Belgische ziekenhuizen annuleren operaties wegens ransomware-aanval, ransomwarebende dreigt met omverwerping overheid Costa Rica en VS klaagt Franse arts aan voor ontwikkeling en verkoop van ransomware. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Meer dan 5.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.
Update: 23-mei-2022 | Aantal slachtoffers: 5.507
Week overzicht
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
SYSOL | BlackCat (ALPHV) | 03ed51b.netsolhost.com | Mexico |
HEMERIA | Snatch | www.hemeria-group.com | France |
Elkuch Group | Black Basta | www.elkuch.com | Switzerland |
seatarrabida.pt | LockBit | seatarrabida.pt | Portugal |
morrisonexpress.com | LockBit | morrisonexpress.com | Taiwan |
Grupo Pavisa | BlackByte | www.pavisa.com.mx | Mexico |
Contraloría General de la República | BlackByte | contraloria.gob.pe | Peru |
firbarcarolo.it | LockBit | firbarcarolo.it | Italy |
SPORTPLAZA | Hive | www.sportoase.be | Belgium |
ivu.de | Industrial Spy | ivu.de | Germany |
The Catholic Foundation | Vice Society | www.thecatholicfoundation.org | USA |
EIITNET | Hive | eiit.com | Spain |
CARTEGRAPH | Hive | www.cartegraph.com | USA |
skinnertrans.net | LockBit | skinnertrans.net | USA |
gymund.dk | LockBit | gymund.dk | Denmark |
Magtek | Lorenz | www.magtek.com | USA |
cysco.com.tw | Industrial Spy | cysco.com.tw | Taiwan |
Tri-Ko | Hive | tri-ko.com | USA |
gdctax.com.au | LockBit | gdctax.com.au | Australia |
fed-gmbh.de | LockBit | fed-gmbh.de | Germany |
groupe-trouillet.com | LockBit | groupe-trouillet.com | France |
Contractors Pipe and Supply Corporation | Black Basta | www.contractorspipeandsupply.com | USA |
Boom Logistics (boomlogistics.com.au) | BlackCat (ALPHV) | boomlogistics.com.au | Australia |
wsretailers.com | LockBit | wsretailers.com | USA |
Atlanta Perinatal Associates | Vice Society | www.atlantaperinatal.com | USA |
Carmel College | Vice Society | www.carmel.ac.uk | UK |
Higher School of the Public Ministry of the Union | Vice Society | escola.mpu.mp.br | Brazil |
clublinks.com.au | LockBit | clublinks.com.au | Australia |
FTSUMNERK12.COM | CL0P | ftsumnerk12.com | USA |
Tecnopack | BlackCat (ALPHV) | www.tecnopackspa.it | Italy |
modetransportation.com | LockBit | modetransportation.com | USA |
suntecktts.com | LockBit | suntecktts.com | USA |
Tex-Isle Supply | Quantum | www.texisle.com | USA |
vivalia.be | LockBit | vivalia.be | Belgium |
khs-wp.de | LockBit | khs-wp.de | Germany |
Upskwt | Cuba | upskwt.com | Kuwait |
Hirsch Watch Straps & Accessories | Quantum | www.hirschstraps.com | UK |
InnPower | Quantum | innpower.ca | Canada |
NEWCOURSECC.COM | CL0P | newcoursecc.com | USA |
Brunk Industries Inc. | Lorenz | www.brunk.com | USA |
AmCham Shanghai | Lorenz | www.amcham-shanghai.org | China |
sherpamarketing.ca | LockBit | sherpamarketing.ca | Canada |
cassagne.com.ar | LockBit | cassagne.com.ar | Argentina |
rexontec.com.tw | LockBit | rexontec.com.tw | Taiwan |
Piggly Wiggly Alabama Distributing Company | Black Basta | www.pwadc.net | USA |
saludparatodos.ssm.gob.mx | LockBit | saludparatodos.ssm.gob.mx | Mexico |
grupocabal.cl | LockBit | grupocabal.cl | Chile |
teka.com.mx | LockBit | teka.com.mx | Spain |
