Duitse windmolenfabrikant Nordex schakelt systemen uit na cyberincident, D-Link-gebruikers opgeroepen om actief aangevallen routers offline te halen en NS wijst mede naar falend back-upsysteem als reden voor grote treinstoring. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Meer dan 5.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.
Status op 11 april 2022 : 5.134
Week overzicht
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
Eminox | Conti | www.eminox.com | UK |
MARTINELLI GINETTO | Conti | www.martinelliginetto.it | Italy |
AFJCONSULTING.NET | CL0P | afjconsulting.net | USA |
lerros.com | LockBit | lerros.com | Germany |
ORBITELECTRIC.COM | CL0P | orbitelectric.com | USA |
Delhi Heights School | STORMOUS | www.delhiheightsschool.com | India |
farmaciastatuto.com | LockBit | farmaciastatuto.com | Italy |
clinique.cob-osteopathie.fr | LockBit | clinique.cob-osteopathie.fr | France |
sadeco.fr | LockBit | sadeco.fr | France |
spirit-ord.com | LockBit | spirit-ord.com | USA |
groupemeunier.com | LockBit | groupemeunier.com | Canada |
Wally Edgar Chevrolet | BlackCat (ALPHV) | wallyedgar.com | USA |
tgs.com.ar | BlackCat (ALPHV) | tgs.com.ar | Argentina |
MYBANK | AgainstTheWest | www.mybank.cn | China |
Rabotut | AgainstTheWest | rabotut.ru | Russia |
Wocklum Group | Conti | www.wocklum-gruppe.de | Germany |
ardeche.fr | LockBit | ardeche.fr | France |
Florida International University | BlackCat (ALPHV) | www.fiu.edu | USA |
genieroute.be | LockBit | genieroute.be | Belgium* |
rosagroup.com | LockBit | rosagroup.com | Italy |
Metagenics | Cuba | www.metagenics.com.au | Australia |
ALAM LMS | STORMOUS | alamlms.com | Saudi Arabia |
AIT.th | BlackCat (ALPHV) | ait.th | Thailand |
Jiangsu Kaili Carpet Co., Ltd. | Haron | Unknown | China |
SUPREME SERVICES | Haron | supremeservices.com | USA |
get-entkernung.de | LockBit | get-entkernung.de | Germany |
unholz.ch | LockBit | unholz.ch | Switzerland |
feuerschutzbockel.de | LockBit | feuerschutzbockel.de | Germany |
FCCH | Hive | fcch.com | USA |
National Rehabilitation Training Center | STORMOUS | tahil.edu.sa | Saudi Arabia |
United States of America GOV | Everest | www.usa.gov | USA |
Keyano College | AvosLocker | keyano.ca | Canada |
McKenzie Health System | AvosLocker | mckenziehealth.org | USA |
Avamere Family of Companies | AvosLocker | avamere.com | USA |
Barwick Bathroom Distribution LLP | Conti | www.barwick.co.uk | UK |
International Centre | Ragnar_Locker | www.internationalcentre.com | Canada |
Keicorp(ICPM) | Lorenz | bizretek.com | USA |
North Carolina A&T State University | BlackCat (ALPHV) | www.ncat.edu | USA |
bet9ja.com | BlackCat (ALPHV) | bet9ja.com | Nigeria |
goldbet.it | BlackCat (ALPHV) | goldbet.it | Italy |
wania.at | LockBit | wania.at | Austria |
allcountysurveying.com | LockBit | allcountysurveying.com | USA |
vgoc.ca | LockBit | vgoc.ca | Canada |
rnrinc.com | LockBit | rnrinc.com | USA |
toothbuds.com | LockBit | toothbuds.com | USA |
gordoncounty.org | LockBit | gordoncounty.org | USA |
Sonae | RansomEXX | mc.sonae.pt | Portugal |
panasonic | Conti | www.panasonic.com | Canada |
scoular.com | LockBit | scoular.com | USA |
Roskomnadzor | Anonymous | rkn.gov.ru | Russia |
Transneft | Anonymous | transneft.ru | Russia |
Rosatom | Anonymous | www.rosatom.ru | Russia |
Central Bank of Russia | Anonymous | www.cbr.ru | Russia |
