Night Sky is de nieuwste ransomware gericht op bedrijfsnetwerken, duizenden schoolsites offline door ransomware-aanval op hostingprovider en Portugese mediagigant Impresa offline na aanval door ransomwaregroep. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Meer dan 4.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.
Status op 10 januari 2022 : 4.286
Week overzicht
| Slachtoffer | Cybercriminelen | Website | Land |
|---|---|---|---|
| U.FORM SRL | Grief | www.uform.eu | Italy |
| Detroit Stoker | BlackCat (ALPHV) | www.detroitstoker.com | USA |
| Ezz Steel | Hive | www.ezzsteel.com | Egypt |
| Carthage R-9 School District | Vice Society | www.carthagetigers.org | USA |
| SAVANNAH State University | Vice Society | www.savannahstate.edu | USA |
| Union County Utilities Authority | LV | www.unioncountyutilitiesauthority.org | USA |
| Sectrio | Ragnar_Locker | www.sectrio.com | USA |
| Subex | Ragnar_Locker | www.subex.com | India |
| Abdi ibrahim | ROOK | www.abdiibrahim.com.tr | Turkey |
| Huhtamaki | Everest | www.huhtamaki.com | Finland |
| Amaveca Salud | Vice Society | amavecasalud.es | Spain |
| mcsmorandi.com | LockBit | mcsmorandi.com | Italy |
| Caribbean Broadcasting Corporation | Grief | www.cbc.bb | Barbados |
| Mecanico Cairo SL | Grief | www.mcairoaplitex.com | Spain |
| The Grand Bahama Port Authority | BlackCat (ALPHV) | gbpa.com | Bahamas |
| chervongroup.com | LockBit | chervongroup.com | China |
| cbibanks.com | LockBit | cbibanks.com | USA |
| salesiancollege.com | LockBit | salesiancollege.com | UK |
| PAUL BEUSCHER PUBLICATIONS | Grief | www.paul-beuscher.com | France |
| Polen Implement | Grief | www.polenimplement.com | USA |
| UTC Uniformes Town & Country Inc, Les | Grief | tcuniforms.com | Canada |
| NORDFISH SRL | Grief | www.nordfish.it | Italy |
| aquila.ch | Payload.bin | aquila.ch | Switzerland |
| FrenchGourmet | BlackCat (ALPHV) | www.frenchgourmet.com | USA |
| DURA | Innovation Driven by Inspiration | Conti | www.duraauto.com | USA |
| Premium Transportation Group | Snatch | premiumdrivers.com | USA |
| snapmga.com | LockBit | snapmga.com | USA |
| bricofer.it | LockBit | bricofer.it | Italy |
| Summit College | 54BB47H (Sabbath) | summitcollege.edu | USA |
| atsair.com | LockBit | atsair.com | USA |
| EDSI | Karakurt | edsiinc.com | USA |
| Visit Montréal | Karakurt | mtl.org | Canada |
| Info-Excavation | Karakurt | info-ex.com | Canada |
| Western Information Management Inc | Karakurt | westernim.com | Canada |
| Little Giant | Karakurt | littlegiantladders.com | USA |
| The Public Safety Credit Union | Karakurt | publicsafetycu.org | USA |
| Division-D | Karakurt | divisiond.com | USA |
| BainUltra | Karakurt | bainultra.com | Canada |
| Cree Nation of Waskaganish | Karakurt | waskaganish.ca | Canada |
| Weldco Beales | Karakurt | weldco-beales.com | Canada |
| Atlantic Asphalt | Karakurt | atlanticasphalt.com | USA |
| NASS USA North American Substation Services | Hive | www.nassusa.com | USA |
| thalesgroup.com | LockBit | thalesgroup.com | France |
FBI waarschuwt voor criminelen die usb-sticks met ransomware rondsturen
De FBI waarschuwt voor criminelen die malafide usb-sticks per post versturen om zo organisaties en bedrijven met ransomware te infecteren. In een waarschuwing die met verschillende instanties werd gedeeld stelt de Amerikaanse opsporingsdienst dat het sinds augustus vorig jaar meerdere meldingen heeft ontvangen waarbij malafide usb-sticks naar Amerikaanse transport-, verzekerings- en defensiebedrijven waren verstuurd. De verstuurde pakketten lijken afkomstig van het Amerikaanse ministerie van Volksgezondheid en stellen dat de meegestuurde usb-stick informatie over coronamaatregelen bevat. Bij een andere variant lijkt het pakket van Amazon te zijn en arriveert in een cadeauverpakking met een bedankbrief, vervalste cadeaubon en de malafide usb-stick. Zodra de usb-stick op het systeem wordt aangesloten voert die een BadUSB-aanval uit. Hoewel het apparaat op een usb-stick lijkt is het in werkelijkheid een usb-apparaat dat een usb-toetsenbord emuleert. De computer denkt in dit geval dat het aangesloten usb-apparaat een toetsenbord is. Dit nep-toetsenbord kan allerlei commando's op het systeem uitvoeren. Bij de BadUSB-aanval voert het usb-apparaat een PowerShell-commando uit dat aanvullende PowerShell-code van internet downloadt. Deze code is weer verantwoordelijk voor het installeren van malware die als backdoor voor de aanvallers fungeert. In de gevallen die de FBI onderzocht wisten de aanvallers via de malafide usb-stick uiteindelijk beheerderstoegang te krijgen en konden zich lateraal door het netwerk bewegen om uiteindelijk systemen met ransomware te infecteren, meldt The Record. De Amerikaanse opsporingsdienst stelt dat een groep criminelen bekend als FIN7 voor de aanvallen verantwoordelijk is. FIN7 staat ook bekend als Carbanak en wordt verdacht van het inbreken bij meer dan honderd banken wereldwijd, waarbij 1 miljard euro zou zijn gestolen. Ook wordt de groep verantwoordelijk gehouden voor het aanvallen van meer dan honderd Amerikaanse bedrijven en het stelen van miljoenen creditcardgegevens die vervolgens werden doorverkocht aan andere criminelen. Vorig jaar waarschuwde de FBI ook al voor malafide usb-sticks die de FIN7-groep rondstuurde. Destijds leken de usb-sticks afkomstig van elektronicaketen Best Buy.
QNAP waarschuwt gebruikers voor ransomware-aanvallen
Netwerkapparaten zijn regelmatig het doelwit van brute force attacks en ransomware-aanvallen. Iedereen die zijn beveiligingsinstellingen niet op orde heeft, riskeert om aangevallen te worden door hackers. QNAP adviseert haar klanten dan ook om onmiddellijk alle instellingen na te lopen. Dat schrijft De Taiwanese producent van netwerk- en opslagapparatuur QNAP in een zogeheten Product Security Statement, dat vrijdag gepubliceerd is.
Night Sky is de nieuwste ransomware gericht op bedrijfsnetwerken
Het is een nieuw jaar, en daarmee komt een nieuwe ransomware om in de gaten te houden genaamd 'Night Sky' die zich richt op bedrijfsnetwerken en gegevens steelt in dubbele afpersingsaanvallen. Volgens MalwareHunterTeam, die de nieuwe ransomware voor het eerst zag, begon de Night Sky-operatie op 27 december en heeft sindsdien de gegevens van twee slachtoffers gepubliceerd. Een van de slachtoffers heeft een eerste losgeld geëist van $ 800.000 om een decryptor te verkrijgen en om gestolen gegevens niet te publiceren.
First day of the year, and a new ransomware gang just appeared: Night Sky.
— MalwareHunterTeam (@malwrhunterteam) January 1, 2022
No sample seen yet.
Note: NightSkyReadMe.hta
Extension: .nightsky
Already 2 entries on the leak site.
😫@demonslay335 pic.twitter.com/R8tAteZuc2
Duizenden schoolsites offline door ransomware-aanval op hostingprovider
Door een ransomware-aanval op cloudhostingprovider Finalsite zijn duizenden schoolwebsites offline gegaan. Finalsite biedt een eigen contentmanagementsysteem (CMS) waarmee scholen hun websites kunnen onderhouden en beheren. De hostingprovider heeft naar eigen zeggen meer dan achtduizend scholen als klant. Op 4 januari meldde Finalsite dat het met een storing te maken had waardoor gehoste websites onbereikbaar waren. Gisteren liet de hostingprovider weten dat het om een ransomware-aanval gaat waarbij verschillende systemen zijn getroffen. Bij de aanval zou voor zover bekend geen data zijn gestolen. Inmiddels werkt Finalsite aan het herstel en online brengen van de getroffen websites. Exacte details over de aanval, zoals hoe die kon plaatsvinden, zijn nog niet door het bedrijf gegeven. Dat zegt op een later moment met meer details te komen. Wel stelt Finalsite dat het maatregelen neemt om herhaling van een dergelijk incident te voorkomen. Daarnaast laat het bedrijf weten dat het over back-ups beschikt om de schade te herstellen. Door de aanval zijn scholen die van Finalsite gebruikmaken niet in staat om ouders via e-mail of de website te informeren. Een klant van Finalsite klaagt op Reddit dat scholen door de aanval niet meer in staat zijn om hun gemeenschappen over sluitingen vanwege het weer of corona te waarschuwen en dat de impact van de storing veel groter is dan de aandacht die het incident heeft gekregen.
An important message from Finalsite: pic.twitter.com/BXW5dzfJS3
— Finalsite (@Finalsite) January 6, 2022
Hackers stalen 1,1 miljoen klantaccounts van 17 bedrijven
Criminelen hebben door middel van hergebruikte wachtwoorden 1,1 miljoen accounts bij zeventien bedrijven weten te kapen, zo stelt minister Letitia James van Justitie van de Amerikaanse staat New York. Volgens James konden de accounts door middel van credential stuffing-aanvallen worden overgenomen. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken. "Helaas hergebruiken gebruikers hetzelfde wachtwoord voor meerdere online diensten. Dit maakt het mogelijk voor cybercriminelen om wachtwoorden die bij het ene bedrijf zijn gestolen voor andere online accounts te gebruiken", aldus het ministerie. Dat monitorde over een periode van meerdere maanden verschillende online gemeenschappen die zich met credential stuffing bezighouden. Het ministerie ontdekte duizenden berichten met inloggegevens die aanvallers bij credential stuffing-aanvallen hadden getest en konden worden gebruikt om op gebruikersaccounts bij websites en apps in te loggen. Aan de hand van deze berichten kwam het ministerie met een lijst van zeventien bekende online winkels, restaurantketens en voedselbezorgdiensten. In totaal ging het om meer dan 1,1 miljoen gebruikersaccounts die bij credential stuffing-aanvallen zijn gecompromitteerd. De zeventien bedrijven werden over de gecompromitteerde bedrijven ingelicht en opgeroepen maatregelen te treffen, die inmiddels ook zijn genomen. Uit onderzoek van de getroffen bedrijven bleek dat de meeste van de credential stuffing-aanvallen niet waren opgemerkt. Naar aanleiding van het onderzoek en de aanvallen heeft het ministerie een document gepubliceerd (pdf) met advies om credential stuffing tegen te gaan, zoals het detecteren van bots, het gebruik van multifactorauthenticatie, wachtwoordloze authenticatie, webapplicatie-firewalls en het tegengaan van het hergebruik van gecompromitteerde wachtwoorden.
New Mexico county 'eerste' lokale overheid ransomware slachtoffer van 2022
Overheidsgebouwen in Bernalillo County, New Mexico, werden woensdag gesloten voor het publiek als reactie op wat de eerste ransomware-aanval dit jaar lijkt te zijn tegen een lokale overheid in de Verenigde Staten. Ambtenaren in de provincie, waaronder Albuquerque, melden dat computersystemen offline werden gehaald als reactie op het incident, dat niet is toegeschreven aan een bekende kwaadwillende acteur. Een losgeldeis is ook niet geïdentificeerd. De websites van de provincie lijken ook offline te zijn, hoewel het kantoor van de sheriff en de brandweer- en reddingsdiensten "back-up onvoorziene omstandigheden" gebruikten om hun noodhulp operaties voort te zetten, meldde de Associated Press. Een woordvoerder van de provincie ging niet in op een oproep om commentaar te vragen over de situatie.
Ransomwaregroep steelt personeelsgegevens vanaf 1998 bij hotelketen VS
Bij een ransomware-aanval op de Amerikaanse hotelketen McMenamins zijn personeelsgegevens gestolen die teruggaan tot 1 januari 1998. Het gaat om namen, adresgegevens, telefoonnummers, e-mailadressen, geboortedata, ras, etnische afkomst, geslacht, invaliditeit, medische opmerkingen, prestaties en disciplinaire opmerkingen, social security-nummers en zorgverzekerings-, salaris- en pensioengegevens. Het is ook mogelijk dat de aanvallers rekeninggegevens in handen hebben gekregen, maar er zijn op dit moment geen duidelijke aanwijzingen dat dit het geval is, zo stelt McMenamins in een persbericht. Door de ransomware-aanval, die vorige maand plaatsvond, had de hotelketen tijdelijk geen toegang tot e-mail en reserveringssystemen. Ook de creditcardscanners waren door de aanval offline gegaan. McMenamins exploiteert 56 hotels, bioscopen, bars en restaurants in de regio van Portland. De hotelketen waarschuwt personeel om alert te zijn en verdachte activiteiten direct bij hun bank of zorgverlener te melden. McMenamins telt 2700 medewerkers en had in 2017 nog een omzet van 170 miljoen dollar. Bij de aanval zijn geen klantgegevens buitgemaakt. Inmiddels loopt er een onderzoek waarbij de FBI en een extern securitybedrijf betrokken zijn. Zo wordt naar de oorzaak gekeken en welke maatregelen moeten worden doorgevoerd om herhaling te voorkomen.
Solana (SOL) opnieuw slachtoffer van een grootschalige cyberaanval
Dinsdagochtend zijn er opnieuw problemen geweest op het netwerk van Solana. Solana (SOL) werd opnieuw het slachtoffer van een grootschalige aanval. Hierbij is er opnieuw een DDoS aanval toegepast op het netwerk. Het netwerk werd overbelast met vele spam transactie en is zelfs even uit de lucht geweest. Vanwege de nieuwe problemen is er opnieuw kritiek over de stabiliteit van het platform.
Solana went down again at two o'clock in the morning (UTC+8) on January 4th. According to users of the official Telegram community, the attacker is suspected of using spam to conduct a DDoS attack.
— Wu Blockchain (@WuBlockchain) January 4, 2022
Portugese mediagigant Impresa offline na aanval door ransomwaregroep
Meerdere websites van de Portugese mediagigant Impresa zijn offline gegaan na een aanval door een ransomwaregroep. Deze groep, die eerder een aanval op het Braziliaanse ministerie van Volksgezondheid opeiste, claimt allerlei data van Impresa te hebben buitgemaakt en dreigt die openbaar te maken, zo melden Portugese media. De aanvallers plaatsten hun boodschap op de websites van de Portugese krant Expresso en de Portugese televisiezender SIC. Inmiddels heeft het mediabedrijf weer de controle over de websites die nu laten weten dat ze tijdelijk offline zijn. Op Twitter meldt Impresa dat het bezig is om de situatie te verhelpen. Het mediabedrijf beheert acht tv-zenders en de grootste krant in Portugal. Verdere details over de aanval zijn op dit moment niet bekend.
O grupo IMPRESA confirma que os sites do EXPRESSO e da SIC, bem como algumas das suas páginas nas redes sociais, estão temporariamente indisponíveis, aparentemente alvo de um ataque informático, e que estão a ser desencadeadas ações no sentido de resolver a situação.
— Tribuna Expresso (@TribunaExpresso) January 2, 2022
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Tips of verdachte activiteiten gezien? Meld het hier.
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in 🇬🇧 or another language