talaadthaii.com | LockBit | talaadthaii.com | Thailand |
2easy.com.br | LockBit | 2easy.com.br | Brazil |
Fronteousa | Cuba | legal.fronteousa.com | USA |
arcelormittal.hu | LockBit | arcelormittal.hu | Hungary |
hinakaorg.com | LockBit | hinakaorg.com | Taiwan |
In samenwerking met DarkTracer
Cisco waarschuwt voor actief aangevallen zerodaylek in IOS XR
Cisco waarschuwt organisaties en netwerkbeheerders voor een actief aangevallen zerodaylek in IOS XR waardoor een ongeauthenticeerde aanvaller toegang tot de Redis-database kan krijgen die binnen een container van het systeem draait. Een aanvaller kan zo informatie binnen de Redis-database aanpassen, willekeurige bestanden naar het container bestandssysteem schrijven en informatie over de Redis-database achterhalen. Vanwege de configuratie van de container waarin de Redis-database draait kan een aanvaller geen willekeurige code uitvoeren. De impact van de kwetsbaarheid, aangeduid als CVE-2022-20821, is op een schaal van 1 tot en met 10 beoordeeld met een 6.5. Volgens Cisco wordt het probleem veroorzaakt doordat op systemen waar het health check package is geïnstalleerd standaard tcp-poort 6379 wordt geopend. Om misbruik van de kwetsbaarheid te voorkomen kan de health check worden uitgeschakeld of tcp-poort 6379 via een Infrastructure Access Control List (iACL) worden geblokkeerd. Daarnaast zijn er beveiligingsupdates uitgebracht. Cisco ontdekte de kwetsbaarheid bij het onderzoeken van een supportcase. Vanwege het waargenomen misbruik adviseert de netwerkgigant om de genoemde workarounds toe te passen of de update te installeren.
Microsoft waarschuwt voor bruteforce-aanvallen tegen SQL-servers
Microsoft heeft via Twitter gewaarschuwd voor een nieuwe campagne waarbij criminelen door middel van bruteforce-aanvallen proberen om volledige controle te krijgen over servers die Microsoft SQL Server draaien. Wat de campagne doet opvallen is het gebruik van de sqlps-tool. Dit is een tool voor het starten van Windows PowerShell-sessies en uitvoeren van cmdlets. Een cmdlet is een "lichtgewicht commando" dat vaak in de PowerShell-omgeving wordt gebruikt. Aanvallers gebruiken de sqlps-tool voor het uitvoeren van commando's waarmee ze de gecompromitteerde omgeving verder verkennen. Ook wordt sqlps gebruikt voor het aanmaken van een nieuw systeembeheerderaccount, waarmee de aanvallers volledige controle over de SQL-server krijgen. Met het beheerdersaccount voeren de aanvallers verdere acties uit, zoals het installeren van coinminers die de rekenkracht van het systeem gebruiken voor het delven van cryptovaluta. Volgens Microsoft richten verdedigers zich bij het beschermen van systemen vaak op het monitoren van PowerShell. Sqlps, dat standaard met alle versies van SQL Server wordt geleverd, biedt een soortgelijke functionaliteit en moet daarom net zo nauwlettend in de gaten worden gehouden, aldus Microsoft. Volgens het techbedrijf laat het gebruik van sqlps zien dat organisaties volledige zichtbaarheid in uitgevoerde scripts moeten hebben om eventuele malware te detecteren.
Microsoft recently observed a campaign targeting SQL servers that, like many attacks, uses brute force methods for initial compromise. What makes this campaign stand out is its use of the in-box utility sqlps.exe.
— Microsoft Security Intelligence (@MsftSecIntel) May 17, 2022
Belgische ziekenhuizen annuleren operaties wegens ransomware-aanval
Verschillende Belgische ziekenhuizen hebben wegens een ransomware-aanval besloten om alle operaties te annuleren. Alleen noodoperaties worden nog uitgevoerd. Ook consultaties en onderzoeken kunnen niet doorgaan. Het herstel kan mogelijk maanden gaan duren. De in totaal zes ziekenhuizen maken onderdeel uit van de Belgische zorggroep Vivalia. Servers van de zorgverlener werden onlangs getroffen door de Lockbit-ransomware. Criminelen achter de ransomware claimen dat ze vierhonderd gigabyte aan data hebben buitgemaakt die ze volgende week dreigen te publiceren. De zorggroep meldt op de eigen website dat het bezig is met het herstel van de it-omgeving. Zo worden er de komende dagen nieuwe computers verwacht. Verder meldt Vivalia dat zorgpersoneel aan het einde van de maand gewoon het salaris krijgt uitbetaald. "We focussen ons nu op het herstel van het systeem binnen een veilig kader. Het gerechtelijk luik is in handen van de federale gerechtelijke politie en de procureur", zegt Vivalia-ceo Yves Bernard tegenover Het Belang van Limburg. Vivalia hoopt tegen het einde van het weekend systemen van de radiologie-afdeling en laboratoria weer online te brengen, net zoals de patiëntendossiers. "Maar volledig herstel kan nog weken of zelfs maanden in beslag nemen", concludeert Bernard. Vanwege de cyberaanval heeft de burgemeester van de stad Aarlen besloten om tijdens het Maitrank-festival dit weekend een buitenpost op te richten, om zo verdere belasting van het ziekenhuis in de stad te voorkomen.
L'intercommunal Vivalia qui a récemment annoncé avoir subit une cyberattaque a été victime du gang de #ransomware Lockbit ;400 GO DE data: les données comprennent les données personnelles des patients et leurs maladies, les données personnelles des employés et bien plus encore. pic.twitter.com/5jvqEgv0ph
— Anis Haboubi |₿| (@HaboubiAnis) May 17, 2022
Google: Androidgebruikers doelwit zerodays door overgeslagen Linux-patches
Androidgebruikers konden vorig jaar via een zerodaylek worden aangevallen omdat een oplossing voor de kwetsbaarheid in de Linux-kernel niet als beveiligingsupdate was aangegeven en daardoor niet aan de meeste Androidkernels toegevoegd. Dat stelt Google in een analyse van drie verschillende zerodaycampagnes waar Androidgebruikers in 2021 mee te maken kregen. Volgens het techbedrijf zijn de exploits die bij de aanvallen werden gebruikt ontwikkeld door een bedrijf genaamd Cytrox. Het bedrijf zou de betreffende exploits hebben verkocht aan door overheid gesteunde actoren in Egypte, Armenië, Griekenland, Madagaskar, Ivoorkust, Servië, Spanje en Indonesië. Google merkt op dat het onderzoek naar de aanvallen laat zien dat commerciële bedrijven inmiddels over de mogelijkheden beschikken om exploits te ontwikkelen die eerder alleen nog waren voorbehouden aan overheden. Bij alle drie de zerodaycampagnes werden Androidgebruikers via e-mail aangevallen. Doelwitten ontvingen een e-mail met daarin een verkorte url die naar een malafide website wees. Deze website maakte misbruik van één of meerdere kwetsbaarheden in Chrome al dan niet gecombineerd met een beveiligingslek in Android. Eén van deze beveiligingslekken was CVE-2021-1048 en bevond zich in de Linux-kernel. Google ontdekte de aanval waarbij deze kwetsbaarheid werd gebruikt in oktober 2021. Het beveiligingslek was al in september 2020 in de Linux-kernel verholpen. De fix was echter niet als beveiligingsupdate aangemerkt en zodoende niet aan de meeste Androidkernels toegevoegd. "Dit is niet de eerste keer dat we dit zien met exploits in het wild. Het Bad Binder-lek in 2019 is een ander voorbeeld", zegt Clement Lecigne van Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Lecigne merkt op dat in beide gevallen de betreffende fix niet als beveiligingsprobleem was aangemerkt en zodoende niet gebackport naar de Androidkernels. "Aanvallers blijven actief zoeken en profiteren van dergelijk traag verholpen kwetsbaarheden." Verder stelt de Google-onderzoeker dat de aanpak van commerciële surveillancebedrijven een robuuste en gemeenschappelijke inzet van inlichtingenteams, netwerkbeveiligers, academische onderzoekers en techplatformen vereist.
Microsoft meldt toename van malware die Linux-systemen infecteert
Er is een toename van de hoeveelheid malware die zich op Linux-systemen richt, waarbij één malware-exemplaar de afgelopen zes maanden een toename van 254 procent liet zien, zo laat Microsoft weten. De malware wordt 'XorDdos' genoemd en maakt gebruik van bruteforce-aanvallen om via SSH toegang tot Linux-systemen met zwakke wachtwoorden te krijgen. Zodra er toegang is verkregen wordt de besmette machine onderdeel van een botnet dat ddos-aanvallen uitvoert en wordt ingezet voor aanvallen op andere Linux-systemen. "XorDos laat een trend zien dat malware zich steeds vaker op Linux-gebaseerde besturingssystemen richt, die vaak binnen cloudinfrastructuur en Internet of Things-apparaten worden gebruikt", aldus Microsoft. Sommige versies van de XorDos-malware, die al sinds 2014 bestaat, installeren een kernelrootkit waarmee de aanvaller roottoegang krijgt en de kernelmodule, malwareprocessen en netwerkverbindingen en poorten van de malware verbergt. Verder overschrijft XorDos gevoelige bestanden en gebruikt het meerdere methodes om op verschillende Linux-distributies actief te blijven. Afsluitend stelt Microsoft dat malware zoals XorDos laat zien dat het ook nodig is om op Linux-systemen beveiligingssoftware te draaien.
QNAP waarschuwt NAS-gebruikers voor nieuwe ransomware-aanval
QNAP waarschuwt eigenaren van een NAS-apparaat voor een nieuwe aanval met de Deadbolt-ransomware en roept gebruikers op om hun systemen meteen te updaten en niet toegankelijk vanaf het internet te maken. Deadbolt is een ransomware-exemplaar dat bestanden op kwetsbare NAS-systemen voor losgeld versleuteld. Begin dit jaar verscheen er een eerste variant die zeker vijfduizend QNAP-apparaten versleutelde. De ransomware maakte hiervoor misbruik van een beveiligingslek waarvoor QNAP vorig jaar december een update had uitgebracht. In maart maakte de Deadbolt-ransomware een "comeback", waarbij nog eens elfhonderd QNAP NAS-apparaten werden versleuteld. Het was echter onbekend of bij deze aanval van een nieuwe kwetsbaarheid gebruik werd gemaakt. Vandaag komt QNAP met een nieuwe waarschuwing voor de Deadbolt-ransomware. De nieuwste aanvalsgolf richt zich op NAS-apparaten met QTS versie 4.3.6 en QTS 4.4.1. Getroffen modellen zijn met name de TS-x51- en TS-x53-series. QNAP roept nu alle NAS-gebruikers om hun QTS-versie, het besturingssysteem dat op de NAS-apparaten draait, zo snel mogelijk naar de laatste versie te updaten en hun NAS niet vanaf het internet toegankelijk te maken.
