Overzicht cyberaanvallen week 07-2022

Gepubliceerd op 21 februari 2022 om 15:00

Nederlandse server offline gehaald in verband met cyberaanvallen in Oekraïne, privé data huurders gestolen bij ransomware-aanval op it-bedrijf Aareon en gevoelige data over Amerikaanse wapens in handen van Russische aanvallers. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 4.500 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.

Status op 21 februari 2022 : 4.570


Week overzicht

Slachtoffer Cybercriminelen Website Land
Signum Everest www.signumcz.com Czech Republic
bynx.com LockBit bynx.com UK
PFEIFER Drako Snatch www.pfeifer.co.uk UK
CIELD Snatch www.clinicaintegral.com.co Colombia
www.pccua.edu BlackCat (ALPHV) www.pccua.edu USA
partners.pia.be LockBit partners.pia.be Belgium*
maldegem.be LockBit maldegem.be Belgium*
strix.com LockBit strix.com Isle of Man
plane.biz LockBit plane.biz USA
centrictel.com LockBit centrictel.com USA
asgcourtage.com LockBit asgcourtage.com France
taylorswindows.com LockBit taylorswindows.com USA
oceantextile.dk LockBit oceantextile.dk Denmark
brookledge.com LockBit brookledge.com USA
centralia.edu LockBit centralia.edu USA
Mack Defense, LLC Conti www.mackdefense.com USA
pertusipastore.it LockBit pertusipastore.it Italy
kokuyocamlin.com LockBit kokuyocamlin.com India
sanvitale.ra.it LockBit sanvitale.ra.it Italy
botswanatourism.co.bw LockBit botswanatourism.co.bw Botswana
threesixtysourcing.com BlackCat (ALPHV) threesixtysourcing.com Hong Kong
OPS omniplussystem.com LV omniplussystem.com Singapore
Muntons Cuba www.muntons.com UK
Heritage-encon Cuba www.heritage-encon.com USA
CSI Laboratories Conti www.csilaboratories.com USA
Doherty Cella Keane BlackCat (ALPHV) dcklaw.com USA
enit.it LockBit enit.it Italy
Southwark Metal Manufacturing Co. BlackCat (ALPHV) southwarkmetal.com USA
Thailand telecom company LeakTheAnalyst ais.co.th Thailand
HyLife BlackCat (ALPHV) hylife.com Canada
gruporoveri.com.br LV gruporoveri.com.br Brazil
POP TV RansomEXX www.poptv.com USA
Friedrich Hive friedrich.com USA
beautyindustrygroup.com LockBit beautyindustrygroup.com USA
KVK Tech | Specialty Brands and Generics Suncrypt kvktech.com USA
GEE GROUP INC. Conti www.geegroup.com USA
Ciam SPA Conti ciamweb.it Italy
Swissport BlackCat (ALPHV) www.swissport.com Switzerland
hifly.aero LockBit hifly.aero Portugal
o2fit.cl LockBit o2fit.cl Chile
pwma.org.hk LockBit pwma.org.hk Hong Kong
ackmo.be LockBit ackmo.be Belgium*
Vehicle Service Group (VSG) Marketo vsgdover.com USA
Muehlhan Conti www.muehlhan.com Germany
ALTERNATIVETECHS.COM CL0P alternativetechs.com USA
DRIVEANDSHINE.COM CL0P driveandshine.com USA
DRC-LAW.COM CL0P drc-law.com USA
ALEXIM.COM CL0P alexim.com USA
CAPCARPET.COM CL0P capcarpet.com USA
JBINSTANTLAWN.NET CL0P jbinstantlawn.net USA
www.tikg.co.jp LV www.tikg.co.jp Japan
meeuwesen.nl LockBit meeuwesen.nl Netherlands*
trustinnews.pt LockBit trustinnews.pt Portugal
sienaliteracy.org LockBit sienaliteracy.org USA
ecostampa.it BlackCat (ALPHV) ecostampa.it Italy

In samenwerking met DarkTracer


VS: Gevoelige data over Amerikaanse wapens in handen van Russische aanvallers

Russische aanvallers hebben mogelijk informatie over gevoelige Amerikaanse wapens in handen gekregen na een cyberaanval op defensiebedrijven. De aanval zou het werk zijn van aanvallers die worden gesteund door de Russische overheid. Hiervoor waarschuwen de FBI, National Security Agency (NSA) en US Cybersecurity and Infrastructure Security Agency (CISA) in een gezamenlijke verklaring. De partijen melden dat zowel kleine als grote defensiebedrijven en onderaannemers doelwit zijn geworden van cyberaanvallen. Deze aanvallen zouden specifiek zijn opgezet om data in handen te krijgen met betrekking tot Amerikaanse wapenplatformen. Bij de aanval zouden de aanvallers specifiek hun pijlen hebben gericht op commando-, beheer-, communicatie- en gevechtssystemen, de ontwikkeling van wapens en in het specifiek rakketen, ontwerpen voor voertuigen en vliegtuigen, softwareontwikkeling en data-analytics en surveillance-, verkennings- en richttechnologie. De aanval vindt plaats in een periode waarin de spanningen tussen de VS en Rusland oplopen in verband met het conflict in Oekraïne. Rusland ontkent dat het Oekraïne wil binnenvallen, iets waaronder meer de VS en het Verenigd Koninkrijk meerdere malen voor waarschuwden. De landen waarschuwen hierbij voor onder meer cyberaanvallen als onderdeel van een hybride oorlog door Rusland. Onlangs vonden al zware cyberaanvallen plaats op het Oekraïense ministerie van Defensie en banken in het land.

Alert AA 22 047 A
PDF – 413,0 KB 290 downloads

Nieuwe MonaLisa ransomware


Spanningen Rusland-Oekraïne: digitale impact

Publieke bronnen melden dat diverse organisaties in Oekraïne slachtoffer zijn geworden van cyberaanvallen. Het Nationaal Cyber Security Centrum (NCSC) heeft een tijdlijn opgesteld van cyberaanvallen die de afgelopen tijd hebben plaatsgevonden in Oekraïne. Het NCSC heeft op dit moment geen concrete aanwijzingen dat gerichte aanvallen op Nederlandse organisaties plaatsvinden gerelateerd aan de huidige situatie rondom Oekraïne. Het DTC adviseert om de 5 basisprincipes van veilige digitaal ondernemen aan te houden. Deze basisprincipes verkleinen de kans dat je organisatie slachtoffer wordt van (grootschalige) cyberaanvallen. Neem hierbij de volgende aandachtspunten mee:

  • Controleer en voorzie hard- en software van de laatste beveiligingsupdates. Denk hier in het bijzonder aan systemen die publiek verbonden staan met het internet zoals bijvoorbeeld je bedrijfswebsite of toepassingen voor thuiswerken.
  • Controleer of je organisatie maatregelen neemt of kan nemen tegen DDoS-aanvallen. Stel deze vraag bijvoorbeeld aan je IT-dienstverlener of Internet service provider (ISP).
  • Wees extra alert op phishing en klik bedachtzaam op links en bijlagen.

Houd de nieuwspagina van het DTC & NCSC in de gaten voor updates omtrent de ontwikkelingen in Oekraïne.


Conti ransomware-bende neemt TrickBot-malware-operatie over

TrickBot is een Windows-malwareplatform dat meerdere modules gebruikt voor verschillende kwaadaardige activiteiten, waaronder het stelen van informatie, het stelen van wachtwoorden, het infiltreren van Windows-domeinen, initiële toegang tot netwerken en het leveren van malware.

The Trick Bot Saga
PDF – 2,4 MB 285 downloads

Nederlandse server offline gehaald in verband met cyberaanvallen in Oekraïne

Een Nederlandse server die is gebruikt bij een cyberaanval op Oekraïense banken en ministeries is op verzoek van de politie offline gehaald. De servers is gebruikt bij het uitvoeren van DDoS-aanvallenDit bevestigen twee bedrijven die betrokken waren bij het hosten van de server aan BNR. Het gaat onder meer om SBK Enterprise, dat eerder ook het extreemrechtse Vizier op Links zou hebben gehost. Deze organisatie deelde in 2020 en 2021 online de adres- en contactgegevens van onder meer politici en wetenschappers. BNR meldt bij SBK Enterprise langs te zijn geweest, maar hoorde ter plaatse dat het gaat om een brievenbusfirma. "Ik kreeg woensdagmiddag een mail van de politie met de vraag om de server offline te halen. Dat heb ik direct gedaan", zegt de eigenaar van SKB Enterprise tegen BNR. Het is onduidelijk wie de server huurde bij SBK Enterprise. Naast SBK Enterprise was ook Spectra BV betrokken bij het offline halen van de server. Dit bedrijf levert netwerkdiensten aan SBK Enterprise. De politie heeft het verhaal nog niet bevestigt tegenover BNR.


Ddos-aanvallen op Oekraïense overheid waren van ongekende omvang

De ddos-aanvallen die Oekraïense banken en ministeries deze week troffen, waren van "ongekende omvang". Volgens de Oekraïense autoriteiten werd in de geschiedenis van het land nog nooit eerder op zo'n grote schaal onrust gezaaid door een digitale aanval. De cyberaanvallen, die ook de website van het Oekraïense ministerie van Defensie troffen, begonnen op dinsdag en hielden ook woensdag aan. Paspoortaanvragen konden niet verwerkt worden, coronatoegangsbewijzen waren ontoegankelijk en pinautomaten werkten niet overal meer. De Oekraïense minister van Digitale Zaken, Mykhailo Fedorov, zei dat de hackers "chaos en destabilisatie" wilden veroorzaken en dat ze goed voorbereid waren. Oekraïense inlichtingendiensten stellen dat gezien de omvang waarschijnlijk "een land" achter de aanvallen zit. Om welk land dat zou gaan, is niet gezegd. In het verleden werd Oekraïne naar eigen zeggen getroffen door Russische hackers. Het Kremlin meldt in een reactie dat het "niets te maken heeft" met de cyberaanvallen die Oekraïne troffen. De afgelopen tijd liepen de spanningen tussen Oekraïne en buurland Rusland hoog op. Een gewapende Russische invasie kan volgens de Verenigde Staten elk moment plaatsvinden. Ook die onzekerheid leidt tot onrust.


FBI meldt toename van ceo-fraude via online vergaderplatforms

Er is een toename van het aantal gevallen van ceo-fraude waarbij oplichters gebruikmaken van online vergaderplatforms, zo meldt de FBI. Volgens de Amerikaanse opsporingsdienst zijn criminelen vanwege het thuiswerken door de coronapandemie dit soort platforms gaan gebruiken. Specifieke namen van gebruikte platforms worden niet gegeven. Bij ceo-fraude en afgeleide varianten doen oplichters zich voor als de directeur van een onderneming en vragen medewerkers om een betaling naar een opgegeven rekening over te maken. Doordat veel medewerkers nu thuiswerken en zaken virtueel doen en via online vergaderplatforms bespreken, hebben ook ceo-fraudeurs zich hierop gestort. Zodra de oplichters het e-mailadres van de directeur of financieel directeur hebben gecompromitteerd versturen ze een e-mail naar medewerkers om aan een virtuele meeting deel te nemen. In plaats van de webcam aan te zetten laat de crimineel een foto van de directeur zien en schakelt de audio uit. De oplichter claimt dat audio en video niet werken. Hierna krijgen de medewerkers via het platform of een vervolgmail instructies om geld naar een opgegeven rekening over te maken. Volgens de FBI komt het ook voor dat criminelen de e-mailadressen van medewerkers compromitteren en zo aan online vergaderingen deelnemen, om zo informatie over de dagelijkse werkzaamheden te verzamelen. De opsporingsdienst geeft organisaties verschillende tips om dergelijke fraude te voorkomen, waaronder het gebruik van secundaire kanalen of tweefactorauthenticatie om aanpassingen aan rekeninggegevens te verifiëren.


Nieuwe D3adCrypt ransomware


Het volgen van SugarLocker-ransomware en -operator

De gebruiker "gustavedore" die de SugarLocker-ransomware beheert, startte RaaS-activiteiten in november 2021 en is op zoek naar partners op RAMP, een darkweb-forum gericht op ransomware.

Tracking Sugar Locker Ransomware
PDF – 3,9 MB 294 downloads

Grote cyberaanval campagne tegen Duitse bedrijven

Het Duitse Bundesamt für Verfassungsschutz (BfV), het Federaal Bureau voor de Bescherming van de Grondwet, heeft informatie over een lopende cyberspionagecampagne van de cyberaanvalsgroep APT27 die de malwarevariant HYPERBRO gebruikt tegen Duitse commerciële bedrijven. De aanval heeft verluidt een link met de onrust tussen Rusland en Oekraïne.  Volgens de huidige kennis maken de aanvallers sinds maart 2021 misbruik van kwetsbaarheden in Microsoft Exchange en in de Zoho AdSelf Service Plus1-software als gateway voor de aanvallen. Het valt niet uit te sluiten dat de actoren naast het stelen van bedrijfsgeheimen en intellectueel eigendom ook proberen te infiltreren in de netwerken van (corporate) klanten of dienstverleners (supply chain attack) De cyberspionagegroep APT27 zou hier achter zitten en is  sinds 2010 actief. De BfV constateert momenteel een toename van aanvallen op Duitse doelen door de groep met behulp van de HYPERBRO- malware. De BfV gaat ervan uit dat de actor de Duitse economie zal blijven aanvallen en publiceert daarom de bijgevoegde detectieregels en technische indicatoren (Indicators of Compromise) om commerciële bedrijven in staat te stellen bestaande infecties met de momenteel circulerende en mogelijk nieuwe versies van de malware te identificeren.


BlackCat (ALPHV) claimt Swissport ransomware aanval, lekt gegevens

De BlackCat ransomware-groep, ook bekend als ALPHV, heeft de verantwoordelijkheid opgeëist voor de recente cyberaanval op Swissport die vluchtvertragingen en serviceonderbrekingen veroorzaakte. Swissport met een omzet van € 3 miljard is aanwezig op 310 luchthavens in 50 landen en biedt vrachtafhandeling, onderhoud, schoonmaak en lounge hospitality-diensten. 


Gemiste beveiligingsupdate oorzaak cyberaanval Rode Kruis

Het Internationale Comité van het Rode Kruis (ICRC) heeft de oorzaak van de cyberaanval van afgelopen maand weten te achterhalen. Een authenticatiemodule bleek niet te zijn gepatcht. Doordat deze beveiligingsupdate niet was geïnstalleerd, konden de aanvallers misbruik maken van een zero day exploit in de software. Dat schrijft Robert Mardini, hoofd van het ICRC, in een updatebericht en analyse over de aanval.


Wazawaka Gaat Waka Waka

In januari onderzocht KrebsOnSecurity aanwijzingen die waren achtergelaten door 'Wazawaka', de 'hacker handle' die werd gekozen door een grote ransomware-crimineel in de Russischtalige cybercrime-scene. Wazawaka heeft sindsdien "zijn verstand verloren" volgens zijn voormalige collega's, het creëren van een Twitter-account om exploitcode te publiceren voor een veelgebruikt virtual private networking (VPN) -apparaat en het publiceren van bizarre selfie-video's die beveiligingsonderzoekers en journalisten beschimpen.

Wazawaka Goes Waka Waka
PDF – 1,2 MB 217 downloads

Privédata huurders gestolen bij ransomware-aanval op it-bedrijf Aareon

Bij een ransomware-aanval op de Nederlandse softwareleverancier Aareon zijn de persoonsgegevens van een onbekend aantal huurders gestolen en deels openbaar gemaakt. Volgens het bedrijf, dat software voor vastgoedbedrijven levert, gaat het om een "professioneel gecoördineerde en gerichte cyberaanval." De aanval werd in de ochtend van 3 februari ontdekt. Vervolgens werden de systemen offline gehaald. Details over de aanval zijn niet gegeven. Wel stelt Aareon dat met behulp van back-ups de systemen weer zijn opgebouwd. "In de loop van ons voortdurende onderzoek hebben specialistische experts moeten bevestigen dat een deel van de gegevens is gelekt en openbaar beschikbaar gemaakt", aldus de softwareleverancier. "Uit voorzorg moeten we er dan ook vanuit gaan dat alle data zijn getroffen, al is de kans groot dat uiteindelijk maar een fractie van de data zal uitlekken." Na ontdekking van de aanval werd die gemeld bij de Autoriteit Persoonsgegevens. Aareon is actief in negen Europese landen en telt 1800 medewerkers. Het bedient naar eigen zeggen meer dan drieduizend vastgoedbedrijven die samen tien miljoen verhuureenheden beheren. "Op donderdag 3 februari 2022 heeft een cyberaanval plaatsgevonden op de servers van het it-bedrijf Aareon. Dit it-bedrijf registreert voor ons huurdersgegevens, waaronder ook uw gegevens. Uit forensisch onderzoek is gebleken dat bij de cyberaanval data zoals persoonsgegevens zijn gekopieerd of onttrokken. Er wordt op dit moment onderzocht welke gegevens zijn getroffen door de hack. Daarbij wordt onderzocht of ook uw persoonsgegevens betrokken zijn. Het is mogelijk dat bijvoorbeeld uw naam, e-mailadres, telefoonnummer, adresgegevens en bankrekeningnummer in handen van derden zijn gekomen", aldus een e-mail dat een getroffen vastgoedbedrijf naar huurders stuurde. Onder andere Achmea Dutch Residential Fund, dat investeert in middensegment huurwoningen op locaties in Nederland, is klant van Aareon. Ook Van 't Hof Rijnland maakt gebruik van de software van het bedrijf. "Als gevolg van de aanval op Aareon zijn de portalen die wij beschikbaar hebben voor onze huurders op dit moment niet bereikbaar. Onze excuses hiervoor", zo stelt Van ’t Hof Rijnland in een uitleg over de aanval. Aareon laat niet weten wie erachter de aanval zit, maar op 11 februari meldde de Conti-ransomwaregroep op de eigen website dat het de aanval op het bedrijf had uitgevoerd. Vorig jaar waarschuwden de FBI en NSA nog voor aanvallen door de Conti-groep, die volgens de Amerikaanse opsporingsdienst meer dan vierhonderd organisaties wereldwijd heeft


Russische cybercriminelen stimuleren aanzienlijke ransomware- en cryptocurrency-gebaseerde witwasactiviteiten

Rusland is een toonaangevend land in de adoptie van cryptocurrency en staat op de 18e plaats in het algemeen op onze Global Crypto Adoption Index. Maar het verhaal van het gebruik van cryptocurrency in Rusland is niet helemaal positief. Individuen en groepen gevestigd in Rusland - van wie sommigen de afgelopen jaren door de Verenigde Staten zijn gesanctioneerd - zijn verantwoordelijk voor een onevenredig deel van de activiteit in verschillende vormen van op cryptocurrency gebaseerde criminaliteit. Lees verder


Cyberaanval Oekraïne verliep via Nederland

Een deel van de DdoS-aanval die Oekraïne gisteren teisterde liep via Nederland. Dat blijkt uit een analyse van deze aanval door BNR. De aanval heeft erg veel weg van een zogeheten DNS amplification DdoS aanval, zo vertelt cybersecurity-expert Rickey Gevers: ‘De aanvallers misbruiken servers die in Nederland staan. Vanuit het perspectief van de slachtoffers komt er dus heel veel internetverkeer vanuit Nederland.’ Nederland is volgens Gevers niet het enige land waarvandaan de aanval op Oekraïense ministeries, staatsbanken, private banken en Diia (digitaal ID-applicatie) plaatsvond. ‘De aanvallers misbruikten eerst servers in Rusland en China.’ Ook werden landen als Tsjechië en Oezbekistan genoemd. 'Zeer krachtige aanvallen die we hebben afgeslagen', zo meldt de Oekraïense minister van Digitale Transformatie Michaelo Fedorov op Telegram. Eerder dinsdagavond trok de oprichter van één van de getroffen banken, Oleg Gorochovskij, aan de bel op Facebook. 'Onze bank, en vele anderen, zijn aangevallen, met verschillende uitkomsten. We ontvangen aan de lopende band aanvallen uit Nederland.' Gorochovskij is eigenaar van mobile-only-bank Monobank. Cybersecurityconsultant Lada Roslycky van Black Trident sluit een bewuste link met Nederland niet uit. 'Jullie hebben onlangs cybersteun aangeboden. Het zou kunnen dat hieraan gerefereerd wordt.' Twee weken terug boden premier Mark Rutte en minister van Buitenlandse Zaken Wopke Hoekstra nog hun digitale steun over aan de Oekraïense president Volodymyr Zelenski. Tegelijkertijd is dat volgens Gevers absoluut niet hard te maken. 'Dit lijkt op een ‘normale’ ddos-aanval. Eén die zowel voor landen als helaas ook voor kids bereikbaar is. En we kunnen niet zien waar deze ‘pakketjes’ echt vandaan komen.' Wat volgens Gevers echter niet in het voordeel van een tiener spreekt, is een aanvullend bericht van de Oekraïense cyberpolitie. Oekraïners kregen sms'jes over geldautomaten die buiten werking zouden zijn. Maar: dat was niet waar. 'Dat is wel bijzonder, want dat duidt op desinformatie. En een desinformatieaanval in combinatie met een DdoS-aanval zie ik een tiener niet snel doen.' In de loop van dinsdagavond leken alle Oekraïense websites en apps van banken en de Oekraïense overheid weer naar behoren te functioneren.

Lees ook: Cybercriminelen bestoken de wereld met cyberaanvallen vanuit Nederland


FBI: BlackByte-ransomware heeft inbreuk gemaakt op kritieke infrastructuur in de VS

Het Amerikaanse Federal Bureau of Investigation (FBI) onthulde dat de BlackByte ransomware-groep de afgelopen drie maanden de netwerken van ten minste drie organisaties uit Amerikaanse kritieke infrastructuursectoren heeft geschonden. Dit werd onthuld in een gezamenlijk cyberbeveiligingsadvies van TLP: WHITE dat vrijdag werd vrijgegeven in coördinatie met de Amerikaanse geheime dienst. "Vanaf november 2021 had de BlackByte-ransomware meerdere Amerikaanse en buitenlandse bedrijven gecompromitteerd, waaronder entiteiten in ten minste drie Amerikaanse kritieke infrastructuursectoren (overheidsfaciliteiten, financiën en voedsel en landbouw).," zei de federale wetshandhavingsinstantie [PDF]. "BlackByte is een Ransomware as a Service (RaaS)-groep die bestanden versleutelt op gecompromitteerde Windows-hostsystemen, waaronder fysieke en virtuele servers." Het advies richt zich op het bieden van indicatoren van compromissen (IOC's) die organisaties kunnen gebruiken om de aanvallen van BlackByte te detecteren en te verdedigen. De IOC's die zijn gekoppeld aan BlackByte-activiteit die in het advies worden gedeeld, omvatten MD5-hashes van verdachte ASPX-bestanden die zijn ontdekt op gecompromitteerde Microsoft Internet Information Services (IIS)-servers en een lijst met opdrachten die de ransomware-operators tijdens aanvallen hebben gebruikt.

220211
PDF – 827,4 KB 343 downloads

Sportmerk Mizuno getroffen door ransomware-aanval die bestellingen vertraagt

Sportuitrusting en sportkleding merk Mizuno wordt getroffen door telefoonstoringen en ordervertragingen nadat het werd getroffen door ransomware.  Mizuno is een Japans sportartikelen- en sportkleding bedrijf met meer dan 3.800 werknemers en locaties in Azië, Europa en Noord-Amerika. Het bedrijf verkoopt een breed scala aan sportuitrusting, maar is vooral bekend om hun golfclubs, hardloopsneakers en honkbal uitrusting. 


Nieuwe Sojusz ransomware


Oekraïense sites van ministerie en banken getroffen door ddos-aanval

De websites van het ministerie van Defensie in Oekraïne en twee Oekraïense banken zijn dinsdag getroffen door een ddos-aanval. Daardoor raakten ze zodanig overbelast dat ze niet of nauwelijks te bezoeken waren. Inmiddels zijn ze weer bereikbaar. De websites waren urenlang onbereikbaar. Het ministerie van Defensie schreef op Twitter dat het om een ddos-aanval ging. Daarbij wordt zo veel geautomatiseerd bezoek op een website afgestuurd, dat de server het begeeft. Ook de PrivatBank en de Oschadbank hadden last van aanvallen. Voor klanten was het niet of vrijwel niet mogelijk om bankzaken af te handelen. Het geld van klanten was voor zover bekend niet in gevaar. Het is niet bekend wie er achter de aanvallen zit, hoewel Oekraïense autoriteiten niet uitsluiten dat Rusland verantwoordelijk is. "Het is niet uitgesloten dat de agressor zich heeft gewend tot een tactiek van kinderachtige trucs." 


VS waarschuwt organisaties voor mogelijke Russische cyberaanvallen

De Amerikaanse overheid heeft een waarschuwing afgegeven waarin het bedrijven en organisaties oproept om alert te zijn op mogelijke cyberaanvallen van de Russische overheid. "Elke organisatie in de Verenigde State loopt risico door cyberdreigingen die essentiële diensten kunnen verstoren en mogelijk gevolgen voor de openbare veiligheid hebben", aldus het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. In de waarschuwing, met de titel "Shields Up", wordt specifiek de Russische overheid genoemd. "De Russische regering weet dat het uitschakelen of vernietigen van vitale infrastructuur, waaronder energie en communicatie, druk kan uitoefenen op de regering, het leger en de bevolking van een land en hun acceptatie van Russische doelen kan versnellen", zo stelt het CISA. De overheidsinstantie zegt niet bekend te zijn met specifieke, concrete dreigingen voor de VS, maar voegt toe dat de Russische overheid kan besluiten om destabiliserende acties zo te escaleren dat het ook partijen buiten Oekraïne raakt. CISA adviseert alle organisaties, ongeacht hun omvang, om extra alert te zijn als het om cybersecurity gaat en hun belangrijkste middelen te beschermen. Zo wordt aangeraden om systemen en software up-to-date te houden, onnodige poorten en protocollen uit te schakelen, back-ups van vitale data te maken, die te testen en offline te bewaren en in het geval van vitale diensten ook de handmatige bediening te controleren. Bedrijven die met Oekraïense organisaties werken wordt aangeraden om verkeer van die organisaties te monitoren, inspecteren en isoleren.


San Francisco 49ers bevestigt ransomware-aanval op it-netwerk

Het American footballteam San Francisco 49ers is slachtoffer geworden van een ransomware-aanval, zo heeft de club bevestigd. Op 12 februari publiceerden de criminelen achter de BlackByte-ransomware op hun eigen website dat ze een succesvolle aanval op het footballteam hadden uitgevoerd. Als bewijs van de aanval publiceerden de aanvallers verschillende documenten. Onlangs gaf de FBI nog een waarschuwing voor de BlackByte-ransomware (pdf). Tegenover CNN verklaart het footballteam dat de aanval beperkt was tot het zakelijke it-netwerk. Na ontdekking van het incident is er een onderzoek gestart en zijn er maatregelen genomen om het incident te beperken. Inmiddels wordt er gewerkt aan het herstel van de getroffen systemen. Verdere details over het incident zijn niet gegeven.

220211
PDF – 827,4 KB 306 downloads

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten


Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »