Universiteit inventariseert 1100 ransomware-aanvallen op vitale infrastructuur, zestien Nederlandse zorginstellingen hadden last van ransomware bij leverancier en Vlaamse mkb’ers (kmo'ers) zwaarder getroffen door cyberaanvallen. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Meer dan 4.500 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.
Status op 14 februari 2022 : 4.513
Week overzicht
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
CPAmerica | AvosLocker | www.cpamerica.org | USA |
Medical Staff | BlackCat (ALPHV) | medicalstaff.com.au | Australia |
Scherr Legate | BlackCat (ALPHV) | scherrlegate.com | USA |
NorthEast Coverages | BlackCat (ALPHV) | northeastcoverages.com | USA |
Quantel Medical | BlackCat (ALPHV) | quantel-medical.com | USA |
cclint.com | LockBit | cclint.com | UK |
rbhltd.com | LockBit | rbhltd.com | UK |
wingsoft.it | LockBit | wingsoft.it | Italy |
zhulian.co.th | LockBit | zhulian.co.th | Malaysia |
iTCo Solutions Ltd | Conti | www.itco.co.nz | New Zealand |
idm-srl.it | LockBit | idm-srl.it | Italy |
San Francisco 49ers | BlackByte | www.49ers.com | USA |
Ebix Inc. | Conti | www.ebix.com | USA |
ufa.com.lb | LV | ufa.com.lb | Lebanon |
Vrancor Group | Conti | www.vrancor.com | Canada |
Aareon Nederland B.V. | Conti | www.aareon.nl | Netherlands* |
HelmsBriscoe | Conti | www.helmsbriscoe.com | USA |
New World Development Company Limited (NWD) | Conti | www.nwd.co.uk | UK |
Rheinland-Pfalz Bank | Conti | rlp-bank.de | Germany |
PetroVietnam | Snatch | pvep.com.vn | Vietnam |
Jazeera Airways | Quantum | www.jazeeraairways.com | Kuwait |
The Lovett Group | Conti | www.lovettrealty.com | USA |
bishopeye.com | BlackCat (ALPHV) | bishopeye.com | USA |
chemtech.net | BlackCat (ALPHV) | chemtech.net | USA |
Aeronamic | BlackByte | aeronamic.com | Netherlands* |
Venture Machine & Tool, Inc. | BlackByte | www.vmtooling.com | USA |
aludesign.ro | LockBit | aludesign.ro | Romania |
skandia.com.mx | LockBit | skandia.com.mx | Mexico |
Heartland Alliance | Suncrypt | heartlandalliance.org | USA |
Valle del Sol | Suncrypt | www.valledelsol.com | USA |
tntorello.com | LockBit | tntorello.com | Italy |
JAX Spine and Pain Medical Centers | AvosLocker | www.jaxspine.com | USA |
Greenwood Metropolitan District | AvosLocker | www.greenwoodmetro.com | USA |
SEA-invest | Conti | www.sea-invest.be | Luxembourg |
Prince Jewellery & Watch Co., Ltd. | BlackByte | www.princejewellerywatch.com | Hong Kong |
bayer.co.at | LockBit | bayer.co.at | Austria |
Rodonaves Transportes E Encomendas Ltda | Hive | www.rte.com.br | Brazil |
Zamil Industrial | Conti | zamilindustrial.com | Saudi Arabia |
NZ UNIFORMS | Conti | www.nzuniforms.com | New Zealand |
Athens Distributing Company | Conti | www.adctn.com | USA |
KP SNACKS | Conti | www.kpsnacks.com | UK |
MSH Steuerberatungsgesellschaft | Conti | www.msh-lohne.de | Germany |
In samenwerking met DarkTracer
Cyberaanval ook gevolgen ozb aanslag 2022
De gemeente Hof van Twente heeft haar administratie nog steeds niet op orde na de cyberaanval van eind 2020. Vrijwel elke gemeente stuurt de aanslagen voor de gemeentelijke belastingen in de laatste week van februari. Het gaat hierbij om de rioolheffing, afvalstoffenheffing en de onroerende-zaakbelastingen. Vanwege de cyberaanval zijn de aanslagen vorig jaar pas eind juni gestuurd aan inwoners van Markelo en rest van Hof van Twente, de achterstand is dit jaar nog niet ingehaald. “We proberen om de aanslagen eind mei 2022 te versturen”, aldus een woordvoerder van de gemeente. Volgens de gemeente is het later versturen van de aanslagen geen probleem voor de aangifte inkomstenbelasting over 2021, omdat de WOZ-waarde van vorig jaar voor deze aangifte moet worden gebruikt. Wel kan het niet tijdig verzenden van de aanslagen voor andere praktische problemen leiden, aangezien de WOZ-waarde voor meer dan alleen de aangifte inkomstenbelasting wordt gebruikt. De WOZ-waarde is bijvoorbeeld ook nodig voor het vaststellen van huurprijzen.