VS slaat alarm over misbruik van VMware-lekken en geeft noodbevel af
De Amerikaanse overheid heeft alarm geslagen over misbruik van verschillende kwetsbaarheden in software van VMware en tegelijkertijd een noodbevel afgegeven dat federale overheidsinstanties verplicht om gisteren verschenen beveiligingsupdates voor maandag 23 mei te installeren. Gisteren kwam VMware met patches voor twee kritieke kwetsbaarheden in VMware Workspace ONE Access, Identity Manager, vRealize Automation, Cloud Foundation en vRealize Suite Lifecycle Manager aangeduid als CVE-2022-22972 en CVE-2022-22973. Beveiligingslek CVE-2022-22972 maakt het mogelijk voor een aanvaller met toegang tot de gebruikersinterface om zonder inloggegevens beheerderstoegang te krijgen. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Door middel van CVE-2022-22973 kan een aanvaller die al toegang tot het systeem heeft root worden. De impactscore van dit beveiligingslek bedraagt 7.8. Vorige maand kwam VMware met beveiligingsupdates voor twee andere kwetsbaarheden in de bovengenoemde producten, aangeduid als CVE-2022-22954 en CVE-2022-22960. Via deze beveiligingslekken kan een aanvaller willekeurige code uitvoeren en rootrechten verkrijgen. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security hebben aanvallers de patches voor CVE-2022-22954 en CVE-2022-22960 binnen 48 gereverse engineerd om zo de onderliggende kwetsbaarheden te vinden en exploits te ontwikkelen waarmee vervolgens systemen zijn aangevallen. Het CISA verwacht dat aanvallers ook op zeer korte termijn misbruik zullen maken van de gisteren gepatchte beveiligingslekken in de VMware-producten. De overheidsinstantie heeft nu een "Emergency Directive" afgegeven dat alle federale overheidsinstanties verplicht om voor maandag 23 mei alle kwetsbare VMware-systemen in kaart te brengen en de betreffende beveiligingsupdates te installeren. Wanneer het installeren van de patches niet mogelijk is moeten de VMware-systemen uit de federale overheidsnetwerken worden verwijderd totdat updates wel zijn door te voeren. In het geval systemen niet meer worden ondersteund, bijvoorbeeld omdat ze end-of-life zijn, moeten ze direct worden verwijderd. Verder moeten alle overheidsinstanties ervan uitgaan dat vanaf het internet toegankelijke kwetsbare VMware-systemen zijn gecompromitteerd. Deze systemen moeten dan ook van de productienetwerken worden losgekoppeld en onderzocht. In het geval van gevonden sporen moeten overheidsinstanties dit bij het CISA melden. Eerder gaf het CISA ook een noodbevel af wegens het Log4j-lek.
Phishingaanval kost partner ministerie Buitenlandse Handel 406.000 euro
Bij een phishingaanval op een internationale organisatie die mede met geld van Nederland een project in Senegal uitvoert wisten criminelen ruim 406.000 euro te stelen. Dat meldt het ministerie van Buitenlandse Handel en Ontwikkelingssamenwerking in het jaarverslag over 2021. Volgens het ministerie is een financieel medewerker van een lokale uitvoeringspartner slachtoffer geworden van phishing, waardoor een projectbetaling naar het verkeerde rekeningnummer is overgemaakt. Dergelijke fraude valt onder de noemer Business Email Compromise (BEC). Hierbij wetten aanvallers via bijvoorbeeld phishing of zwakke of hergebruikte wachtwoorden toegang tot e-mailaccounts te krijgen. Via de gekaapte accounts, maar ook door gebruik te maken van gespoofte e-mailadressen of typosquatting, waarbij ze domeinen registreren die op die van een legitieme organisatie lijken, sturen de aanvallers malafide e-mails. Zo doen de oplichters zich bijvoorbeeld voor als leverancier en verzoeken afnemers om betalingen naar andere rekeningen over te maken, of wordt de financiële administratie van een aangevallen organisatie verzocht om bepaalde facturen te betalen, waarbij het geld moet worden overgemaakt naar door de aanvallers opgegeven rekeningen. Het ministerie van Buitenlandse Handel meldt in het jaarverslag dat de contractpartner probeert om de overgemaakte 406.000 euro terug te krijgen. Daarnaast is er een actieplan opgesteld om controles in het it-systeem te verbeteren om correcte betalingen te garanderen. De schade voor Nederland bedraagt ruim zesduizend euro. Onlangs meldde de FBI dat criminelen door dergelijke e-mailfraude de afgelopen jaren ruim 43 miljard dollar hebben buitgemaakt.
