Ransomware cybercriminelen verhogen de inspanningen om insiders in te schakelen voor aanvallen, bijna vijfduizend mensen dupe van hack Nederlandse Rode Kruis en de geschiedenis van REvil. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Meer dan 4.300 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.
Status op 30 januari 2022 : 4.379
Week overzicht
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
lhotellerie-restauration.fr | LV | lhotellerie-restauration.fr | France |
themisautomation.com | BlackCat (ALPHV) | themisautomation.com | India |
CIG de la Grande Couronne | Haron | www.cigversailles.fr | France |
KCA Deutag | RansomEXX | www.kcadeutag.com | UK |
Rafael Advanced Defense Systems | Moses Staff | www.rafael.co.il | Israel |
elmonterv.com | LockBit | elmonterv.com | USA |
Mab Group | Snatch | mabgroup.com | United Arab Emirates |
Optionis | Vice Society | optionis.co.uk | UK |
Florida lawyer’s | Everest | Unknown | USA |
girlguidinglaser.org.uk | LockBit | girlguidinglaser.org.uk | UK |
justice.fr | LockBit | justice.fr | France |
heubeck.de | LockBit | heubeck.de | Germany |
saintcloud.fr | LockBit | saintcloud.fr | France |
joda.de | LockBit | joda.de | Germany |
ambau-team.de | LockBit | ambau-team.de | Germany |
laponte.it | LockBit | laponte.it | Italy |
vbhlaw.com | LockBit | vbhlaw.com | USA |
isnardi.it | LockBit | isnardi.it | Italy |
estpm.fr | LockBit | estpm.fr | France |
optimissa.com | LockBit | optimissa.com | Spain |
Northern Contours | AvosLocker | www.northerncontours.com | USA |
Thomson Broadbent | Snatch | thomsonbroadbent.co.uk | UK |
plainviewmn.com | LockBit | plainviewmn.com | USA |
Airspan Networks | Ragnar_Locker | www.airspan.com | USA |
Mtlcraft | Cuba | www.mtlcraft.com | USA |
Creative Liquid Coatings INC | Hive | www.creativeliquidcoatings.com | USA |
mfkmakina.com | LockBit | mfkmakina.com | Turkey |
kentkonut.com.tr | LockBit | kentkonut.com.tr | Turkey |
Ransomware groep BlackCat vraagt steeds meer losgeld
Ransomware-groep ‘BlackCat’ heeft in korte tijd wereldwijd veel slachtoffers gemaakt en behoort daardoor tot de top tien meest gevaarlijke ransomware-groepen ter wereld. Er zijn maar 6 ransomware-groepen die meer slachtoffers maakten. Zo blijkt uit onderzoek van het threat intelligence onderzoeksteam van Palo Alto Networks: Unit 42. BlackCat werd voor het eerst opgemerkt in november 2021 en sindsdien vraagt de groep om steeds hogere losgeldbedragen die uitschieten tot 14 miljoen dollar.
Thanos builder gebruikt om nieuwe ransomware te maken
Another #Ransomware based on latest #thanos builder -> VT submission time [2022-01-20 15:54:39 UTC]. Extension ".NARUMI". #Crackable
— Jiří Vinopal (@vinopaljiri) January 28, 2022
Deobfuscated sample, Ransom notes and RSApublic here (pass:infected):https://t.co/eZCYp2xiXq
VT: https://t.co/RLY1nNeBj0
UnConfuserEX killer 🤣 pic.twitter.com/ELHF1QcBaN
Britse overheid waarschuwt bedrijven voor cyberaanvallen door situatie Oekraïne
Het Verenigd Koninkrijk waarschuwt bedrijven dat ze vanwege de situatie in Oekraïne rekening moeten houden met cyberaanvallen. Het Britse National Cyber Security Centre (NCSC) roept ondernemingen op de beveiliging van hun computersystemen aan te scherpen. De afgelopen tijd zijn de spanningen tussen Rusland en het Westen over Oekraïne flink opgelopen. Rusland eist garanties dat het Oost-Europese land nooit kan toetreden tot de NAVO, maar heeft die niet gekregen. Moskou heeft een grote legermacht naar de grens met Oekraïne gestuurd en in westerse hoofdsteden wordt gevreesd voor een invasie. De Britse NCSC zegt berichten over recente cyberincidenten in Oekraïne te onderzoeken. Die zouden vergelijkbaar zijn met de manier waarop Rusland in het verleden werkte, zoals bij de aanvallen met gijzelsoftware NotPetya in 2017. De Britten denken dat Russische hackers daar verantwoordelijk voor waren. NotPetya trof destijds ook bedrijven in Nederland. Het kon zich verspreiden via automatische updates van een Oekraïens programma en legde onder meer computersystemen in de haven van Rotterdam plat. Het NCSC zegt geen aanwijzingen te hebben dat hackers het specifiek op Britse bedrijven hebben gemunt. Toch worden organisaties opgeroepen maatregelen te nemen die de kans op grote schade bij een cyberaanval kunnen verkleinen. Het Nederlandse Nationaal Cyber Security Centrum (NCSC) meldde afgelopen week al dat veel organisaties en bedrijven zich zorgen maken "over de situatie die momenteel speelt tussen Oekraïne en Rusland". In het verleden vonden ook al cyberaanvallen plaats als de spanning tussen de landen opliep. "Ook nu worden diverse digitale aanvallen uitgevoerd", meldde de Nederlandse instantie dinsdag. "Het NCSC heeft tot nu toe geen concrete aanwijzingen dat deze aanvallen impact zullen hebben op Nederland, maar sluit eventuele gevolgen in de toekomst ook niet uit."
Het Sint-Andriesziekenhuis in Belgie is slachtoffer geworden van een cyberaanval
Het Tieltse Sint-Andriesziekenhuis werd donderdag het slachtoffer van een cyberaanval. Tijdens het monitoren van het netwerk ontdekte de externe softwareleverancier van het ziekenhuis dat er malware was geïnstalleerd op het netwerk. “Daarop hebben we meteen de server buiten gebruik gesteld en zo erger voorkomen”, stelt algemeen directeur Peter Lauwyck. “Onze externe softwareleverancier monitort continu iedere beweging op ons netwerk”, vertelt Lauwyck. Donderdag merkte die leverancier echter onregelmatigheden op. “We zagen dat een extern iemand kleine bestandjes op een server geplaatst had”, gaat Lauwyck verder. “Wat de persoon daarmee wilde bereiken, is niet duidelijk, maar die bestanden zijn er niet zomaar geplaatst hé. De kans dat het om iemand met malafide bedoelingen gaat, is erg groot.” Het ziekenhuis twijfelde dan ook geen seconde en stelde de server meteen buiten gebruik. “We konden eventueel nog afwachten, maar dan neem je het risico dat er meerdere van die bestanden op de server geplaatst worden. In de meeste gevallen is het dan zo dat de degene die de aanval uitvoert, bestanden blokkeert en versleutelt om dan grote sommen geld te vragen om ze te deblokkeren.” Het is dan ook vrijwel zeker dat het ziekenhuis aan erger is ontsnapt. “Hadden we die malware niet op tijd ontdekt, was het goed mogelijk geweest dat alle bestanden op onze server op een bepaald moment onbruikbaar waren geworden”, beseft Lauwyck. “In informatica mag je nooit honderd procent gerust zijn, maar we zijn er vrij zeker van dat alles nu oké is. We weten ondertussen welke server geïnfecteerd is en hebben die onmiddellijk buiten gebruik gesteld. Door die server te vervangen zal het probleem hoogstwaarschijnlijk ook opgelost zijn. Al zullen we de servers de komende dagen nog wel extra monitoren. We willen geen enkel risico lopen.” De impact op het ziekenhuis is evenwel miniem. “De enige impact die er al is, hebben we zelf veroorzaakt door de server buiten gebruik te stellen”, duidt Lauwyck. “Daardoor kunnen artsen die privéconsultaties hebben niet meer aan de bestanden van het ziekenhuis en moesten medewerkers die in het kader van de coronamaatregelen thuis werken om diezelfde reden weer naar het ziekenhuis komen werken. Voor het overige zijn alle onderzoeken en behandelingen gewoon doorgegaan. De patiënt heeft van de situatie niets gemerkt, net als de medewerkers die in het ziekenhuis werkten.” Ondertussen legde het ziekenhuis een klacht neer bij de politie en bracht het de Gegevensbeschermingsautoriteit op de hoogte van het incident.
Emsisoft brengt een decoderingstool uit voor DeadBolt
Multiple #QNAP users have reported problems using the #Deadbolt #ransomware decryptor. We shall, therefore, be releasing our own tool shortly. 1/3 pic.twitter.com/MBcLMwrRW4
— Emsisoft (@emsisoft) January 28, 2022
'Rusland kan Oekraïne digitaal tot stilstand brengen'
Je merkt er niets van als de aanvallers je netwerk binnensluipen, hun virus installeren en stilletjes afwachten. Maar dan, als de knop wordt omgezet en het hele netwerk uitvalt, is het te laat - je energiecentrale, overheidsdepartement of bedrijf is platgelegd. Dit soort aanvallen overkwam Oekraïne meerdere malen. Banken, overheden en energiecentrales vielen een paar jaar geleden uit na hackaanvallen waarvan alom wordt aangenomen dat ze uit Rusland komen. Twee weken geleden kwamen computerbeveiligers weer zo'n aanval op het spoor, waarschijnlijk opnieuw gericht tegen Oekraïne. Zowel onderzoekers van Microsoft als van beveiligingsbedrijf Trellix waarschuwden Oekraïne en de rest van de wereld voor de aanval. Als het virus aanwezig is op computers, wordt het nu door virusscanners opgemerkt en verwijderd. Maar het zal niet de laatste aanval tegen Oekraïne zijn, denken deskundigen. Als het tot een gewapend conflict komt, is de verwachting dat digitale aanvallen een belangrijke rol zullen spelen. Lees verder
Duitse geheime dienst waarschuwt voor cyberspionage via Hyperbro-malware
De Duitse inlichtingendienst BfV heeft bedrijven in Duitsland gewaarschuwd voor cyberspionage door een groep aanvallers genaamd APT27. Deze groep zou vanuit China opereren en gebruikmaken van bekende kwetsbaarheden in Microsoft Exchange Server en Zoho AdSelf Service Plus om toegang tot de netwerken van organisaties te krijgen. Zodra er toegang is verkregen gebruiken de aanvallers de "Hyperbro-malware" voor het stelen van intellectueel eigendom en bedrijfsgeheimen. Hyperbro is een remote access tool (RAT) waarmee het mogelijk is om systemen op afstand te benaderen. Volgens de BfV kan niet worden uitgesloten dat de aanvallers, naast het stelen van informatie, ook netwerken van klanten van de aangevallen organisatie proberen te compromitteren. De Duitse geheime dienst merkt op dat APT27 al tenminste sinds 2010 actief is, maar dat er recentelijk een toename van het aantal aanvallen tegen Duitse doelwitten is waargenomen. Met de waarschuwing, gepubliceerde indicators of compromise en Yara-rules wil de BfV bedrijven tegen deze aanvallen wapenen en helpen bij het vinden van eventueel gecompromitteerde systemen en netwerken.
Das Bundesamt für Verfassungsschutz warnt vor einer #Cyberangriffskampagne gegen deutsche Wirtschaftsunternehmen durch die Gruppierung #APT27.
— Bundesamt für Verfassungsschutz (@BfV_Bund) January 26, 2022
Nähere Informationen und Handlungsempfehlungen finden Sie im aktuellen Cyberbrief: https://t.co/7qSyk3bvoT pic.twitter.com/4o1ntQjjXw
De geschiedenis van REvil
In ons vorige onderzoek onderzochten we een losgeld-kartel en vervolgens voerden we een onderzoek uit naar ransomware-bendes en hun banden met Russische inlichtingenorganisaties. Nu voeren we een use case uit naar een van 's werelds meest beruchte ransomware-bendes, REvil. Dit specifieke geval is fascinerend omdat de bende al enkele jaren bestaat, veel spraakmakende aanvallen heeft uitgevoerd, verschillende spin-off-bendes heeft geïnspireerd en uiteindelijk grote onrust heeft veroorzaakt onder samenwerkende hackers die hen hebben ondersteund.
Taiwanese Apple- en Tesla-aannemer getroffen door Conti-ransomware
Delta Electronics, een Taiwanees elektronicabedrijf en een leverancier voor Apple, Tesla, HP en Dell, onthulde dat het het slachtoffer was van een cyberaanval die vrijdagochtend werd ontdekt. Delta claimt 's werelds grootste leverancier van schakel stroom voorziening te zijn en rapporteerde vorig jaar een omzet van meer dan $ 9 miljard. In een verklaring die op 22 januari 2022 werd gedeeld, zei het bedrijf dat het incident alleen van invloed was op niet-kritieke systemen, die geen significante impact hadden op zijn activiteiten. AdvIntel "Andariel" platform detecteerde de aanval op 18 januari. Delta werkt nu aan het herstellen van systemen die tijdens de aanval zijn neergehaald en zegt dat het de diensten van externe beveiligingsexperts heeft ingehuurd om te helpen bij het onderzoeks- en herstelproces.
De nieuwe tactiek van ransomware cybercriminelen: u rechtstreeks bellen
Hackers hebben in toenemende mate slachtoffers gebeld wiens informatie was opgeslagen in computers die zijn eerder gijzelden. De slachtoffers worden vervolgens lastiggevallen via telefoon en e-mail.
Wayne wist niet dat het schooldistrict van zijn zoon was gehackt (bestanden gestolen en computers gegijzeld) tot afgelopen herfst toen de hackers hem rechtstreeks begonnen te e-mailen met bedreigingen. "we hebben de controle over het netwerk enkele maanden, dus we hadden veel tijd om zorgvuldig te bestuderen, de gegevens te exfiltreren en een aanval voor te bereiden", zei een van de drie e-mails die hij ontving. Als het district van zijn zoon, het Allen Independent School District in de buitenwijken van Dallas, niet zou betalen, zouden al zijn bestanden, inclusief informatie over hem en zijn zoon, "op het darkweb worden gepubliceerd", waarschuwden de e-mails.
QNAP waarschuwt voor ransomware-aanvallen op NAS-systemen
Hardwarefabrikant QNAP heeft vandaag een waarschuwing gegeven voor aanvallen op NAS-systemen en roept gebruikers op om hun NAS niet direct toegankelijk vanaf het internet te maken. Aanleiding voor de oproep zijn aanvallen met een nieuw ransomware-exemplaar genaamd DeadBolt. Volgens QNAP heeft de Deadbolt-ransomware het voorzien op NAS-systemen die zonder beveiliging vanaf het internet toegankelijk zijn. Bij kwetsbare NAS-systemen versleutelt de ransomware bestanden en eist losgeld voor het ontsleutelen ervan. QNAP roept gebruikers op om te controleren of hun NAS vanaf het internet toegankelijk is. Dit is mogelijk via de Security Counselor op het NAS-systeem. Verder wordt aangeraden om port forwarding op de router en UPnP op de QNAP-NAS uit te schakelen. Hoe de ransomware NAS-systemen weet te infecteren is onbekend. Volgens de boodschap van de aanvallers wordt er gebruik gemaakt van een zerodaylek, maar details ontbreken op dit moment. Op het forum van QNAP hebben zich tientallen slachtoffers gemeld die gegevens op hun NAS zijn verloren. Slachtoffers van de Deadbolt-ransomware kunnen contact met QNAP opnemen.
Linux-versie van LockBit ransomware richt zich op VMware ESXi-servers
LockBit is de nieuwste ransomware-bende waarvan is ontdekt dat de Linux-encryptor zich richt op de codering van virtuele VMware ESXi-machines. De onderneming stapt steeds meer over op virtuele machines om computerbronnen te besparen, servers te consolideren en voor eenvoudigere back-ups. Hierdoor hebben ransomware-bendes het afgelopen jaar hun tactieken ontwikkeld om Linux-encryptors te maken die zich specifiek richten op de populaire VMware vSphere- en ESXi-virtualisatieplatforms. Hoewel ESXi niet strikt Linux is, deelt het veel van zijn kenmerken, waaronder de mogelijkheid om ELF64 Linux-uitvoerbare bestanden uit te voeren.
Nieuwe ransomware voegt 'exploit' toe
.exploit #Ransomware
— dnwls0719 (@fbgwls245) January 25, 2022
1F6297D8F742CB578BFA59735120326B pic.twitter.com/5K3RtAjYd0
Hacktivistische groep deelt details met betrekking tot Wit-Russische Spoorwegen hack
De Wit-Russische Cyber Partizanen hebben documenten gedeeld met betrekking tot een andere hack en legden uit dat Curated Intel-lid, SttyK, "enkele van de gebruikte methoden zou begrijpen". Op maandag 24 januari 2022 eiste een Wit-Russische hacktivistische groep met de naam Wit-Russische Cyber-Partizanen de verantwoordelijkheid op voor een aanval op de nationale spoorwegmaatschappij. Een primair doel van de aanval was gericht op het belemmeren van Russische troepenbewegingen binnen Wit-Rusland.
Bijna vijfduizend mensen dupe van hack Nederlandse Rode Kruis
4600 mensen die bij het Nederlandse Rode Kruis om hulp hebben gevraagd, zijn de dupe geworden van een cyberaanval die het internationale Rode Kruis trof. Het gaat om mensen die via de hulporganisatie probeerden weer in contact te komen met uit het oog verloren familieleden. Het Internationale Rode Kruis (ICRC) werd het slachtoffer van een massale cyberaanval, bleek vorige week. Hackers wisten beslag weten leggen op gegevens van meer dan 515.000 'extreem kwetsbare mensen'. Inmiddels is duidelijk dat 4600 van deze hulpvragers bij het Nederlandse Rode Kruis hadden aangeklopt. Het gaat in ieder geval om namen, geboortedata, het land van herkomst en namen van ouders, meldt het Rode Kruis.
Ransomware cybercriminelen verhogen de inspanningen om insiders in te schakelen voor aanvallen
Een recent onderzoek onder 100 grote (meer dan 5.000 werknemers) Noord-Amerikaanse IT-bedrijven toont aan dat ransomware-actoren meer moeite doen om insiders in gerichte bedrijven te werven om te helpen bij aanvallen. Het onderzoek werd uitgevoerd door Hitachi ID, dat in november 2021 een soortgelijk onderzoek uitvoerde. In vergelijking met de vorige enquête is er een stijging van 17% in het aantal werknemers dat geld aangeboden krijgt om te helpen bij ransomware-aanvallen tegen hun werkgever. In het bijzonder zegt 65% van de respondenten dat zij of hun werknemers tussen 7 december 2021 en 4 januari 2022 zijn benaderd om hackers te helpen bij het verkrijgen van eerste toegang.
Merck wint rechtszaak over vergoeding van schade NotPetya-malware
De farmaceutische gigant Merck heeft een rechtszaak gewonnen tegen de eigen verzekeringsmaatschappij over het vergoeden van de 1,4 miljard dollar schade die het als gevolg van de NotPetya-malware leed. Bij de aanval met de NotPetya-malware raakten computers via een malafide update van het Oekraïense softwarebedrijf M.E.Doc besmet. NotPetya deed zich voor als ransomware, maar had als enig doel het saboteren van computers. Bij Merck raakten veertigduizend computers met NotPetya besmet, wat voor een schade van 1,4 miljard dollar zorgde. Het bedrijf had ter bescherming tegen dergelijke schade een verzekering van 1,75 miljard dollar afgesloten. De verzekeringsmaatschappij weigerde echter de schade van Merck te vergoeden, omdat het vond dat de NotPetya-aanval een oorlogsdaad van Rusland tegen Oekraïne was. In de verzekeringspolis was een clausule opgenomen dat schade door oorlogsdaden niet wordt vergoed, zo melden Bloomberg Law en Lexology. Merck tekende beroep aan. Volgens de farmaceutische gigant ging het namelijk niet om officiële statelijke actie en maakte de clausule geen melding van cyberaanvallen. De rechter was het hiermee eens, aangezien de omschrijving van de clausule alleen over een gewapend conflict gaat en geen melding maakt dat cyberaanvallen niet worden gedekt. Merck had dan ook alle recht om aan te nemen dat de uitzonderingsclausule alleen opging voor traditionele vormen van oorlogsvoering en niet voor cyberaanvallen zoals NotPetya, aldus de rechter.
Hackers zeggen dat ze Wit-Russische spoorwegservers hebben versleuteld uit protest
Een groep hackers (bekend als Wit-Russische Cyber-Partizanen) beweert dat ze servers van de Belarusian Railway, het nationale staatsspoorwegbedrijf van Wit-Rusland, hebben gehackt en versleuteld. Ze zeggen dat hun aanval werd ingegeven door Rusland dat het spoorvervoersnetwerk van de Wit-Russische spoorwegen gebruikte om militaire eenheden en apparatuur naar het land te verplaatsen. "Op bevel van de terrorist Loekasjenka laat de Wit-Russische spoorwegen de bezettingstroepen toe om ons land binnen te komen", aldus de groep gisteren op Twitter.
At the command of the terrorist Lukashenka, #Belarusian Railway allows the occupying troops to enter our land. We encrypted some of BR's servers, databases and workstations to disrupt its operations.❗️Automation and security systems were NOT affected to avoid emergency situations
— Belarusian Cyber-Partisans (@cpartisans) January 24, 2022
Canada's ministerie van Buitenlandse Zaken gehackt, sommige diensten platgelegd
De Canadese overheidsdienst voor buitenlandse en consulaire betrekkingen, Global Affairs Canada, werd vorige week getroffen door een cyberaanval. Hoewel kritieke services toegankelijk blijven, is toegang tot sommige online services momenteel niet beschikbaar, omdat overheidssystemen herstellende zijn van de aanval.
Statement on a cyber incident involving @GAC_Corporate: The #GC deals with ongoing and persistent cyber risks and threats every day. #GCDigital (1/9)
— TBS Canada (@TBS_Canada) January 25, 2022
Dark Souls-servers uit de lucht gehaald om hacks met behulp van kritieke bug te voorkomen
Bandai Namco heeft de online PvP-modus voor de game 'Dark Souls' gedeactiveerd en zijn servers offline gehaald om rapporten te onderzoeken over een ernstig beveiligingsprobleem dat een risico voor spelers kan vormen. Volgens de community op Reddit is de kwetsbaarheid een externe code-uitvoering (RCE) waarmee aanvallers de controle over het systeem kunnen overnemen, waardoor ze toegang krijgen tot gevoelige informatie, malware kunnen planten of bronnen kunnen gebruiken voor cryptocurrency-mining. Dezelfde rapporten beweren dat de exploit actief wordt verspreid en het kan ook werken voor de game 'Elden Ring', een aankomende titel van Bandai Namco.
PvP servers for Dark Souls 3, Dark Souls 2, and Dark Souls: Remastered have been temporarily deactivated to allow the team to investigate recent reports of an issue with online services.
— Dark Souls (@DarkSoulsGame) January 23, 2022
Servers for Dark Souls: PtDE will join them shortly.
We apologize for this inconvenience.
DDoS-aanval op Belnet in Belgie
Belnet kampt voor de tweede keer deze maand met een DDoS-aanval. Daardoor ondervinden ook klanten van de operator, zoals de VRT of hogescholen, problemen. De aanval begon maandagnamiddag. Belnet zelf spreekt van twee korte aanvallen van tien minuten op een specifiek doelwit. Daardoor raakte de transit link verzadigd. Zelf spreekt de organisatie van verminderde connectiviteit voor sommige klanten. Het is al de tweede DDoS-aanval deze maand voor Belnet. Ook op 13 januari werd het slachtoffer van zo'n aanval. Ook in mei vorig jaar raakte het netwerk verzadigd door zo'n aanval. Belnet is het Belgisch computernetwerk voor onderzoeksdoeleinden. Het is daarbij ook de internetprovider voor talloze overheidsdiensten, zoals het platform voor vaccinatieboekingen, de Federale Overheidsdiensten (FOD's), de openbare omroep en de universiteiten en hogescholen. Dat maakt dat een aanval op Belnet meteen een stevige impact kan hebben op heel wat toepassingen en organisaties.
Update 16 uur 24 jan:
Belnet bevestigt dat de aanval rond 14 uur begon. De eerste aanval duurde ongeveer vijf minuten, de tweede een kwartier. De aanval was gericht tegen één (niet nader genoemde) klant, maar door de saturatie van de transit link konden alle gebruikers problemen ondervinden. Sindsdien zijn de problemen weer van de baan. Na de zware DDoS aanval vorig jaar heeft Belnet geïnvesteerd in extra maatregelen om dergelijke aanvallen te weren of zo goed mogelijk te beperken. Dat lijkt nu vruchten af te werpen.
Hi Tanguy, we have faced several short DDoS attacks since 14:00. The situation is stable at the moment but our teams remain vigilant.
— Belnet, Belgium (@belnet_be) January 24, 2022
Netwerken Oekraïense organisaties al maanden gecompromitteerd
De aanvallers achter de malware-aanval op Oekraïense organisaties, waarbij tal van systemen werden gesaboteerd, hadden zeer waarschijnlijk al maanden toegang tot de netwerken van hun slachtoffers, zo stelt Cisco in een analyse. Het bedrijf is betrokken bij het onderzoek naar de aanval. Aanvallers gebruikten bij de aanval een zogeheten "wiper" genaamd WhisperGate. De malware doet zich voor als ransomware, maar is ontwikkeld voor het wissen van de master boot record (MBR) en andere bestanden op het systeem. Hierdoor kan de computer niet meer het besturingssysteem opstarten. In tegenstelling tot de NotPetya-malware die in 2017 werd ingezet is WhisperGate schadelijker, aldus Cisco. Zo probeert de malware ook de C-partitie te overschrijven. Iets dat NotPetya niet deed. Hoe de aanvallers toegang tot de systemen en netwerken van hun slachtoffers kregen is nog niet duidelijk, maar mogelijk is dit met gestolen inloggegevens gedaan. Cisco stelt met hoge zekerheid dat de aanvallers al maanden of langer toegang tot de netwerken van hun slachtoffers hadden. "Dit is een kenmerk van een geraffineerde APT-aanval", zegt onderzoeker Chris Neal. Net als de Amerikaanse overheid adviseert ook Cisco dat organisaties systemen met verbindingen naar Oekraïne isoleren en monitoren.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Tips of verdachte activiteiten gezien? Meld het hier.
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 50-2024
Reading in another language
Slachtofferanalyse en Trends van Week 49-2024
Reading in another language
Slachtofferanalyse en Trends van Week 48-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 47-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 46-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 45-2024
Reading in 🇬🇧 or another language