Cyberaanval treft datacenter vastgoedbeheerders: gegevens duizenden huurders op straat
IT-bedrijf Aareon, dat zichzelf Europa’s grootste softwareleverancier voor vastgoedbedrijven noemt, is het slachtoffer geworden van een cyberaanval. Een van de gedupeerde klanten is een ‘kleindochter’ van Achmea BV. Het gaat om het Achmea Dutch Residential Fund, dat investeert in middensegment huurwoningen op locaties in kansrijke woongebieden in Nederland. Namens deze vastgoedeigenaar informeerde Achmea huurders vandaag over de cyberaanval op de servers van Aareon, op 3 februari, en de gevolgen ervan. ‘Dit IT-bedrijf registreert voor ons huurdersgegevens, waaronder ook die van u. Uit forensisch onderzoek is gebleken dat bij de cyberaanval data zoals persoonsgegevens zijn gekopieerd of onttrokken. Nader onderzoek moet uitwijzen om welke gegevens het precies gaat. Maar het is mogelijk dat bijvoorbeeld uw adres- en betaalgegevens in handen van derden zijn gekomen’, luidt het. Aareon nam volgens Achmea ‘direct’ alle maatregelen om verdere schade te voorkomen en schakelde internationale experts in die de aanval analyseren en beoordelen. ‘Wij vinden het enorm vervelend dat uw gegevens betrokken zijn bij deze cyberaanval en adviseren u de komende periode extra alert te zijn op verdachte e-mails, app-berichten en telefoontjes. Als u huisgenoten hebt die ook in het huurcontract genoemd staan, wilt u hen dan ook informeren?’ Namens het Achmea Dutch Residential Fund deed Syntrus Achmea Real Estate & Finance vrijdag een melding bij de Autoriteit Persoonsgegevens. Volgens Syntrus Achmea registreren verschillende vastgoedbeheerders die voor het bedrijf en andere beleggers werken data bij Aareon, waaronder huurdersgegevens. ‘Het is mogelijk dat deze gegevens in handen van derden zijn gevallen’, laat marketing- en communicatiemanager Erik van der Struijs schriftelijk weten aan deze site. ‘De beheerders die voor ons werken en door de aanval zijn geraakt, beheren In totaal circa 20.000 verhuureenheden. Daarbij gaat het zowel om huurwoningen als om commercieel vastgoed, zoals winkels en kantoren.’ Aareon meldt in een bericht op zijn website dat het REMS-datacenter in Amsterdam op 1 februari het slachtoffer is geworden van ‘een professioneel gecoördineerde en gerichte cyberaanval’. De beveiligingssystemen van het IT-bedrijf detecteerden de aanval op 3 februari ‘s ochtends. ‘Het datacenter heeft de systemen onmiddellijk offline gehaald, alle klanten geïnformeerd en is een uitgebreide specialistische analyse gestart. Andere datacenters werden niet getroffen door de aanval’, luidt het. Het systeem is volgens de softwareleverancier stilgelegd om verdere schade te voorkomen. ‘De REMS-diensten zijn op 8 februari weer gedeeltelijk beschikbaar gekomen. Met behulp van back-ups en het datacenter van de Aareon Groep in Mainz (het IT-bedrijf is een dochter van de Duitse Aareaal-vastgoedbank, red.) zijn de systemen weer opgebouwd. De meeste klanten werken inmiddels al in de nieuwe omgeving.’ In de loop van het onderzoek hebben experts bevestigd dat een deel van de gegevens is gelekt en openbaar beschikbaar is gemaakt. ‘Uit voorzorg moeten we er dan ook vanuit gaan dat alle data zijn getroffen, al is de kans groot dat uiteindelijk maar een fractie van de data zal uitlekken’, klinkt het in een toelichting. Achmea belooft de huurders op de hoogte te houden van de ontwikkelingen. ‘Zodra wij meer relevante informatie hebben over de cyberaanval, zullen we die uiteraard met u delen. Mocht u op dit moment meer vragen hebben, dan horen we die uiteraard graag’, aldus de verzekeraar, vermogensbeheerder en (financieel) dienstverlener.
Digitale aanvallen Oekraïne: een tijdlijn
De afgelopen maand zijn de digitale aanvallen op Oekraïne veel in het nieuws geweest. Dit artikel geeft een chronologisch overzicht van de cyberaanvallen en de daaropvolgende publicaties.
Op 14 januari heeft de Oekraïense veiligheidsdienst SSU een statement afgegeven over een aanval op websites van diverse overheidspartijen. Hierbij werden berichten geplaatst op de websites waarin in dreigende taal in het Pools, Oekraïens en Russisch werd aangegeven dat persoonlijke gegevens van Oekraïense burgers waren gestolen en dat burgers zich moesten “voorbereiden op het ergste”. Een dergelijke aanval waarbij een website wordt beklad wordt ook wel ‘defacement’ genoemd. In een volgend statement van de SSU werd duidelijk dat er naar alle waarschijnlijkheid sprake is geweest van een supply chain-aanval op de leverancier die de websites onderhoudt, mogelijk in combinatie met een kwetsbaarheid in Oktober CMS (CVE-2021-32648) en Log4j. Deze leverancier beschikte over verhoogde rechten binnen de omgeving waardoor de websites konden worden aangepast.
