Toyota leverancier Denso geraakt door cyberaanval, cyberaanval op Duitse dochter Russisch olieconcern Rosneft en cyberaanval op geldautomaten. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Meer dan 4.500 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.
Status op 21 maart 2022 : 4.882
Week overzicht
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
Nestle | KelvinSecurity | www.nestle.com | Switzerland |
Banco do Brasil | KelvinSecurity | www.bb.com.br | Brazil |
Confederation of Indian Industry (CII) | KelvinSecurity | www.cii.in | India |
CORT | KelvinSecurity | www.cort.com | USA |
BERITASATUMEDIA.COM | BlackCat (ALPHV) | beritasatumedia.com | Indonesia |
Herbert Slepoy Co | Karakurt | www.slepoycorp.com | USA |
STUDIO PEREGO S.R.L. | LockBit | studioperego.pro | Italy |
rh-europe.com | LockBit | rh-europe.com | France |
onglesdor.com | LockBit | onglesdor.com | Canada |
besp-oak.com | LockBit | besp-oak.com | UK |
tomlinsonelectric.com | LockBit | tomlinsonelectric.com | USA |
chicagosteelgroup.com | LockBit | chicagosteelgroup.com | USA |
GRS Group | Conti | www.grsroadstone.co.uk | UK |
ROXCEL Trading GmbH | Conti | www.roxcel.at | Austria |
zabel-group.de | LockBit | zabel-group.de | Germany |
ismea.it | LockBit | ismea.it | Italy |
bbst-clp.de | LockBit | bbst-clp.de | Germany |
museum-dingolfing.de | LockBit | museum-dingolfing.de | Germany |
HAVI Logistic | BlackCat (ALPHV) | havilog.com | USA |
Scottish Association for Mental Health | RansomEXX | www.samh.org.uk | UK |
connectcec.com | LockBit | connectcec.com | USA |
Grcouceiro | Haron | www.grcouceiro.com | Spain |
Royal LePage | Karakurt | www.royallepage.ca | Canada |
Allied Eagle Supply | Conti | www.alliedeagle.com | USA |
MJH Life Sciences | Conti | www.mjhlifesciences.com | USA |
PFC USA | Conti | www.pfcusa.com | USA |
BAUKING | Conti | bauking.de | Germany |
denro.ca | LockBit | denro.ca | Canada |
jewelry.org.hk | LockBit | jewelry.org.hk | Hong Kong |
Normandeau Associates, Inc. | Conti | www.normandeau.com | USA |
bChannels Ltd. | Conti | www.bchannels.com | UK |
BDX | Conti | bdx.se | Sweden |
Talent Logic Inc. | Conti | www.talentlogic.com | USA |
NORDEX FOOD | Conti | nordexfood.dk | Denmark |
NSM Insurance Group | Hive | nsminc.com | USA |
megaproductos.com.ec | LockBit | megaproductos.com.ec | Guademala |
solvi.com | LockBit | solvi.com | Brazil |
vri.maniberia.net | BlackCat (ALPHV) | vri.maniberia.net | Unknown |
genesis.ky | LockBit | genesis.ky | Cayman Islands |
draftex.de | LockBit | draftex.de | Germany |
kbkbcpa.com | LockBit | kbkbcpa.com | USA |
centralaccident.com | LockBit | centralaccident.com | Unknown |
dgordonlcswr.com | LockBit | dgordonlcswr.com | USA |
gezairi.com | LockBit | gezairi.com | Lebanon |
BMW CHILE | KelvinSecurity | www.bmw.cl | Chile |
BEXIMCO | KelvinSecurity | www.beximco.com | Bangladesh |
Cellulant Corporation | KelvinSecurity | www.cdcgroup.com | Kenya |
Equicom SAVINGS BANK | KelvinSecurity | www.equicomsavings.com | Philippines |
eGOV | KelvinSecurity | Unknown | USA |
ICONIC | KelvinSecurity | www.iconic-broker.mx | Mexico |
caribetours | KelvinSecurity | caribetours.com.do | Dominican Republic |
CARACOL TV COLOMBIA | KelvinSecurity | www.caracoltv.com | Colombia |
ANTEL | KelvinSecurity | www.antel.com.uy | Uruguay |
Salvadoran Ministry of Foreign Affairs | KelvinSecurity | Unknown | El Salvador |
TIG | Conti | www.tig.com | USA |
Round Oak Minerals | Conti | roundoak.com.au | Australia |
Argo Turboserve | Conti | www.argoturbo.com | USA |
Sheppard | Conti | www.rhsheppard.com | USA |
Snap-on Incorporated | Conti | www.snapon.com | USA |
South Africa Electricity company | Everest | Unknown | South Africa |
Noble Oil | BlackCat (ALPHV) | nobleoil.com | USA |
FitFlop Ltd. | Suncrypt | fitflop.com | UK |
ihg.com | LockBit | ihg.com | UK |
rosslare.com.hk | LockBit | rosslare.com.hk | Hong Kong |
hilltopconstructionco.com | LockBit | hilltopconstructionco.com | USA |
aetnabridge.com | LockBit | aetnabridge.com | USA |
specialinc.com | LockBit | specialinc.com | USA |
lawsdn.com | LockBit | lawsdn.com | USA |
montanarisrl.net | LockBit | montanarisrl.net | Italy |
finances.gouv.cg | LockBit | finances.gouv.cg | Democratic Republic of the Congo |
thionvillenola.com | LockBit | www.thionvillenola.com | USA |
unapen.internal | BlackCat (ALPHV) | unapen.internal | Unknown |
Boralex | AvosLocker | boralex.com | Canada |
M.T.B. | BlackCat (ALPHV) | www.mtb-france.com | France |
taguefamilypractice.com | LockBit | taguefamilypractice.com | USA |
comune.villafranca.vr.it | LockBit | comune.villafranca.vr.it | Italy |
drory.com.cn | LockBit | drory.com.cn | China |
Core Design | STORMOUS | core-design.com | UK |
vvrmc.org | LockBit | vvrmc.org | USA |
Onedoc | LockBit | Unknown | Switzerland |
rebuildingtogether.org | LockBit | www.rebuildingtogether.org | USA |
sbctanzania.co.tz | LockBit | sbctanzania.co.tz | Tanzania |
vbsharma.ca | LockBit | vbsharma.ca | Canada |
matteolisrl.it | LockBit | matteolisrl.it | Italy |
Bullfrog International | BlackCat (ALPHV) | bullfrogspas.com | USA |
Milan Institute | Conti | milaninstitute.edu | USA |
medinadairy.co.uk | LockBit | medinadairy.co.uk | UK |
Migros | Suncrypt | www.migros.ch | Switzerland |
Instituto Nacional de Tecnología Agropecuaria | Everest | www.argentina.gob.ar | Argentina |
Kemutec | Conti | www.kemutec.com | USA |
Empire Electronics Inc. | Conti | www.empireelectronics.com | USA |
Fuji America Corporation | Lorenz | www.fujiamerica.com | USA |
VadaTech | Lorenz | vadatech.com | USA |
Ward Hadaway | Lorenz | www.wardhadaway.com | UK |
UK GOV | Everest | Unknown | UK |
fantasy company | Black Shadow | fantasy.co | USA |
Viva Air | RansomEXX | www.vivaair.com | Colombia |
Monteleone & McCrory LLP | BlackCat (ALPHV) | www.mmlawyers.com | USA |
Smith Transport | Ragnar_Locker | smithtransport.com | USA |
UK's Ministry of Defence | LeakTheAnalyst | apply.army.mod.uk | UK |
Managed Business Solutions | Conti | mbs.com | USA |
In samenwerking met DarkTracer
Google geeft details over criminelen die toegang voor ransomwaregroep regelen
Google heeft details gegeven (pdf) over criminelen die toegang voor ransomwaregroepen regelen en hiervoor onder andere een zerodaylek in Internet Explorer gebruikten. Initial access brokers, zoals dergelijke partijen worden genoemd, spelen volgens Google een belangrijke rol bij het faciliteren van cybercrime. De broker regelt toegang tot systemen van organisaties, waarna deze toegang aan onder andere ransomwaregroepen wordt verkocht. De broker in kwestie, door Google Exotic Lily genoemd, zou meer van vijfduizend e-mails per dag naar 650 organisaties wereldwijd versturen. In eerste instantie ging het om partijen in de gezondheidszorg, it en cybersecurity, maar volgens Google valt de broker nu meer organisaties en industrieën aan. Voor de aanvallen maakt de broker gebruik van domeinen die op die van de aangevallen organisatie lijken. Vervolgens stuurt de broker een e-mail die van een medewerker van de betreffende organisatie afkomstig lijkt en linkt naar een document. In werkelijkheid gaat het om malware. Vorig jaar september ontdekten onderzoekers dat Exotic Lily hierbij een zerodaylek in Internet Explorer gebruikte. De kwetsbaarheid (CVE-2021-40444) bevond zich in MSHTML, de door Microsoft ontwikkelde browser-engine van Internet Explorer. MSHTML wordt ook door Office-applicaties gebruikt voor het weergeven van webcontent in documenten. Bij de aanvallen stuurden de aanvallers hun doelwit een Microsoft Office-bestand. Wanneer de gebruiker dit document opende werd er een kwaadaardig ActiveX-control geladen dat het systeem uiteindelijk met malware infecteerde. Na het versturen van documenten die het IE-lek gebruikten, en waarvoor Microsoft in september met een update kwam, besloot de broker over te stappen op het linken naar ISO-bestanden. Op basis van de communicatie van de broker blijkt die volgens Google standaard kantoortijden van negen tot vijf aan te houden, met weinig activiteit in het weekend. Op basis van de werkuren vermoedt Google dat de broker vanuit Centraal of Oost-Europa opereert. Naast informatie over de werkwijze heeft het techbedrijf ook indicators of compromise gegeven, zoals domeinen, ip-adressen en hashes van bestanden die de broker gebruikt.
Spectrumcollege opnieuw slachtoffer van cyberaanval
Het Spectrumcollege, met campussen in Beringen en Lummen, is opnieuw het slachtoffer geworden van een cyberaanval. Het is al de derde keer op twee weken tijd dat de school door hackers geviseerd wordt. Volgens de schooldirectie gaat het om een DDOS-aanval, waardoor het computernetwerk slecht of helemaal niet meer bereikbaar is voor medewerkers of klanten. Ook heel wat Limburgse bedrijven zouden door de aanval van gisteren getroffen zijn. Wie er achter de cyberaanval zit is nog niet duidelijk. Het Spectrumcollege heeft sinds oktober een klacht tegen onbekenden lopen bij de politie.
Cyberaanval op geldautomaten
Criminelen zijn erin geslaagd om Oracle Solaris-servers van banken met een rootkit te infecteren die vervolgens fraude met geldautomaten mogelijk maakte. Dat meldt securitybedrijf Mandiant in een analyse. Hoeveel geld erbij de aanvallen is buitgemaakt is onbekend. De rootkit wordt Caketap genoemd en is een "kernel module rootkit" voor Oracle Solaris. Caketap kan netwerkverbindingen, processen en bestanden verbergen en is op de ATM switch server van banken aangetroffen. Deze server regelt het verkeer tussen de bank en de geldautomaat. De rootkit werd gebruikt voor ongeautoriseerde transacties door frauduleuze bankkaarten. Wanneer een bankklant met zijn betaalkaart geld bij een geldautomaat opneemt, wordt er een bericht tussen de automaat en bankserver uitgewisseld. Zo worden de pincode en betaalkaart van de klant geverifieerd. In het geval van een legitieme klant slaat Caketap deze ATM-pinverificatie op. Wanneer de rootkit ziet dat er met een frauduleuze betaalkaart wordt gepind, speelt het de eerder opgenomen pinverificatie van de legitieme klant af, zodat de frauduleuze betaalkaart wordt geaccepteerd. Daarnaast manipuleert de rootkit ook berichten bedoeld voor de Payment Hardware Security Module (HSM) van de server. Caketap wijzigt de mode van verschillende uitgaande berichten om zo de verificatie van de betaalkaart uit te schakelen. Hierdoor kan de HSM de betaalkaart niet verifiëren en genereert bij de frauduleuze betaalkaart een geldige respons. Hierdoor zal de geldautomaat de frauduleuze bankkaart accepteren waarna criminelen er geld mee kunnen opnemen. Volgens Mandiant heeft een groep criminelen, aangeduid als UNC2891, Caketap ingezet als onderdeel van een grotere operatie waarbij ongeautoriseerde geldopnames bij geldautomaten van verschillende banken werden uitgevoerd. Hoe de groep toegang tot de bankservers weet te krijgen is onbekend.
FBI: kwetsbaarheid in Duo MFA-protocol misbruikt bij aanval op NGO
Aanvallers hebben vorig jaar een NGO door middel van een zwak wachtwoord, een kwetsbaarheid in Cisco’s Duo multifactorauthenticatie (MFA)-protocol en het PrintNightmare-lek in Windows weten te compromitteren, zo claimt de FBI. De aanvallers wisten via een bruteforce-aanval toegang tot een account met een eenvoudig, voorspelbaar wachtwoord te krijgen. De aangevallen organisatie maakte gebruik van een oplossing van MFA-leverancier Duo voor het beveiligen van accounts. Het gecompromitteerde account was echter vanwege een lange periode van inactiviteit afgemeld bij Duo, maar niet uitgeschakeld in de Active Directory van de NGO. De standaardconfiguratie van Duo maakt het mogelijk om een nieuw apparaat voor een inactief account aan te melden. Zo konden de aanvallers hun eigen apparaat aan het gecompromitteerde account toevoegen, aan de authenticatievereisten voldoen en zo toegang tot het NGO-netwerk krijgen. Vervolgens maakten de aanvallers gebruik van het PrintNightmare-lek in Windows om hun rechten te verhogen en beheerder te worden. Ook wijzigden de aanvallers het domeincontrollerbestand, waardoor Duo MFA calls niet naar de Duo-server gingen, maar naar localhost. Hierdoor kan de MFA-service de server niet benaderen om de MFA-login te valideren, wat in principe multifactorauthenticatie voor actieve domeinaccounts uitschakelde. "Omdat het standaardbeleid van Duo voor Windows "Fail open" is wanneer de MFA-server niet kan worden bereikt. "Fail open" kan bij elke MFA-implementatie voorkomen", aldus de FBI. Na het effectief uitschakelen van MFA wisten de aanvallers op de VPN van de organisatie in te loggen en RDP-verbindingen naar domeincontrollers op te zetten. Vervolgens werden inloggegevens van andere domeinaccounts gestolen en de MFA-configuratie aangepast, zodat er voor deze nieuw gecompromitteerde accounts geen MFA meer was vereist. De aanvallers maakten hierbij voornamelijk gebruik van interne Windows-tools. Uiteindelijk wisten de aanvallers zich lateraal door het netwerk te bewegen en toegang te krijgen tot de cloudopslag en e-mailaccounts van de NGO. Volgens de FBI was de aanval het werk van door de Russische staat gesponsorde aanvallers. De FBI adviseert organisaties om verschillende maatregelen te nemen om dergelijke aanvallen te voorkomen. Zo moet MFA voor alle gebruikers zonder uitzondering worden ingesteld. Voor de implementatie moet echter het configuratiebeleid worden gecontroleerd om "Fail open" en het opnieuw aanmelden van apparaten te voorkomen. Verder wordt organisaties geadviseerd om een time-out en lock-out voor herhaaldelijk mislukte inlogpogingen in te stellen en ervoor te zorgen dat inactieve accounts overal zijn uitgeschakeld, zowel in de Active Directory, MFA-oplossing als andere systemen. Duo roept organisaties op om meteen hun accountstatus te controleren en doet verder verschillende aanbevelingen.
BlackBerry ontdekt nieuwe LokiLocker-ransomware
Het onderzoeksteam van BlackBerry heeft een nieuwe vorm van ransomware gedetecteerd, genaamd LokiLocker. In de Noorse mythologie was Loki de vijand van de goden die van gedaante kon veranderen. LokiLocker versleutelt eerst de bestanden van het slachtoffer op lokale schijven en netwerkshares. Vervolgens moeten slachtoffers per e-mail contact opnemen om instructies te krijgen over hoe het losgeld te betalen. LokiLocker is een relatief nieuwe ransomware-familie die zich voornamelijk richt op Engelstalige slachtoffers en Windows-pc’s. Net als het gelijknamige mythologische figuur, verschijnt LokiLocker onuitgenodigd en probeert het direct kostbaar bezit buit te maken. BlackBerry kan bevestigen dat LokiLocker in bedrijfsomgevingen is gedetecteerd. Het begin van de ransomware is teruggeleid tot trojanized brute-checker hacking-tools voor populaire consumentendiensten, zoals Spotify en PayPal. Deze vorm van ransomware kan ongelooflijk destructief en wraakzuchtig zijn: wanneer het slachtoffer niet betaalt binnen het door de aanvaller gespecificeerde tijdsbestek, worden alle data verwijderd. Daarnaast wordt het master boot record (MBR) overschreven, waarbij alle bestanden van het slachtoffer worden gewist en het systeem onbruikbaar raakt.
CryptoRom Bitcoin-oplichters blijven zich richten op kwetsbare iPhone- en Android-gebruikers
Duitse overheid adviseert alternatief voor antivirussoftware Kaspersky te zoeken
De Duitse overheid waarschuwt organisaties voor het gebruik van antivirussoftware van de Russische fabrikant Kaspersky. Het federaal bureau voor informatiebeveiliging (BSI) raadt aan om programma's van Kaspersky te vervangen door alternatieven. Volgens de overheid is er vanwege de oorlog in Oekraïne een verhoogd risico op cyberaanvallen vanuit Rusland op Duitse systemen. Omdat Kaspersky van origine een Russisch bedrijf is, heeft de BSI twijfels over het vertrouwen in de betrouwbaarheid en de bescherming van de fabrikant. "Een Russische IT-fabrikant kan zelf aanvallen uitvoeren of tegen zijn wil worden gedwongen om dat te doen", schrijft de Duitse organisatie. "Alle gebruikers van antivirussoftware kunnen door dergelijke aanvallen worden getroffen. Vooral bedrijven en overheden met bijzondere veiligheidsbelangen en bedrijven in de vitale infrastructuur lopen gevaar." Of er concrete aanwijzingen zijn dat software van Kaspersky inderdaad wordt misbruikt, is niet bekend. Toch adviseert de BSI om voor de zekerheid over te stappen op alternatieve programma's. In Nederland werd software van Kaspersky in 2018 uitgefaseerd bij overheidsinstanties. Toenmalig minister Ferd Grapperhaus van Justitie en Veiligheid zei destijds dat het bedrijf de antivirusprogramma's zou kunnen gebruiken voor Russische spionage. Kaspersky reageerde teleurgesteld en zei dat het bedrijf aanpassingen had aangebracht "om de integriteit van de antivirussoftware te borgen".
Nieuwe Nokoyawa-ransomware mogelijk gerelateerd aan Hive
Intel 471 Whitepaper - Ransomware-varianten
Malafide afbeelding en PDF laat aanvaller code op iPhones uitvoeren
Verschillende kwetsbaarheden in iOS maken het mogelijk voor aanvallers om willekeurige code op iPhones en iPads uit te voeren. Alleen het bezoeken van een malafide of gecompromitteerde website of het openen van een malafide afbeelding of PDF zijn voldoende. Apple heeft beveiligingsupdates uitgebracht om de problemen te verhelpen. Met iOS 15.4 en iPadOS 15.4 zijn in totaal 39 kwetsbaarheden verholpen. Vijf daarvan maken "arbitrary code execution" mogelijk en bevinden zich onder andere in WebKit. Dit is de door Apple ontwikkelde browser-engine waar alle browsers op iOS gebruik van maken. Een ander WebKit-lek maakt het mogelijk voor malafide websites om "gevoelige gebruikersinformatie" te achterhalen. Verder zijn er verschillende beveiligingslekken opgelost waardoor een aanvaller met fysieke toegang tot een vergrendelde iPhone of iPad foto's, gevoelige informatie, locatiegegevens en telecomprovidergegevens kan bemachtigen, alsmede de ingestelde telecomprovider kan wijzigen. Het blijkt daarnaast dat gebruikers via FaceTime audio en video kunnen versturen zonder dat ze dit zelf door hebben. Updaten naar iOS 15.4 en iPadOS 15.4 kan via iTunes en de Software Update-functie.
Kritieke kwetsbaarheid in Citrix ShareFile actief misbruikt bij aanvallen
Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Citrix ShareFile waarvoor afgelopen september een beveiligingsupdate verscheen. Dat meldt securitybedrijf CrowdStrike op basis van eigen bevindingen. Citrix ShareFile is een oplossing voor het synchroniseren en delen van bestanden. Vorig jaar werd er een path traversal-kwetsbaarheid in de oplossing ontdekt waardoor een ongeauthenticeerde gebruiker een bestand op een aangevallen server kan overschrijven en zo op afstand code kan uitvoeren. De impact van het beveiligingslek, aangeduid als CVE-2021-22941, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Volgens CrowdStrike maakt een groep criminelen genaamd "Prophet Spider" misbruik van de kwetsbaarheid in Citrix ShareFile om Microsoft Internet Information Services (IIS) webservers te compromitteren. Via het lek werd een webshell geïnstalleerd waarmee verdere aanvallen zijn uit te voeren. Het uiteindelijke doel van de waargenomen aanval is onbekend. De groep in kwestie zou het in verleden toegang tot systemen hebben verkocht, die vervolgens met ransomware werden besmet. De Amerikaanse overheid houdt een lijst van actief aangevallen kwetsbaarheden bij die inmiddels bijna vijfhonderd beveiligingslekken telt, maar het lek in Citrix ShareFile ontbreekt hierop.
Israëlische overheidswebsites plat door grote cyberaanval
Meerdere Israëlische overheidswebsites zijn maandag getroffen door een cyberaanval. Het zou de grootste cyberaanval ooit tegen Israël zijn. Onder andere de websites van de ministeries van Binnenlandse Zaken, Volksgezondheid, Justitie en Welzijn gingen offline, evenals die van het kabinet van de minister-president. Dat meldden Israëlische media. Het Israëlische ministerie van Communicatie sprak van een "brede cyberaanval". Wie daarvoor verantwoordelijk is, werd niet gezegd. Volgens het nationale cyberagentschap werd een provider aangevallen met een DDoS-aanval, waardoor onder andere overheidswebsites korte tijd uit de lucht waren. "Inmiddels zijn alle websites weer operationeel", meldt de instantie. Een bron bij defensie zegt tegen de krant Haaretz dat dit de grootste cyberaanval ooit is die tegen Israël is uitgevoerd. Het vermoeden bestaat dat een staat of een grote organisatie achter de aanval zit. Volgens Reuters hebben Israëlische overheidswoordvoerders gewezen op een mogelijke betrokkenheid van Iran of door Iran gesteurde groeperingen.
מרשות התקשוב ומערך הסייבר הלאומי נמסר:
— gov.il (@Israelgov) March 14, 2022
בשעות האחרונות זוהתה מתקפת מניעת שירות על ספקית תקשורת אשר כתוצאה ממנה, נמנעה לזמן קצר הגישה למספר אתרים, ביניהם אתרי ממשלה.
נכון לשעה זו כלל האתרים שבו לפעילות.
Vertaald vanuit het Hebreeuws door:
De Nationale Cyber Autoriteit en het Nationaal Cyber Systeem stellen: De afgelopen uren is een denial-of-service-aanval op een communicatieprovider geconstateerd, waardoor de toegang tot een aantal sites, waaronder overheidssites, tijdelijk is ontzegd.
Vanaf dit uur zijn alle locaties weer actief.
Weer nieuwe malware ontdekt die Oekraïense computers onklaar maakt
Opnieuw hebben beveiligingsonderzoekers malware ontdekt die het heeft voorzien op Oekraïense computers. De makers hadden hoogstwaarschijnlijk al langer toegang tot de getroffen computers en netwerken. Het gaat om een zogenoemde wiper, malware die is gemaakt om de inhoud van een computer volledig te verwijderen en de computer zo onklaar te maken. De nieuwste wiper is ontdekt door beveiligingsbedrijf ESET en heeft de naam CaddyWiper gekregen. Het is de derde wiper die is aangetroffen in Oekraïne sinds Rusland het land drie weken geleden binnenviel. Eerder ontdekte ESET al malware die het HermeticWiper en IsaacWiper noemde. Deze nieuwe wiper is volgens ESET aangetroffen binnen 'een beperkt aantal organisaties' in Oekraïne. Veel details over de malware geeft ESET niet, wel is duidelijk dat deze wiper zich richt op de gebruikers- en partitiedata. Het volledige systeem is daarmee niet helemaal onbruikbaar, vermoedelijk zodat de wiper zichzelf verder kan verspreiden over het aangesloten netwerk. ESET vermoedt dat CaddyWiper net zoals de vorige twee wipers ook al langer op de getroffen computers aanwezig was. De aanvallers hebben gewacht met het activeren van de wipers tot een bepaald moment. Hoewel de activatie van de wipers samenvalt met de start van de aanval op Oekraïne, is ESET terughoudend met het leggen van directe verbanden. Er wordt geen mogelijke dader aangewezen, laat staan dat Rusland of Russische hackers worden aangewezen als mogelijke makers van de malware.
#BREAKING #ESETresearch warns about the discovery of a 3rd destructive wiper deployed in Ukraine 🇺🇦. We first observed this new malware we call #CaddyWiper today around 9h38 UTC. 1/7 pic.twitter.com/gVzzlT6AzN
— ESET research (@ESETresearch) March 14, 2022
Nieuwe IceFire ransomware
Another new ransomware just appeared: IceFire.
— MalwareHunterTeam (@malwrhunterteam) March 14, 2022
Note: iFire-readme.txt
Extension: .iFire
Already seen victim companies from multiple countries, including multiple victims from 1-1 countries in the past < 40 hours, so they started "hard" it seems...@demonslay335 pic.twitter.com/QfguAicNYO
Ransomwaregroep Pandora legt claim op cyberaanval bij Denso
Auto-onderdeelfabrikant Denso is slachtoffer van een cyberaanval. De organisatie bekent dat cybercriminelen op 10 maart binnendrongen in het Duitse bedrijfsnetwerk. Volgens Denso is er geen impact op de productie. Denso produceert auto-onderdelen voor grote namen als Toyota, Honda en Ford. In 2021 boekte de organisatie een omzet van meer dan 40 miljard euro. Denso heeft meer dan 100 fabrieken wereldwijd. De Duitse kantoren en fabrieken worden met een nationaal netwerk verbonden. Vandaag liet Denso weten dat het netwerk op 10 maart is geïnfiltreerd. Denso detecteerde meerdere ongemachtigde devices. De devices zijn zo snel mogelijk van het netwerk verwijderd. Volgens de organisatie is de impact beperkt tot een of meerdere Duitse kantoren. De productie in Duitsland en andere landen zou onaangetast zijn. Denso staat in contact met Duitse autoriteiten en cybersecurityspecialisten, maar deelt niets over de aanvalssoort, schade of het motief. Ransomwaregroep Pandora beweert verantwoordelijk te zijn. De cybercriminelen kondigden via een leak site aan dat er 1,4TB aan data is versleuteld. Ransomwaregroepen gebruiken leak sites om slachtoffers openlijk onder druk te zetten. Vaak voegen de cybercriminelen een sample van de gestolen bestanden toe. De sample van Pandora bevat inkooporders, technische tekeningen en NDA-overeenkomsten. Hoewel Pandora beweert dat de gegevens via de aanval op Denso zijn gestolen, is de herkomst nog bevestigd.
De Conti-ransomware lek
Cyberaanval op grote Eindhovense accountant; gijzelsoftware legt Crowe Foederer lam
Eén van de grootste accountantskantoren in de regio is getroffen door een digitale aanval. Het gaat om Crowe Foederer, de huisaccountant van diverse gemeenten en grote bedrijven in Zuidoost-Brabant. Of losgeld is geëist, wil het bedrijf niet zeggen. Cybercriminelen leggen de Eindhovense accountant Crowe Foederer al dagenlang lam. De computers van het bedrijf zijn besmet met gijzelsoftware. De aanvallers hebben de bedrijfsbestanden en computerprogramma's vergrendeld. Ook e-mail is niet beschikbaar. Dat heeft het bedrijf maandag bevestigd.
Nieuwe Acepy ransomware
#Acepy #Ransomware https://t.co/sjII9XnVa1
— Petrovic (@petrovic082) March 14, 2022
Universiteitsblad weigert te spreken van ‘mensen die menstrueren’, dus activisten legden de website plat
Universiteit Maastricht - Volgens de groep Anonymous zou het blad Observant „valse journalistiek en haatdragende opinie-artikelen” publiceren. De redactie ontkent dat. De website van het universiteitsblad Observant in Maastricht is half januari drie dagen platgelegd door anonieme activisten. Dit meldt Observant deze dinsdag. In een e-mail van 24 januari aan de redactie eist de groep Anonymous de ddos-aanval op. In het Engels schrijft de groep: „Observant publiceert valse journalistiek en haatdragende opinie-artikelen die het een podium maken voor extreem-rechts. Racisme en transfobie zijn steeds dominanter aanwezig bij Observant. We hebben de redactie gemeld dat we hun site zouden platleggen en hebben dat uiteindelijk ook gedaan.” De redactie heeft aangifte gedaan bij de politie. Die heeft het onderzoek inmiddels gestaakt wegens gebrek aan bewijs. Wie precies achter de aanval zit, is niet te achterhalen, volgens hoofdredacteur Riki Janssen. Observant is beslist niet „transfoob, seksistisch of racistisch”, zegt Janssen. „We proberen alle perspectieven in elk debat aan het woord te laten.” Volgens Janssen hebben de cybercriminelen maar één doel: „Observant de mond snoeren.”
Bridgestone Americas sluit fabrieken wegens ransomware-aanval
Bandenfabrikant Bridgestone Americas heeft wegens een ransomware-aanval verschillende fabrieken in Noord- en Latijns-Amerika gesloten. Eind februari maakte het bedrijf melding van een "informatiebeveiligingsincident". Uit voorzorg werd besloten systemen offline te halen. Ook werd personeel naar huis gestuurd. De aanval werd opgeëist door de criminelen achter de LockBit-ransomware. Die dreigden ook gestolen gegevens te zullen publiceren, tenzij Bridgestone losgeld betaalde. De bandenfabrikant heeft naar eigen zeggen in Amerika meer dan vijftig productielocaties en telt 55.000 medewerkers. Details over de aanval zijn niet openbaar gemaakt. Vorige week meldde Bridgestone dat het bezig was met het herstel van systemen en er werd gewerkt aan volledig operationele status.
Pandora Ransomware - The Box is al een tijdje open ...
Vandaag gaan we kijken naar "Pandora Ransomware", een nieuwe Ransomware-stam die al een paar dagen wordt gecontroleerd, bijvoorbeeld door MalwareHunterTeam, maar in eerste instantie was er geen monster beschikbaar.
Pandora ransomware...
— MalwareHunterTeam (@malwrhunterteam) March 10, 2022
Note: Restore_My_Files.txt
Extension: .pandora
Already 2 entries on their leak site.@demonslay335 pic.twitter.com/SgT8eHEK71
Nordnet en BigBlu buiten dienst door een Russische cyberaanval
Hij zal zeker moeten veranderen Nordnet en BigBlu operatorfondsen. Het lag twee weken plat na een grootschalige cyberaanval op de internettoegangsdienst van de geostationaire satelliet KA-SAT. Ongeveer 10.000 Franse gebruikers zullen worden getroffen. Nordnet maakte op 10 maart bekend dat het elke klant heeft gecontacteerd en sluit niet langer de mogelijkheid uit om de dozen te vervangen.
[Mise à jour du 10.03.22] Nous étudions toutes les options afin de rétablir la connexion de nos utilisateurs concernés et les contactons progressivement afin de leur proposer une solution adaptée et personnalisée pic.twitter.com/GONfb6aVb1
— Nordnet 📡 (@NordnetOFFICIEL) March 10, 2022
Misschien zou Bigblu hetzelfde moeten doen, volgens informatie die op 7 maart op zijn site is geplaatst. Op een hoogte van 36.000 km boven het aardoppervlak werd de KA-SAT-satelliet niet geraakt. Het was het vaste netwerk van de Amerikaanse eigenaar Viasat dat het doelwit was, waardoor de modems van gebruikers buiten dienst werden gesteld. Ze werken niet meer ondanks de inspanningen van commerciële operatoren om ze op afstand opnieuw op te starten. Deze dozen zijn wat we noemen geruïneerdof onbruikbaar, zoals getuigenissen die op siteforums zijn geplaatst Lavipreinfo getuigen daarvan. U moet fysiek ingrijpen op het apparaat en de modemchip demonteren. Te duur en te ingewikkeld voor operators. Vandaar het idee om ze te vervangen.
Soorten cyberaanvallen
Analyse van nieuwe BlackCat ransomware met versleutelde configuratie
BlackCat/ALPHV crew made some adjustments to their ransomware. Previous methods for extracting the config aren’t working anymore. Introducing BlackCat/ALPHV 2.0??
— pancak3 (@pancak3lullz) March 16, 2022
SHA1: 8c70191b12f14eed594388c8fbe05efe6ebaa564
Cc @vxunderground @f0wlsec https://t.co/0Mz0cRMnTi
BlackCat ransomware releases nieuwe versie
Blackcat ransomware group (alternately refered to as ALPHV) has changed some of their binary characteristics. Previous methods of extracting binary configurations fails, some YARA rules no longer match
— vx-underground (@vxunderground) March 16, 2022
Example from @hatching_io: https://t.co/qXocce7sWa
tl;dr Maybe Blackcat 2.0?
Toyota leverancier Denso geraakt door cyberaanval
De Japanse onderdelenfabrikant Denso is donderdag aangevallen door cybercrime groep Pandora. Dit melden verschillende internationale media op basis van de Japanse publieke omroep NHK. Pandora zegt 1,4 terabyte aan informatie te hebben buitgemaakt, waaronder meer dan 157 duizend inkooporders, e-mails en schetsen. De informatie zou deels vertrouwelijk zijn. Denso is de op een na grootste toeleverancier voor de automobielindustrie wereldwijd. Eerder deze maand werd Koijma, een andere toeleverancier van Toyota, geraakt door een cyberaanval. Toen werden alle fabrieken van de automaker stilgelegd. Denso heeft middels in een statement de aanval bevestigd. Het bedrijf meldt dat "het netwerk in Duitsland op 10 maart 2022 illegaal is benaderd door een derde partij. Na het detecteren van de ongeoorloofde toegang verbrak Denso onmiddellijk de netwerkverbinding van apparaten die ongeautoriseerde toegang kregen". Denso benadrukt dat er geen impact is op andere faciliteiten dan die in Duitsland. Ook is de productie niet onderbroken. Het bedrijf onderzoekt met gespecialiseerde cyberbeveiligingsbureaus de cyberaanval. Over wat voor soort en hoeveel data er is buitgemaakt, doet het bedrijf geen uitspraken.
Cyberaanval op Duitse dochter Russisch olieconcern Rosneft
Het Duitse dochterbedrijf van het grote Russische olieconcern Rosneft is aangevallen door hackers. Volgens de internationale hackersgroep Anonymous werd daarbij grote schade aangericht. De hack werd bevestigd door de Duitse overheid na een melding van het Duitse onderdeel van Rosneft. Volgens de hackers werd een grote hoeveelheid informatie buitgemaakt. Anonymous gaat nu de informatie bekijken, maar zegt niet alles te zullen publiceren. Rosneft Deutschland heeft belangen in drie raffinaderijen in Duitsland en was in de afgelopen jaren goed voor ongeveer een kwart van de import van ruwe olie in het land. De voormalige bondskanselier Gerhard Schröder is voorzitter van de raad van commissarissen van Rosneft. Anonymous heeft al meerdere cyberaanvallen uitgevoerd tegen organisaties en bedrijven die banden hebben met de Russische regering vanwege de oorlog in Oekraïne.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Tips of verdachte activiteiten gezien? Meld het hier.
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in 🇬🇧 or another language