blijkt daarbij dat ransomware inmiddels zo een groot probleem is, dat de nationale veiligheid in gevaar is. Daarom moeten we blijven investeren en is het versterken van onze digitale veiligheid een prioriteit van het kabinet"
Duitse overheid waarschuwt voor ransomware-aanvallen tijdens kerstvakantie
De Duitse overheid waarschuwt bedrijven en organisaties in het land voor ransomware-aanvallen tijdens de komende kerstvakantie. Volgens het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, en de Duitse federale politie (BKA) is er tijdens deze periode een verhoogde kans op aanvallen. Aanleiding voor de waarschuwing is de terugkeer van de beruchte Emotet-malware en dat veel Microsoft Exchange-servers in Duitsland nog altijd kwetsbaar zijn voor aanvallen. Het BSI spreekt van een "dreigend scenario" en roept bedrijven en organisaties op om beveiligingsmaatregelen te treffen. "We zien duidelijke signalen van een toegenomen dreiging van Emotet alsmede kwetsbare Exchange-servers en de daaropvolgende ransomware-aanvallen in Duitsland", zegt BSI-directeur Arne Schönbohm. "Feestdagen en weekenden zijn in het verleden herhaaldelijk voor dergelijke aanvallen gebruik, aangezien veel bedrijven en organisaties dan minder snel kunnen reageren. Het is nu het moment om gepaste beveiligingsmaatregelen te treffen." Het BSI stelt verder dat er veel kwetsbare Exchange-servers in Duitsland zijn, omdat beheerders hebben nagelaten beschikbare beveiligingsupdates te installeren. De overheidsinstantie is echter ook bekend met verschillende gevallen waarbij het installeren van de patch "niet het gewenste beschermende effect" had. Zo kan het voorkomen dat servers al voor de installatie van een update gecompromitteerd zijn.
FBI neemt 2 miljoen euro in beslag van vermeende partner REvil-ransomware
De FBI heeft zo'n 2 miljoen euro aan bitcoins in beslag genomen van een Russische man die verdacht wordt van het uitvoeren van aanvallen met de REvil-ransomware. Dat blijkt uit een openbaar geworden document van een Texaanse rechtbank (pdf). Het gaat om bijna veertig bitcoins die zich in een Exodus-wallet bevinden. Via deze walletsoftware kunnen gebruikers hun cryptovaluta opslaan en beheren. Hoe de FBI de wallet in handen heeft gekregen staat niet in het document. Volgens de Amerikaanse autoriteiten speelde de Russische verdachte tussen april 2019 en juli 2021 een rol bij aanvallen die met de REvil-ransomware wereldwijd werden uitgevoerd. Hij zou daarbij organisaties met de ransomware hebben aangevallen en geld hebben witgewassen dat van REvil-slachtoffers afkomstig was. In 2019 publiceerde antivirusbedrijf McAfee al een analyse van de activiteiten van de verdachte met het alias Lalartu. "Twee jaar geleden ontmaskerde McAfee Lalartu en traceerde een deel van zijn illegale inkomsten. Het is fantastisch dat de FBI nu bijna 2,2 miljoen dollar van Lalartu in beslag heeft genomen", zegt John Fokker van McAfee. Ook onderzoeker Alon Gal maakte een analyse van de verdachte. REvil opereert als een ransomware-as-a-service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. De REvil-ransomware kwam deze zomer groot in het nieuws toen het wereldwijd door een beveiligingslek in de software van Kaseya werd verspreid. Het is niet de eerste keer dat de FBI geld van vermeende ransomware criminelen in beslag neemt. In juni lukte het de opsporingsdienst om het grootste deel van de 4,4 miljoen dollar die de Amerikaanse Colonial Pipeline Company aan de DarkSide-groep betaalde in beslag te nemen. Daarnaast kwam losgeld dat slachtoffers van de NetWalker-ransomware betaalden in handen van de opsporingsdienst.
Nieuwe Hello Ransomware
Siri vond een nieuwe ransomware die zichzelf 'Hello' noemt en die een interessante losgeldbrief gebruikt en de .hello-extensie toevoegt.
.hello #Ransomware
— S!Ri (@siri_urz) December 2, 2021
A034F79273E3F61D34EEADF38F12DEE2 pic.twitter.com/73PyquKaVB
KPN Security deelt data over ransomware-infecties met politie en FBI
KPN Security deelt realtime data over ransomware-besmettingen met de Nederlandse politie en buitenlandse opsporingsdiensten zoals de FBI, zo laat het bedrijf zelf weten. Het gaat onder andere om data over de REvil-ransomware, waar het bedrijf in 2019 voor het eerst onderzoek naar deed. "We kwamen erachter dat REvil bij een bepaalde configuratie statistieken verzendt naar een lange lijst met domeinnamen”, vertelt beveiligingsonderzoeker Jordi Scharloo. “Waarschijnlijk gebruikt de REvil-bende deze functie om het overzicht te behouden en voor de afdracht van commissies. In de lijst stonden allerlei websites, waarvan een deel niet eens geregistreerd was." KPN Security registreerde deze domeinen waarop mondjesmaat informatie vanaf besmette systemen binnendruppelde. Deze informatie was alleen versleuteld. De ip-adressen waarvandaan de informatie afkomstig was maakte het echter mogelijk om REvil-infecties vroegtijdig te signaleren. Zo konden bedrijven ingrijpen voordat de ransomware geactiveerd werd. In eerste instantie waarschuwde KPN Security zelf een aantal Nederlandse bedrijven die met de ransomware waren besmet. “Maar dat was tijdrovend en voelde een beetje als dweilen met de kraan open. Bovendien ontvingen we ook veel informatie over buitenlandse organisaties die KPN Security niet kennen. Daarom besloten we de samenwerking te zoeken met het Team High Tech Crime van de Nederlandse politie. Via hen kwamen we in contact met Europol en buitenlandse opsporingsdiensten zoals de FBI", merkt Scharloo op. Inmiddels is er sprake van een structurele samenwerking waarbij er realtime data over REvil-besmettingen met opsporingsdiensten wordt gedeeld. "Op deze manier krijgen de diensten een beeld van de omvang van het probleem. Daarnaast kunnen ze bedrijven in een vroegtijdig stadium waarschuwen en zo de impact van een aanval beperken", stelt Scharloo. De onderzoeker is positief over de samenwerking met politie. "We horen regelmatig dat een buitenlandse opsporingsdienst met behulp van onze data een grootschalige besmetting heeft weten te voorkomen."
De Spaanse Correos Express lijkt aangevallen door Hive ransomware bende
De Spaanse specialist in exprespakketbezorging Correos Express lijkt problemen te ondervinden bij het leveren van zijn diensten. Een voorbeeld van Hive ransomware suggereert een cyberaanval die plaatsvond rond 27 november. Op Twitter klagen klanten van Correos Express, een specialist in expresbezorging, de Spaanse tegenhanger van een Chronopost of een DHL, over problemen met de levering van hun pakketten. Een van hen zegt dat hij de klantenservice niet kon bereiken: "Noch de telefoon, niets werkt", zegt hij. En om te vragen: "Wat is er aan de hand?"
🚨¡Alerta #Pshishing! Desde Correos Express queremos recordarte que nunca te vamos a pedir que realices pagos ni que nos facilites datos personales vía email o SMS para entregarte un paquete. pic.twitter.com/UpBUkQXSYS
— Correos Express (@CorreosExpress) November 23, 2021
Microsoft Exchange-servers gehackt om BlackByte-ransomware te implementeren
De BlackByte ransomware-bende maakt nu inbreuk op bedrijfsnetwerken door gebruik te maken van Microsoft Exchange-servers met behulp van de ProxyShell-kwetsbaarheden. ProxyShell is de naam voor een reeks van drie Microsoft Exchange-beveiligingslekken waardoor niet-geverifieerde externe code kan worden uitgevoerd op de server wanneer deze aan elkaar is geketend.
Cisco en Duitse overheid melden actief misbruik van Apache-kwetsbaarheid
Aanvallers maken actief misbruik van een recent gepatchte kwetsbaarheid in Apache HTTP Server, zo waarschuwen Cisco en het Computer Emergency Response Team van de Duitse overheid (CERT-Bund). De kwetsbaarheid, aangeduid als CVE-2021-40438, is aanwezig in Apache HTTP Server 2.4.48 en eerder. De Apache Software Foundation bracht op 16 september een update uit om het beveiligingslek te verhelpen. De "mod_proxy" module van de Apache-server fungeert als een proxy/gateway en ondersteunt verschillende protocollen en mechanismes voor het loadbalancen van webservices zoals videoconferencing. Door middel van Server-Side Request Forgery is het mogelijk voor een ongeauthenticeerde aanvaller om de Apache-server bepaalde requests te laten doorsturen naar een willekeurige server. "Door het versturen van een speciaal geprepareerd request kunnen aanvallers de mod_proxy-module (wanneer ingeschakeld) dwingen om verbindingen naar een server naar keuze te routeren, waardoor aanvallers geheimen kunnen stelen, zoals infrastructuur-metadata of keys, of toegang tot andere interne servers kunnen krijgen", aldus internetbedrijf Fastly dat vorige maand nog 500.000 kwetsbare Apache-servers via de zoekmachine Shodan vond. Volgens het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, maken aanvallers gebruik van de kwetsbaarheid voor het stelen van wachtwoordhashes. Onder andere de videoconferentiesoftware Cisco Expressway Series is kwetsbaar, zo stelt het BSI (pdf). Cisco meldt dat het ook misbruik van het beveiligingslek heeft waargenomen, maar geeft geen verdere details. Wel onderzoekt het bedrijf welke producten risico lopen. Onlangs werd er ook misbruik van een andere Apache-kwetsbaarheid gemaakt. Volgens internetbedrijf Netcraft draait 26 procent van alle websites op internet op Apache HTTP Server.
❗️ #CERTWarnung ❗️
— CERT-Bund (@certbund) November 26, 2021
Ältere #Schwachstelle (CVE-2021-40438) im Apache Modul mod_proxy ermöglicht #CSRF.
Dem BSI sind inzwischen Fälle von aktiver Ausnutzung bekannt.#PatchNowhttps://t.co/Nhs24PD4ej
Nieuwe Blue Locker Ransomware
Siri heeft een nieuwe Blue Locker gevonden die de extensie .blue toevoegt aan gecodeerde bestanden.
.blue #Ransomware A186F6B7EC6D3B6A31B7158082B9A0FA
— S!Ri (@siri_urz) November 30, 2021
Bule Cryptor ;) pic.twitter.com/KwbPbh3qvb
Duizenden WordPress-sites gebruikt voor verspreiding FluBot-malware
De FluBot-malware waar de Nederlandse politie onlangs nog voor waarschuwde wordt via duizenden gecompromitteerde WordPress-sites verspreid. Internetbedrijf Netcraft stelt dat het bijna tienduizend websites heeft gevonden die een rol spelen bij de verspreiding van de beruchte Androidmalware. FluBot is een banking Trojan die onder andere gegevens probeert te stelen om bankfraude mee te kunnen plegen. Eenmaal geïnstalleerd door de gebruiker kan Flubot sms-berichten onderscheppen en versturen, het adresboek uitlezen, telefoonnummers bellen en Google Play Protect uitschakelen. Het voornaamste doel is echter phishing. De malware kijkt hiervoor welke applicaties erop het toestel geïnstalleerd staan. In het geval van bankapplicaties zal Flubot hiervoor een aparte phishingpagina downloaden. Zodra het slachtoffer de legitieme bank-app start plaatst Flubot de phishingpagina hierover. Inloggegevens die gebruikers vervolgens op de phishingpagina invullen worden naar de aanvaller gestuurd. Daarnaast kan de malware phishingpagina's voor creditcardgegevens tonen en besmette toestellen nieuwe sms-berichten laten versturen. Om FluBot te verspreiden maken criminelen gebruik van sms-berichten die een zogenaamde trackinglink bevatten. Deze links wijzen naar de gecompromitteerde WordPress-sites waarop een script is geïnstalleerd. Dit script toont bezoekers een melding dat ze een zogenaamde app van DHL of UPS moeten installeren om de trackinginformatie te kunnen zien. In werkelijkheid gaat het om de FluBot-malware. Volgens Netcraft zijn de WordPress-sites door middel van kwetsbare plug-ins en themes gecompromitteerd, waardoor vervolgens de malafide code kon worden toegevoegd. "De omvang van deze operatie is indrukwekkend, waarbij soms meer dan duizend nieuwe websites per week met FluBot-scripts worden geïnfecteerd. Dat is een gemiddelde van één site per tien minuten", zegt Sean Gebbett van Netcraft.