Microsoft publiceerde op 15 januari een blog over de Whispergate-malware (ook wel WhisperKill genoemd) die is ingezet tegen verschillende (overheids)organisaties in Oekraïne. Whispergate is een wiperware die zich voordoet als ransomware, echter ontbreekt iedere mogelijkheid om beschadigde systemen of bestanden te herstellen waardoor effectief bestanden worden gewist of het besturingssysteem onklaar wordt gemaakt. In tegenstelling tot de NotPetya-wiper, die in 2017 wereldwijde impact had, bezit de Whispergate-malware niet de mogelijkheid om zichzelf te verspreiden zonder menselijke tussenkomst. Hierdoor vormt de waargenomen Wispergate-malware een aanzienlijk lager risico voor Nederland. Op 26 januari heeft CERT Ukraine (CERT UA) een deel van het onderzoek naar zowel de defacements als de aanval met de malware gepubliceerd. In dit onderzoek wordt grote overeenkomsten geconstateerd tussen de Whispergate-malware en WhiteBlackCrypt ransomware. Deze overeenkomsten zouden er op wijzen dat het de bedoeling was van de aanvaller om het te doen voorkomen dat Oekraïne zelf achter de cyberaanvallen zit. Na de grote aanvallen van 14 januari heeft het de nationale CERT van Oekraïne meerdere waarschuwingen afgegeven voor andere campagnes die zich richten op overheidsinstanties. Tevens hebben verschillende cybersecurity bedrijven onderzoek gepubliceerd naar aanleiding van de cyberaanvallen in Oekraïne. Zo hebben Palo Alto Networks Unit42, Symantec en Microsoft onderzoek gedaan naar de activiteiten van Gamaredon, ook bekend als ACTINIUM. De activiteiten van Gamaredon kunnen vooralsnog niet gerelateerd worden aan de cyberaanvallen van 14 januari. Gamaredon is een bekende actor die zich tot op heden heeft gericht op doelwitten in Oekraïne.
De aanval met WhisperGate of de andere uitgevoerde aanvallen in Oekraïne hebben niet hebben geleid tot zogeheten “spillover effecten” naar Nederland. Toch is het raadzaam om u te houden aan de basismaatregelen cybersecurity van het NCSC alsmede kennis te nemen van de publicatie van de AIVD en MIVD “Cyberaanvallen door statelijke actoren, zeven momenten om een aanval te stoppen”. Specifiek de basismaatregel “segmenteer netwerken” kan helpen om te voorkomen dat een aanval op een gekoppeld netwerk impact kan hebben op uw organisatie.
.NET ransomware doet zich voor als REvil
Fake REvil ransomware, in .NET.https://t.co/ooIl3v9jIj
— Karsten Hahn (@struppigel) February 11, 2022
Says it is a simulator, but actually encrypts and .onion site with decrypt instructions is not available anymore. So affected users won't know how to decrypt.
Btw, no simulator needs to actually encrypt.
Universiteit inventariseert 1100 ransomware-aanvallen op vitale infrastructuur
Een Amerikaanse universiteit heeft een dataset online gezet met ruim 1100 ransomware-aanvallen op de vitale infrastructuur die van november 2013 tot en met januari 2022 plaatsvonden. Eind 2019 besloot het CARE Lab van de Temple University in Philadelphia ransomware-aanvallen op de vitale infrastructuur bij te houden. De data is gebaseerd op mediaberichten en rapporten. De nieuwste versie van de dataset is onlangs openbaar gemaakt en bevat informatie over 1137 aanvallen. Het grootste deel daarvan, 406, vond plaats in 2020. Vorig jaar telden de onderzoekers 258 ransomware-aanvallen op vitale organisaties. Dit jaar staat de teller op dertien aanvallen. De meeste ransomware-aanvallen waarbij de gebruikte ransomware bekend is komen op naam van Maze, REvil en Ryuk. Verder blijkt dat van veel aanvallen niet bekend is of en hoeveel losgeld de aanvallers eisten. Is dit wel het geval, dan blijkt dat in bijna de helft van de bekende gevallen er minder dan 50.000 dollar losgeld wordt geëist voor het ontsleutelen van data. De dataset laat tevens zien dat de meeste aanvallen zijn gericht tegen overheidsinstellingen, gezondheidszorg en onderwijsinstellingen.
V 11.8 of our #CriticalInfrastructure #Ransomware #cyberattacks dataset (N=1137, Nov 2013-Jan 31, 2022) is now available.
— Cybersec Application, Research & Education:CARE (@TU_CARE) February 4, 2022
Most targeted CI: Government facilities
Most common strain: Maze
Most typical ransom demanded: USD 50K or <
FREE download: https://t.co/TplP82y0TI pic.twitter.com/Z2b0cr1F5m
Zestien Nederlandse zorginstellingen hadden last van ransomware bij leverancier
Zestien Nederlandse zorginstellingen hadden vorig jaar last van een ransomware-aanval bij een leverancier, zo stelt Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorg. Vandaag presenteerde Z-CERT het tweede cybersecurity dreigingsbeeld voor de zorg en net als in de eerste editie is ransomware aangemerkt als de grootste digitale dreiging voor de zorgsector. Voor deze editie hebben honderd instellingen uit de geestelijke gezondheidszorg, ziekenhuizen, verzorgings- en revalidatiecentra hun incidentdata in detail gedeeld met de analisten van Z-CERT. Uit onderzoek van de organisatie blijkt dat zestien Nederlandse zorginstellingen in 2021 hinder hebben ondervonden van ransomware-incidenten bij een leverancier en in één geval bij een subleverancier. Van de zestien kregen vijf instellingen zelfs met meerdere incidenten te maken, die voor datalekken, vertragingen in leveringen, stagnatie van onderhoud en ernstige verstoringen van operationele processen zorgden. Vaak was er sprake van een domino-effect en was er daardoor impact op meerdere zorginstellingen. Z-CERT stelt vast dat dit domino-effect ook speelt op kleinere schaal bij zorgorganisaties met meerdere locaties, de zogenaamde zorggroepen, met een gedeelde it-afdeling. Bij een ransomware-infectie ondervinden alle locaties hinder. In Europa waren er vorig jaar hier vier voorbeelden van, waarbij er impact was op meer dan honderd zorglocaties. Bij veel van de ransomware-incidenten weten de aanvallers binnen te komen via RDP, kwetsbaarheden in software of door medewerkers malafide bestanden te laten openen. Z-CERT ziet dat vooral kleinere zorginstellingen kwetsbare systemen lang ongepatcht laten. De organisatie verwacht dat de dreiging van ransomware niet zal afnemen en adviseert bij leveranciersmanagement aandacht te besteden aan deze dreiging en de weerbaarheid van de leverancier tegen ransomware-aanvallen in te schatten.
VS: toename van grote ransomware-aanvallen tegen vitale sector
Vorig jaar was er een toename van grote geraffineerde ransomware-aanvallen tegen de vitale sector, zo hebben de Amerikaanse, Australische en Britse autoriteiten vandaag in een gezamenlijke verklaring laten weten. Veertien van de zestien vitale sectoren in de VS kregen met ransomware-aanvallen te maken. Daarbij weten aanvallers organisaties nog altijd via phishingmails, gestolen RDP-wachtwoorden of bruteforce-aanvallen en misbruik van kwetsbaarheden binnen te dringen. Na optreden van de FBI wegens ransomware-aanvallen tegen onder andere de Colonial Pipeline Company en JBS Foods was er in de tweede helft van 2021 een afname van aanvallen tegen grote Amerikaanse bedrijven. Deze aanvallen, ook wel "big-game hunting" genoemd, gingen vorig jaar wel gewoon door in Australië en het Verenigd Koninkrijk. Ransomwaregroepen hebben daarnaast hun impact vergroot door zich ook op de cloud te richten en managed serviceproviders (MSP's) en de software supply chain aan te vallen. Verder wordt de impact van een aanval vergroot doordat ransomwaregroepen op feestdagen en in weekenden toeslaan. Om ransomware-aanvallen te voorkomen geven de FBI, het Cybersecurity and Infrastructure Security Agency (CISA), de NSA, het Australische Cyber Security Centre (ACSC) en het Britse National Cyber Security Centre (NCSC) verschillende beveiligingstips. Zo wordt aangeraden om alle systemen en software up-to-date te houden, RDP-gebruik te beveiligen en monitoren, bewustzijnstrainingen te organiseren, sterke wachtwoorden en multifactorauthenticatie voor accounts te gebruiken en clouddata op meerdere locaties te bewaren. Verder wordt Linux-gebruikers het gebruik van SELinux, AppArmor of SecComp aangeraden.
Honderden webwinkels via kwetsbare plug-in besmet met malware
Onderzoekers hebben honderden webwinkels ontdekt die via een kwetsbare plug-in besmet zijn geraakt met malware die creditcardgegevens van klanten steelt. Daarnaast blijkt dat de webshops niet alleen een kwetsbare plug-in gebruiken, maar ook op webwinkelsoftware draaien die al ruim anderhalf jaar niet meer wordt ondersteund. Dat meldt securitybedrijf Sansec op basis van eigen onderzoek. De webwinkels in kwestie maken gebruik van Magento, populaire software waarop honderdduizenden webshops draaien. De eerste versie van Magento wordt sinds juni 2020 niet meer ondersteund, waardoor ontdekte beveiligingslekken geen updates meer krijgen. Sansec ontdekte vorige meer dan vijfhonderd webwinkels, draaiend op Magento 1, die met malware waren geïnfecteerd. De cijfers worden bevestigd door anti-malwarebedrijf Malwarebytes. De malware steelt creditcardgegevens en andere klantdata die klanten op de betaalpagina invoeren. Verder onderzoek wees uit dat de aanvallers gebruikmaakten van een kwetsbaarheid in een plug-in genaamd Quickview. Deze plug-in laat klanten producten bekijken zonder de betreffende productpagina te openen. Via het beveiligingslek in de plug-in is het mogelijk om malafide Magento-beheerders aan de webshop toe te voegen, maar kan er ook code direct op de onderliggende server van de webwinkel worden uitgevoerd.
Naast het toevoegen van malafide code aan de betaalpagina van de webwinkel die allerlei klantgegevens buitmaakt voegen de aanvallers ook een backdoor toe om toegang tot de webshop te behouden. Bij één webshop installeerde de aanvaller zelfs negentien backdoors, aldus de onderzoekers. Die merken op dat nog altijd duizenden webwinkels van Magento 1 gebruikmaken.
