Ransomware treft ziekenhuizen in provincie Luxemburg te Belgie, digitale televisiegidsen van Russische tv-aanbieders werden maandagochtend gehackt en geen diplomatieke reactie na cyberaanval op Nederlandse olieterminals. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Meer dan 5.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.
Update: 16-mei-2022 | Aantal slachtoffers: 5.453
Week overzicht
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
mercyhurst.edu | LockBit | mercyhurst.edu | USA |
boltburdon.co.uk | LockBit | boltburdon.co.uk | UK |
optoma.com | LockBit | optoma.com | USA |
boltburdonkemp.co.uk | LockBit | boltburdonkemp.co.uk | UK |
Channel Navigator | KelvinSecurity | www.channel-navigator.com | USA |
ProJet | KelvinSecurity | projetintl.com | Canada |
mosaiceins.com | LockBit | mosaiceins.com | Thailand |
bradfordmarine.com | LockBit | bradfordmarine.com | USA |
sgservicesud.it | LockBit | sgservicesud.it | Italy |
riken-nosan.com | LockBit | riken-nosan.com | Japan |
purapharm.com | LockBit | purapharm.com | Hong Kong |
alliancesand.com | LockBit | alliancesand.com | USA |
agapemeanslove.org | LockBit | agapemeanslove.org | USA |
M+A Partners | BlackCat (ALPHV) | www.mapartners.co.uk | UK |
zine-eskola.eus | LockBit | zine-eskola.eus | Spain |
Ludwig Freytag Group | Sodinokibi (REvil) | www.ludwig-freytag.de | Germany |
ats-insubria.it | BlackByte | ats-insubria.it | Italy |
xydias.gr | BlackByte | xydias.gr | Greece |
usu.org.au | BlackByte | usu.org.au | Australia |
Campbell & Partners Consulting | BlackCat (ALPHV) | www.campbellandpartners.com | Australia |
The People's Federal Credit Union | BlackCat (ALPHV) | tpfcu.com | USA |
Trans Technology Pte Ltd. | Vice Society | www.trans-tec.com | Singapore |
Caldes de Montbui | Vice Society | www.caldesdemontbui.cat | Spain |
Salud Total | Vice Society | www.saludtotal.com.co | Colombia |
siua.ac.cr | Conti | siua.ac.cr | Costa Rica |
fodesaf.go.cr | Conti | fodesaf.go.cr | Costa Rica |
www.mtss.go.cr | Conti | www.mtss.go.cr | Costa Rica |
mef.gob.pe | Conti | mef.gob.pe | Peru |
Black Bros. Co. | Black Basta | blackbros.com | USA |
topaces.us | LockBit | topaces.us | USA |
silverbayseafoods.com | LockBit | silverbayseafoods.com | USA |
sportco.com | LockBit | sportco.com | USA |
CAVENDERS | Black Basta | cavenders.com | USA |
FAMO | Black Basta | www.famo24.de | Germany |
FLEXIBLECIRCUIT | Black Basta | www.flexiblecircuit.com | USA |
safarni.com | LockBit | safarni.com | Egypt |
shimamura.gr.jp | LockBit | shimamura.gr.jp | Japan |
AHS Aviation Handling Services GmbH | RansomHouse | www.ahs-de.com | Germany |
Saskatchewan Liquor and Gaming Authority | RansomHouse | www.slga.com | Canada |
Jefferson Credit Union | RansomHouse | www.jeffersoncreditunion.org | USA |
Dellner Couplers AB | RansomHouse | www.dellner.com | Sweden |
In samenwerking met DarkTracer
Ransomware treft ziekenhuizen in provincie Luxemburg te Belgie
De klinieken van het Vivalia-netwerk in de provincie Luxemburg zijn de voorbije nacht (13/14 mei) aangevallen met ransomware. Patiëntendossiers zijn daardoor niet meer beschikbaar en verschillende procedures moeten met de hand gebeuren. Door de cyberaanval moeten de ziekenhuizen van Marche-en-Famenne, Bastenaken, Bertrix, Libramont, Aarlen en Virton hun werking aanpassen. De computers die draaien op een Windows-besturingssysteem zijn geblokkeerd. Ook tweehonderd servers, die instaan voor de communicatie tussen werkstations, zijn getroffen. Aanvallen met ransomware komen vaak voor, maar door de aard van het doelwit - een ziekenhuisnetwerk - is de impact van deze hacking niet te onderschatten. Het Vivalia-netwerk telt zeven ziekenhuizen en zes woonzorgcentra. Vooral de ziekenhuizen, samen goed voor 1.600 bedden, zijn getroffen. Bij dit type hacking worden computersystemen versleuteld en vragen de aanvallers losgeld in ruil voor de sleutel. Vivalia heeft tot op heden nog geen concrete losgeldvraag gekregen. ‘We geraken niet meer in de dossiers van de patiënten omdat alle Windows-pc’s geblokkeerd zijn’, zegt medisch directeur Pascal Pierre. ‘Dat is vooral een probleem voor de digitale voorschriften. We gaan die nu proberen terug te vinden via back-ups en dan afdrukken, om dan met papier en balpen verder te werken.’ Daarnaast moeten ook de klinische labo’s hun werking aanpassen. ‘In plaats van automatische analyses, moet alles nu manueel gebeuren. Daardoor duurt het veel langer’, zegt Pierre. ‘Als er bij een patiënt bloed moet worden afgenomen zullen we dat nog doen, maar het is langer wachten op een resultaat. We kunnen ook niet zomaar meerdere analyses tegelijk doen.’ Belangrijke afdelingen zoals de spoeddienst, intensieve zorgen of de nierdialyse kunnen blijven werken. Pierre: ‘De machines daar, waaronder beademingstoestellen, werken autonoom. Ook de monitoring van patiënten kan gewoon gebeuren. De sterilisatie van medisch materiaal kan ook nog plaatsvinden, maar de registratie daarvan moet manueel gebeuren, onder meer door foto’s te nemen van de schermen van de sterilisatietoestellen. Er zijn ook problemen bij de radiologie, waardoor ze hun werking wat moeten aanpassen. Ook de geautomatiseerde sturing van telefoons van buitenaf werkt niet.’ De komende uren en dagen zal blijken of de gevolgen van de aanval blijven duren. De ziekenhuisgroep sluit niet uit dat consultaties volgende week moeten worden uitgesteld. ‘We kunnen veel doen zonder toegang tot de dossiers, maar zeker niet alles’, zegt Pierre. ‘Morgen zullen we evalueren wat de volgende stappen zijn.’ ‘De aanval vond deze nacht omstreeks half twee plaats’, zegt Yves Bernard, algemeen directeur van de ziekenhuisgroep. ‘Onze informaticadiensten hebben zo snel mogelijk maatregelen genomen om onze servers en computers te beschermen.’ ‘We hebben onmiddellijk alle internetverbindingen tussen Vivalia en de buitenwereld verbroken en alle machines uitgeschakeld die werken met Windows’, zegt hoofd IT Yves-Henri Serckx. ‘Nu proberen we de oorsprong van de aanval te analyseren en de systemen op te schonen.’ Over de precieze aard van de ransomware-aanval of de bron ervan is nog geen duidelijkheid. Omdat wel zeker is dat het om een kwaadwillige aanval gaat, is er een opsporingsonderzoek opgestart. De federale gerechtelijke politie is ter plekke en ook experts van het Centrum voor Cybersecurity (CCB) leveren bijstand. ‘Alles verloopt trager en op papier, maar onze prioriteit is nu de zorg voor de patiënten te waarborgen’, zegt Yves Bernard.
CBS doet vooronderzoek naar ransomware-aanvallen bij Nederlandse bedrijven
Het Centraal Bureau voor de Statistiek (CBS) heeft een verkenningsonderzoek uitgevoerd naar de beschikbaarheid van data bij Nederlandse bedrijven over ransomware-aanvallen om zo uiteindelijk de omvang en impact van dergelijke aanvallen in kaart te kunnen brengen. Het gaat dan om zaken als de tijdslijn van de aanval, kosten, waaronder losgeld, reputatieschade en omzetverlies, technische kenmerken van de aanval en genomen maatregelen om de weerbaarheid te vergroten. Vanwege de gevoeligheid van de data heeft het CBS als eerste stap gekeken door middel van gesprekken met overheids- en niet-overheidsorganisaties of het praktisch en juridisch gezien mogelijk is om dergelijke datasets te verzamelen en te koppelen om zo de omvang en impact van ransomware-aanvallen bij bedrijven in beeld te brengen. Het daadwerkelijk verzamelen van datasets en het publiceren van cijfers over ransomware vormen geen onderdeel van het verkenningsonderzoek. Het CBS zal in overleg met het Nationaal Cybersesecurity Centrum (NCSC) de volgende stap in het onderzoek bepalen. Het uiteindelijke rapport zal niet opvraagbaar zijn om te voorkomen dat individuele organisaties worden onthuld. Het verkenningsonderzoek is bekostigd door het NCSC.
Criminelen kapen lopende e-mailgesprekken om malware te verspreiden
Een groep cybercriminelen kaapt op besmette computers lopende e-mailgesprekken om zo malware te verspreiden die uiteindelijk tot grootschalige ransomware-infecties kan leiden. De tactiek werd eerder al toegepast door de criminelen achter de Emotet-malware, maar is ook in gebruik door een groep genaamd TA578. Op een al besmet systeem wordt er op lopende e-mailgesprekken gereageerd met bijvoorbeeld een factuur of document dat zo naar een nog niet besmet slachtoffer wordt gestuurd. Het meegestuurde of gelinkte bestand is in werkelijkheid de Bumblebee-malware. Deze malware fungeert als een "downloader" en kan aanvullende malware op het systeem downloaden, zoals ransomware. Verschillende groepen cybercriminelen hebben volgens securitybedrijf Proofpoint Bumblebee gebruikt voor het uitvoeren van ransomware-aanvallen. Het zou onder andere om de Conti-ransomwaregroep gaan. De afgelopen dagen publiceerden het Internet Storm Center en securitybedrijf NCC Group analyses van de malware en gebruikte verspreidingstactiek. Volgens Brad Duncan van het Internet Storm Center is het belangrijk om de aanvallers in een vroeg stadium te stoppen, aangezien dit verdere schade kan voorkomen.
VS waarschuwt voor toename van aanvallen op managed serviceproviders
De Amerikaanse autoriteiten hebben samen met diensten uit Australië, Canada, Nieuw-Zeeland en het Verenigd Koninkrijk een waarschuwing gegeven voor aanvallen op managed serviceproviders (MSP's). Onder andere de FBI en NSA zeggen bekend te zijn met rapporten die een toename melden van aanvallen op MSP's en de diensten verwachten dat deze trend zal doorzetten. In het verleden zijn meerdere managed serviceproviders getroffen door zowel APT-groepen als ransomwaregroepen. Een bekend incident is dat met Kaseya, dat software aan MSP's levert. Via kwetsbaarheden in de Kaseya-software konden criminelen achter de REvil-ransomware wereldwijd klanten van MSP's met ransomware infecteren. Een ander voorbeeld is dat van een APT-groep genaamd APT10/Cloud Hopper die MSP's aanviel om zo bij klanten te spioneren. Om dergelijke aanvallen te voorkomen hebben de vijf landen een gezamenlijke Cybersecurity Advisory gepubliceerd met advies. Door de rol die MSP's vervullen hebben ze vaak vergaande toegang tot de systemen van klanten. Het kan zowel om middelgrote bedrijven gaan als vitale infrastructuur. Volgens de FBI en NSA kan het maanden duren voordat een aanval wordt opgemerkt. Organisaties wordt aangeraden om hun belangrijkste logbestanden dan ook zeker zes maanden te bewaren. MSP's krijgen verder het advies om data en diensten van klanten te scheiden en beheerderswachtwoorden niet te hergebruiken. Verder moeten overbodige accounts van MSP's worden uitgeschakeld. Iets wat bij het veranderen van MSP of opzeggen van het contract over het hoofd kan worden gezien, aldus de advisory. Daarnaast moeten organisaties controleren dat MSP-accounts niet zijn toegewezen aan interne beheerdersgroepen.
Costa Rica, eerste land dat de noodtoestand afroept als gevolg van een cyberaanval
Costa Rica roept noodtoestand uit na cyberaanval, het eerste land dat de noodtoestand afroept als gevolg van een cyberaanval. De president van Costa Rica, Rodrigo Chaves, kondigde officieel de noodtoestand af na de cyberaanvallen. In totaal werd 672 gigabyte aan vertrouwelijke gegevens gestolen. Welke gegevens dat precies zijn, is nog niet duidelijk. Volgens verschillende bronnen zou het onder meer gaan om persoonlijke data van de Costa Ricaanse belastingbetalers. Het land heeft met andere woorden te kampen met een privacyschandaal op grote schaal. Lees verder
Marokko verijdelde 577 cyberaanvallen op ministeries
De onderminister voor Defensie kondigde aan dat het Algemeen Directoraat voor de Beveiliging van Informatiesystemen (DGSSI) tot vorig jaar 577 cyberaanvallen op Marokkaanse ministeries en openbare instellingen heeft opgespoord en geneutraliseerd. Abdellatif Loudiyi, onderminister van Defensie, maakte deze cijfers bekend in zijn antwoord op een schriftelijke vraag in de Kamer van Volksvertegenwoordigers. Deze cijfers tonen aan dat ondanks de vele inlichtingeninspanningen van het DGSSI en de maatregelen om de computersystemen van vitale sectoren te beschermen tegen indringers en hackers met "elektronische" virussen, het gevaar van aanvallen blijft bestaan, meldt het dagblad Al Akhbar. De bewindsman stelde tevens dat het DGSSI alles in de gaten houdt en de nodige technische steun verleent aan de departementen die door dergelijke aanvallen getroffen worden. Het voert ook regelmatig veiligheidscontroles en -analyses uit van de computersystemen van ministeries en andere strategische instellingen, om na te gaan of ze bestand zijn tegen cyberaanvallen. Deze taak wordt vervuld door een door het DGSSI opgerichte waarnemingscentrum. Het centrum geeft ook advies over kwetsbaarheden in de beveiliging als er nieuwe bedreigingen opduiken. Al Akhbar meldt dat het centrum in 2021, 621 veiligheidsalarmen meldde, waaronder 188 kritieke veiligheidsalarmen.
Oorlog tussen Rusland en Oekraïne - Cyber groepen
74 Groepen:
- 46 Pro-Oekraïne
- 26 Pro-Rusland
- 2 Onbekend (UNK)
- 7 verwijderd.
Russisch videoplatform Rutube onbereikbaar na cyberaanval
Het Russische videoplatform Rutube, een concurrent van de Amerikaanse gigant YouTube, is onbereikbaar na 'de grootste cyberaanval uit zijn geschiedenis'. Dat heeft het bedrijf laten weten in een verklaring op Telegram. Het herstellen van de toegang tot het platform zal langer duren dan de ingenieurs aanvankelijk dachten, zegt het bedrijf. Dinsdagochtend verscheen op de website rutube.ru een zwart scherm met daarop in witte letters: 'Er zijn onderhoudswerkzaamheden aan de gang. De site is aangevallen. Momenteel is de situatie onder controle. De gegevens van de gebruikers worden opgeslagen.' Volgens Rutube is de site sinds maandag onbereikbaar, de dag waarop Rusland de overwinning op de nazi's op 9 mei 1945 vierde. Rutube wijt de aanval aan dezelfde hackers die 'de afgelopen twee maanden voortdurend de sites van Russische overheidsinstellingen hebben aangevallen'. Die aanvallen kwamen er na de Russische invasie van Oekraïne op 24 februari. De Oekraïense media meldden maandag ook, met foto's als bewijs, dat de uitzendsystemen van de Russische televisiezenders MTS, NTV Plus, Rostelecom en Winx waren gehackt om de volgende boodschap te tonen: 'Het bloed van duizenden Oekraïners en honderden van hun gedode kinderen kleeft aan jullie handen. De televisie en de autoriteiten liegen. Nee tegen oorlog.' Een lange tekst waarin de 'bloedige en absurde' Russische militaire interventie in Oekraïne aan de kaak wordt gesteld, werd maandagochtend ook door twee journalisten gepubliceerd op de nieuwswebsite Lenta.ru, die als loyaal aan de Russische autoriteiten wordt beschouwd, maar hij werd snel verwijderd.
Aandacht!
De site (https://rutube.ru/) ondergaat technische werkzaamheden.
De site is aangevallen. Op dit moment is de situatie onder controle. Gebruikersgegevens zijn opgeslagen.
We hebben contact! Volg het nieuws hier https://t.me/rutube
rutube.ru (https://rutube.ru/)
Rutube video-hosting. Bekijk video's gratis online.
Rutube is het toonaangevende Russische videoportaal met films, series en gebruikersvideo's.
RUTUBE besteld
We blijven restauratiewerkzaamheden uitvoeren. Bedenk dat het platform in de ochtend van 9 mei plat ging en de persdienst de grootste cyberaanval in de geschiedenis van het bedrijf aankondigde. Zoals u weet, zijn APT's geplande en - belangrijker nog - kostbare aanvallen. Iemand wilde echt voorkomen dat RUTUBE de Victory parade en vuurwerk zou vertonen.
Het is geen zonde om te onthouden welke veldslagen de onze hebben gewonnen. De strijd om RUTUBE gaat door. We houden voor jullie πͺπ», jongens!
Colonial Pipeline kan jaar na ransomware-aanval boete van 1 miljoen krijgen
Een jaar geleden werd de grootste Amerikaanse brandstofpijplijn platgelegd door een ransomware-aanval. De Amerikaanse toezichthouder die toeziet op de veiligheid van brandstofpijplijnen overweegt nu om de Colonial Pipeline Company een boete van zo'n 1 miljoen dollar op te leggen wegens het overtreden van verschillende veiligheidsvoorschriften. Dat laat de Pipeline and Hazardous Materials Safety Administration (PHMSA) weten. Van januari tot november 2020 voerde de PHMSA een inspectie uit naar de procedures van de Colonial Pipeline Company. De voorlopige resultaten lieten zien dat het bedrijf waarschijnlijk in overtreding was van verschillende veiligheidsvoorschriften, waaronder het niet adequaat plannen en voorbereiden op een handmatige uitschakeling en herstart van de pijplijnsystemen. Vorig jaar mei werd de Colonial Pipeline getroffen door de DarkSide-ransomware. Dit zorgde voor brandstoftekorten en een stijging van de brandstofprijzen. Ook besloot de VS regionaal de noodtoestand uit te roepen. De Colonial Pipeline Company betaalde de aanvallers 4,4 miljoen dollar losgeld om de data te ontsleutelen. De aanvallers bleken door middel van een gestolen vpn-wachtwoord toegang tot de systemen van het bedrijf te hebben gekregen. Volgens de PHMSA zorgde het ontbreken van een plan voor het uitschakelen en herstarten van de systemen voor de nationale gevolgen waar de VS vorig jaar mei na de ransomware-aanval mee te maken kreeg. In een voorlopige beslissing is de toezichthouder nu van plan om het bedrijf hiervoor een boete van 986.000 dollar op te leggen. "Het incident met Colonial Pipeline herinnert ons eraan dat het voldoen aan voorschriften bedoeld om risico's voor het publiek te beperken absolute noodzaak is", aldus Tristan Brown van de PHMSA.
Heeft Moskou zijn cybercriminelen in Latijns-Amerika losgelaten?
De banden tussen Conti en de FSB werden benadrukt. De cybercriminele bende is zeer agressief geweest tegen Costa Rica en Peru, terwijl Latijns-Amerika bijzonder getroffen lijkt te zijn. Vijftien landen in de regio spraken zich uit tegen de invasie van Oekraïne. Lees verder (artikel in het frans))
Nieuwe BlueSky ransomware
'Dreamer' ontdekte een nieuwe ransomware-operatie genaamd BlueSky.
Amerikaanse hogeschool moet deuren voorgoed sluiten na ransomwareaanval
Lincoln College in de Amerikaanse staat Illinois sluit eind deze week voorgoed de deuren. De onderwijsinstelling noemt de pandemie en een ransomwareaanval eind 2021 als de hoofdzakelijke redenen voor het moeten sluiten van de school. De ransomwareaanval vond in december vorig jaar plaats en zou ernstige gevolgen voor de interne systemen van de relatief kleine hogeschool hebben gehad, zo laat de directie weten. "[De cyberaanval] werkte alle handelingen rondom aanmeldingen tegen en blokkeerde alle institutionele data, waardoor er een onduidelijk beeld van de hoeveelheid aanmeldingen voor het najaar van 2022 ontstond. Alle systemen nodig voor de werving en het behoud van studenten, maar ook voor het inzamelen van geld, werden geblokkeerd." Er zouden geen persoonsgegevens bij de aanval zijn buitgemaakt. Het duurde enkele maanden voordat Lincoln College weer alle data op een rijtje had, maar toen bleek het al te laat te zijn. Er konden niet meer op tijd fondsen geworven worden voor het huidige schooljaar. Hoewel de ransomwareaanval de druppel bleek te zijn, werden de financiële problemen door de covid-19-pandemie veroorzaakt. Ondanks een recordaantal aanmeldingen in het najaar van 2019 bleken alle gezondheidsmaatregelen en technologische vereisten tijdens de pandemie te duur voor de school. Ook stelden veel studenten hun studie uit vanwege de pandemie, wat voor verdere financiële problemen zorgde. Lincoln College werd in 1865 geopend op wat later de laatste verjaardag van de Amerikaanse president Abraham Lincoln bleek te zijn. De hogeschool heeft naar eigen zeggen sindsdien verschillende crises overleefd, waaronder de Spaanse griep, de Grote Depressie, twee wereldoorlogen en de financiële crisis van 2009.
Digitale televisiegidsen van Russische tv-aanbieders werden maandagochtend gehackt
Dat gebeurde voordat de Russische president Poetin zijn speech hield. Klanten van aanbieders delen foto's waarop te zien is hoe de tv-gidsen antioorlogsberichten tonen in plaats van de programmering. Het lijkt er volgens het persbureau op dat Service-TV is gehackt. Die dienst geeft tv-programmeringen door aan aanbieders van betaalkanalen. Onder meer tv-aanbieders MTS, NTV+ en Rostelecom zouden door de hack zijn getroffen. De hackers toonden berichten waarin stond dat kijkers door de televisie en autoriteiten werden voorgelogen over de oorlog in Oekraïne. Die oorlog noemt Rusland officieel een "speciale missie". "Het bloed van duizenden Oekraïners en honderden van hun vermoorde kinderen kleeft aan jullie handen", verscheen op de televisies. "Zeg nee tegen oorlog." De teksten waren ook op online tv-gidsen van het grote technologiebedrijf Yandex te lezen. De teksten zijn inmiddels weer aangepast naar de reguliere programmering. Het is niet bekend wie er achter de hacks zit. De timing was opvallend. In Rusland wordt maandag de Dag van de Overwinning gevierd. Op die dag vieren de Russen elk jaar de zege op de nazi's in de Tweede Wereldoorlog. Vanwege deze viering hield president Poetin maandagochtend een toespraak die op tv was te volgen. Daarbij bleven grote aankondigingen over Oekraïne uit. Wel zei hij dat het van belang is "om er alles aan te doen om de verschrikkingen van een wereldoorlog te voorkomen".
Hacked message on Russian TVs continues: "Television and the government is lying. No to war."
β Igor Sushko (@igorsushko) May 9, 2022
Every TV channel name changed to "Blood is on your hands." #RussianResistance pic.twitter.com/0l0mUuseBZ
VS looft 10 miljoen dollar uit voor informatie over leiders ransomwaregroep
De Amerikaanse overheid heeft een beloning van tien miljoen dollar uitgeloofd voor informatie over de leiders achter de Conti-ransomwaregroep. Er is ook nog eens vijf miljoen beschikbaar voor informatie die tot de veroordeling van de betreffende personen leidt. Volgens de Amerikaanse autoriteiten was de Conti-groep de afgelopen twee jaar verantwoordelijk voor honderden ransomware-incidenten. De FBI, de Amerikaanse geheime dienst NSA, het Cybersecurity and Infrastructure Security Agency (CISA) en de United States Secret Service lieten in maart weten dat meer dan duizend organisaties wereldwijd zijn aangevallen met de Conti-ransomware. Slachtoffers zouden bij elkaar meer dan honderdvijftig miljoen dollar losgeld hebben betaald, zo stelt het Amerikaanse ministerie van Buitenlandse Zaken. In april werd de Costa Ricaanse overheid slachtoffer van de groep, met vergaande gevolgen voor de dienstverlening. Met het uitloven van de beloning zegt het ministerie dat het zich inzet voor de bescherming van potentiële ransomwareslachtoffers wereldwijd. Daarbij willen de Amerikaanse autoriteiten naar eigen zeggen graag samenwerken met andere landen die gerechtigheid voor de slachtoffers van ransomware zoeken. Vorig jaar loofde de VS ook al tien miljoen dollar uit voor informatie over leden van de ransomwaregroep DarkSide en vorige maand werd er nog een zelfde bedrag beschikbaar gemaakt voor informatie over zes Russische inlichtingenofficieren die onderdeel zouden zijn van een eenheid van de Russische inlichtingendienst GRU met de naam Sandworm. Deze eenheid zou allerlei aanvallen tegen de vitale Amerikaanse infrastructuur hebben uitgevoerd, alsmede aanvallen tegen doelen in Oekraïne, Frankrijk, Zuid-Korea en Georgië.
Persoonsgegevens 21 miljoen VPN-gebruikers op straat
Op internet worden de privégegevens gedeeld van 21 miljoen gebruikers van verschillende vpn-diensten. Het gaat om namen, factuurgegevens, e-mailadressen, gebruikersnamen, landnamen, "willekeurig gegeneerde wachtwoordstrings" en abonnementsperiode, zo meldt vpnMentor dat over het delen van de gegevens op chatdienst Telegram bericht. Het betreft gebruikers van vpn-providers GeckoVPN, SuperVPN en ChatVPN. Vorig jaar kregen SuperVPN en GeckoVPN met een datalek te maken waarbij de gegevens van ruim twintig miljoen gebruikers online verschenen, maar volgens vpnMentor lijkt de nu gedeelde data van de vorig jaar gelekte gegevens te verschillen. De wachtwoordhashes die in de dataset zijn te vinden lijken gehasht en gesalt, of willekeurig. "Dit houdt in dat elke wachtwoordhash verschilt, wat ze lastiger te kraken maakt", aldus de onderzoekers. Vorige maand verschenen op Twitter al berichten dat de privégegevens op een "populair hackerforum" werden verhandeld. Afgelopen weekend werd de sql-dump van tien gigabyte op een Telegram-kanaal gedeeld.
If you are using these three Android VPN services:
β Prasanna (@SQLInterstellar) April 9, 2022
SuperVPN
GeckoVPN
ChatVPN
Then just want to inform you that a threat actor has already traded a total of 21 million user records on a popular hacker forum.
Conti ontkent betrokkenheid bij nieuwe Black Basta-bende
Conti blijft de regering van Peru bedreigen en stelt ook dat ze niet geassocieerd zijn met de nieuwe Black Basta-operatie.
Nieuwe TitanCrypt ransomware
Titancrypt Ransomware; Extension: .titancrypt; Ransom notes: pop-up window and ___RECOVER__FILES__.titancrypt.txt
β PCrisk (@pcrisk) May 9, 2022
Some skidwarehttps://t.co/Hi9HXpom6r@JakubKroustek @LawrenceAbrams @demonslay335 @Amigo_A_ @struppigel
Nieuwe ransomware trends in 2022
Voorafgaand aan de Anti-Ransomware Day hebben we de tendensen samengevat die het ransomware-landschap in 2022 kenmerken. Dit jaar is ransomware niet minder actief dan voorheen: cybercriminelen blijven dreigen landelijke retailers en Ondernemingen, oude varianten van malware keren terug terwijl de nieuwe zich ontwikkelen. Het bekijken en beoordelen van deze tendensen biedt ons niet alleen dreigingsinformatie om cybercriminaliteit vandaag te bestrijden, maar helpt ons ook om af te leiden welke trends de komende maanden kunnen zien en ons er beter op voor te bereiden.
Subdomein van Ferrari gehackt voor NFT scam
Een subdomein van automerk Ferrari is afgelopen week gehackt. Volgens beveiligingsonderzoekers probeerden hackers de domeinnaam te misbruiken voor een NFT scam. Beveiligingsmedewerkers ontdekten het lek al snel, waardoor de aanvallers slechts enkele honderden dollars wisten buit te maken. Ethisch hacker en beveiligingsonderzoeker Sam Curry ontdekte vorige week dat hackers het subdomein forms.ferrari.com wisten over te nemen. Met deze domeinnaam probeerden de daders een oplichtingspraktijk met NFT’s op te zetten.
Super interesting: looks like scammers found a subdomain takeover on "https://t.co/qb9JqK2oL9" and are using it to host an NFT scam. pic.twitter.com/6vKoxWegXp
β Sam Curry (@samwcyo) May 5, 2022
De infectieroutine van de Black Basta Ransomware groep
We analyseren de Black Basta-ransomware en onderzoeken de bekende infectietactieken van de kwaadwillende acteur. Black Basta, een nieuwe ransomware-bende, is de afgelopen weken snel op de voorgrond getreden nadat het in korte tijd enorme inbreuken op organisaties veroorzaakte.
Geen diplomatieke reactie na cyberaanval op Nederlandse olieterminals
De cyberaanvallen op Nederlandse olieterminals die eind januari en begin februari plaatsvonden zijn waarschijnlijk met een crimineel motief gepleegd en zullen geen diplomatieke reactie krijgen, zo stelt minister Hoekstra van Buitenlandse Zaken. Olieterminals in Europese havensteden, waaronder Amsterdam en Terneuzen, kregen door de aanval problemen met het laden en lossen van olie. Het ging om zeventien opslagplaatsen in Nederland, België en Duitsland. D66 had minister Hoekstra gevraagd of de aanvallen vanuit Rusland waren uitgevoerd en of hier diplomatiek en juridisch iets is tegen gedaan. De minister laat in zijn antwoord weten dat het Nationaal Cyber Security Centrum (NCSC) de incidenten heeft onderzocht. Op basis daarvan kan niet worden vastgesteld dat er sprake is geweest van een gecoördineerde aanval. "De aanvallen zijn waarschijnlijk gepleegd vanuit een crimineel motief. De beschikbare informatie over de aanvallen bood echter onvoldoende basis voor een diplomatieke of juridische reactie", laat Hoekstra verder weten. "Factoren die bij besluitvorming hierover een rol spelen zijn onder andere de impact en aard van de aanval en de mate van zekerheid waarmee de dader van de aanval kan worden aangewezen." De minister voegt toe dat erop dit moment naar aanleiding van de oorlog in Oekraïne geen concrete aanwijzingen zijn dat er gerichte digitale aanvallen op Nederland hebben plaatsgevonden.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 44-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 38-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 37-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 36-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 35-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 34-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 33-2024
Reading in π¬π§ or another language