Rostproekt | Anonymous | rstpr.ru | Russia |
MashOil | Anonymous | mashoil.ru | Russia |
Thozis Corp | Anonymous | Unknown | Russia |
Marathon Group | Anonymous | marathongroup.ru | Russia |
Capital Legal Services | Anonymous | cls.ru | Russia |
Mosekspertiza | Anonymous | www.mosekspertiza.ru | Russia |
Lipetsk Mechanical Plant | Anonymous | lmz48.ru | Russia |
VGTRK | Anonymous | vgtrk.ru | Russia |
Korolevskiy | Anonymous | korolevskiy.ru | Russia |
Enoah Isolutions | BlackCat (ALPHV) | enoahisolution.com | India |
Ministry of Health of the People's Republic of China | AgainstTheWest | www.moh.gov.cn | China |
LW Group | AvosLocker | Unknown | USA |
Woningcorporatie ZAYAZ | Conti | www.zayaz.nl | Netherlands* |
DC ADVISORY | BlackCat (ALPHV) | www.dcadvisory.com | UK |
westminster.de | LockBit | westminster.de | Germany |
noll-law.com | LockBit | noll-law.com | USA |
a-r-s.com | LockBit | a-r-s.com | Unknown |
sep2.com | LockBit | sep2.com | France |
ascotlloyd.co.uk | LockBit | ascotlloyd.co.uk | UK |
gva-atencia.es | LockBit | gva-atencia.es | Spain |
Dennis Gartland And Niergarth | AvosLocker | dgncpa.com | USA |
In samenwerking met DarkTracer
Ministerraad akkoord met delen dreigingsinformatie met niet-vitale bedrijven
De ministerraad is akkoord gegaan met een wetsvoorstel dat het mogelijk maakt voor de overheid om niet alleen vitale bedrijven, maar ook niet-vitale ondernemingen gericht te informeren en te adviseren over kwetsbaarheden, dreigingen en incidenten. Daarnaast moet het wetsvoorstel "Bevordering digitale weerbaarheid bedrijven" ervoor zorgen dat er samenwerkingsverbanden tussen bedrijven op het gebied van digitale weerbaarheid worden opgezet. Op dit moment mag het Nationaal Cyber Security Centrum (NCSC) dreigingsinformatie alleen met de Rijksoverheid en organisaties in vitale sectoren delen. Het NCSC ontvangt naar eigen zeggen in toenemende mate informatie over kwetsbare, geïnfecteerde en gecompromitteerde systemen van niet-vitale bedrijven. Het NCSC blijft verantwoordelijk voor het delen van dreigings- en incidentinformatie over netwerk- en informatiesystemen met vitale bedrijven en onderdelen van de Rijksoverheid. Het Digital Trust Center (DTC) biedt, mede op basis van informatie van het NCSC, het niet-vitale bedrijfsleven, informatie en adviezen over cybersecurity en stimuleert onderlinge samenwerking. Het DTC is afgelopen jaar in aanloop naar het wetsvoorstel al begonnen met het publiceren van bij de overheid bekende informatie over ernstige digitale dreigingen. Daarnaast is er een pilot om gericht dreigingsinformatie te kunnen uitwisselen met 57 bedrijven die zich vooraf hiervoor hebben aangemeld. Zij delen relevante informatie over hun netwerk- en informatiesystemen met het DTC. Deze wordt vervolgens doorlopend vergeleken met de bij het DTC bekende dreigingsinformatie. Het wetsvoorstel gaat nu voor advies naar de Raad van State en zal daarna bij de Tweede Kamer worden ingediend. "Bedrijven zijn in eerste instantie zelf verantwoordelijk voor digitale veiligheid. Maar de gevolgen van cyberincidenten kunnen erg groot zijn. Het kan leiden tot lege supermarktschappen of het stilvallen van industriële productie", zegt minister Adriaansens van Economische Zaken. "Daarom wil ik Nederlandse bedrijven actiever en gerichter kunnen informeren en adviseren over actuele digitale dreigingen of incidenten, zodat zij sneller kunnen handelen."
Microsoft krijgt controle over zeven domeinnamen APT-groep Fancy Bear
Microsoft heeft via een gerechtelijk bevel de controle gekregen over zeven domeinen van een Advanced Persistent Threat (APT)-groep genaamd Fancy Bear, die ook bekendstaat als APT28 en door Microsoft "Strontium" wordt genoemd. De groep is volgens Microsoft gelieerd aan de Russische geheime dienst GRU. Volgens Microsoft werden de domeinen gebruikt voor aanvallen op Oekraïense instellingen en mediaorganisaties, alsmede overheidsinstanties en denktanks in de Europese Unie en Verenigde Staten die zich met buitenlands beleid bezighouden. "We denken dat Strontium probeerde om langetermijntoegang tot systemen en doelwitten te krijgen, om zo tactische support voor de fysieke invasie te bieden en gevoelige informatie te stelen", zegt Microsofts Tom Burt. Microsoft wist een gerechtelijk bevel van een Amerikaanse rechter te krijgen waarmee het controle over de domeinnamen verkreeg. Al het verkeer naar deze domeinnamen wordt nu doorgestuurd naar een server van Microsoft, zodat het techbedrijf slachtoffers van de APT-groep kan waarschuwen. Het vragen om een gerechtelijk bevel om de infrastructuur van aanvallers te verstoren is een tactiek die Microsoft sinds 2016 geregeld inzet. In het geval van Strontium heeft het techbedrijf de afgelopen jaren zestien gerechtelijke bevelen gekregen waarmee het meer dan honderd domeinnamen van de APT-groep offline kon halen.
"Pentester" beruchte cybercrimegroep veroordeeld tot vijf jaar cel
Een 32-jarige Oekraïense man die als "pentester" voor een beruchte cybercrimegroep werkte, die naar schatting meer dan 1 miljard dollar schade veroorzaakte, is in de Verenigde Staten veroordeeld tot een gevangenisstraf van vijf jaar. De groep staat bekend als Carbanak en FIN7 en wordt verantwoordelijk gehouden voor het aanvallen van honderden Amerikaanse bedrijven, het inbreken op duizenden systemen en het stelen van tientallen miljoenen creditcardgegevens die vervolgens werden doorverkocht aan andere criminelen. Alleen in de VS zou de groep de netwerken van bedrijven in alle vijftig staten hebben gecompromitteerd en meer dan twintig miljoen creditcardgegevens van meer dan 6500 kassa's bij meer dan 3600 winkels hebben gestolen. Slachtoffers bleven met hoge kosten achter die volgens sommige schattingen bij elkaar meer dan 1 miljard dollar bedragen, zo laat het Amerikaanse ministerie van Justitie weten. Om bedrijven met malware te infecteren maakte de groep onder andere gebruik van Office-documenten met kwaadaardige macro's en lnk-bestanden. Slachtoffers die een e-mail ontvingen werden in veel gevallen ook gebeld, om het bericht zo legitiem te laten lijken. Zodra het malafide bestand was geopend werden de Carbanak-malware en andere tools geïnstalleerd waarmee er toegang tot creditcardgegevens werd verkregen. De groep is al sinds 2015 actief. De nu veroordeelde Oekraïense man, die door de cybercrimegroep werd bestempeld als "pentester", hield zich bezig met het inbreken op systemen van organisaties. Voor het coördineren van de activiteiten maakte FIN7 gebruik van Jira, een systeem voor het tracken van bugs en projectmanagement. Via Jira konden leden van de cybercrimegroep hun voortgang bij het inbreken op de systemen van organisaties bijhouden, van slachtoffers gestolen data uploaden en advies aan andere leden gegeven. Voor zijn activiteiten werd de Oekraïense man veel beter betaald dan normaal is in Oekraïne, aldus de Amerikaanse autoriteiten. Verder stelt de aanklager dat de man ondanks aanhoudingen van andere FIN7-leden met zijn aanvallen op Amerikaanse bedrijven bleef doorgaan. Hij werd in 2020 door Thailand aan de Verenigde Staten uitgeleverd en bekende vorig jaar schuld. Een andere "pentester" van de groep werd eerder tot een gevangenisstraf van zeven jaar veroordeeld.
Britse winkelketen The Works sluit winkels wegens ransomware-aanval
De Britse winkelketen The Works heeft meerdere winkels wegens een ransomware-aanval moeten sluiten. Ook het bevoorraden van de winkels werd tijdelijk stilgelegd en neemt het leveren van online bestelde producten langer in beslag. Vanwege de aanval zag The Works zich genoodzaakt om alle interne en externe toegang tot systemen uit te schakelen, waaronder e-mail. Sinds de aanval vorige week plaatsvond zijn vijf van de 526 winkels gesloten. Wanneer de winkels weer de deuren openen is nog niet bekend. De aanval zal naar verwachting geen grote financiële gevolgen hebben, zo melden de BBC, The Daily Mail en The Guardian. Volgens de keten zijn er geen betaalgegevens van klanten buitgemaakt. De aanval is inmiddels bij de Britse privacytoezichthouder ICO gerapporteerd. Verdere details over de aanval zijn niet gegeven.
Zeeuwse woningcorporatie meldt ook datalek na hack bij ict-dienstverlener
Woningcorporatie l'escaut meldt dat mogelijk persoonsgegevens van huurders uitgelekt zijn nadat eind maart ict-dienstverlener The Sourcing Company getroffen werd door een ransomwareaanval. Het is de negende woningcorporatie dat een datalek meldt. Op zijn website meldt l'escaut dat de ict-dienstverlener een week geleden getroffen is door een ransomwareaanval waarbij criminelen losgeld eisten. Door de hack kon de woningcorporatie tijdelijk niet bij een deel van de ict-systemen, en na nader onderzoek blijkt dat de criminelen ook persoonsgegevens van 'een klein aantal' huurders ingezien of opgeslagen hebben. Het zou gaan om namen, adresgegevens, geboortedata, bsn's en rekeningnummers van huurders. De corporatie weet nog niet of de gegevens gestolen zijn, maar sluit het niet uit. Door de problemen aan de ict-systemen is l'escaut slechter bereikbaar. De woningcorporatie is niet te bereiken via mail of de website en het gebruikelijke telefoonnummer is beperkt bereikbaar. De corporatie heeft het algemene telefoonnummer doorgeschakeld voor dringende storings- of reparatievragen. Door de aanval kan l'escaut niet bij de adresgegevens van huurders, waardoor zij niet alle huurders een bericht heeft kunnen sturen, alleen huurders die geabonneerd zijn op de nieuwsbrief. L'escaut is de negende woningcorporatie in korte tijd die een datalek meldt. L'Escaut is klant van ict-dienstverlener The Sourcing Company. Die partij werd eind maart getroffen door een ransomwareaanval door de criminelen achter de Conti-ransomware. Hierdoor werd een deel van de servers van het bedrijf versleuteld, en werden gegevens ingezien of gestolen van een deel van de huurders van woningcorporaties. Eerder schreven we over een datalek bij Alwel uit Breda, Trivire uit Dordrecht, Zayaz uit Den Bosch en sociale verhuurder deltaWonen uit Zwolle. Ook QuaWonen uit Krimpenwaard, Laurentius uit Breda, de Woningstichting uit Wageningen en Brederode Wonen uit Bloemendaal hebben inmiddels bericht over het mogelijke datalek op hun website staan. Welke gegevens precies uitgelekt zijn, dat kunnen de woningcorporaties niet zeggen. L'escaut heeft melding gedaan bij de Autoriteit Persoonsgegevens en waarschuwt dat als er gegevens buitgemaakt zijn, deze misbruikt kunnen worden voor phishing en fraude. L'escaut is een woningcorporatie die zich met name richt op 'huishoudens met een lager inkomen, die recht hebben op huurtoeslag'. Zij beheert 6321 sociale huur- en vrije sectorwoningen, zorgeenheden en bedrijfsruimtes in de omgeving van Vlissingen.
Update 6 april 11:00 uur
BN deStem schreef dinsdag dat acht woningcorporaties van wie mogelijk data uitgelekt is, klant zijn bij ict-dienstverlener The Sourcing Company, zoals verschillende tweakers hieronder meldden. Het lijkt te gaan om dezelfde ict-dienstverlener als l'escaut. The Sourcing Company zegt geen dwangsom te hebben betaald voor het ontsleutelen van de systemen. Security.nl zette woensdag op een rij welke woningcorporaties inmiddels melding hebben gedaan van het incident. Het bericht is hierop aangepast.
Gehackte woningcorporaties betalen geen losgeld: 'Belachelijke eisen'
De drie Brabantse woningcorporaties die slachtoffer zijn geworden van een cyberaanval gaan geen losgeld betalen, zo laten ze dinsdag weten. In het weekend van 26 en 27 maart werden de systemen van de corporaties Laurentius, Alwel en Zayaz aangevallen en gingen de computersystemen plat. Cybercriminelen hebben losgeld geëist om de systemen weer op gang te brengen. Toch blijven de corporaties bij hun besluit om niet te betalen. Om welk bedrag het gaat is niet bekend. “Ten eerste gaat het om maatschappelijk geld. Daarnaast willen we niet meewerken aan criminele activiteiten en gaat het om belachelijke eisen", vertelt woordvoerder Noud Bex. Hij vertegenwoordigt de in totaal acht Nederlandse woningcorporaties in Nederland die door de hack zijn getroffen. Het is niet duidelijk wanneer de corporaties weten wat er precies aan gegevens is gestolen. “Als we dat duidelijk hebben, zal iedereen worden geïnformeerd. We zullen dan alle gedupeerde mensen adviseren waar eventuele risico's zitten en of ze bijvoorbeeld een wachtwoord moeten veranderen”, zegt Bex. Hij kon niet aangeven of de systemen van de corporaties uit Den Bosch, Roosendaal en Breda weer normaal werken.
Microsoft meldt "klein aantal" Spring4Shell-aanvallen tegen clouddiensten
De clouddiensten van Microsoft hebben met een "klein aantal" Spring4Shell-aanvallen te maken gekregen, zo stelt het techbedrijf. Vorige week bleek dat er een kritieke kwetsbaarheid aanwezig is in het Spring Core Framework, een veelgebruikt Java-platform voor het ontwikkelen van Java-applicaties. Het beveiligingslek, dat de naam Spring4Shell kreeg en ook bekendstaat als CVE-2022-22965, laat een ongeauthenticeerde aanvaller willekeurige code binnen kwetsbare applicaties uitvoeren, wat afhankelijk van de rechten van de applicatie kan leiden tot de uitvoer van willekeurige code met verhoogde rechten op het onderliggende systeem. Naar aanleiding van de impact die de Log4Shell-kwetsbaarheid vorig jaar had sloegen tal van securitybedrijven alarm. De impact van Spring4Shell lijkt vooralsnog kleiner te zijn. Microsoft stelt dat het sinds de aankondiging van Spring4Shell een "klein aantal" aanvalspogingen tegen de eigen clouddiensten heeft waargenomen. De aanvallers maken daarbij gebruik van een proof-of-concept exploit waarmee een webshell op de server kan worden geplaatst. Volgens Microsoft wordt met CVE-2022-22965 een oplossing voor een elf jaar oude kwetsbaarheid in Spring omzeild. Via dit beveiligingslek, dat wordt aangeduid als CVE-2010-1622, is het mogelijk voor een aanvaller om een remote JAR-bestand uit te voeren. De Spring-ontwikkelaars kwamen met een oplossing, maar die is met een nieuwe feature van Java 9 genaamd Java Modules te omzeilen, zodat een aanvaller alsnog een remote bestand kan uitvoeren. Bij de nu waargenomen aanvallen proberen de aanvallers een JSP-webshell op de server te krijgen. Met deze webshell kan een aanvaller vervolgens commando's op de server als Tomcat uitvoeren. Microsoft heeft de eigen antivirussoftware Defender van een update voorzien om de gebruikte webshell te detecteren. Organisaties wordt daarnaast geadviseerd de beschikbare beveiligingsupdate voor Spring te installeren of de beschikbare mitigaties door te voeren.
Duitse windmolenfabrikant Nordex schakelt systemen uit na cyberincident
De Duitse windmolenfabrikant Nordex heeft wegens een "cybersecurityincident" systemen op meerdere locaties en van verschillende bedrijfsonderdelen uit voorzorg uitgeschakeld. In een verklaring die dit weekend werd gegeven stelt Nordex dat het de aanval in een vroeg stadium ontdekte en meteen de crisismanagementprotocollen inschakelde. Uit voorzorg zijn daarop meerdere it-systemen offline gehaald. De voorzorgmaatregel heeft volgens de windmolenfabrikant gevolgen voor klanten, medewerkers en andere stakeholders. Het bedrijf zegt met meer informatie te komen zodra beschikbaar. Verdere details over het soort incident zijn niet gegeven. Afgelopen vrijdag was de website van Nordex offline, maar inmiddels is die weer bereikbaar. Nordex heeft wereldwijd meer dan 8500 medewerkers in dienst en had vorig jaar een omzet van 5,4 miljard euro.