Magecart attacks have increased in the past 30 days in part due to a campaign via naturalfreshmall[.]com (https://t.co/yvruo8NbuR)
— Malwarebytes Threat Intelligence (@MBThreatIntel) February 9, 2022
About 28% of all skimmer blocks from our Malwarebytes customers are tied to this domain. pic.twitter.com/S1Zha5cICk
Decryptiesleutels Maze- en Egregor-ransomware online gedeeld
Goed nieuws voor slachtoffers van de Maze- en Egregor-ransomware. Iemand die claimt de ontwikkelaar van beide ransomware-exemplaren te zijn heeft de decryptiesleutels gedeeld waardoor slachtoffers hun bestanden kunnen ontsleutelen. Beveiligingsexperts hebben inmiddels bevestigd dat de sleutels werken. Tal van organisaties werden door de Maze-ransomware getroffen, waaronder Canon, it-dienstverlener Cognizant, accountantskantoor HLB Belgium, it-dienstverlener Conduent. De Maze-groep was ook één van de eerste ransomwaregroepen die bij slachtoffers gestolen data publiceerde als er geen losgeld werd betaald. Een tactiek die veel andere ransomwaregroepen later ook toepasten. De Egregor-ransomware maakte ook allerlei slachtoffers, waaronder uitzendbureau Randstad. Vorig jaar wisten de Oekraïense autoriteiten meerdere personen aan te houden die achter de Egregor-ransomware zouden zitten. Op het forum van Bleeping Computer heeft nu iemand, die claimt de ontwikkelaar van de beide ransomware-exemplaren te zijn, de decryptiesleutels gedeeld. Securitybedrijf Emsisoft heeft inmiddels met deze sleutels een gratis decryptietool gemaakt waarmee slachtoffers hun bestanden kunnen ontsleutelen.
Landelijk netwerk Portugal geraakt door ’terroristische’ cyberaanval
Het landelijke netwerk van Vodafone Portugal is geraakt door een cyberaanval. “Terrorisme”, beschrijft Mário Vaz, CEO van Vodafone Portugal. De aanval werd op maandagavond ontdekt. De 4G/5G-, televisie-, telefonie- en SMS-diensen van ruim zeven miljoen mensen zijn geraakt. De 3G-diensten van Vodafone Portugal zijn inmiddels hersteld. De rest blijft beschadigd. Meerdere banken werden indirect getroffen omdat hun pinautomaten op het 4G-netwerk van Vodafone Portugal draaien. “Een gerichte netwerkaanval”, beweert CEO Mário Vaz. “Het doel is overduidelijk om ons netwerk plat te leggen.” Publico (Portugese krant) stelt dat een van de grootste landelijke banken aan de bel trok. Werkzaamheden lagen plat door een pinautomaatprobleem. Pas daarna erkende Vodafone Portugal het incident.
Vodafone Portugal zegt momenteel te werken aan het herstel van processen die “ongedaan” zijn gemaakt. De organisatie hoopt getroffen netwerkdiensten voor het einde van vandaag te herstellen. De organisatie durft niet te zeggen of dat gaat lukken. “Er zijn veel onzekerheden”, deelt een woordvoerder.
Christelijke crowdfundingsite GiveSendGo getroffen door DDoS-aanval
GoFundMe's rivaal GiveSendGo beweert dat het vrijdag het slachtoffer was van "zware DDoS- en botaanvallen", wat leidde tot downtime van de server zodra de site geld begon in te zamelen voor het Canadese truckerkonvooi. Volgens de website haalde het christelijke fondsenwervingsplatform ondanks technische storingen binnen 12 uur meer dan $ 1,35 miljoen op. Het is vermeldenswaard dat de Freedom Convoy 2022-campagne $ 16 miljoen wil ophalen. Volgens een videoboodschap van campagneorganisator Tamara Lich wil het konvooi "hier voor de lange termijn zijn, zolang het duurt om ervoor te zorgen dat uw rechten en vrijheid worden hersteld."
Sportmerk Puma meldt datalek na ransomware aanval bij leverancier
Sportmerk Puma zegt dat in december 2021, na een ransomware aanval bij de Canadese salarisverwerker UKG, gegevens van Puma-medewerkers zijn uitgelekt. Het zou gaan om persoonlijke informatie van 6632 medewerkers die in Kronos Private Cloud was opgeslagen. Puma zegt dat bij het datalek persoonsgegevens, waaronder de Amerikaanse burgerservicenummers, van 6632 van de 14.300 medewerkers van het bedrijf zijn uitgelekt. Dat blijkt op basis van meldingen van het datalek bij de procureurs-generaal van verschillende Amerikaanse staten, waaronder Maine. Het is niet duidelijk of dit om gegevens van alleen Amerikaanse medewerkers gaat. Puma heeft ook een kantoor in Leusden, maar dit valt onder Puma Benelux. Puma ontdekte het datalek op 10 januari. Het datalek vond plaats na een ransomware aanval die salarisverwerker UKG in december trof. Door de aanval op Kronos Private Cloud konden veel bedrijven en organisaties geen salarissen uitbetalen. De ransomware aanval trof ook een datacenter van UKG in Amsterdam. Andere klanten van UKG zijn onder meer Tesla, Honda en Gamestop.
