Overzicht cyberaanvallen week 02-2022

Gepubliceerd op 17 januari 2022 om 15:00

Russische geheime dienst houdt verdachten achter REvil-ransomware aan, Game Mania waarschuwt klanten na ransomware aanval voor datalek en een nieuwkomer in de ransomware markt benut het kritieke Log4j-gat om binnen te komen in VMware-omgevingen. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 4.300 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.

Status op 17 januari 2022 : 4.332


Week overzicht

Slachtoffer Cybercriminelen Website Land
Centaris.com BlackCat (ALPHV) centaris.com USA
Solaris Management Consultants BlackCat (ALPHV) solaris-mci.com Canada
Hunter Douglas BlackCat (ALPHV) hunterdouglas.com.au Australia
Buffers USA BlackCat (ALPHV) buffersusa.com USA
Ballester Hermanos BlackCat (ALPHV) ballesterhermanos.com Puerto Rico
D.F. Chase BlackCat (ALPHV) dfchase.com USA
centralbankfl.com LockBit centralbankfl.com USA
Redbadge BlackCat (ALPHV) redbadge.com USA
CSEG.CN BlackCat (ALPHV) cseg.cn China
JALEEL TRADERS LLC 54BB47H (Sabbath) www.jaleelholdings.com United Arab Emirates
PLACON Conti www.placon.com USA
khattarlaw.com LockBit khattarlaw.com USA
fairnessforall.com LockBit fairnessforall.com USA
Acuity Brands Conti www.acuitybrands.com USA
Perennials Fabrics Conti www.perennialsfabrics.com USA
Lyon-Waugh Auto Group Conti www.lyonwaugh.com USA
Shutterfly inc. Conti www.shutterfly.com USA
RRD Conti www.rrd.com USA
Safeguard Conti www.safeguardit.com USA
ASL Napoli 3 Sud Network Seized 54BB47H (Sabbath) www.aslnapoli3sud.it Italy
Butler County Community College Vice Society www.bc3.edu USA
48Forty AvosLocker www.48forty.com USA
Imperial Logistics AvosLocker imperiallogistics.com South Africa
Arc Com AvosLocker www.arc-com.com USA
HAPOLO Snatch www.hapolo.com.br Brazil
Hanon Systems Snatch www.hanonsystems.com South Korea
Lewis & Clark College Quantum www.lclark.edu USA
Superfund Cuba www.superfund.com Austria
Fdcbuilding Cuba fdcbuilding.com.au Australia
supersave.ca LockBit supersave.ca Canada
Durham Cathedral Schools Foundation Vice Society www.durhamschool.co.uk UK
Butler Community College Vice Society www.butlercc.edu USA
XAL Vice Society www.xal.com Austria
TaxNetUSA Snatch www.taxnetusa.com USA
Arcese Conti arcese.com Italy
Hensoldt Lorenz www.hensoldt.net Germany
northsideplumbing.com LockBit northsideplumbing.com USA
bernheim.org LockBit bernheim.org USA
amerplumb.com LockBit amerplumb.com USA
STIMM Grief www.stimm43.com France
torann-france.fr LockBit torann-france.fr France
securiteassurance.com LockBit securiteassurance.com Lebanon
Strongwell Cuba www.strongwell.com USA
Regulvar Cuba www.regulvar.com Canada
Delinebox Cuba www.delinebox.com USA
Cle Cuba cle.com USA
U.FORM SRL Grief www.uform.eu Italy


Oekraïne: ‘Belarus verantwoordelijk voor cyberaanval’

De overheid van Oekraïne zegt dat er aanwijzingen zijn dat een hackersgroep die banden heeft met de geheime dienst van Belarus achter de hackaanval van afgelopen vrijdag zit. Voor de aanval gebruikten de hackers ransomware die in het verleden is ingezet door de Russische inlichtingendienst. De regering van president Alexander Loekasjenko heeft nog niet gereageerd op de beschuldigingen. Dat vertelt plaatsvervangend secretaris van de nationale veiligheids- en defensieraad Serhiy Demedyuk tegenover persbureau Reuters.


Russische geheime dienst houdt verdachten achter REvil-ransomware aan

De Russische geheime dienst FSB heeft op verzoek van de Amerikaanse autoriteiten meerdere personen aangehouden die onderdeel van de REvil-ransomwaregroep zouden zijn. De REvil-groep wordt onder andere verantwoordelijk gehouden voor de wereldwijde ransomware-aanval via de software van Kaseya en de aanval op vleesverwerker JBS. Het bedrijf betaalde uiteindelijk 11 miljoen dollar losgeld. In een persbericht meldt de FSB dat erop 25 adressen van veertien verdachten huiszoekingen hebben plaatsgevonden. Daarbij is bijna zes miljoen euro in contanten in beslag genomen, alsmede twintig luxe auto's, computers en cryptowallets. De verdachten kunnen indien schuldig bevonden een gevangenisstraf van maximaal zeven jaar krijgen. De FSB stelt dat de Amerikaanse autoriteiten over de resultaten van de operatie zijn ingelicht. Het Russische persbureau TASS publiceerde een korte video over de operatie op YouTube.

ONWETTIGE ACTIVITEITEN VAN LEDEN VAN EEN GEORGANISEERDE CRIMINELE GEMEENSCHAP WERDEN ONDERDRUKT
PDF – 561,2 KB 235 downloads

85.000 Amerikaanse leerlingen door cyberaanval niet naar school

85.000 Amerikaanse leerlingen kunnen een aantal dagen niet naar school omdat het schooldistrict vanwege een cyberaanval alle scholen heeft gesloten. Gisteren waarschuwde Albuquerque Public Schools dat het de schooldeuren moest sluiten vanwege een aanval waarbij verschillende systemen zijn getroffen, wat gevolgen zou kunnen hebben voor het lesgeven en de veiligheid van leerlingen. Albuquerque Public Schools is het grootste schooldistrict in de Amerikaanse staat New Mexico en telt 144 scholen, waar 85.000 leerlingen onderwijs volgen. Details over de aanval zijn niet gegeven, behalve dat de scholen naar verwachting 18 januari weer de deuren zullen openen. In een video zegt de directeur van het schooldistrict dat er een onderzoek naar de aanval gaande is en het schooldistrict de beveiliging en monitoring zal aanscherpen. Vanwege het onderzoek wordt er geen verdere informatie gegeven.


TellYouThePass ransomware keert terug als een platform onafhankelijke bedreiging

TellYouThePass ransomware is opnieuw opgedoken als een Golang-gecompileerde malware, waardoor het gemakkelijker is om meer besturingssystemen te targeten, macOS en Linux in het bijzonder. De terugkeer van deze malware stam werd vorige maand opgemerkt, toen bedreigingsactoren het gebruikten in combinatie met de Log4Shell-exploit om kwetsbare machines te targeten. Nu werpt een rapport van Crowdstrike meer licht op deze terugkeer, met de nadruk op wijzigingen op codeniveau die het gemakkelijker maken om te compileren voor andere platforms dan Windows.

Tell You The Pass Ransomware Analysis Reveals A Modern Reinterpretation Using Golang
PDF – 13,7 MB 216 downloads

Oekraïense politie arresteert ransomware-bende die meer dan 50 bedrijven trof

Oekraïense politieagenten hebben een ransomware-gelieerde groep gearresteerd die verantwoordelijk is voor het aanvallen van ten minste 50 bedrijven in de VS en Europa. Geschat wordt dat de totale verliezen als gevolg van de aanvallen meer dan een miljoen Amerikaanse dollars bedragen. Een 36-jarige inwoner van de Oekraïense hoofdstad Kiev werd geïdentificeerd als de leider van de groep, waaronder zijn vrouw en drie andere kennissen, stelt de politie. Het is onduidelijk welke ransomware-stam de bende gebruikte om gegevens op slachtoffer computers te versleutelen, maar ze leverden de malware via spam-e-mails. Drie leden van de bende ontvingen het losgeld van het betalen van slachtoffers in cryptocurrency. In ruil daarvoor leverden ze de decoderingstool om gegevens te herstellen, zegt de Oekraïense politie vandaag in een aankondiging. "Volgens voorlopige gegevens werden meer dan 50 bedrijven getroffen door de aanvallen, het totale bedrag aan schade bereikt meer dan een miljoen Amerikaanse dollars", voegt de politie eraan toe.

Cyberpolitie Ontdekt Hackgroep Op Aanvallen Van Buitenlandse Bedrijven Met Versleuteld Virus
PDF – 9,6 MB 230 downloads

Game Mania waarschuwt klanten na ransomware-aanval voor datalek

Gamewinkelketen Game Mania heeft klanten gewaarschuwd voor een datalek nadat het bedrijf afgelopen maandag slachtoffer van een ransomware-aanval werd. Daarbij kregen de aanvallers toegang tot een server met klantgegevens, waaronder naam, adres, e-mailadres en telefoonnummer. Wachtwoorden en betaalgegevens zijn niet bij de aanval gecompromitteerd. Na de aanval werden alle getroffen systemen offline gehaald. "De cyberveiligheid van onze klanten en hun data is voor ons een topprioriteit. We werken er dan ook hard aan om de situatie zo snel mogelijk te herstellen", aldus de winkelketen. Die zegt dat een externe veiligheidsexpert de situatie onderzoek, alsmede de infrastructuur en bestaande veiligheidsprocedures van Game Mania. "Eens de situatie hersteld, zullen we de aanbevelingen van onze partner implementeren en gepaste maatregelen nemen om de cyberveiligheid van Game Mania verder te optimaliseren", staat in een verklaring van het bedrijf. Het datalek is inmiddels bij de Autoriteit Persoonsgegevens en de Belgische Gegevensbeschermingsautoriteit gemeld.


Ransomware omarmt Log4j-gat voor VM-gijzeling

Een verse nieuwkomer in de ransomware markt benut het kritieke Log4j-gat om binnen te komen in VMware-omgevingen. De zogeheten Night Sky-ransomware mikt op bedrijfsnetwerken, om daar data te stelen en dan te versleutelen. Daarmee wordt dan een dubbele afpersing uitgevoerd. Night Sky gebruikt de grote kwetsbaarheid in loggingtool Log4j om virtuele desktops te versleutelen. Het gaat om de eerst ontdekte en ernstigste Log4j-kwetsbaarheid (CVE-2021-44228), die Log4Shell is gedoopt. Dat gat is begin december wereldkundig gemaakt en daarna van meerdere patches voorzien. De initiële patch bleek namelijk de kwetsbaarheid niet geheel op te lossen. Het open source Log4j wordt gebruikt in diverse ICT-producten van derden, waaronder ook commerciële leveranciers zoals VMware.

Night Sky Ransomware Uses Log 4 J Bug To Hack V Mware Horizon Servers
PDF – 295,1 KB 299 downloads

Edge-gebruikers via nep-update geïnfecteerd met ransomware

Gebruikers van Microsoft Edge zijn het doelwit van een aanval waarbij wordt geprobeerd om het systeem via een zogenaamde browser-update met ransomware te infecteren. Voor het ontsleutelen van de data moet een bedrag van tussen de 2500 en 5000 dollar worden betaald, zo meldt Malwarebytes. De meeste ransomware-aanvallen die in het nieuws komen richten zich op grote organisaties en bedrijven. Eindgebruikers zijn echter ook nog steeds een doelwit. Bij de nu waargenomen aanvallen worden Edge-gebruikers via via malafide advertenties automatisch doorgestuurd naar een website die stelt dat ze handmatig een browser-update moeten installeren om de pagina te kunnen bekijken. In werkelijkheid bevat het aangeboden bestand de Magniber-ransomware die allerlei bestanden op het systeem versleutelt en losgeld voor de decryptie eist. Eind vorig jaar gebruikte de Magniber-groep nog malafide advertenties om ongepatchte gebruikers van Internet Explorer automatisch met ransomware te infecteren. Bij de nu waargenomen aanvallen, gericht tegen Zuid-Koreaanse Edge-gebruikers, moet het slachtoffer zelf de zogenaamde update installeren.