D-Link-gebruikers opgeroepen om actief aangevallen routers offline te halen
Eigenaren van verschillende modellen D-Link-routers zijn gewaarschuwd voor een actief aangevallen kwetsbaarheid. Aangezien de betreffende apparaten end-of-life zijn en er geen beveiligingsupdate beschikbaar is adviseert het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security om de routers offline te halen. Amerikaanse overheidsinstanties zijn opgedragen om dit voor 25 april te doen. De kwetsbaarheid, aangeduid als CVE-2021-45382, bevindt zich in de D-link DIR-810L, DIR-820L/LW, DIR-826L, DIR-830L en DIR-836L. Via het beveiligingslek kan een aanvaller op afstand willekeurige commando's op de router uitvoeren. De impact van de kwetsbaarheid, die eind december werd geopenbaard, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. D-Link waarschuwt dat de kwetsbare routermodellen niet meer worden ondersteund. Daarnaast maken aanvallers inmiddels actief misbruik van het beveiligingslek om apparaten over te nemen, aldus het CISA. De overheidsinstantie houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste toevoeging bestaat uit vier kwetsbaarheden. Naast D-Link gaat het ook om actief aangevallen kwetsbaarheden in iOS/macOS en het Spring Framework. Aangezien er voor de D-Link-routers geen update beschikbaar is worden overheidsinstanties aangeraden de apparaten, wanneer nog in gebruik, offline te halen. Onlangs gaf het CISA soortgelijk advies voor de D-Link DIR-610 en DIR-645, alsmede de Netgear DGN2200.
NS wijst mede naar falend back-upsysteem als reden voor grote treinstoring
Een falend back-upsysteem was mede de reden voor de grote treinstoring van afgelopen zondag waardoor in het gehele land geen treinen konden reiden, zo laat staatssecretaris Heijnen van Infrastructuur en Waterstaat in een brief aan de Tweede Kamer weten. De storing begon zondagochtend in de planningsystemen van NS voor materiaal en personeel en reisinformatie. Deze systemen zijn volgens NS essentieel om treinen volgens de dienstregeling te laten rijden. Vanwege de storing in de systemen werd besloten om de dienstregeling gecontroleerd stil te leggen en de treinen naar het eerstvolgende station te laten rijden. Uit een eerste analyse van NS bleek dat een belangrijk onderdeel in het systeem niet goed meer werkte. Voor dergelijke gevallen beschikt NS over een back-upsysteem, maar daar waren ook problemen mee. "Onder normale omstandigheden kan terug worden gevallen op een back-up, zodat deze systemen blijven functioneren. Deze back-up werkte gisteren ook niet naar behoren. De reden hiervan zal grondig worden onderzocht", aldus Heijnen. NS heeft de staatssecretaris laten weten dat het reizigers zal compenseren. Hoe de compensatie er precies uit zal zien is nog niet bekend. De staatssecretaris heeft NS gevraagd om een onafhankelijke evaluatie naar de storing uit te laten voeren waarbij ook het niet naar behoren functioneren van het back-upsysteem wordt meegenomen.
366 Okta-klanten slachtoffer van hack door Lapsus$
De directeur van het Amerikaanse softwarebedrijf Okta zegt dat er tot wel 366 klanten van het bedrijf slachtoffer geweest kunnen zijn van de Lapsus$-hack. Die hack kwam vorige maand aan het licht. Het precieze aantal getroffen klanten is nog niet bekend, zegt Todd McKinnon tegen Bloomberg. Hackersgroep Lapsus$ publiceerde in maart via Telegram schermafbeeldingen van de interne werkomgeving van Okta. Dat softwarebedrijf liet vervolgens weten dat de computer van een extern ingehuurde medewerker van een klantenhelpdesk in januari werd gehackt. Dat Okta pas twee maanden later de hack publiek maakte, is "onacceptabel", zei McKinnon. "De communicatie was niet zo duidelijk als we gewild hadden." In januari was volgens McKinnon nog niet goed bekend was hoe verreikend de hack was. "We wisten eigenlijk pas hoe ernstig het was en hoeveel informatie de hackers te pakken hadden gekregen op 22 maart", aldus McKinnon, refererend aan de datum dat de hackers de schermafbeeldingen op Telegram plaatsten. De authenticatiesoftware van Okta helpt 15.000 bedrijven bij het veilig toegang verlenen tot hun netwerken.
NS kondigt onderzoek aan naar it-storing waardoor treinen niet reden
De NS heeft een "grondig onderzoek" aangekondigd naar de it-storing waardoor gisteren het grootste deel van de dag geen treinen reden. Door de storing stonden veel treinen gister op een verkeerde plek. Inmiddels is de storing opgelost en is de dienstregeling vanochtend weer opgestart. Aan het einde van zondagochtend trad de it-storing op. Deze had invloed op het systeem dat actuele planningen maakt voor treinen en personeel. Dit systeem is belangrijk om volgens dienstregeling te rijden: wanneer er ergens een incident optreedt, dan past het systeem zich daarop aan. Dat was door de storing niet mogelijk, zo laat de NS weten. "We gaan grondig onderzoek doen naar de oorzaak en hoe we dit in de toekomst kunnen voorkomen", meldt de NS verder op de eigen website. Er waren gisteren geen tekenen die op een cyberaanval duiden, maar de exacte oorzaak is nog onbekend. "We moeten eerst goed onderzoeken naar wat er precies aan de hand is. Helemaal uitsluiten dat er sprake is van een cyberaanval kan ik niet", aldus een woordvoerder tegenover Hart van Nederland.
"Storing" NS?!
Op social media wordt gespeculeerd dat de Nederlandse Spoorwegen slachtoffer is geworden van een cyberaanval vanuit Rusland. Afgelopen woensdag zijn immers ook de nationale Italiaanse spoorwegen (FS) door een cyberaanval lamgelegd. Iets wat een woordvoerder van de NS niet kan uitsluiten. “We moeten eerst goed onderzoeken naar wat er precies aan de hand is. Helemaal uitsluiten dat er sprake is van een cyberaanval kan ik niet.”
The IT systems belonging to FS, Trenitalia and RFI suffered a major cyber-attack on March 23 which disrupted ticket sales at stations https://t.co/LS7pYpJgOS
— IRJ (@railjournal) March 29, 2022
“Hoewel de oorzaak van de storing inmiddels verholpen is, is de impact groot. Om betrouwbaar te kunnen opstarten, moeten systemen geüpdatet worden en treinen op de juiste plaats worden gebracht”, schrijft de NS is een persbericht. De vervoerder biedt zijn excuus aan voor alle ongemak.
Ransomware-aanvallen grote belasting voor lokale overheid
Vorig jaar zijn tal van Amerikaanse lokale overheden het slachtoffer van ransomware geworden, wat gevolgen had voor de openbare veiligheid, dienstverlening en de financiën van gemeenten, counties en andere lokale instanties, zo stelt de FBI. Op onderwijsinstellingen na waren de meeste slachtoffers die bij de FBI melding van ransomware deden lokale overheden. Voor dit jaar verwacht de Amerikaanse opsporingsdienst dat ransomware-aanvallen tegen lokale overheden zullen blijven doorgaan, met name als malware en tactieken zich verder ontwikkelen. Iets wat de volksgezondheid en openbare veiligheid verder in gevaar brengt en voor grote financiële risico's kan zorgen, aldus de FBI in een Private Industry Notification (pdf). De FBI stelt dat het een deel van deze activiteit in samenwerking met binnenlandse en buitenlandse overheden, alsmede de private sector, kan verstoren. Zo wordt er ingezet op het identificeren van aanvallers, geldstromen en bij aanvallen gebruikte infrastructuur. Toch zijn er volgens de opsporingsdienst ook nog veel maatregelen die organisaties kunnen nemen, zoals het installeren van beveiligingsupdates, maken van versleutelde back-ups, verplichten van multifactorauthenticatie, trainen van personeel, netwerksegmentatie en het monitoren en beveiliging van RDP.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in 🇬🇧 or another language