Internationale it-dienstverlener Inetum getroffen door ransomware, ransomware aanvallen op onderwijs mogen niet lonen en AvosLocker ransomware herstart in veilige modus om beveiligingstools te omzeilen. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Meer dan 4.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.
Status op 27 december 2021 : 4.214
Week overzicht
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
TUI UK | Snatch | www.tui.co.uk | UK |
LAVA | Snatch | www.lavamobiles.com | India |
DEUTSCHE SEE Holding | Conti | www.deutschesee.de | Germany |
ENVASES GROUP | Conti | www.envases.mx | Mexico |
SVP Groupe | Conti | www.svp.com | France |
Economos properties | Conti | economosproperties.com | USA |
The Technord industrial group | Conti | www.technord.com | Belgium |
iGuzzini Group | Conti | www.iguzzini.com | Italy |
Charles Kendall | Conti | www.charleskendall.com | UK |
Arbor Contract Carpet Inc. | Conti | www.arborcarpet.com | USA |
Metamorph Group | Conti | metamorphgroup.co.uk | UK |
RKPT | Conti | www.rkpt.com | USA |
smiimaging.com | LockBit | smiimaging.com | USA |
Family Christian Health Center | Hive | www.familychc.com | USA |
riverhead.net | LockBit | riverhead.net | USA |
Hako Technology | AvosLocker | hakotech.pl | Poland |
Divestco Geoscience Inc | AvosLocker | divestco.com | Canada |
cgm.com | LockBit | cgm.com | Germany |
MAX International Converters | Haron | maxintl.com | USA |
OFFICE OF THE NATIONAL BROADCASTING AND TELECOMMUNICATIONS COMMISSION | Grief | www.nbtc.go.th | Thailand |
Uriach | BlackCat (ALPHV) | www.uriach.com | Spain |
Polysciences, Inc. | Conti | polyscience.com | USA |
lozzaspa.it | LockBit | lozzaspa.it | Italy |
sintesiautomotive.it | LockBit | sintesiautomotive.it | Italy |
Kohinoor International School | CoomingProject | kohinoorschool.ac.in | India |
cbjblawfirm.com | LockBit | cbjblawfirm.com | USA |
Heron and Brearley | Vice Society | hb.im | Isle of Man |
DFL | Vice Society | dfl.com.br | Brazil |
Bay and Bay Transportation | Conti | www.bayandbay.com | USA |
Turner Enterprises, Inc. | Lorenz | www.tedturner.com | USA |
Maad McCann | RobinHood | maad.co.ug | Ugandan |
ABE Courtage | RobinHood | abecourtage.com | France |
burgsimpson.com | LockBit | burgsimpson.com | USA |
www.hillsdalefurniture.com | Payload.bin | www.hillsdalefurniture.com | USA |
Biotique | Quantum | www.biotique.com | India |
Sodiba | Quantum | sodiba.com | Angola |
atskorea.co.kr | LockBit | atskorea.co.kr | South Korea |
pestbusters.com.sg | LockBit | pestbusters.com.sg | Singapore |
The Kessler Collection | AvosLocker | kesslercollection.com | USA |
Holiday Builders | Conti | www.holidaybuilders.com | USA |
ConForm Automotive | Hive | www.conformgroup.com | USA |
Lincoln Industries | BlackCat (ALPHV) | lincolnindustries.com | USA |
Leuze | Snatch | www.leuze.com | Germany |
InTown Suites | Snatch | www.intownsuites.com | USA |
McMenamins | Conti | www.mcmenamins.com | USA |
SPERONI SPA | Everest | speronispa.com | Italy |
hajery.com | LockBit | hajery.com | Canada |
Fastline Media Group, LLC | Entropy | www.fastline.com | USA |
JCWHITE.COM | CL0P | jcwhite.com | USA |
DUTTONFIRM.COM | CL0P | duttonfirm.com | USA |
maibroker.com | LockBit | maibroker.com | USA |
lipinskilogging.com | LockBit | lipinskilogging.com | USA |
dcashpro.com | LockBit | dcashpro.com | Thailand |
piolax.co.th | LockBit | piolax.co.th | Thailand |
urbandevelop.com.au | LockBit | urbandevelop.com.au | Australia |
reliancenj.com | LV | reliancenj.com | USA |
CASINO WINNAVEGAS | Conti | www.winnavegas.com | USA |
Skyxe Saskatoon Airport | Snatch | skyxe.ca | Canada |
Prenax | 54BB47H (Sabbath) | prenax.com | USA |
WOLSEY | Hive | www.wolsey.com | UK |
Sit'N Sleep | Hive | www.sitnsleep.com | USA |
Madix Inc | Hive | madixinc.com | USA |
Haselden Construction | Hive | www.haselden.com | USA |
The Briad Group | Conti | www.briad.com | USA |
Internationale it-dienstverlener Inetum getroffen door ransomware-aanval
De internationale it-dienstverlener Inetum is onlangs getroffen door een ransomware-aanval, zo laat het bedrijf op de eigen website weten. De aanval vond plaats op zondag 19 december, aldus een verklaring van afgelopen maandag. Donderdag meldde Inetum dat de aanval gevolgen had voor de bedrijfsvoering in Frankrijk, maar niet in andere landen waar het bedrijf actief is. Binnen de getroffen omgeving zijn alle servers geïsoleerd en alle client vpn's uitgeschakeld. Uit onderzoek blijkt dat de ransomware-aanval niets te maken heeft met de Log4j-kwetsbaarheid. Verder blijkt dat de belangrijkste systemen en tools voor klanten niet zijn getroffen. Details over hoe de aanval kon plaatsvinden en om welke ransomware het gaat zijn niet bekendgemaakt. Franse media stelt dat het om de BlackCat-ransomware gaat. Inetum heeft naar eigen zeggen alle relevante autoriteiten inmiddels ingelicht. Het onderzoek is nog gaande. Het bedrijf is actief in 26 landen, telt 27.000 medewerkers en had vorig jaar een omzet van twee miljard euro.
Noberus /ALPHV /BlackCat aanvallen tijdens Kerst
Het is niet ongebruikelijk dat ransomware-bendes tijdens de feestdagen een beetje vrij nemen. Het ziet er echter naar uit dat BlackCat-filialen door blijven werken tijdens de feestdagen.
There's a lot of threat actors attempting to escalate access and deploy ransomware today (such as #Noberus/#BlackCat)
β Colin π¨πΌβπ» (@th3_protoCOL) December 24, 2021
It's unfortunate there isn't a Christmas truce, best of luck to everyone watching the wire today/tomorrow
KVK haalt website offline tijdens feestdagen om Log4j-kwetsbaarheid
De Kamer van Koophandel (KVK) heeft zijn website offline gehaald. De organisatie maakt zich zorgen om de Log4j-kwetsbaarheid en wil zo aanvallen tijdens de feestdagen voorkomen. Sinds vrijdagmiddag 18.00 uur is de website niet meer beschikbaar. Tot maandagochtend 7.30 uur zal dit zo blijven. Ook andere applicaties zoals de aansluitingen op KVK API, KVK Dataservice en KVK App Handelsregister zijn in deze periode niet te gebruiken.
Cybercriminelen vallen website Prullenbakvaccin.nl aan
Kwaadwillenden proberen de site prullenbakvaccin.nl plat te leggen door de systemen te bestoken met verkeer. Ondanks die ddos-aanvallen lukt het tot nu toe om de site in de lucht te houden, zeggen de mensen achter de site na berichtgeving van RTL Nieuws. Ze hebben een virtuele 'verkeersregelaar' voor de site gezet om overbelasting te voorkomen. Prullenbakvaccin.nl laat zien welke praktijken in Nederland vaccindoses over hebben. Mensen die graag een boosterprik willen krijgen, kunnen daar dan naartoe gaan. De beheerders weten niet of de aanvallen worden uitgevoerd door mensen die tegen vaccineren zijn of door mensen die het voor de lol doen. De site is aan het begin van de vaccinatiecampagne in het leven geroepen om te voorkomen dat overgebleven vaccindoses aan het einde van de dag zouden worden weggegooid. Ook toen was de site doelwit van ddos-aanvallen en die waren nog veel groter. Op sommige momenten kwamen er toen 3000 bezoekers per seconde. Dat waren niet alleen mensen die gevaccineerd wilden worden, maar ook gekaapte computers die massaal de site bestookten. Nu trekt de site maximaal zo'n 200 bezoekers per seconde. De drukte komt ook door systemen die volautomatisch informatie van de site willen halen. Dit zijn mensen die zelf ook zo'n site op poten willen zetten. Zij hebben geen kwade bedoelingen, aldus de beheerder van prullenbakvaccin.nl.
De politie roept bedrijven en organisaties op die worden aangevallen om hiervan aangifte te doen
De cybercrimeteams van de politie zijn extra waakzaam vanwege de recent ontdekte kwetsbaarheden in de veelgebruikte Apache Log4j-software. De politie roept bedrijven en organisaties die worden aangevallen op om hiervan aangifte te doen. Lees verder
Groot risico op cyberaanvallen deze kerst door log4j-kwetsbaarheid
Tesla, overheidsdiensten en vele andere systemen gebruiken Log4j om logs bij te houden. Door een bug daarin staan we nu voor een grote cyber-dreiging. Hoe kunnen criminelen daarvan uitgerekend tijdens de feestdagen misbruik maken? En: wat kunnen we verwachten van de nieuwe Staatsecretaris van Digitalisering (en Koninkrijksrelaties)? Enkele weken terug had nog haast niemand van Log4j en de kwetsbaarheid genaamd Log4Shell gehoord. Nu maakt deze bug duizenden systemen kwetsbaar voor cyberaanvallen. Juist ook tijdens de feestdagen. Om ons technisch te briefen hebben Ralph Moonen, technisch directeur van cybersecuritybedrijf Secura, te gast.
Nieuwe Rook Ransomware voedt zich met de code van Babuk
Een nieuwe ransomware-operatie genaamd Rook is onlangs verschenen op het cybercrime toneel en verklaart een wanhopige behoefte om "veel geld" te verdienen door bedrijfsnetwerken te doorbreken en apparaten te versleutelen. Hoewel de inleidende verklaringen op hun datalekportaal marginaal grappig waren, hebben de eerste slachtoffer aankondigingen op de site duidelijk gemaakt dat Rook geen spelletjes speelt. Onderzoekers van SentinelLabs hebben een diepe duik genomen in de nieuwe stam en onthullen de technische details, infectieketen en hoe deze overlapt met de Babuk-ransomware.
Belgische overheid verwacht grote problemen door Log4j-kwetsbaarheid
De Belgische overheid verwacht "grote problemen" bij bedrijven en organisaties die geen maatregelen tegen de recent ontdekte Log4j-kwetsbaarheid nemen. Daarvoor waarschuwt het Centrum voor Cybersecurity België (CCB). Volgens de Belgische overheidsinstantie maken cybercriminelen actief misbruik van het beveiligingslek. "Wie geen actie onderneemt, kan nu zeer snel het slachtoffer worden van een cyberaanval." Het CCB stelt dat het op dit moment moeilijk valt in te schatten hoe het beveiligingslek zal worden misbruikt en op welke schaal. "Cybercriminelen proberen intussen de kwetsbaarheid uit te buiten en zoeken actief naar kwetsbare systemen. Het spreekt voor zich dat dit een gevaarlijke situatie is", aldus de overheidsinstantie, die organisaties oproept de beschikbare updates te installeren. Tevens worden bedrijven en organisaties die slachtoffer worden van een cyberaanval gevraagd om dit bij de overheid te melden.
FBI vraagt slachtoffers van Log4j-kwetsbaarheid om zich te melden
De FBI vraagt organisaties die het slachtoffer zijn geworden van een aanval via de Log4j-kwetsbaarheid om zich te melden. Aan de andere kant stelt de Amerikaanse opsporingsdienst dat het vanwege de mogelijke schaal van dit incident niet op elk slachtoffer individueel kan reageren. Aangevallen organisaties wordt gevraagd om allerlei data te delen, zoals de start- en eindtijd van de aanval, de gebruikte aanvalsinfrasrtructuur, hashes van gebruikte malware, door de aanvallers gebruikte ip-adressen en domeinen, de activiteiten van de aanvallers, de gevolgen voor de organisatie, of er logbestanden aanwezig zijn en of er al aangifte van de aanval is gedaan. "Alle informatie die we ontvangen is handig in het tegengaan van deze dreiging", aldus de FBI.
Nieuwe 'Surtr ransomware' ontdekt
Surtr #Ransomware
β S!Ri (@siri_urz) December 23, 2021
E6FC190168519D6A6C4F1519E9450F0F pic.twitter.com/94ZUjWNbu5
EHealth-aanbieder CompuGroup Medical getroffen door ransomware-aanval
EHealth-aanbieder CompuGroup Medical is getroffen door een ransomware-aanval waardoor verschillende interne systemen zoals e-mail en telefonie onbeschikbaar zijn. CompuGroup Medical levert ict-toepassingen voor zorggroepen, huisartsen, huisartsenposten, apotheken, mantelzorgers en patiënten. Het gaat dan om informatiesystemen voor bijvoorbeeld apotheken en ziekenhuizen, maar ook apparatuur voor elektronische patiëntendossiers en telematica. Het bedrijf meldde gisteren via de eigen website dat het met een aanval op de interne systemen had te maken. Vanwege de aanval werd besloten om belangrijke onderdelen van de diensten die het levert te isoleren. In een tweede update over het incident stelt CompuGroup dat het om een ransomware-aanval gaat. Het "grootste deel" van de klantsystemen is volgens de verklaring operationeel en veilig, waardoor klanten gewoon kunnen blijven werken. Er zijn op dit moment ook geen aanwijzingen dat de aanval gevolgen heeft voor de systemen of data van klanten. Wel zijn door de aanval verschillende interne systemen onbereikbaar geworden, waaronder e-mail en telefonie. Inmiddels is CompuGroup naar eigen zeggen begonnen met het herstellen van de systemen. Verdere details over de aanval zijn niet gegeven. CompuGroup heeft 8500 medewerkers en 1,6 miljoen gebruikers wereldwijd, waaronder artsen, tandartsen, apothekers en andere zorgprofessionals. Het bedrijf had vorig jaar een omzet van 837 miljoen euro.
AvosLocker ransomware herstart in veilige modus om beveiligingstools te omzeilen
In recente aanvallen is de AvosLocker ransomware-bende zich gaan richten op het uitschakelen van endpoint-beveiligingsoplossingen die in de weg staan door gecompromitteerde systemen opnieuw op te starten in de veilige modus van Windows. Deze tactiek maakt het gemakkelijker om de bestanden van slachtoffers te versleutelen, omdat de meeste beveiligingsoplossingen automatisch worden uitgeschakeld nadat Windows-apparaten zijn opgestart in de veilige modus. En hun nieuwe aanpak lijkt behoorlijk effectief te zijn, omdat het aantal aanvallen dat aan de specifieke groep wordt toegeschreven, toeneemt.
Hellmann Worldwide waarschuwt voor datalek na aanval door ransomwaregroep
Logistiek dienstverlener Hellmann Worldwide Logistics heeft klanten gewaarschuwd voor een datalek nadat een ransomwaregroep wist in te breken op het netwerk. Bij de aanval door de RansomExx-groep werd meer dan zeventig gigabyte aan data buitgemaakt, die inmiddels door de groep op de eigen website is gepubliceerd. Na ontdekking van de aanval, die op 9 december plaatsvond, haalde Hellmann de systemen offline. Uit nader onderzoek bleek dat de aanvallers op dat moment al gegevens van het netwerk hadden gestolen. Vanwege de datadiefstal waarschuwt Hellmann klanten om alert te zijn op frauduleuze e-mails en telefoongesprekken, met name wanneer het gaat over transacties en het wijzigen van bankgegevens. Hellmann Worldwide Logistics had vorig jaar een omzet van 2,53 miljard euro. Het bedrijf heeft wereldwijd 489 kantoren in 173 landen en telt meer dan tienduizend medewerkers. De logistiek dienstverlener verzorgt jaarlijks meer dan zestien miljoen zendingen.
#Ransomware #RansomExx | oltre 70 GB di dati | HellmannLogisticsUK | @HellmannUK
β Claudio (@sonoclaudio) December 16, 2021
Cc/ @Luke_like @nuke86 https://t.co/ku5cowks1N pic.twitter.com/WOWwCcHvpC
PYSA-ransomware achter meeste dubbele afpersingsaanvallen in november
Beveiligingsanalisten van NCC Group melden dat ransomware-aanvallen in november 2021 de afgelopen maand zijn toegenomen, waarbij dubbele afpersing een krachtig hulpmiddel blijft in het arsenaal van cybercriminelen. De focus van de cybercriminelen verschuift ook naar entiteiten die behoren tot de overheidssector, die 400% meer aanvallen ontvingen dan in oktober. De schijnwerpers in november schijnen op de PYSA-ransomwaregroep (ook bekend als Mespinoza), die een explosieve toename van infecties had, met een toename van 50%. Andere dominante ransomwaregroepen zijn Lockbit en Conti, die aanvallen lanceerden tegen kritieke entiteiten, zij het minder dan in voorgaande maanden. De eerste tekenen van PYSA-activiteit die bedreigende niveaus bereikte, werden duidelijk in maart 2021, wat ertoe leidde dat de FBI een waarschuwing publiceerde over de escalatie van de activiteit van deze cybercriminelen. Zoals bijna alle ransomware-groepen momenteel, exfiltreert PYSA gegevens van het gecompromitteerde netwerk en versleutelt (ransomware) vervolgens de originelen om de activiteiten te verstoren. De gestolen bestanden worden gebruikt als hefboom bij losgeldonderhandelingen, waarbij de aanvallers dreigen gegevens openbaar te maken als er geen losgeld wordt betaald. (doxware)
Van Engelshoven: ransomware-aanvallen op onderwijs mogen niet lonen
Ransomware-aanvallen op het onderwijs mogen niet lonen. Daarom is het belangrijk dat erbij aanvallen geen losgeld wordt betaald, zo stelt demissionair minister Van Engelshoven van Onderwijs. De minister deed haar uitspraken tijdens een commissiedebat over digitalisering in het onderwijs, waar ook het onderwerp ransomware ter sprake kwam. Het afgelopen jaar werden meerdere Nederlandse onderwijsinstellingen het slachtoffer van ransomware. "Ik hecht eraan hier te zeggen dat de norm bij ransomwarehacks is: er wordt geen losgeld betaald. Dat is de norm en dat is ook wat we willen uitstralen, want we mogen van het hacken van onderwijsinstellingen geen verdienmodel maken", aldus Van Engelshoven. Naar aanleiding van aanvallen op de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO), de Hogeschool en Universiteit van Amsterdam, ROC Mondriaan en de Hogeschool van Arnhem en Nijmegen zijn er binnen het onderwijs maatregelen aangekondigd en genomen. "We zijn stap voor stap bezig om dat te verbeteren. Risicomanagement, 24/7 monitoring. Weet wat er op je instelling gebeurt. Structureel invoeren van interne, maar ook externe audits van instellingen naast uiteraard het vergroten van bewustzijn, en wel door je hele organisatie heen. Samenwerking in de keten, trainingen en crisisoefeningen", ging de minister verder. Volgens Van Engelshoven moet het voor onderwijsinstellingen duidelijk zijn wat de beveiligingsnormen inhouden en waaraan ze moeten voldoen. In het eerste kwartaal van volgend jaar komt daar een stappenplan voor, waarin staat wat de norm is waaraan voldaan dient te worden en hoe de instellingen daar stap voor stap naartoe gaan werken. Verder zal het Nationaal Cyber Security Centrum (NCSC) onderwijsinstellingen van de "juiste informatie" voorzien en zal er twee keer per jaar overleg plaatsvinden om te monitoren hoe het gaat met de implementatie van beveiligingsmaatregelen.
Belgisch ministerie van Defensie is aangevallen via log4j-kwetsbaarheid
Het Belgische ministerie van Defensie is afgelopen donderdag aangevallen via een log4j-kwetsbaarheid. Het ministerie geeft weinig details over de aanval; mogelijk is het e-mailverkeer verstoord. De aanval begon donderdag op een computernetwerk van het ministerie met internettoegang, zegt een woordvoerder volgens onder meer HLN. Defensie nam 'snel' quarantainemaatregelen om de getroffen netwerken te kunnen isoleren. Het ministerie heeft nu de prioriteit om het netwerk operationeel te houden; afgelopen weekend zouden teams aan het werk zijn gesteld om de situatie onder controle te houden, Defensie-activiteiten voort te zetten en partners te waarschuwen. Er zijn nog niet veel details over de aanval bekend; zo is het niet duidelijk wat de aanvallers wilden en wat de precieze omvang is. HLN schrijft dat de aanval 'ernstig' lijkt te zijn. Persdienst Belga zegt sinds vrijdag geen mails meer te hebben ontvangen van het ministerie en denkt daarom dat het e-mailverkeer van het ministerie is verstoord. Het ministerie geeft wel aan dat de cybercriminelen een log4j-kwetsbaarheid gebruikten. De eerste kwetsbaarheid in deze logging library kwam anderhalve week geleden aan het licht. Tweakers schreef eerder een achtergrondartikel over de Log4Shell-kwetsbaarheid Lees verder
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Tips of verdachte activiteiten gezien? Meld het hier.
Meer weekoverzichten
Iedere maandag om 15:00 het complete overzicht van de afgelopen week. Wil je deze in de mail ontvangen zodat je geen enkel overzicht mist? Laat het ons dan weten via het volgende e-mailadres aanmelden.cybercrimeinfo.nl@gmail.com onder de vermelding van 'Aanmelding overzicht cyberaanvallen'
Slachtofferanalyse en Trends van Week 50-2024
Reading in another language
Slachtofferanalyse en Trends van Week 49-2024
Reading in another language
Slachtofferanalyse en Trends van Week 48-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 47-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 46-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 45-2024
Reading in π¬π§ or another language