Ransomware Targets Edge Users
PDF – 458,9 KB 300 downloads

Tientallen FIFA-accounts gekaapt door phishing aanval op EA-medewerkers

Criminelen zijn erin geslaagd om door middel van een phishingaanval op medewerkers van Electronic Arts (EA) tientallen 'high-profile' FIFA-accounts te kapen, zo heeft de spelontwikkelaar- en uitgever bekendgemaakt. Het ging onder andere om echte voetballers en professionele streamers van wie de accounts werden overgenomen en leeggehaald. Volgens EA maakten de aanvallers gebruik van phishingtechnieken, bedreigingen en social engineering om helpdeskmedewerkers te misleiden en zo toegang tot accounts te krijgen en de tweefactorauthenticatie (2FA) die gebruikers hadden ingeschakeld te omzeilen. De ontwikkelaar van de populaire voetbalgame spreekt van "menselijke fouten" binnen de helpdesk. Voor zover nu bekend zijn er tot vijftig accounts bij de aanvallen overgenomen. EA is nu bezig om de rechtmatige accounteigenaren te identificeren en hen te helpen bij het teruggeven van hun accounts en de daarin aanwezige content. "Er is altijd een menselijke factor met accountbeveiliging en we weten dat we beter moeten doen", aldus EA in een verklaring. Het bedrijf gaat alle helpdeskmedewerkers die zich met EA-accounts bezighouden opnieuw trainen, met nadruk op accountbeveiliging en de phishingtechnieken die bij de recente aanvallen werden toegepast. Tevens worden er aanvullende stappen toegevoegd aan het proces om de eigenaar van een account te verifiëren. Zo zullen e-mailadressen pas na toestemming van een manager mogen worden aangepast. Verder zegt EA dat het de "customer experience software" gaat aanpassen om beter verdachte activiteit te identificeren, risicovolle accounts te herkennen en de kans op menselijke fouten tijdens het updaten van accounts te verkleinen.


Emil Frey Zwitserland slachtoffer van cyberaanval

Dealerholding Emil Frey Zwitserland is het slachtoffer geworden van cybercriminelen. Dat bevestigt het bedrijf aan Automotive.

De cyberaanval heeft 'enig effect' op de operationele activiteiten van de groep; zo is de Duitse website van het bedrijf uit voorzorg uit de lucht gehaald. De dealerholding heeft inmiddels diverse autoriteiten op de hoogte gebracht van de hackaanval. Interne en externe specialisten proberen nu vast te stellen wat de schade is. Simon Luijckx, bestuursvoorzitter van Emil Frey Nederland, meldt desgevraagd dat de Nederlandse activiteiten niet getroffen zijn en dat de cyberaanval geen effect heeft op de Nederlandse activiteiten.


Extern mailverkeer van Defensie in Belgie lag 4 weken plat na cyberaanval

Pas sinds gisterenmiddag kan Defensie in Belgie opnieuw mails naar buiten sturen. Dat bevestigt het kabinet van Belgie, minister Ludivine Dedonder (PS). De cyberaanval van 16 december blijkt aldus een stuk erger dan gedacht, schrijft Het Belang van Limburg. Volgens de vakbonden zijn nog niet alle problemen opgelost. Bijna een maand is het intussen geleden dat Defensie een cyberaanval te verwerken kreeg. Maar dus pas sinds gisteren kunnen de militaire diensten opnieuw extern mailen. Het interne mailverkeer werd relatief snel hersteld, maar wie van buiten Defensie probeerde te mailen naar een @mil.be-adres kreeg vier weken lang een melding dat de mail niet kon worden ontvangen. De mails kwamen wel aan, maar de militairen konden er niet op antwoorden.


Gevangenen VS mochten dagenlang cel niet uit door ransomware aanval

Gedetineerden in een gevangenis in de Amerikaanse staat New Mexico mochten vorige week hun cel niet verlaten vanwege een ransomware aanval. Door de aanval werkten automatische deurmechanismen en camera's niet meer, meldt The Verge. De aanval vond plaats op 5 januari in de stad Albuquerque. Alle internetdiensten in de Metropolitan Detention Center waren door de aanval offline, waardoor het personeel niet in staat was om de gegevens van gevangenen op te zoeken. Ook het registreren van bezoekers was niet mogelijk, waardoor zij niet welkom waren. Omdat de camera's in de gevangenis niet werkten, werden de gedetineerden in lockdown geplaatst. Ze mochten hun cel enkele dagen niet verlaten. Ook het systeem waarin medewerkers incidenten, zoals gevechten, konden registreren was offline. Aangenomen wordt dat dit systeem is beschadigd, al wordt daar nog onderzoek naar gedaan. De problemen bij de gevangenis waren onderdeel van een grote ransomware aanval op Bernalillo County. De provincie maakte vorige week bekend dat verschillende kantoren en systemen slachtoffer zijn geworden van een cyberaanval, die gevolgen had voor een breed scala aan activiteiten. De onverwachte lockdown zorgde ervoor dat de Metropolitan Detention Center tijdelijk een ander gevangenisbeleid hanteerde dan waar de gedetineerden recht op hebben. Zo zouden gevangenen regelmatig toegang moeten krijgen tot communicatieapparatuur. De provincie moest daarom een noodoproep indienen bij een federale rechtbank. Bij gijzelsoftware, ook wel ransomware genoemd, worden bestanden en systemen versleuteld. Vervolgens wordt losgeld geëist om deze weer toegankelijk te maken. Het is niet bekend of de provincie de hackers losgeld heeft betaald.


FBI en NSA waarschuwen voor Russische aanvallen op vitale infrastructuur

De FBI, NSA en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) hebben vandaag een waarschuwing afgegeven voor cyberaanvallen tegen de vitale infrastructuur in de Verenigde Staten die door de Russische overheid worden gesteund. Volgens de Amerikaanse overheidsinstanties waren deze aanvallen onder andere gericht tegen overheids- en luchtvaartnetwerken en wisten de aanvallers daarbij meerdere netwerken te compromitteren en gegevens van meerdere slachtoffers te stelen. Verder was er van 2011 tot en met 2018 sprake van een aanvalscampagne tegen de Amerikaanse energiesector waarbij er ook toegang tot netwerken werd verkregen en de aanvallers er met ICS-gerelateerde data vandoor gingen. In de waarschuwing worden ook aanvallen genoemd tegen Oekraïense energiebedrijven die in 2015 en 2016 plaatsvonden en voor stroomuitval zorgden. Voor het uitvoeren van deze aanvallen gebruiken de aanvallers bekende tactieken, zoals spearphishing, misbruik van bekende en onbekende kwetsbaarheden, bruteforce-aanvallen en password spraying. De FBI, NSA en het CISA adviseren vitale organisaties om voorbereid te zijn, het "cyberpostuur" van de organisatie te versterken en de waakzaamheid binnen de organisatie te vergroten. Het gaat dan onder andere om het testen van handmatige bediening, het opstellen van incident response plannen, het beveiligen van accounts, maken van back-ups, monitoring, logging en het uitschakelen van onnodige poorten en protocollen. Verder looft de Amerikaanse overheid tien miljoen dollar uit voor tips over Russische cyberoperaties gericht tegen de Amerikaanse vitale infrastructuur.

Understanding And Mitigating Russian State Sponsored Cyber Threats To U S Critical Infrastructure
PDF – 294,8 KB 288 downloads

Noorse hotelketen stapt na ransomware-aanval over op Chrome OS

De Noorse hotelketen Nordic Choice die vorige maand werd getroffen door een ransomware-aanval is overgestapt op Chrome OS om sneller te kunnen herstellen, zo heeft het bedrijf bekendgemaakt. Bij de aanval werden systemen voor reserveringen, in- en uitchecken en betalingen getroffen. Ook gingen de systemen voor het maken van keycards offline. De aanval was het werk van de Conti-groep, aldus Nordic Choice in een persbericht. Vanwege de aanval moest de hotelketen naar eigen zeggen de gehele computervloot vernieuwen. In plaats van nieuwe hardware aan te schaffen werd besloten om op bestaande pc's Chrome OS te installeren. In minder dan 24 uur draaide het eerste hotel op Googles besturingssysteem. Twee dagen later waren tweeduizend computers in de 212 hotels van Nordic Choice omgezet naar Chrome OS. De hotelketen had al een pilot lopen waarbij werd gekeken om de bestaande computers naar Chrome OS om te zetten. "We wilden een groot deel van onze computervloot upgraden, door ze om te zetten zouden we zowel kosten als de uitstoot van broeikasgassen kunnen beperken, alsmede het beveiligingsniveau van het bedrijf vergroten", zegt Kari Anna Fiskvik, vice-president technologie van Nordic Choice. Vanwege de cyberaanval werd besloten om het project groen licht te geven en over te gaan. Volgens Fiskvik kon de hotelketen dankzij deze beslissing veel sneller herstellen dan normaal het geval zou zijn geweest. "Als elke computer gescand had moeten worden en opgeschoond met antivirussoftware, het herinstalleren van het originele besturingssysteem en met alle dataverbindingen naar de hotels uitgeschakeld om verdere infecties te voorkomen, had het herstel weken geduurd in plaats van dagen." Verder claimt Nordic Choice dat het door de overstap naar Chrome OS zes miljoen euro bespaart en de computers en zestig procent langere levensduur krijgen. Afsluitend stelt de hotelketen dat het ook minder kwetsbaar is voor toekomstige aanvallen. "Aangezien het besturingssysteem tot nu toe voor dergelijke aanvallen immuun is gebleken."


VS: Log4j-kwetsbaarheid heeft nog niet tot aanzienlijke aanvallen geleid

Er hebben vooralsnog geen aanzienlijke aanvallen via de Log4j-kwetsbaarheid plaatsgevonden, zo stelt Jen Easterly, hoofd van het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Tijdens een persbijeenkomst liet Easterly weten dat de impact van het beveiligingslek lijkt mee te vallen. "Op dit moment hebben we nog niet gezien dat het gebruik van Log4Shell tot noemenswaardige inbraken heeft geleid", aldus Easterly. Ze merkt op dat dit kan komen omdat geraffineerde aanvallers het beveiligingslek al hebben misbruikt en wachten met verdere aanvallen totdat organisaties minder alert zijn. Aan de andere kant kan het ook komen doordat verdedigers snel in actie kwamen en de meeste kwetsbare machines hebben beschermd. Het CISA heeft ook nog geen bevestigde succesvolle aanvallen op federale overheidsinstanties en de vitale infrastructuur gezien. Wel verwacht Easterly dat Log4Shell nog lang bij aanvallen zal worden gebruikt. Bij de nu waargenomen aanvallen werden voornamelijk cryptominers geïnstalleerd of systemen aan een botnet toegevoegd. Volgens het CISA zijn meer dan 2800 producten door de Log4j-kwetsbaarheid getroffen. Het overzicht hiervan is honderdduizenden keren bekeken. De Log4j-scanner die het CISA ontwikkelde is al bijna vierduizend keer gedownload.


Cyberaanval treft schade-expertisebureau CED Group

Expertisebureau CED Group is slachtoffer van een grootschalige hack. Hackers van het collectief Blackcat hebben op 24 december een aanval gepleegd op het bedrijf. Dat blijkt uit het online cybercrimeregister Cybercrimeinfo.nl en wordt aan Automotive bevestigd door CED Group. Via het schadeafhandelingsplatform van CED kunnen verzekeraars en volmachten hun autoschades afhandelen. Een groot deel van de afhandeling van schades gaat via CED. Samen met Dekra is CED verantwoordelijk voor het grootste deel van de expertises voor auto en opstal- en inboedelverzekeraars. In de dossiers zit ook informatie met betrekking tot de eigenaar/verzekerde. De grote, sturende autoverzekeraars werken de meeste dossiers intern en geautomatiseerd af. CED Group meldt in een reactie dat er een "grondig forensisch onderzoek wordt uitgevoerd" om vast te stellen of er gevoelige gegevens zijn getroffen. "Een voorlopige analyse van het onderzoek laat zien dat slechts een zeer beperkt deel van de gegevens op onze systemen mogelijk is aangetast door de cyberaanval. Dit betreffen gegevens in een business-to-business relatie, zonder privacygevoelige informatie van eindklanten of verzekerden", aldus CED. Het bedrijf meldt aan Automotive dat het zijn website uit voorzorg offline heeft gehaald na het detecteren van de aanval. De site lag er een week uit. Sinds vanochtend is de tijdelijke website cedgroup.eu online. Het aantal hacks in de automotive neemt toe. Zo werden vorig jaar onder meer RDC en Bochane Groep slachtoffer van cybercriminelen. CED meldt zijn klanten  te informeren over het verloop van het onderzoek en een (pro-forma) melding gemaakt te hebben bij de Autoriteit Persoonsgegevens.  


Linux-versie van AvosLocker ransomware richt zich op VMware ESXi-servers

AvosLocker is de nieuwste ransomware-bende die ondersteuning voor het versleutelen van Linux-systemen heeft toegevoegd aan zijn recente malware varianten, specifiek gericht op virtuele VMware ESXi-machines. Hoewel we niet konden vinden welke doelen werden aangevallen met behulp van deze AvosLocker ransomware Linux-variant. Weten we van ten minste één slachtoffer dat werd getroffen met een losgeldverzoek van $ 1 miljoen. Enkele maanden geleden werd de AvosLocker-bende ook gezien in reclame voor zijn nieuwste ransomware-varianten, de Windows Avos2 en AvosLinux, terwijl ze erop aandrongen om gelieerde ondernemingen aan voormalig Sovjet unie doelen niet aan te vallen. "Nieuwe varianten (avos2 / avoslinux) hebben het beste van twee werelden te bieden: hoge prestaties en een hoge hoeveelheid codering in vergelijking met zijn concurrenten," zei de bende.


Nieuwe Wasp Ransomware


Britse gezondheidsdienst waarschuwt voor misbruik Log4j-lek in VMware Horizon

De Britse gezondheidsdienst NHS heeft een waarschuwing afgegeven voor aanvallers die misbruik maken van de Log4j-kwetsbaarheid in VMware Horizon. VMware Horizon is virtualisatiesoftware voor het draaien van virtuele desktops en apps in de cloud. De software maakt gebruik van Apache Tomcat dat weer van Log4j gebruikmaakt. VMware heeft vorig jaar december al beveiligingsupdates uitgerold om de Log4j-kwetsbaarheid in het Horizon-platform te verhelpen. Aanvallers zoeken actief naar kwetsbare, nog niet gepatchte Horizon-servers, zo stelt de National Health Service (NHS). Vervolgens wordt het Log4j-lek gebruikt om een kwaadaardig Java-bestand uit te voeren dat een webshell in de VM Blast Secure Gateway service injecteert. Via deze webshell behouden de aanvallers toegang tot de server en kunnen vervolgens verdere aanvallen uitvoeren, zoals het stelen van gegevens en verspreiden van ransomware. De NHS heeft in de waarschuwing details vermeld hoe organisaties gecompromitteerde Horizon-servers kunnen detecteren.

Attacker Diagram
Afbeelding – 148,7 KB 209 downloads

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten


Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »