Overzicht cyberaanvallen week 13-2022

Gepubliceerd op 4 april 2022 om 15:00

In Belarus wordt een "spooroorlog" gevoerd, hoeveelheid cyberaanvallen op EU-organen in vier jaar tijd vertienvoudigd en cyberaanval op 3 woningcorporaties in Nederland. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 5.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.

Status op 4 april 2022 : 5.061



Week overzicht

Slachtoffer Cybercriminelen Website Land
Dennis Gartland And Niergarth AvosLocker dgncpa.com USA
TRUSTFORD Conti www.trustford.co.uk UK
SLH Conti www.slhlaw.com USA
Frey and Winkler GmbH Conti www.freywinkler.de Germany
eksltd.com LockBit eksltd.com UK
fec-corp.com LockBit fec-corp.com Thailand
remar.com.ec LockBit remar.com.ec Ecuador
wiegaarden.dk LockBit wiegaarden.dk Denmark
greenexperts.com.tw LockBit greenexperts.com.tw Taiwan
oldenburgdeurbewerking.nl LockBit oldenburgdeurbewerking.nl Netherlands*
bazzisrl.it LockBit bazzisrl.it Italy
Favoris Holding AG BlackCat (ALPHV) favoris-ag.ch Switzerland
Ackerman Plumbing Conti www.ackermanplumbinginc.com USA
ledesma.com.ar LockBit ledesma.com.ar Argentina
FlipChip Conti www.flipchip.com USA
MANUFAST Conti www.manufast.be Belgium*
Trace Midstream BlackCat (ALPHV) tracemidstream.com USA
WKPZ Law BlackCat (ALPHV) www.wkpz.com USA
liceu.barcelona LockBit liceu.barcelona Spain
GIBSON HomeWares Conti www.gibsonhomewares.com USA
Midea Carrier Conti www.mideacarrier.com.br Brazil
Lowell Conti www.lowellgroup.de Germany
Prima Sole Components Spa Conti www.pscomponents.eu Italy
CASTGROUP.COM.BR BlackCat (ALPHV) castgroup.com.br Brazil
Dober BlackCat (ALPHV) www.dober.com USA
SSW Consulting BlackCat (ALPHV) www.ssw.com.au Australia
studiobrazzale.it LockBit studiobrazzale.it Italy
Rettenmeier Holding AG Conti www.rettenmeier.com Germany
Parker Appliance Company Conti www.parker.com USA
keypoint.com LockBit keypoint.com Bahrain
yachtcharterfleet.com LockBit yachtcharterfleet.com UK
bafokengholdings.com LockBit bafokengholdings.com South Africa
Belarusian City of Grodno AgainstTheWest Unknown Belarus
Almaz-Antey AgainstTheWest www.almaz-antey.ru Russia
StarBucks AgainstTheWest www.starbucks.com USA
JD.com, Inc AgainstTheWest corporate.jd.com China
People's Police of the People's Republic of China AgainstTheWest Unknown China
Bank of China AgainstTheWest www.boc.cn China
China Southern Airlines AgainstTheWest www.csair.com China
Ministry of Justice of the People's Republic of China AgainstTheWest en.moj.gov.cn China
Alibaba Cloud AgainstTheWest www.alibabacloud.com China
KONICA MINOLTA MARKETING SERVICES LIMITED Conti indicia.konicaminolta.com UK
Yip in Tsoi Snatch www.yipintsoi.com Thailand
grupodeincendios.com LockBit grupodeincendios.com Spain
omalleytunstall.com LockBit omalleytunstall.com USA
avcimmedia.com LockBit avcimmedia.com UK
jlmsolicitors.co.uk LockBit jlmsolicitors.co.uk UK
infotech ua STORMOUS infotech.com.ua Ukraine
Hearst Pandora www.hearst.com USA
United Cumberland Pandora unitedcumberland.com USA
burlingtonsafety.com LockBit burlingtonsafety.com USA
bcad.org LockBit bcad.org USA
Bcintlgroup.com Cuba bcintlgroup.com USA
Trant.co.uk Cuba trant.co.uk UK
China Guangfa Bank AgainstTheWest www.cgbchina.com.cn China
Tencent | WeChat + WeCom AgainstTheWest www.tencent.com China
The Russian Federal Service for Hydrometeorology and Environmental Monitoring AgainstTheWest Unknown Russia
Globant.com LAPSUS$ globant.com Argentina
CR ASIA KelvinSecurity crasia.net Thailand
Pakistan Human Rights KelvinSecurity Unknown Pakistan
Imenco AS Conti imenco.no Norway
BANQUE CENTRALE DE TUNISIE Conti www.bct.gov.tn Tunisia
Stago RansomEXX www.stago.com France
MZ Architects BlackByte www.mz-architects.com United Arab Emirates
Credit Risk Management Canada BlackByte www.crmcanada.com Canada
GEBE BlackByte www.gebe.net Germany
PHC Hive www.partnershiphp.org USA
Biz Retek Lorenz bizretek.com USA
axessa.ch LockBit axessa.ch Switzerland
Zeeland Farm Services, Inc. Conti www.zfsinc.com USA
APSM Systems Vice Society apsmsystems.com USA
ASPIRO Vice Society www.aspiroinc.org USA
Ciments Guyanais Vice Society Unknown French Guiana
Universidade Federal de Sao Paulo Vice Society www.unifesp.br Brazil
AB Karl Hedin Conti www.abkarlhedin.se Sweden
ONCALL Language Services Conti www.oncallinterpreters.com Australia
Neschen Coating GmbH Conti www.neschen.de Germany
Walsall North Foodbank STORMOUS walsallnorth.foodbank.org.uk UK
Rudsak Inc BlackCat (ALPHV) rudsak.com Canada
progettoedilesrl.it LockBit progettoedilesrl.it Italy
Smith Transport company STORMOUS smithtransport.com USA
OSSEG Obra Social de Seguros Vice Society osseg.org.ar Argentina
its.ws LockBit its.ws Kuwait
Jammal Trust Bank Vice Society www.jtbbank.com Lebanon
Oklahoma City Indian Clinic Suncrypt okcic.com USA
Centris Conti www.centrisinfo.com USA

In samenwerking met DarkTracer


"Storing" NS?!

Op social media wordt gespeculeerd dat de Nederlandse Spoorwegen slachtoffer is geworden van een cyberaanval vanuit Rusland. Afgelopen woensdag zijn immers ook de nationale Italiaanse spoorwegen (FS) door een cyberaanval lamgelegd. Iets wat een woordvoerder van de NS niet kan uitsluiten. “We moeten eerst goed onderzoeken naar wat er precies aan de hand is. Helemaal uitsluiten dat er sprake is van een cyberaanval kan ik niet.”

“Hoewel de oorzaak van de storing inmiddels verholpen is, is de impact groot. Om betrouwbaar te kunnen opstarten, moeten systemen geüpdatet worden en treinen op de juiste plaats worden gebracht”, schrijft de NS is een persbericht. De vervoerder biedt zijn excuus aan voor alle ongemak. 


China voerde cyberaanval uit op Oekraïne vlak voor invasie Rusland

China voerde mogelijk een cyberaanval uit op Oekraïne vlak voor invasie Rusland. Dit meldt The Times die het artikel heeft geschreven op basis van inlichtingenmemo's die zijn verkregen. Meer dan 600 websites van het ministerie van Defensie in Kiev en andere instellingen kregen te maken duizenden hack pogingen die werden gecoördineerd door de Chinese regering, zo meldt een de Oekraïense veiligheidsdienst SBU. Volgens de bron is dit een duidelijk teken van medeplichtigheid aan de invasie. De Chinese aanvallen begonnen voor het einde van de Olympische Winterspelen en bereikten een hoogtepunt bereikten op 23 februari. Russische troepen vielen 24 februari Oekraïne binnen.

Volgens een SBU-kolonel kon de aanval worden afgeslagen door dat het land betere tools heeft om zichzelf te beschermen. China heeft niet gereageerd op het bericht van The Times.


Hackers en spoorwegmedewerkers leggen het treinverkeer plat

In Belarus wordt een "spooroorlog" gevoerd. Hackers en spoorwegmedewerkers leggen het treinverkeer plat door schakelkasten op te blazen, seinen uit te schakelen en IT-systemen te hacken. Door de acties vallen treinen uit of moeten ze in een slakkengang handmatig over een baanvak worden geleid. Met zulke guerrilla-acties weten de spoorwegpartizanen de Russische invasie in Oekraïne te frustreren. De toelevering van wapens, brandstof en voedsel aan troepen in het noordoosten van Oekraïne verloopt grotendeels via het spoornetwerk van Rusland-bondgenoot Belarus. Ook het terughalen van verzwakte bataljons rond Kiev en Tsjernihiv wordt bemoeilijkt door de spooroorlog. Voor de wereldhandel zijn de gevolgen ook groot. De Nieuwe Zijderoute, de spoorroute tussen China en Europa, loopt dwars door Belarus. Volgens het financiële persbureau Bloomberg werden vorig jaar bijna 1,5 miljoen containers via deze spoorlijn vervoerd, zo'n 4 procent van de totale handel tussen China en Europa.

Op deze locaties langs het spoor zijn sabotageacties gemeld:

"In meerdere regio's is de spoorbeveiliging vernietigd en zijn spoorvakken geblokkeerd", zegt de Belarussische oppositieleider Pavel Latoesjka. Hij diende tussen 2009 en 2012 als minister onder president Loekasjenko, maar keerde zich later af van de dictator. "Wij proberen op alle mogelijke manieren de partizanen te steunen. Zij laten zien dat de bevolking de oorlog niet steunt."


Hoeveelheid cyberaanvallen op EU-organen in vier jaar tijd vertienvoudigd

De hoeveelheid cyberaanvallen tegen EU-organen is sinds 2018 vertienvoudigd. Dat berekende CERT-EU. Cyberaanvallen gericht tegen EU-organen nemen fors toe. Dat moet blijken uit een verslag van de Europese Rekenkamer. Het rapport stelt dat tussen 2018 en 2021, dus nog voor de oorlog in Oekraïne, het aantal grote cyberincidenten bij EU-organen meer dan vertienvoudigde. Het gaat dan bijvoorbeeld over de cyberaanval op het Europees Geneesmiddelenbureau, waarbij informatie over vaccins werd gelekt. In het rapport onderzocht de Rekenkamer hoe goed de verschillende bestuursorganen zijn voorbereid op een eventuele cyberdreiging. Daaruit moet onder meer blijken dat het ene bestuursorgaan daar beter mee omgaat dan het andere, maar over het algemeen is de defensie niet in verhouding met de toenemende dreigingen. Bovendien kan een tekortkoming bij het ene orgaan de beveiliging van de anderen in gevaar brengen, omdat de instellingen nauw met elkaar verweven zijn. Over het algemeen bevelen de auditoren aan om bindende regels rond cyberbeveiliging in te voeren en meer middelen vrij te maken voor het Europese computercrisisresponsteam CERT-EU.


VS meldt actief misbruik van lek in Dell-driver en Trend Micro Apex Central

Aanvallers maken actief misbruik van kwetsbaarheden in een driver van Dell en software van Trend Micro, wat grote gevolgen voor organisaties kan hebben. Dat melden de Amerikaanse en Japanse overheid alsmede Trend Micro zelf. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst bij van actief aangevallen kwetsbaarheden. De lijst, die deadlines bevat wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste update betreft zeven kwetsbaarheden. Het gaat onder andere om een zerodaylek in Trend Micro Apex Central waarvoor op 29 maart een update verscheen. Op dat moment werd er al misbruik van het lek gemaakt. Apex Central is een webconsole voor het gecentraliseerd beheren van Trend Micro-producten en -diensten op de gateway, mailserver, fileserver en desktops. Beheerders kunnen via Apex Central instellingen op zowel producten als endpoints aanpassen en doorvoeren. Daarnaast is het via de oplossing mogelijk om antivirus en andere beveiligingsdiensten binnen het netwerk te monitoren. Een kwetsbaarheid in Apex Central maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand willekeurige bestanden te uploaden en zo code op het systeem uit te voeren. De impact van de remote code execution-kwetsbaarheid, aangeduid als CVE-2022-26871, is op een schaal van 1 tot en met 10 beoordeeld met een 8.6. "Aangezien de kwetsbaarheid al wordt misbruikt, moeten gebruikers van de getroffen producten de update zo snel mogelijk installeren", aldus het Computer Emergency Response Team van de Japanse overheid. Het CISA wil dat Amerikaanse overheidsinstanties de patch voor 21 april hebben uitgerold. Een ander beveiligingslek op de lijst van het CISA bevindt zich in een driver van Dell. Vorig jaar bleek dat miljoenen Dell-computers kwetsbaar waren door een beveiligingslek (CVE-2021-21551) in een driver die wordt gebruikt bij het updaten van de firmware. Via de kwetsbaarheid kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen en code met kernelrechten uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Het geeft aanvallers de mogelijkheid om een systeem volledig te compromitteren. Afgelopen december meldde securitybedrijf Rapid7 dat de oplossing van Dell het probleem niet volledig verhelpt en de gedeeltelijk gepatchte driver aanvallers nog steeds kan helpen. Naast de kwetsbaarheid in de software van Dell en Trend Micro moeten Amerikaanse overheidsinstanties ook actief aangevallen beveiligingslekken in QNAP HBS 3, Windows, Dasan-routers en Sophos Firewall binnen drie weken hebben


Amerikaanse zorgverlener al dagen offline door ransomware-aanval

De Amerikaanse zorgverlener Partnership HealthPlan of California is door een ransomware-aanval al dagen lang offline. De aanvallers claimen dat ze bij de aanval de gegevens van honderdduizenden patiënten hebben buitgemaakt. De gezondheidsorganisatie biedt gezondheidszorg voor meer dan 600.000 mensen in de Amerikaanse staat Californië. Onder andere de systemen voor het aanvragen van behandelingen zijn offline, wat ook geldt voor de e-mail. Om toch via e-mail te communiceren heeft de zorgverlener Gmail-adressen aangemaakt. Patiënten en zorgprofessionals die via de Gmail-adressen met de zorgverlener willen communiceren worden opgeroepen om geen persoonlijke gezondheidsinformatie aan de e-mail toe te voegen. Wie de zorgverlener belt krijgt een opgenomen boodschap te horen dat alle systemen down zijn en het onbekend is wanneer die weer operationeel zijn, meldt VentureBeat. De aanval op de zorgorganisatie is opgeëist door de groep achter de Hive-ransomware. De groep claimt honderdduizenden persoonlijke records te hebben buitgemaakt, alsmede vierhonderd gigabyte aan data. De datadiefstal is nog niet door het Partnership HealthPlan of California bevestigd. De zorgorganisatie zegt nog bezig te zijn met het onderzoek. Vorig jaar werd elektronicaketen MediaMarkt ook slachtoffer van de Hive-ransomware.


Wiper-aanval op tienduizenden modems via verkeerd ingestelde vpn

Een verkeerd geconfigureerde vpn-appliance was de oorzaak dat aanvallers onlangs toegang tot systemen van satellietbedrijf Viasat konden krijgen om vervolgens tienduizenden modems met wiper-malware te infecteren. Dat heeft het bedrijf in een verklaring bekendgemaakt. De aanval deed zich eind februari voor en werd vooraf gegaan door een denial of service-aanval. Viasat stelt in een analyse van de aanval dat tienduizenden modems die online waren opeens offline gingen en niet meer terugkwamen. Verder onderzoek wees uit dat een aanvaller door een misconfiguratie van een vpn-appliance toegang tot een managementsegment van Viasats netwerk had gekregen. De aanvaller wist zich lateraal door het netwerk te bewegen naar een specifiek deel dat voor het netwerkbeheer wordt gebruikt. Vervolgens gebruikte de aanvaller deze netwerktoegang voor het gelijktijdig uitvoeren van beheercommando's op een groot aantal modems, zo claimt Viasat. Bij deze "destructieve commando's" werd belangrijke data in het flashgeheugen van de modems overschreven, waardoor die geen verbinding meer met het netwerk konden maken. Volgens Viasat is er geen permanent schade aangericht en zijn de modems via een fabrieksreset volledig te herstellen. Ondanks deze geclaimde resetoptie stelt Viasat tegelijkertijd dat het bijna dertigduizend modems naar distributeurs heeft verscheept om klanten weer online te krijgen. "Het blijft onduidelijk hoe legitieme commando's zo'n schadelijk effect op de modems konden hebben", zegt Max van Amerongen van securitybedrijf SentinelOne. Hij stelt dat het op grote schaal verstoren van systemen realistischer is via het uitrollen van een malafide update, script of bestand. "Het is ook lastig om voor te stellen hoe legitieme commando's voor zowel een denial of service kunnen zorgen als het onbruikbaar maken van de modems, maar die niet permanent beschadigen." SentinelOne ontdekte wiper-malware genaamd "AcidRain" die bij de aanval is ingezet. "Ondanks de verklaring van Viasat dat er geen supply-chain-aanval was of het gebruik van malafide code op de getroffen routers, komen we met de meer aannemelijke hypothese dat de aanvallers voor hun operatie AcidRain op deze apparaten uitvoerden", aldus Van Amerongen. In de media heeft Viasat inmiddels bevestigd dat de wiper-malware inderdaad tegen de modems van klanten is ingezet.


Sophos: Golf van Log4j-aanvallen op ongepatchte VMware Horizon-servers

Sophos waarschuwt voor een golf aan aanvallen waarbij aanvallers proberen de Log4j-kwetsbaarheid uit te buiten om backdoors en cryptomining malware te installeren. Het virtualisatieplatform VMware Horizon is hierbij een van de doelwitten. Een update voor Horizon is al sinds december beschikbaar, maar deze is nog niet door ieder bedrijf geïnstalleerd. Apache Log4j is een op Java-gebaseerde tool die in veel toepassingen is verwerkt. Op 9 december bleek een kwetsbaarheid aanwezig in Log4j, die ook webapplicaties en andere systemen die van Log4j gebruik maken kwetsbaar maakt. De kwetsbaarheid maakt het voor aanvallers mogelijk de rechten van webservers op afstand te misbruiken. VMware bracht in december een patch uit voor VMware Horizon waarin de Log4j-kwetsbaarheid is gedicht. Deze update is helaas nog niet door alle bedrijven geïnstalleerd. Aanvallers blijven kwetsbare VMware Horizon-servers op de korrel nemen, waarschuwt Sophos. Zo zijn eind december 2021 en in januari 2022 zijn verschillende aanvallen gedetecteerd waarbij de Log4Shell-kwetsbaarheid in VMware Horizon-servers is uitgebuit, meldt Sophos. Aanvallers maakten hierbij gebruik van een malafide Java-bestand, dat de bestaande legitieme Java-code aanpast. Hieraan wordt een web shell toegevoegd die toegang op afstand en het uitvoeren van code mogelijk maakt. Sophos meldt dat de hoeveelheid aanvallen via Log4j op VMware Horizon-implementaties in januari is blijven stegen. In veel gevallen probeerden aanvallers cryptomining malware uit te rollen op getroffen systemen. In andere gevallen waren de bedoelingen van de aanvallers minder duidelijk. Sophos stelt dat deze aanvallen mogelijk verband houden met initial access brokers of ransomware actors. Deze aanvallen zijn nog steeds gaande.


Hive ransomware gebruikt nieuwe 'IPfuscation' truc om payload te verbergen

Bedreigingsanalisten hebben een nieuwe verduisteringstechniek ontdekt die wordt gebruikt door de Hive-ransomware-bende, waarbij IPv4-adressen en een reeks conversies betrokken zijn die uiteindelijk leiden tot het downloaden van een Cobalt Strike-baken. Codeverduistering is wat bedreigingsactoren helpt de kwaadaardige aard van hun code te verbergen voor menselijke reviewers of beveiligingssoftware, zodat ze detectie kunnen omzeilen. Er zijn talloze manieren om verduistering te bereiken, elk met zijn eigen reeks voor- en nadelen, maar een nieuwe die is ontdekt in een incidentrespons met Hive-ransomware laat zien dat tegenstanders nieuwe, heimelijker manieren vinden om hun doel te bereiken. Analisten van Sentinel Labs rapporteren over de nieuwe verduisteringstechniek, die ze "IPfuscation" noemen, en die nog een ander voorbeeld is van hoe effectief eenvoudige maar slimme methoden kunnen zijn in de implementatie van malware in de echte wereld.

From The Front Lines Hive Ransomware Deploys Novel I Pfuscation Technique To Avoid Detection
PDF – 11,7 MB 257 downloads

Ransomware kost BPO-dienstverlener Atento 38 miljoen euro

Atento, één van de grootste dienstverleners ter wereld op het gebied van Customer Relationship Management (CRM) en Business Process Outsourcing (BPO), heeft door een ransomware-aanval 38 miljoen euro moeten afschrijven. Vorig jaar oktober raakten systemen van Atento besmet met de Lockbit-ransomware. Vanwege de infectie besloot Atento systemen uit te schakelen, wat gevolgen had voor de dienstverlening aan klanten. In een kwartaalrapport laat Atento weten dat de ransomware-aanval het bedrijf 38 miljoen euro heeft gekost. Het bedrag bestaat uit 31,4 miljoen euro aan misgelopen inkomsten in Brazilië en 6,6 miljoen euro aan kosten die met de aanval samenhangen. Naar aanleiding van de aanval zegt het bedrijf de digitale beveiliging te hebben aangescherpt, zowel bescherming, detectie als herstel. Daarnaast zijn er overeenkomsten gesloten met securitybedrijven waaronder CrowdStrike en Microsoft. Atento telt 150.000 medewerkers en heeft vestigingen in veertien landen. De omzet bedroeg vorig jaar 1,3 miljard euro.


'Russen probeerden NAVO en legers Oost-Europese landen te hacken'

Russische hackers hebben onlangs geprobeerd de netwerken van de NAVO en de legers van meerdere Oost-Europese landen binnen te dringen. Dat zeggen beveiligingsonderzoekers van Google. De phishing-campagnes werden gelanceerd door de Russische hackersgroep die bekendstaat als Coldriver of Callisto. De hackers wilden ermee onder andere logingegevens van militairen buitmaken. Ook een in Oekraïne gevestigde defensie-aannemer was doelwit. "Deze campagnes zijn verzonden met nieuw aangemaakte Gmail-accounts naar niet-Google-accounts, dus het succespercentage van deze campagnes is onbekend", schrijven de Google-onderzoekers. De groep richtte zich volgens de onderzoekers op een NAVO-Center of Excellence. "We zien dagelijks kwaadaardige cyberactiviteit", liet het centrum weten aan Reuters. De NAVO zelf heeft niet gereageerd.


Cyberaanval op 3 woningcorporaties: 'Toeval, maar ze willen wél geld'

Drie woningcorporaties in Den Bosch en Breda zijn afgelopen weekend slachtoffer geworden van een aanval door cybercriminelen. De websites en mail liggen plat en ook telefonisch zijn Laurentius, Alwel en Zayaz nauwelijks bereikbaar. Hoewel details ontbreken, denkt cyberbeveiligingsdeskundige Eward Driehuis aan een ransomware-aanval, waarbij criminelen geld eisen. "We weten niet precies wat er gebeurd is en wie erachter de aanvallen zit", zegt Driehuis. "De woningcorporaties hebben wel melding gedaan bij de Autoriteit Persoonsgegevens, dus het is aannemelijk dat er gegevens van huurders zijn buitgemaakt." Twee weken geleden was het ook raak, toen was woningbouwvereniging Deltawonen in Zwolle het slachtoffer van een cyberaanval. Volgens Driehuis gaan de criminele bendes als volgt te werk: "Met software gaan ze op zoek naar kwetsbare computersystemen. Vervolgens proberen de criminelen binnen te dringen in zo'n systeem en stelen ze data. Ook kunnen ze de gegevens versleutelen, waardoor alles helemaal wordt lamgelegd." Volgens de cybersecurity-expert gebeurt zo'n aanval automatisch en volstrekt willekeurig. Dat het nu in korte tijd om drie woningbouwbedrijven gaat die het slachtoffer zijn, is dan ook zeer waarschijnlijk toeval. "Bedrijven denken vaak als ze gehackt worden dat cybercriminelen hen op de korrel hebben, zo van 'jezus, ze zitten achter me aan', maar dat is niet zo", zegt hij. "Alle machines op het internet worden afgezocht op zwakke plekken." Het kan ook zijn dat niet de woningcorporaties zelf het doelwit waren, maar een leverancier die voor de software zorgt waarmee de systemen draaien, stelt Driehuis. "Het draait bij zo'n aanval maar om één ding: geld", zegt hij. "De bedragen die worden geëist, verschillen van tienduizenden euro's tot enkele tonnen. Dat is afhankelijk van hoe groot de gevolgen zijn als een netwerk wordt platgegooid. Voor een multinational of een webshop zijn de gevolgen enorm, voor een fysiotherapiepraktijk is het minder erg." Daarnaast kijken de criminelen ook welke gegevens een bedrijf heeft. "Als er heel veel klantgegevens zijn, bijvoorbeeld namen en adressen, dan kunnen ze een onderneming chanteren: als je niet betaalt, gooien we de persoonlijke gegevens op straat." Er is nog een derde optie om geld te ontfutselen, zegt Driehuis. "Wanneer een bedrijf niet met geld over de brug komt, dan verkopen ze de gestolen data door aan andere criminelen die bijvoorbeeld aan Whatsapp-fraude doen. Daarom worden klanten ook gewaarschuwd om goed op te letten bij verdachte berichtjes, sms'jes of mailtjes." Alle drie de gedupeerde woningbouwverenigingen hebben melding gemaakt van het datalek bij bij de Autoriteit Persoonsgegevens. Volgens Driehuis is het daarom heel goed mogelijk dat de hackers de hand hebben weten te leggen op de persoonlijke gegevens van de huurders. Alwel heeft 25.500 huurhuizen en andere panden in Breda, Etten-Leur, Drimmelen, Oosterhout en Moerdijk. Laurentius heeft 8300 huurwoningen in beheer, bij Zayaz in Den Bosch gaat het om 13.500 woningen die worden verhuurd. Of er daadwerkelijk geld is geëist, is niet duidelijk.


Servers versleuteld bij The Sourcing Company door ransomware

The Sourcing Company (TCS) maakt melding van een ransomware-aanval. Een deel van de servers van het bedrijf is door de aanval versleuteld geraakt. In reactie op de aanval is een deel van het netwerk van TCS offline gehaald. De dienstverlening van het bedrijf is hierdoor verstoord geraakt. De aanval vond op 27 maart 2022 plaats en wordt nu door het bedrijf naar buiten gebracht. Het bedrijf heeft securitybedrijf Northwave ingeschakeld. Ook zijn getroffen. klanten voor TCS over het datalek gealarmeerd. Het lek is door het bedrijf gemeld bij de Autoriteit Persoonsgegevens. Ook is aangifte gedaan bij de politie. Op dit moment werkt TCS aan herstel van haar systemen. "Wij kunnen nog geen inschatting geven van wanneer TSC volledig is hersteld. Wij houden contact met onze klanten over de voortgang van het herstel", schrijft TCS.


Fotoboekenbedrijf Shutterfly slachtoffer van cyberaanval

Eind vorig jaar werd fotoboekenbedrijf Shutterfly het slachtoffer van een ransomware-aanval die voor allerlei verstoringen zorgde. Nu blijkt dat bij de aanval ook gegevens van meer dan veertienhonderd medewerkers zijn buitgemaakt. Dat laat het bedrijf in een datalekmelding aan de procureur-generaal van de Amerikaanse staat Maine weten. De aanval raakte verschillende diensten van de albumprinter, alsmede productie- en bedrijfssystemen. Shutterfly biedt allerlei foto- en printgerelateerde diensten, waaronder fotoboeken, uitnodigingen en posters. Ook biedt het bedrijf een eigen online opslagdienst voor foto's genaamd Lifetouch, een verhuurservice voor fotoapparatuur genaamd BorrowLenses en een abonnementsdienst voor fotoboeken genaamd Groovebook. Deze drie diensten werden door de ransomware-aanval geraakt. Aanvallers wisten op 3 december toegang tot systemen van Shutterfly te krijgen. Het fotoboekenbedrijf ontdekte de aanval, uitgevoerd door de Conti-ransomwaregroep, op 13 december. Naast het versleutelen van data maakte de groep ook personeelsgegeven buit. Het ging onder andere om naam, social-securitynummer en salarisgegevens. Shutterfly biedt gedupeerde medewerkers nu twee jaar kredietmonitoring aan. Hierbij wordt de kredietgeschiedenis van een persoon op verdachte activiteit of aanpassingen gemonitord. Begin deze maand stelden de FBI, de Amerikaanse geheime dienst NSA en het Cybersecurity and Infrastructure Security Agency (CISA) dat meer dan duizend organisaties wereldwijd zijn aangevallen met de Conti-ransomware.


FBI waarschuwt: Russische hackers zoeken kwetsbaarheden in vitale sector VS

Russische hackers scannen systemen van Amerikaanse energiebedrijven en andere bedrijven in de vitale sector. Een FBI-topman waarschuwt het Amerikaanse Huis van Afgevaardigden dat de hackers een reële dreiging vormen voor de nationale veiligheid, meldt Reuters"De Russische dreiging is zeer reëel en actueel", zegt Bryan Vorndran, een FBI-topman in de cyberdivisie van de organisatie. Volgens hem scannen hackers uit Rusland in de afgelopen weken meer computernetwerken in de energiesector dan voorheen. Vorndran zegt dat de Russen de systemen verkennen om te zien hoe de verdediging van de bedrijven eruitziet. Op die manier proberen hackers na te gaan of bedrijven kwetsbaarheden hebben die misbruikt kunnen worden. In de weken nadat Rusland binnenviel in Oekraïne, hebben het Witte Huis en het Amerikaanse ministerie van Justitie meermaals gewaarschuwd voor mogelijke cyberaanvallen van Rusland. Volgens de FBI is Rusland "een geduchte vijand" op cybergebied. Vorig jaar waarschuwde de Amerikaanse president Joe Biden de Russische president Vladimir Poetin dat cyberaanvallen op vitale infrastructuur verboden waren. Die waarschuwing sloeg op zestien sectoren, waaronder telecom, voedsel, gezondheid en energie. Sindsdien zijn er wel cyberaanvallen geweest, maar daarover treedt de FBI niet in detail.


Ook cyberaanval op woningcorporatie in Breda, bedrijf waarschuwt huurders

Woningbouwvereniging Alwel in Breda is getroffen door een digitale aanval. Sinds afgelopen weekend ligt de website plat, en ook per mail en telefonisch is het bedrijf niet bereikbaar. Het is de tweede cyberaanval op een woningcorporatie in korte tijd, want ook Zayas in Den Bosch is het slachtoffer van hackers. Volgens de woningcorporatie is er mogelijk sprake is van een datalek, omdat de hackers ook bij de persoonlijke gegevens van de huurders konden komen. "Voor de zekerheid vragen wij u om goed op te letten, bijvoorbeeld op valse e-mails, sms-berichten of valse telefoongesprekken." "We weten momenteel nog niet precies hoe het is gebeurd en wat dit voor u betekent", laat Alwel weten in een persbericht. Het bedrijf heeft melding van de cyberaanval gedaan bij de Autoriteit Persoonsgegevens en heeft meteen actie ondernomen om het systeem en de gegevens veilig te stellen.


Cyberaanval op computersysteem QuaWonen

QuaWonen is zondag getroffen door een cyberaanval. Dat meldt de woningcorporatie op de eigen website. Of hierbij gegevens van huurders zijn buitgemaakt of ingezien is nog niet bekend. “We weten momenteel nog niet precies wat er is gebeurd. Dit wordt nog onderzocht. Mogelijk is er sprake van een datalek.” QuaWonen heeft wel direct actie ondernomen om de de systemen en gegevens veilig te stellen. “Ook hebben we alvast een melding gedaan bij de Autoriteit Persoonsgegevens.”


Dordtse woningcorporatie Trivire slachtoffer van cyberaanval, mogelijk sprake van datalek

Woningcorporatie Trivire meldt slachtoffer te zijn van een cyberaanval. Mogelijk is er volgens De Dordtse corporatie sprake van een datalek. Daarom is uit voorzorg melding gedaan bij de Autoriteit Persoonsgegevens. De woningcorporatie meldde maandag dat er sprake was van een grote storing binnen de systemen van Trivire. Inmiddels is gebleken dat dit het gevolg is van een cyberaanval. ,,We weten nog niet precies wat de omvang en impact hiervan is. Dit wordt nog nader onderzocht.’’ Mogelijk is er sprake van een datalek. Alle huurders van Trivire ontvangen hierover een brief. ,,In het systeem zijn allerlei gegevens opgeslagen. We weten nog niet of deze gegevens (of delen ervan) zijn ingezien of opgeslagen.  Uit voorzorg communiceren wij hierover en hebben wij alvast melding gedaan bij de Autoriteit Persoonsgegevens.’’ ,,Wij vinden het vervelend dat dit heeft kunnen gebeuren. Wij hebben helaas niet kunnen voorkomen dat dit is gebeurd. Wel hebben wij direct maatregelen genomen om de eventuele schade zo veel als mogelijk te beperken.’’ De cyberaanval heeft ook gevolgen voor de dienstverlening van Trivire. Zo kunnen huurders geen huurzaken online regelen en kan Trivire geen e-mail sturen en ontvangen. ,,Excuses voor het eventuele ongemak en wij hopen op uw begrip’’, aldus de woningcorporatie in de brief aan de huurders.


Wonincorporatie Zayaz plat door cyberaanval

De computers van de Bossche woningcorporatie Zayaz zijn de afgelopen dagen slachtoffer geweest van een cyberaanval. De corporatie had deze week een storing en was voor huurders onbereikbaar. Nu blijkt dat het systeem platgelegd is door een cyberaanval. Dat is afgelopen zondag gebeurd. Zayaz heeft in de gemeente DenBosch alleen al meer dan 13.000 woningen in de verhuur, los van zorgwoningen, maatschappelijk vastgoed, bedrijfsruimten en garages. ,,Zayaz weet niet wat er met gegevens van huurders is gebeurd”, zegt bestuurder Mohamed Acharki in een brief.  ,,We weten op dit moment nog niet precies wat er is gebeurd en wat dit voor u betekent. Dit onderzoeken we nu. Wel is er direct actie ondernomen om de systemen en gegevens veilig te stellen.” Zayaz weet dus niet of bij de aanval (persoonlijke) gegevens door onbekenden zijn ingezien of opgeslagen. Toch heeft ze al een melding gedaan van een (mogelijk) datalek bij de Autoriteit Persoonsgegevens. Zayaz waarschuwt huurders de komende tijd scherp te zijn op acties waarbij daders mogelijk meer gegevens van huurders proberen te krijgen, bijvoorbeeld door valse e-mails, sms-berichten of valse telefoongesprekken. Door de aanval is Zayaz nog steeds niet bereikbaar via de website of email.  Wel telefonisch:  073 – 648 24 00


Surinaamse nieuwssite SR Herald uit de lucht na DoS aanvallen

De Surinaamse nieuwssite SR Herald is uit de lucht. De webserver van het nieuwsplatform heeft al langer dan een maand te maken met zogeheten DoS aanvallen (Denial of Service) en was op moment van schrijven niet bereikbaar. “Suriname Herald heeft al langer dan een maand te maken met DoS-aanvallen. Vannacht kreeg de site met zoveel data te maken, dat de servers het op gegeven moment niet aankonden en de site uit de lucht ging. Bezoekers hebben de afgelopen periode vaker hun misnoegen geuit dat ze niet op de nieuwssite kunnen”, aldus de nieuwssite over de situatie. Denial-of-service-aanvallen (DoS-aanvallen) en distributed-denial-of-service-aanvallen (DDoS-aanvallen) zijn pogingen om een computer, computernetwerk of dienst niet of moeilijker bereikbaar te maken voor de bedoelde klanten. Volgens de webafdeling van Suriname Herald komt er vanuit een aantal buitenlandse IP-adressen enorm veel dataverkeer waardoor de site niet meer toegankelijk is voor haar lezers. Cybercriminelen hebben de beveiliging van de site kunnen bypassen met het doel die plat te leggen. Wie hierachter zit en wat het motief van deze aanvallen is, is niet duidelijk. “Suriname Herald betreurt deze cyberaanvallen en is continue bezig de nodige beschermingsmechanismen in te bouwen. We zijn onze bezoekers dankbaar voor het geduld dat ze hebben opgebracht in de afgelopen periode. We hopen de samenleving gauw weer van dienst te zijn. Er wordt gewerkt aan een structurele oplossing. Hoelang de problemen nog duren, is niet duidelijk” aldus SR Herald in een bericht op haar Facebookpagina.


Eerste Python Ransomware-aanval gericht op Jupyter Notebooks

Team Nautilus heeft een op Python gebaseerde ransomware-aanval ontdekt die voor het eerst gericht was op Jupyter Notebook, een populaire tool die wordt gebruikt door databeheerders. De aanvallers kregen in eerste instantie toegang via verkeerd geconfigureerde omgevingen en voerden vervolgens een ransomware-script uit dat elk bestand op een bepaald pad op de server versleutelt en zichzelf na uitvoering verwijdert om de aanval te verbergen. Aangezien Jupyter-notebooks worden gebruikt om gegevens te analyseren en gegevensmodellen te bouwen, kan deze aanval leiden tot aanzienlijke schade aan organisaties als er niet op de juiste manier een back-up van deze omgevingen wordt gemaakt.

Threat Alert First Python Ransomware Attack Targeting Jupyter Notebooks
PDF – 953,5 KB 309 downloads

Cybercriminelen stelen ruim 600 miljoen dollar aan cryptovaluta bij populaire game

Kwaadwillende hackers hebben ruim 600 miljoen dollar (540 miljoen euro) gestolen bij Ronin. Dat blockchainplatform is gekoppeld aan de populaire onlinegame Axie Infinity. Het is een van de grootste diefstallen van cryptogeld dat tot nu toe bekend is. De hack vond op 23 maart plaats, maar werd pas afgelopen dinsdag ontdekt. Axie Infinity maakt gebruik van cryptovaluta om Pokémon-achtige figuren te verkopen. Daarmee kunnen spelers tegen andere figuren vechten. Het spel trekt volgens uitgever Sky Mavis dagelijks zo'n 1,7 miljoen spelers. Na de hack is besloten om alle transacties tijdelijk stop te zetten. Samen met autoriteiten wordt bekeken of 173.000 Ethereum ter waarde van zo'n 600 miljoen dollar kan worden teruggehaald. De hack vond plaats via een gedeelte van het spel dat tijdelijk was opgezet om de plotselinge toename van het aantal spelers te kunnen verwerken. Volgens blockchainanalysebureau Elliptic kregen de hackers beveiligingssleutels in handen van een aantal personen die transacties goedkeuren. Ronin kijkt naar waar het gestolen geld eventueel naartoe wordt verplaatst. Daarvoor wordt samengewerkt met grote platforms waar cryptovaluta verhandeld worden en met marktonderzoeker Chainalysis, zegt Ronin in een blogpost. Kenners roepen op tot het inbouwen van een systeem om ongeoorloofde transacties te kunnen volgen. In februari vond een soortgelijke diefstal op een ander blockchainplatform plaats. Daarbij werd zo'n 300 miljoen dollar aan cryptovaluta buitgemaakt.


Nieuwe KalajaTomorr ransomware


Krachtige cyberaanval legt netwerk van Oekraïens staatstelecombedrijf plat, abonnees hadden 15 uur lang geen internet

Het Oekraïense staatstelecombedrijf Ukrtelecom was gisteren offline vanwege een “krachtige cyberaanval”, volgens overheidsfunctionarissen. De aanval is momenteel afgeslagen, waardoor de dienstverlening weer is hervat. Het incident is de meest recente hackaanval op Oekraïense internetdiensten sinds Rusland op 24 februari het land binnenviel. “Vandaag heeft de vijand een krachtige cyberaanval gelanceerd op de IT-infrastructuur van Urktelecom”, zegt voorzitter Yurii Shchyhol. De aanval wordt beschreven als de zwaarste cyberaanval sinds het begin van de Russische invasie. NetBlocks, dat verstoringen van internetdiensten in de gaten houdt, bevestigt de aanval. Het bedrijf zag tijdens de aanval dat de connectiviteit van het netwerk in Oekraïne op nationale schaal instortte tot 13 procent van het reguliere niveau. Het duurde voor sommigen abonnees wel 15 uur voordat ze weer toegang hadden tot de nationale internetdienst, waardoor ze van informatie over de oorlog waren afgesneden. “De nieuwe aanval heeft de connectiviteit van Oekraïne op nationale schaal diep geraakt, met een lange duur en impact”, vertelde Alp Toker, directeur van NetBlocks, aan Forbes. Doordat de verbindingen niet geleidelijk, maar allemaal abrupt offline waren, weet de telecomprovider dat het niet om een kabelbreuk of een stroomstoring ging. 


VS waarschuwt voor actief misbruik van lek in Windows Print Spooler

Een kwetsbaarheid in Windows waarvoor vorige maand een beveiligingsupdate verscheen wordt inmiddels actief bij aanvallen misbruikt, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Amerikaanse federale overheidsinstanties zijn opgedragen om de patch voor 15 april te installeren. Het beveiligingslek, aangeduid als CVE-2022-21999, bevindt zich in de Windows Print Spooler en maakt het mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen. De kwetsbaarheid alleen is niet voldoende om een systeem over te nemen. Microsoft rolde op 8 februari een update voor het probleem uit en meldde toen dat er geen misbruik van werd gemaakt. Dat is inmiddels veranderd, aldus het CISA. Kwetsbaarheden in de Windows Print Spooler zijn in het verleden vaker gebruikt bij aanvallen. Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste toevoeging bestaat uit 66 kwetsbaarheden. Het grootste deel daarvan (63) betreft beveiligingslekken van vorig jaar en ouder. De kwetsbaarheden van dit jaar zijn naast de Windows Print Spooler aanwezig in firewalls van WatchGuard en Mitel MiCollab/MiVoice Business Express systemen. Het beveiligingslek in WatchGuard-firewalls werd gebruikt bij aanvallen door de Cyclops Blink-malware. De Mitel-kwetsbaarheid maakt het mogelijk om ddos-aanvallen te versterken. Ook voor deze problemen moeten overheidsinstanties de update binnen drie weken uitrollen.


SunCrypt ransomware is nog steeds springlevend in 2022

SunCrypt, een ransomware as service (RaaS) -operatie die medio 2020 bekendheid kreeg, is naar verluidt nog steeds actief. SunCrypt was een van de vroege pioniers van drievoudige afpersing, waaronder bestandsversleuteling, dreiging om gestolen gegevens te publiceren en DDoS-aanvallen (distributed denial of service) op niet-betalende slachtoffers.

Sun Crypt Ransomware Gains New Capabilities In 2022
PDF – 482,3 KB 280 downloads

Among Us-servers waren dit weekend offline door DDoS-aanval

De servers van de populaire game Among Us waren het grootste gedeelte van dit weekend offline vanwege een DDoS-aanval. Spelers begonnen donderdag al problemen te krijgen met het verbinden met de servers van de online game. Vrijdag liet ontwikkelaar Innersloth via Twitter weten dat het om een DDoS-aanval ging. De servers in Europa en het Verenigd Koninkrijk waren dit weekend dan ook offline. In de Twitter-naam van de game staat nu dat "de servers mogelijk weer oké zijn", maar heel duidelijk is het bedrijf daar vooralsnog niet in. Meer details over wat er precies aan de hand was werden er niet gegeven. In 2020 werd Among Us ook al aangevallen. Toen kwamen er vele bots in de lobbies die berichten spamden, waarna spelers de connectie verloren.


Verdachte achter meerdere ransomware-aanvallen krijgt 66 maanden cel

Een 37-jarige man uit Estland is in de Verenigde Staten wegens het uitvoeren van meerdere ransomware-aanvallen en de handel in gestolen rekeninggegevens veroordeeld tot een gevangenisstraf van 66 maanden. Ook moet hij een schadevergoeding van 36 miljoen dollar betalen. De man bekende dat hij van 2009 tot en met 2015 actief was op een forum voor cybercriminelen. Op het forum werden kennis, tools en diensten verhandeld. Daarnaast werkte hij met verschillende forumleden samen om gestolen rekeninggegevens te verkrijgen en misbruiken. De verdachte werd in Letland aangehouden en vervolgens aan de Verenigde Staten uitgeleverd. Onderzoekers vonden op de apparatuur van de man bewijs dat hij bij zeker dertien ransomware-aanvallen was betrokken, waarbij slachtoffers zo'n 11 miljoen dollar losgeld betaalden. De aanvallen veroorzaakten volgens de aanklager een schade van meer dan 53 miljoen dollar. De Est gebruikte het geld van de slachtoffers om twee Porsches en een Ducati-motor aan te schaffen, alsmede allerlei juwelen. In de woning van de man werden daarnaast contanten ter waarde van 200.000 dollar aangetroffen, alsmede passphrases die toegang gaven tot bitcoinwallets met een bedrag van zo'n 1,7 miljoen dollar. Het geld is verbeurd verklaard.

Department Of Justice
PDF – 161,0 KB 260 downloads

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »