FBI verdenkt Trickbot groep van ontwikkeling Diavol ransomware, account gegevens buitgemaakt bij ransomware aanval OpenSubtitles.org en nieuwe White Rabbit ransomware gekoppeld aan FIN8 hacking groep. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Meer dan 4.300 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.
Status op 24 januari 2022 : 4.352
Week overzicht
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
ipec.ro | BlackCat (ALPHV) | ipec.ro | Romania |
Gardenworks | Everest | www.gardenworks.ca | Canada |
efile.com | LockBit | efile.com | USA |
onlinesalespro.com | LockBit | onlinesalespro.com | USA |
Centre D'Odontologia Integrada Miret-Puig | Hive | clinicadentalmollerussa.com | Spain |
RIVADIS | Hive | labo-rivadis.fr | France |
UNICRED | Hive | www.unicredsuldeminas.com.br | Brazil |
Claro Colombia | Hive | www.claro.com.co | Columbia |
bayview.com | LockBit | bayview.com | USA |
The City of Pembroke Pines | Entropy | www.ppines.com | USA |
Bank of Indonesia | Conti | www.bi.go.id | Indonesia |
AFG Canada | Everest | afgcanada.ca | Canada |
harrisshelton.com | LockBit | harrisshelton.com | USA |
izo.es | LockBit | izo.es | Spain |
bannerbuzz.com | LockBit | bannerbuzz.com | USA |
Vehicle Service Group | Snatch | vsgdover.com | USA |
Hall Cross Academy | Snatch | hallcrossacademy.co.uk | UK |
Brookson Group | BlackCat (ALPHV) | brooksonone.co.uk | UK |
huntsville4rent.com | LockBit | huntsville4rent.com | USA |
crossroadshealth | Haron | crossroadshealth.org | USA |
Moncler | BlackCat (ALPHV) | www.moncler.com | Italy |
D.F. Chase | BlackCat (ALPHV) | dfchase.com | USA |
Rusland pakt vier vermeende leden van hackersgroep 'Infraud Organization' op
De Russische inlichtingendienst FSB en de politie hebben vier vermeende leden van de hackersgroep Infraud Organization aangehouden, meldt het Russische persbureau TASS zaterdag. Andrey Novak, de vermoedelijke oprichter van de hackersgroep, wordt in de Verenigde Staten gezocht vanwege cybercriminaliteit. Hij zit nu in ieder geval twee maanden vast. Drie andere vermeende leden van de groep zijn onder huisarrest geplaatst. Volgens bronnen is Rusland niet van plan om Novak aan de VS uit te leveren, omdat het land uitlevering van Russische staatsburgers aan andere staten verbiedt. Eerder deze maand arresteerde Rusland in opdracht van de VS al zeker zeventien verdachte hackers die deel zouden uitmaken van de hackersgroep REvil. Bij huiszoekingen werden toen grote geldbedragen, computerapparatuur en twintig luxe auto's in beslag genomen.
Modegigant Moncler bevestigt datalek na ransomware-aanval
De Italiaanse luxe modegigant Moncler bevestigde dat ze een datalek hebben geleden nadat bestanden in december werden gestolen door de AlphV / BlackCat ransomware-operatie en vandaag op het darkweb werden gepubliceerd. De aanval ontvouwde zich in de laatste week van 2021 toen het luxe modemerk een onderbreking van zijn IT-diensten aankondigde, maar verzekerde dat de aanval zou resulteren in niets meer dan een tijdelijke storing. Tien dagen later bracht het bedrijf een update uit over de situatie, waarbij het zijn logistieke systemen opnieuw activeerde en prioriteit gaf aan e-commerce zendingen die vertraging hadden opgelopen in de verzending.
Britten waarschuwen leerlingen voor gevolgen van ddos-aanvallen
De Britse National Crime Agency (NCA) start een campagne om kinderen te wijzen op de gevolgen van ddos-aanvallen. Steeds vaker worden scholen door leerlingen via de computer aangevallen, schrijft Techradar. Sinds de coronapandemie ziet de organisatie een verdubbeling van het aantal cyberaanvallen dat gericht is op netwerken en websites van scholen. Kinderen vanaf negen jaar maken zich al schuldig aan het uitvoeren van ddos-aanvallen op hun schoolnetwerken, websites en andere diensten, aldus het NCA. Bij een ddos-aanval wordt vanaf een groot aantal verschillende computers een website of internetadres opgevraagd waardoor die site of server overbelast raakt en niet meer bereikbaar is. De voorlichtingscampagne gaat nu van start op ongeveer tweeduizend basis- en middelbare scholen en wordt mogelijk later nog verder uitgebreid. Onderdeel van de campagne is ook het opsporen van leerlingen die op schoolcomputers zoekdrachten uitvoeren die te maken hebben met cybercriminaliteit. Zij krijgen een waarschuwing te zien tegen criminele activiteiten en worden doorverwezen naar de Cyber Choices-website waarop een reeks educatieve materialen staan. Door jongeren meer bewust te maken van de wetgeving over computercriminaliteit, hoopt het NCA leerlingen te kunnen weerhouden van het uitvoeren van criminele activiteiten op internet.
Maastrichts universiteitsblad Observant doelwit van ddos-aanval
De website van het onafhankelijke universiteitsblad Observant in Maastricht is vorige week getroffen door een zogenoemde ddos-aanval. Daders zijn onbekend. Er is ook geen geld geëist. De site observantonline.nl kreeg vorige week woensdag plotseling te maken met zo veel verzoeken om de website te raadplegen dat die vastliep. De Observant besloot daarop gedurende tien uur uit de lucht te gaan om de aanvallen te doen stoppen. Maar dat bleek geen effect te hebben gehad. De ddos-aanvallen duurden voort, soms wel tot één miljoen ‘verzoeken’ per kwartier, meldt de Observant in de eigen berichtgeving daarover. Uiteindelijk konden de aanvallen worden gestopt dankzij extra ict-beveiligingsmaatregelen. Volgens deskundigen die het blad raadpleegde gaat het om een professionele aanval. Maar de daders zijn niet gepakt. De hackers zouden verder geen schade hebben aangericht en ook geen losgeld hebben geëist. Het is ruim twee jaar geleden dat de Universiteit Maastricht vlak voor Kerst zelf getroffen werd door een professionele hack met gijzelsoftware. Die aanval had toen wel verregaande consequenties voor de duizenden studenten en personeelsleden. Dat bleek toen het werk te zijn van een criminele Oost-Europese organisatie. Die eiste destijds 197.000 euro losgeld in bitcoins en kreeg dat bedrag ook van de universiteit. Daarna werden de computersystemen ontdaan van de malafide software en weer stukje bij beetje opgestart. Bij die hack van destijds werd de site van de Observant niet betrokken.
Nieuwe Trap ransomware ontdekt
A new #Trap #Ransomware in my Digest https://t.co/rInzvFE3PE
β Amigo-A (@Amigo_A_) January 20, 2022
Extension: .trap
R/n: RESTORE.txt
Email: Wingate@onionmail* pic.twitter.com/7zzbBvFQsw
BlackCat Ransomware ligt op de loer voor slachtoffers door RaaS model
BlackCat (ook bekend als AlphaVM, AlphaV) is een nieuw opgerichte RaaS (Ransomware as a Service) met payloads geschreven in 'Rust'. Hoewel BlackCat niet de eerste ransomware is die in de 'Rust-taal' is geschreven, voegt het zich bij een klein (maar groeiend) deel van het malware landschap dat gebruik maakt van deze populaire platform onafhankelijke taal. BlackCat verscheen voor het eerst eind november en heeft naar verluidt doelen in meerdere landen aangevallen, waaronder Australië, India en de VS.
‘VPNLab’ offline gehaald door politie diensten
Handhavingsinstanties ondernamen deze week actie tegen het misbruik van VPN-diensten door criminelen. Dit deden ze door de infrastructuur en de gebruikers van VPNLab.net aan te pakken. De producten van de VPN-provider, bedoeld voor afgeschermde communicatie en internettoegang, werden ter ondersteuning van ernstige misdrijven gebruikt. Zoals de inzet van Ransomware en andere cybercriminaliteit. Lees verder
FBI verdenkt Trickbot-groep van ontwikkeling Diavol-ransomware
Eind vorig jaar is een nieuw ransomware-exemplaar ontdekt dat is ontwikkeld door de groep achter de beruchte Trickbot-malware, zo stelt de FBI. De Amerikaanse opsporingsdienst geeft in een recent gedeeld document informatie over de Diavol-ransomware, die het werk zou zijn van de Trickbot-ontwikkelaars. Volgens de Amerikaanse autoriteiten zijn wereldwijd miljoenen computers met Trickbot geïnfecteerd geraakt.
In eerste instantie werd Trickbot gebruikt voor het stelen van inloggegevens voor internetbankieren, maar later werd de malware ook ingezet voor het installeren van ransomware. Nu hebben de Trickbot-ontwikkelaars hun eigen ransomware ontwikkeld. De FBI baseert zich hierbij onder andere op de unieke identifier die voor slachtoffers wordt gegenereerd en bijna identiek is aan die van Trickbot. Eenmaal actief op een systeem versleutelt de ransomware bestanden en eist een losgeldbedrag dat tussen de 10.000 en 500.000 dollar ligt. De aanvallers gaan in overleg met hun slachtoffers en hebben daarbij ook lagere betalingen geaccepteerd, zo laat de FBI weten. Ook is de Amerikaanse opsporingsdienst niet bekend met het lekken van gestolen informatie, ook al dreigen de aanvallers hier wel mee. In het document geeft de FBI verschillende details over de ransomware (pdf). Tevens worden tips gegeven om infecties te voorkomen, waaronder het uitschakelen van ongebruikte poorten, het uitschakelen van hyperlinks in ontvangen e-mail, het verplichten van beheerdersrechten om software te installeren, het tonen van een banner in ontvangen e-mails van buiten de organisatie, het controleren op onbekende accounts, het installeren van updates en het focussen op security awareness en trainingen.
Cyberaanval op Defensie Belgie gebeurde zo goed als zeker in opdracht van buitenlandse overheid
Alles wijst erop dat de grootscheepse cyberaanval tegen Defensie in december werd uitgevoerd door een ‘state actor’. Die aanval begon ook al een week vroeger dan eerder werd gecommuniceerd. Er wordt gekeken in de richting van Rusland of Iran, of eventuele organisaties die door deze landen worden aangestuurd. Lees verder
Rode Kruis getroffen door cyberaanval
Het hoofdkantoor van het Internationale Comité van het Rode Kruis (ICRC) in Genève was deze week het doelwit van een cyberaanval. De aanval was gericht op de servers van de hulporganisatie, waar data en vertrouwelijke informatie van meer dan 515.000 vluchtelingen en andere kwetsbare mensen waren opgeslagen. Het Nederlandse Rode Kruis onderzoekt of er ook gegevens van de Nederlandse tak op de servers stonden. Het Rode Kruis onthult de cyberaanval in een persverklaring.
Accountgegevens buitgemaakt bij hack en ransomwareaanval OpenSubtitles.org
De accountgegevens en wachtwoorden van 6,7 miljoen gebruikers van OpenSubtitles.org zijn in augustus 2021 gelekt na een hack en ransomwareaanval. Pas nu heeft de website dit aan gebruikers verteld. De gegevens zijn inmiddels toegevoegd aan Have I Been Pwned. In een forumpost leggen de admins van de site uit dat zij in augustus 2021 benaderd zijn door een persoon die toegang had tot gebruikersgegevens. Hij vroeg een dwangsom om de gegevens te verwijderen en niet te openbaren. De aanvaller had toegang tot de inloggegevens, e-mailadressen, IP-adressen, land van herkomst en ontsleutelde wachtwoorden van in totaal 6.783.158 accounts. Die inloggegevens zijn toegevoegd aan de wachtwoorddatabase van Have I Been Pwned. De admins van OpenSubtitles.org leggen uit dat de wachtwoorden versleuteld waren met md5-hashes zonder salt, waardoor korte wachtwoorden makkelijk ontsleuteld konden worden. De aanvaller kreeg toegang tot de site door een slecht beveiligde SuperAdmin-account en een onbeveiligd script. Hierdoor kon de aanvaller SQL-injecties uitvoeren en de data stelen. Volgens de admins hebben zij 'amper' gehoor gegeven aan de ransomware-eis, omdat het geldbedrag te hoog was. Wat dat precies betekent leggen zij niet uit. Wel vertellen ze dat de aanvaller hen heeft geholpen de site beter te beveiligen door uit te leggen waar de kwetsbaarheid zat. Ook had hij beloofd de buitgemaakte data te verwijderen. De harde les die de admins naar eigen zeggen hebben geleerd is dat de beloftes van een aanvaller niets waard zijn, omdat hij alsnog de wachtwoorden openbaar gemaakt heeft. Volgens de admins heeft de hacker geen toegang gekregen tot creditcardgegevens van gebruikers, omdat die extern opgeslagen zijn. Wel heeft hij toegang gekregen tot accounts, met name die met korte of slechte wachtwoorden, omdat die makkelijk te ontsleutelen zijn. De site raadt aan het wachtwoord aan te passen. Daarnaast heeft het de beveiliging inmiddels verbeterd
VS waarschuwt organisaties alert te zijn na malware-aanval in Oekraïne
Elke organisatie in de Verenigde Staten loopt risico door cyberdreigingen die essentiële diensten kunnen verstoren en in theorie zelfs gevolgen voor de openbare veiligheid kunnen hebben. Met name partijen die zaken doen met Oekraïense organisaties moeten extra alert zijn, zo waarschuwt het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) naar aanleiding van malware-aanvallen in Oekraïne (pdf). Bij deze aanvallen werd malware ingezet die zich voordeed als ransomware, maar in werkelijkheid het beschadigen van bestanden en saboteren van systemen als doel had. Volgens het CISA is het gebruik van dergelijke malware zeer alarmerend gegeven het feit dat soortgelijke malware in het verleden is ingezet en grote schade aan de vitale infrastructuur veroorzaakte. Er wordt onder andere gewezen naar de NotPetya-malware en WannaCry-ransomare. In de nu gegeven waarschuwing geeft het CISA adviezen om aanvallen te voorkomen, te detecteren en hierop te reageren. Zo moeten alle onnodige poorten en protocollen zijn uitgeschakeld, moeten alle beheerders en accounts met hogere rechten van multifactorauthenticatie gebruikmaken en hoort alle software up-to-date te zijn. Verder moet logging zijn ingeschakeld en it-personeel alert zijn op verdacht netwerkverkeer. Bedrijven en organisaties die met Oekraïense organisaties zaken doen of samenwerken moeten extra alert zijn en verkeer afkomstig van deze organisaties extra monitoren, inspecteren en isoleren. Ook moet er worden gekeken naar de access controls voor dat verkeer. Afsluitend wordt aangeraden om met cyberincidenten te oefenen en back-upprocedures te testen.
"Servers Belgisch ministerie van Defensie nog steeds offline na Log4j-aanval"
Meerdere servers van het Belgische ministerie van Defensie zijn na de Log4j-aanval van 16 december nog steeds offline en het herstel zal nog tot februari duren, zo meldt de Belgische krant De Morgen op basis van een bron binnen de militaire inlichtingendienst ADIV. Vorige week werd bekend dat het ministerie na vier weken weer met de buitenwereld kan mailen. HR-toepassingen en het opzoeken van informatie op internet zijn nog altijd niet beschikbaar. "We zullen nog tot februari bezig zijn met de opkuis. De belangrijkste servers zijn weer online, maar lang niet allemaal. Zo werkt het hr-systeem nog niet. Tot de heropstart klaar is, kun je weinig zeggen. Ook al omdat we nog niet weten welke server als eerste is gehackt. Die geeft je informatie over het begin van de aanval", aldus de bron. Volgens De Morgen lijkt de schade van de aanval zelf relatief beperkt te zijn. Vooralsnog is een handvol besmette servers gevonden. Het gaat onder andere om de webservers voor de websites van het Belgische leger en ADIV. De militaire geheime dienst denk dat het om een opzettelijke verstoringsoperatie gaat. Het is nog altijd de vraag hoe de aanvallers konden toeslaan. Het Belgische Centrum voor Cybersecurity (CCB) waarschuwde op 13 december voor de Log4j-kwetsbaarheid, drie dagen voor de aanval.
AVADDON Ransomware verlaagt de toegangsdrempel tot de cybercrime wereld
Het ransomware-as-a-service (RaaS)-model verlaagt de toegangsdrempel tot de cybercrime-wereld, waardoor het aantal ransomware-aanvallen dat we zien hoger is dan ooit tevoren. In de afgelopen jaren is ransomware een van de belangrijkste bronnen van inkomsten geworden in het ecosysteem van cybercriminaliteit, met een toenemend gebruik van afpersing door slachtoffers te beschamen, te dreigen met het vrijgeven van geëxfiltreerde gegevens en in sommige gevallen hen te raken met gedistribueerde denial-of-service (RDDoS) -aanvallen. Deze blogpost onderzoekt activiteit, overeenkomsten en overlappingen tussen meerdere ransomware-families met betrekking tot AVADDON-ransomware en dient als een casestudy om te begrijpen hoe ransomware-operators denken en winst blijven maken in een voortdurend evoluerend cybercrime-ecosysteem.
Microsoft: Oekraïense organisaties doelwit van malware die systemen saboteert
Meerdere Oekraïense organisaties en overheidsinstanties zijn doelwit van malware geworden die zich voordoet als ransomware, maar in werkelijkheid bestanden en de Master Boot Record (MBR) van systemen overschrijft waardoor de computers niet meer opstarten, zo stelt Microsoft op basis van eigen onderzoek. Volgens het techbedrijf is het doel van de aanvallers dan ook sabotage in plaats van het verkrijgen van losgeld. De eerste aanvallen met de malware werden op 13 januari waargenomen. Hoe de malware wordt verspreid laat Microsoft niet weten. Eenmaal actief overschrijft de malware de MBR en laat een zogenaamde losgeldboodschap zien. Daarin wordt gesteld dat het slachtoffer losgeld moet betalen om zijn systeem te herstellen. Er ontbreekt echter een herstelmechanisme, waardoor het niet mogelijk is om de MBR te herstellen, ook al wordt het losgeld betaald. De MBR bevat gegevens over het soort en de locatie van de logische partities van de harde schijf en bevat de bootloader van het besturingssysteem. Het is essentieel voor de computer om te kunnen starten. Nadat de MBR is overschreven wordt er aanvullende malware gedownload die allerlei bestanden overschrijft waardoor die onbruikbaar worden. Microsoft heeft op tientallen systemen de malware aangetroffen, maar vermoedt dat het werkelijke aantal slachtoffers hoger ligt. "Gegeven de schaal van de waargenomen aanvallen kan Microsoft de bedoeling van de destructieve acties niet bepalen, maar denkt dat die een verhoogd risico voor alle overheidsinstanties, non-profitorganisaties en bedrijven met systemen in Oekraïne vormen", aldus Microsoft. Dat roept organisaties op om meteen een onderzoek binnen hun eigen omgeving uit te voeren en verdedigingsmaatregelen toe te passen, waaronder het inschakelen van multifactorauthenticatie.
Marketinggigant RRD bevestigt gegevensdiefstal door Conti cybercriminelen
RR Donnelly heeft bevestigd dat cybercriminelen gegevens hebben gestolen in een cyberaanval in december. RR Donnelly (RRD) is een toonaangevend bedrijf voor geïntegreerde diensten dat communicatie, commercieel drukwerk en marketing aanbiedt aan zakelijke klanten. Het bedrijf heeft 33.000 mensen in dienst op meer dan 200 locaties met een omzet van $ 4,93 miljard in 2021. Op 27 december diende RRD een formulier 8-K in bij de SEC waarin werd bekendgemaakt dat ze een "systeeminbraak in de technische omgeving" hadden die leidde tot het afsluiten van hun netwerk om de verspreiding van de aanval te voorkomen. Het stilleggen van IT-systemen leidde tot verstoringen voor klanten, waarbij sommigen geen gedrukte documenten konden ontvangen die nodig waren voor leveranciersbetalingen, uitbetalingscontroles en documentatie van motorvoertuigen.
Qlocker ransomware maakt wereldwijde comeback op QNAP NAS-apparaten
De lieden achter de Qlocker ransomware hebben het wereldwijd opnieuw gemunt op Qnap nas- apparaten die op het internet zijn aangesloten. Qlocker dook eerder in de week van 19 april 2021 al op in de vorm een massale aanval, waarbij bestanden van slachtoffers na het binnendringen van hun nas-apparaten werden verplaatst binnen wachtwoord-beschermde 7-zip archieven met de .7z extensie. Qnap waarschuwde dat de aanvallers gebruik maakten van de CVE-2021-28799 hard-coded credentials kwetsbaarheid in de HBS 3 Hybrid Backup Sync app om in te breken in de apparaten van gebruikers en hun bestanden te vergrendelen. Voor sommigen kwam deze waarschuwing echter veel te laat, temeer de aanvallers op dat moment reeds honderden gebruikers hadden afgeperst. In totaal verloren getroffen Qnap-gebruikers ongeveer $ 350.000 binnen een maand na het betalen van het losgeld van 0,01 bitcoins (op dat moment ongeveer $ 500) om het wachtwoord te verkrijgen dat nodig was om hun gegevens te herstellen. De huidige Qlocker aanval begon op 6 januari en dropt losgeld-tekstbestanden genaamd !!!READ_ME.txt op besmette apparaten. Voornoemde notes bevatten het Tor site adres (gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion) dat slachtoffers dienen te bezoeken om meer informatie te krijgen over hoeveel ze zullen moeten betalen om de toegang tot hun bestanden terug te krijgen. Op de pagina's van Tor-slachtoffers die door BleepingComputer zijn gezien sinds deze nieuwe serie Qlocker-aanvallen begon, worden losgeldeisen getoond die variëren tussen 0,02 en 0,03 bitcoins. Meer informatie over wat je moet doen als de QLocker2 ransomware campagne je heeft getroffen kun je vinden in dit support topic (het topic voor de 2021 Qlocker campagne kun je hier vinden). Daarnaast kun je ook de oude guide raadplegen over hoe je gegevens kunt herstellen van nas-apparaten die vorig jaar bij de aanvallen zijn aangetast.
Nieuwe White Rabbit ransomware gekoppeld aan FIN8 hacking groep
Een nieuwe ransomware Lfamilie genaamd 'White Rabbit' verscheen onlangs. Volgens recente onderzoeksresultaten zou het een nevenoperatie van de FIN8-hackgroep kunnen zijn. FIN8 zijn financieel gemotiveerde cybercriminelen die al enkele jaren wordt gespot op financiële organisaties, voornamelijk door POS-malware in te zetten die creditcardgegevens kan stelen. De eerste publieke vermelding van de White Rabbit ransomware was in een tweet van ransomware-expert Michael Gillespie, op zoek naar een voorbeeld van de malware.
π #Ransomware Hunt: "White Rabbit" with extension ".scrypt", drops note for each encrypted file with "<filename>.scrypt.txt" with victim-specific information: https://t.co/ZjVay8A3Ch
β Michael Gillespie (@demonslay335) December 14, 2021
"Follow the White Rabbit..." π°π€ pic.twitter.com/lhzHi5t1KK
In een nieuw rapport van Trend Micro analyseren onderzoekers een steekproef van de White Rabbit-ransomware die is verkregen tijdens een aanval op een Amerikaanse bank in december 2021.
Acht verdachten achter REvil-ransomwaregroep aangeklaagd in Rusland
De Russische autoriteiten hebben acht personen aangeklaagd die vorige week werden aangehouden op verdenking van deelname aan de REvil-ransomwaregroep. Dat meldt het Russische staatspersbureau TASS. De acht worden verdacht van witwassen, waarop een gevangenisstraf van maximaal acht jaar staat. Volgens Yelisey Boguslavskiy van securitybedrijf Advanced Intelligence zijn de aangehouden verdachten waarschijnlijk laaggeplaatste partners van REvil en niet de groep verantwoordelijk voor de ontwikkeling en het aanbieden van de ransomware. Voordat de REvil-groep ermee stopte opereerde het als een ransomware-as-a-service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. De REvil-ransomware kwam vorig jaar groot in het nieuws toen het wereldwijd door een beveiligingslek in de software van Kaseya werd verspreid. Bij de operatie van de Russische geheime dienst FSB vorige week vonden op 25 adressen van veertien verdachten huiszoekingen plaats. Daarbij is bijna zes miljoen euro in contanten in beslag genomen, alsmede twintig luxe auto's, computers en cryptowallets.
Witte Huis: verdachte achter ransomware-aanval op Colonial Pipeline aangehouden
Bij een operatie van de Russische geheime dienst FSB waarbij vorige week meerdere personen werden aangehouden die onderdeel van de REvil-ransomwaregroep zouden zijn is ook een persoon aangehouden die voor de ransomware-aanval op de Colonial Pipeline verantwoordelijk wordt gehouden. Deze aanval was volgens de FBI het werk van de DarkSide-groep. Bij de aanval op de Colonial Pipeline Company werd de grootste brandstofpijplijn van de Verenigde Staten platgelegd, wat onder andere voor brandstoftekorten in het land zorgde. Het bedrijf betaalde 4,4 miljoen dollar losgeld, waarvan het grootste deel door de FBI werd teruggehaald. Daarnaast zorgde de aanval ervoor dat de aanpak van ransomware hoog op de Amerikaanse politieke agenda terechtkwam en de Amerikaanse president Biden dit onder andere met de Russische president Putin besprak. Tijdens een gesprek met journalisten liet een functionaris van het Witte Huis weten dat de VS blij is met de stappen van het Kremlin tegen ransomwaregroepen in Rusland. Verder voegde de functionaris toe dat één van de aangehouden verdachten ervan wordt verdacht achter de aanval op de Colonial Pipeline te zitten. "We zullen ons inzetten om de personen die ransomware-aanvallen tegen de Amerikaanse bevolking hebben uitgevoerd, waaronder de aanvallen tegen JBS, Colonial Pipeline en Kaseya, voor het gerecht worden gebracht."
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Tips of verdachte activiteiten gezien? Meld het hier.
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 44-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in π¬π§ or another language