‘Vlaamse mkb’ers (kmo'ers) zwaarder getroffen door cyberaanvallen’
Veel Vlaamse mkb-bedrijven (kmo's) zijn vorig jaar het slachtoffer van een cyberaanval geworden die tot systeemuitval leidde, zo stelt de Vlaamse overheid op basis van onderzoek. De Vlaamse minister van Economie en Innovatie Hilde Crevits liet een eerste nulmeting uitvoeren naar de volwassenheid van cybersecurity in Vlaamse bedrijven. Uit het onderzoek blijkt dat bijna één op de acht Vlaamse bedrijven het afgelopen jaar slachtoffer werd van een cyberaanval. Vooral grote bedrijven krijgen met cyberaanvallen te maken, maar de gevolgen blijken groter bij kleine ondernemingen die vaak minder beschermd zijn. Veertig procent van de kleine en microbedrijven in Vlaanderen werd in 2021 geconfronteerd met onbruikbare ict-systemen door cyberaanvallen, zoals infecties met malware. Bij een vijfde gingen bedrijfsgegevens verloren en meer dan één op de tien van de kleine Vlaamse bedrijven kreeg te kampen met diefstal van gegevens. "We zien dat vooral kleine ondernemingen zich te weinig wapenen tegen cyberaanvallen. Een goede beveiliging van software, applicaties, paswoorden en gegevens binnen een bedrijf is vandaag nochtans cruciaal. Een bedrijf dat gehackt wordt, ligt vaak dagen stil en verliest vertrouwen bij zowel eigen werknemers als klanten en leveranciers", stelt Crevits (pdf). Om kleinere Vlaamse bedrijven in de toekomst beter te wapenen heeft de minister twee nieuwe acties aangekondigd: een meer laagdrempelige toegang tot 'cybersecurity verbetertrajecten' en meer steunmogelijkheden voor cyberveiligheid binnen de mkb-portefeuille. Vlaamse bedrijven die subsidie willen moesten eerst minimaal 25.000 euro investeren. Om meer kleine ondernemingen te stimuleren lanceert Crevits een 'lightversie', een kleiner pakket aan begeleiding en advies waarbij het verbetertraject zo’n 10.000 euro minder kost. Op die manier wil de minister mkb-bedrijven stimuleren hun eerste stappen te zetten in het beschermen van hun bedrijf voor cyberaanvallen.
ECB bereidt banken voor op dreiging van Russische cyberaanval
De Europese Centrale Bank (ECB) bereidt Europese banken voor op cyberaanvallen waar Rusland achter zit. Dat zeggen twee bronnen aan persbureau Reuters. Tijdens de pandemie was de ECB gefocust op de gewone fraudepraktijken, maar door de crisis rond Oekraïne ligt de aandacht nu op cyberaanvallen door Rusland. De ECB, die toezicht houdt op Europa's grootste geldschieters, zou de banken nu vragen hebben gesteld over hun verdediging tegen dergelijke aanvallen. Ook zouden financiële instellingen tests hebben uitgevoerd om na te gaan in hoeverre ze in staat zijn Russische cyberaanvallen af te weren, zeggen de anonieme bronnen. De ECB weigert commentaar te geven. Reuters wijst er wel op dat de kwetsbaarheid voor cyberaanvallen aanpakken een van de prioriteiten is van de organisatie. Ook in de Verenigde Staten bestaat diezelfde bezorgdheid. Eind januari al trok de New York Department of Financial Services aan de alarmbel bij financiële instellingen. De instantie waarschuwde voor Russische cyberaanvallen voor mocht er een inval van Oekraïne komen, gevolgd door Amerikaanse sancties. Het westen vreest voor een Russische inval in buurland Oekraïne, maar volgens de Russische president Vladimir Poetin dreigt er juist oorlog als Oekraïne zich aansluit bij het militaire bondgenootschap NAVO. Dinsdagavond kwamen de Duitse bondskanselier Olaf Scholz, de Franse president Emmanuel Macron en de Poolse president Andrzej Duda in Berlijn bijeen voor crisisberaad. De drie zijn verenigd in hun streven de vrede te bewaren, aldus de Duitse leider, verwijzend naar de spanningen rond Oekraïne.
'Noord-Korea probeert atoomagentschap VN te hacken'
Noord-Korea heeft geprobeerd het Internationaal Atoomagentschap (IAEA) en Zuid-Koreaanse defensie-aannemers te hacken.Dat schrijft de Japanse krant Nikkei op basis van een rapport van de Verenigde Naties (VN). Kimsuky, een groep hackers die wordt gesteund door de Noord-Koreaanse inlichtingendiensten, voerde volgens het rapport phishing-aanvallen uit, waarbij het e-mailadressen van overheidsfunctionarissen en een veiligheidsmedewerker bij IAEA te pakken kreeg. Dezelfde groep hackers zou ook geprobeerd hebben VPN-netwerken van Korea Aerospace Industries, een van Zuid-Korea's grootste defensiebedrijven, te hacken om zo technologische gegevens te stelen. Het VN-rapport bevestigt ook eerdere berichtgeving van onderzoeksbureau Chainalysis, dat in januari naar buiten bracht dat Noord-Korea in 2021 bijna 400 miljoen dollar (348 miljoen euro) had buitgemaakt met aanvallen op platforms die in cryptomunten handelen. Dat geld zou volgens de VN gebruikt worden voor de ontwikkeling van kernwapens en raketten in Noord-Korea. Het gaat om een conceptversie van een VN-rapport, dat in maart voorgelegd wordt aan een commissie bij de VN die over sancties op Noord-Korea gaat.
Hackers slaan toe bij Puma, persoonsgegevens medewerkers gestolen
Sportkledingmerk Puma is getroffen door een ransomware-aanval. Daarbij zijn de persoonlijke gegevens van bijna de helft van het personeel buitgemaakt. Het is onbekend of de aanvallers losgeld hebben geëist. Dat meldt BleepingComputer op basis van meldingen bij de procureurs-generaal van verschillende Amerikaanse staten.
Verdachte achter aanvallen met NetWalker-ransomware krijgt bijna 7 jaar cel
Een Canadese man die wereldwijd aanvallen met de NetWalker-ransomware uitvoerde, en volgens de Amerikaanse autoriteiten daarmee minstens 27,6 miljoen dollar verdiende, is in Canada veroordeeld tot een gevangenisstraf van bijna zeven jaar. NetWalker (pdf) werd aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. De Canadese man was één van de partners van de NetWalker-groep en voerde wereldwijd aanvallen uit. Zo bekende hij zeventien Canadese organisaties met de ransomware te hebben geïnfecteerd. Ook maakte hij allerlei gegevens buit. Als slachtoffers niet betaalden publiceerde hij de gestolen data op internet. Op de apparatuur van de man die in beslag werd genomen trof de politie twintig terabyte aan data aan. Begin vorig jaar wist de FBI in samenwerking met de Bulgaarse autoriteiten de website van de NetWalker-ransomware in beslag te nemen, alsmede 450.000 dollar losgeld dat drie slachtoffers betaalden. De Canadese man kon op basis van ip-adressen en onderzoeken naar verschillende Apple-, Google-, Microsoft- en Mega-accounts, alsmede gebruikte e-mailadressen, aliassen en persoonlijke informatie op social media door de Canadese autoriteiten worden geïdentificeerd. Uiteindelijk wist de FBI hem vorig jaar januari aan te houden.
Microsoft gaat macro's wegens ransomware standaard blokkeren in Office
Microsoft gaat wegens malware- en ransomware-aanvallen macro's standaard in Office blokkeren waarbij gebruikers ze niet meer via een enkele muisklik kunnen inschakelen. Macro's laten gebruikers verschillende taken automatiseren. Het is echter ook mogelijk om via een macro code op het systeem uit te voeren en bijvoorbeeld malware te downloaden en installeren. Hier maken criminelen op grote schaal gebruik van. Veel grote ransomware-aanvallen, zoals die bij de Universiteit Maastricht, begonnen met een Office-document voorzien van een kwaadaardige macro. Om gebruikers te beschermen blokkeert Microsoft Office standaard het uitvoeren van macro's, maar gebruikers kunnen die met een enkele muisklik inschakelen. Vaak voegen aanvallers instructies voor het slachtoffer toe om macro's in te schakelen, bijvoorbeeld omdat dit nodig zou zijn om de inhoud van het document te bekijken. Om te voorkomen dat aanvallers op deze manier nog malware en ransomware kunnen verspreiden gaat Microsoft vanaf april een aanpassing in Access, Excel, PowerPoint, Visio en Word doorvoeren, zo heeft het bedrijf aangekondigd. Bij Office-documenten afkomstig van het internet zullen macro's op zo'n manier worden geblokkeerd dat die niet meer eenvoudig zijn te inschakelen. Office laat in dit geval een waarschuwing zien dat er sprake is van een beveiligingsrisico met een link naar een pagina die uitlegt waarom de macro is geblokkeerd. Op dit moment gebruikt Office bij de waarschuwing voor macro's nog de term "security warning". Dat zal straks "security risk" zijn. Ook is de kleur van de waarschuwing veranderd van geel naar rood. Gebruikers die macro's alsnog in het betreffende document willen inschakelen zullen hiervoor verschillende stappen moeten doorlopen. In voorbereiding op deze grote aanpassing roept Microsoft systeembeheerders en it'ers op om samen te werken met de eigen bedrijfsonderdelen die van macro's gebruikmaken, zoals de financiële afdeling, en met softwareleveranciers die met macro's in Office-bestanden werken. De aanpassing zal als eerste vanaf april in de previewversie (2203) van Office 2021, 2019, 2016 en 2013 worden doorgevoerd. In juni volgt de standaardversie, gevolgd door de Enterprise-versies in juli, september en januari 2023.
Minister: hack bij politieleverancier Abiom heeft beperkte impact
Het lekken van persoonlijke informatie die bij de Nederlandse politie- en defensieleverancier Abiom door een ransomwaregroep werd gestolen heeft naar verwachting een beperkte impact, zo stelt minister Yesilgöz van Justitie en Veiligheid. Abiom ontwikkelt en levert onder andere oplossingen en accessoires voor het C2000-netwerk waar hulpdiensten als politie, ambulance en brandweer gebruik van maken. Ook levert het bedrijf uit Wijchen technologie voor verschillende defensieonderdelen, alsmede gemeenten en provincies. Vorig jaar werd het bedrijf slachtoffer van de LockBit-ransomwaregroep, waarbij de aanvallers allerlei gegevens buitmaakten en vervolgens online publiceerden. De VVD wilde onder andere van de minister weten wat de impact van het datalek was. "Burgers en processen van de overheid lopen, voor zover bekend, geen gevaar om door dit lek slachtoffer te worden van misbruik met hun gegevens", reageert Yesilgöz. Ze stelt dat Abiom geen kopieën van paspoorten van politieambtenaren, verdachten, verbalisanten en benadeelden vanuit de politie heeft ontvangen. De informatie die de ransomwaregroep publiceerde betreft in het geval van de politie kentekens van voertuigen en een zeer beperkt aantal zakelijke e-mailadressen van medewerkers. Abiom beschikt over deze informatie voor de uitlevering van randapparatuur, zoals bijvoorbeeld op maat gemaakte oortjes voor communicatievoorzieningen. De gegevens stonden op facturen van Abiom aan de politie. "De vrijgekomen informatie heeft naar verwachting een beperkte impact op het operationele proces. Op basis van de nu beschikbare informatie kunnen politiemedewerkers en andere hulpverleners nog steeds veilig gebruik maken van C2000", voegt de minister toe. Die laat verder weten dat het Digital Trust Center (DTC) van de overheid Abiom om meer informatie over de aanval heeft gevraagd, maar nog geen reactie heeft ontvangen.
FBI: LockBit-ransomware besmet geen pc's met Oost-Europese taalinstelling
De LockBit-ransomware, die onder ander de Nederlandse defensie- en politieleverancier Abiom en de Brabantse logistiek dienstverlener Van der Helm Logistics infecteerde, alsmede consultancybedrijf Accenture, besmet geen systemen met een Oost-Europese taalinstelling, zo stelt de FBI in een nieuw document (pdf). LockBit 2.0 wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. In het document geeft de FBI geen informatie over de gebruikte aanvalsvectoren. Eenmaal actief probeert Lockbit eerst beheerdersrechten te verkrijgen. Dan kijkt de ransomware naar de ingestelde systeem- en taalinstellingen. "Als een Oost-Europese taal wordt gedetecteerd stopt het programma zonder infectie", zo laat de Amerikaanse opsporingsdienst weten. Wordt er een andere taal gedetecteerd, dan start de besmetting en verwijdert Lockbit logbestanden en shadow kopieën op de schijf en zoekt het onder andere remote shares en externe schijven om die te versleutelen. Om infectie te voorkomen adviseert de FBI het gebruik van sterke wachtwoorden en multifactorauthenticatie, het verwijderen van onnodige administrative shares, het up-to-date houden van systemen, het gebruik van een host-based firewall en het inschakelen van protected files in Windows om aanpassingen aan essentiële bestanden te voorkomen. Ook wordt aangeraden command-line en scriptingactiviteiten en -permissies uit te schakelen.
Gratis decryptor vrijgegeven voor TargetCompany ransomware slachtoffers
Het Tsjechische cyberbeveiligingssoftwarebedrijf Avast heeft een decoderingshulpprogramma uitgebracht om slachtoffers van de TargetCompany-ransomware te helpen hun bestanden gratis te herstellen. Zoals Avast waarschuwt, kan deze decryptor echter alleen worden gebruikt om gecodeerde bestanden "onder bepaalde omstandigheden" te herstellen. Slachtoffers die hun bestanden willen herstellen met behulp van deze decoderingstool, moeten zich er ook van bewust zijn dat dit waarschijnlijk een resource-intensief en tijdrovend proces zal zijn. "Tijdens het kraken van wachtwoorden zullen al uw beschikbare processorkernen het grootste deel van hun rekenkracht besteden om het decoderingswachtwoord te vinden. Het kraken kan veel tijd in beslag nemen, tot tientallen uren", aldus Avast..
Ransomware versleutelde 80 procent it-omgeving Ierse gezondheidszorg
Bij de ransomware-aanval op de Ierse gezondheidszorg HSE die vorig jaar plaatsvond werd tachtig procent van de it-omgeving versleuteld en maakten de aanvallers zevenhonderd gigabyte aan data buit, waaronder medische gegevens. Dat laat het Amerikaanse ministerie van Volksgezondheid in een "Lessons Learned" over de aanval weten (pdf). De aanval, waarbij duizenden servers en werkstations werden versleuteld en de autoriteiten uit voorzorg alle systemen uitschakelden, begon met een medewerker die een malafide e-mailbijlage opende. Uiteindelijk werden 2800 servers en 3500 werkstations door de Conti-ransomware versleuteld. Het werkelijke aantal ligt waarschijnlijk hoger, omdat sommige systemen al waren hersteld voordat het onderzoek naar de aanval plaatsvond. Volgens het Amerikaanse ministerie ging het om tachtig procent van de it-omgeving van de HSE. Door de aanval hadden artsen geen toegang tot diagnostische gegevens en medische dossiers. Personeel moest noodgedwongen terugvallen op pen en papier. Onder de honderden gigabytes gestolen data bevond zich ook medische informatie, waaronder gegevens van duizenden mensen die een coronavaccin hadden gekregen. De HSE had uiteindelijk vier maanden nodig om van de aanval te herstellen. In het document over geleerde lessen over de aanval gaat het Amerikaanse ministerie in op de tekortkomingen bij de Ierse gezondheidszorg en hoe het vervolgens omging met de incident response. De Ierse overheid liet weten dat het geen losgeld zou betalen. De aanvallers besloten uiteindelijk de decryptiesleutel te verstrekken. Zonder deze decryptiesleutel was het onbekend hoeveel data verloren zou zijn gegaan, aldus het Amerikaanse ministerie.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Tips of verdachte activiteiten gezien? Meld het hier.
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in 🇬🇧 or another language