Yanluowang ransomware operatie rijpt met ervaren filialen
Een filiaal van de onlangs ontdekte Yanluowang ransomware-operatie richt zijn aanvallen op Amerikaanse organisaties in de financiële sector met behulp van BazarLoader-malware in de verkenningsfase. Op basis van waargenomen tactieken, technieken en procedures heeft de bedreigingsacteur ervaring met ransomware-as-a-service (RaaS) -operaties en kan deze worden gekoppeld aan de Fivehands-groep.
Hackers hadden toegang tot gegevens van Panasonic
Panasonic is betrokken bij een datalek, meldt TechCrunch maandag. Criminelen hebben gegevens ingezien nadat zij toegang hadden verkregen tot het netwerk van het Japanse bedrijf. Panasonic meldt op zijn website dat de hack plaatsvond op 11 november, maar een woordvoerder van het bedrijf zegt tegen TechCrunch dat dit de dag is waarop het lek werd ontdekt. De hackers zouden tussen 22 juni en 3 november toegang tot het netwerk hebben gehad. Het bedrijf heeft niet bekendgemaakt welke gegevens de hackers hebben ingezien. Wel meldt Panasonic met een specialist samen te werken om te achterhalen of ook persoonsgegevens van klanten zijn bekeken. Panasonic zegt na het ontdekken van het lek meteen de autoriteiten te hebben ingeschakeld. Ook heeft het bedrijf veiligheidsmaatregelen getroffen om dergelijke hacks in te toekomst te voorkomen.
Deense fabrikant van windturbines herstelt van gijzelsoftware
Alles draait weer op volle toeren bij Vestas. De Deense fabrikant van windturbines is erin geslaagd om gijzelsoftware van haar interne systemen te verwijderen. Het bedrijf onderzoekt nog steeds of en welke data de aanvallers hebben weten buit te maken. Dat bevestigt Anders Riis, vicepresident van de communicatieafdeling bij Vestas, in een persverklaring. Op 20 november meldde de maker van windturbines dat ze een dag eerder geraakt was door een ‘cybersecurityincident’. Uit voorzorg sloot de IT-afdeling meerdere systemen op meerdere locaties af. Samen met externe partners deed het bedrijf er alles aan om de systemen zo snel mogelijk te herstellen. Meer details over de gebeurtenissen kon de fabrikant op dat moment niet geven. Enkele dagen later meldde Vestas dat een deel van de IT-infrastructuur getroffen was bij een cyberaanval. Naar eigen zeggen waren er geen aanwijzingen dat de aanval impact zou hebben op de keten van toeleveranciers of klanten. “De productie-, constructie- en serviceteams van Vestas kunnen hun werkzaamheden voortzetten, hoewel een deel van de operationele systemen uit voorzorg is stilgelegd”, zo schreef het bedrijf in een update. Vestas was zelfs al begonnen met de eerste herstelwerkzaamheden van het bedrijfsnetwerk.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Tips of verdachte activiteiten gezien? Meld het hier.
Meer weekoverzichten
Iedere maandag om 15:00 het complete overzicht van de afgelopen week. Wil je deze in de mail ontvangen zodat je geen enkel overzicht mist? Laat het ons dan weten via het volgende e-mailadres aanmelden.cybercrimeinfo.nl@gmail.com onder de vermelding van 'Aanmelding overzicht cyberaanvallen'
Slachtofferanalyse en Trends van Week 45-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