Nieuwe CryptBit ransomware
CryptBIT Ransomware; Extension: .cryptbit; Ransom note: CryptBIT-restore-files.txt; Changes desktop wallpaperhttps://t.co/BjvZwMtPaQ@JakubKroustek @LawrenceAbrams @demonslay335 @struppigel @Amigo_A_
— PCrisk (@pcrisk) May 18, 2022
Microsoft ziet toename van malware die cryptowallets steelt
De afgelopen maanden zag Microsoft naar eigen zeggen een toename van het aantal malware-exemplaren dat in staat is om cryptowallets en gerelateerde data te stelen en het techbedrijf verwacht dat dit door de transitie van bedrijven naar crypto zal toenemen. Cryptogebruikers worden onder andere aangeraden om van hardware wallets gebruik te maken. Cryware, zoals Microsoft op crypto gerichte malware noemt, steelt data van non-custodial cryptowallets, ook wel hot wallets genoemd. Omdat hot wallets, in tegenstelling tot custodial wallets, zich lokaal op het systeem bevinden en eenvoudiger toegang bieden tot de cryptografische sleutels om transacties uit te voeren, zijn er volgens Microsoft steeds meer dreigingen die zich hierop richten. Zo is er inmiddels allerlei malware die bijvoorbeeld de private key of seed phrase van een cryptowallet probeert te stelen of in het clipboard een opgegeven walletadres in dat van de aanvaller wijzigt. Een andere techniek die cryware toepast is het gebruik van keylogging om zo private keys en wachtwoorden te onderscheppen. Microsoft stelt dat het verschillende campagnes heeft waargenomen die zich eerst bezighielden met de verspreiding van ransomware en nu cryware gebruiken om cryptovaluta van besmette systemen te stelen. Het techbedrijf merkt op dat veel zakelijke systemen nog geen hot wallets bevatten, maar dat dit door de overstap van bedrijven naar crypto naar verwachting zal veranderen. "Gebruikers en organisaties moeten daarom leren om hun hotwallets te beschermen", stelt Microsoft. Zo wordt aangeraden om hot wallets te vergrendelen wanneer er niet mee wordt gehandeld, moeten private keys niet in plaintext worden opgeslagen en moeten gebruikers alert zijn bij het kopiëren en plakken van walletadressen. Tevens adviseert Microsoft het gebruik van hardware wallets, aangezien die de private keys offline bewaren.
Ransomwarebende dreigt met omverwerping overheid Costa Rica
De verse regering van Costa Rica is geconfronteerd met meer dan een normale ransomware-infectie. De Russisch sprekende afpersers die de beruchte Conti-ransomware inzetten, dreigen met omverwerpen van de overheid. De cybercriminelen zeggen insiders binnen de overheid te hebben. President Rodrigo Chaves suggereert ook dat de inval niet alleen van buiten komt en hij geeft aan dat er meer overheidsinstellingen zijn gegijzeld. "We zijn in oorlog en dat is geen overdrijving", verklaart de president van Costa Rica. Op een persconferentie heeft hij gezegd dat deze digitale afpersing een strijd is met een nationale terroristengroep die dus collaborateurs heeft in het land. Daarbij heeft Chaves ook aangegeven dat de impact van de ransomware-infectie groter is dan eerst bekend was, schrijft persbureau AP. Maar liefst 27 overheidsinstellingen in het Centraal-Amerikaanse land zijn geraakt. Daaronder bevinden zich naast ministeries ook gemeenten en nutsbedrijven die in handen van de staat zijn. De op 8 mei aangetreden president van Costa Rica verwijt zijn voorganger (Carlos Alvarado) dat die niet heeft geïnvesteerd in cybersecurity. Verder zou de vorige president niet hard genoeg hebben opgetreden tegen de cyberaanvallen in de laatste dagen van zijn regering. De losgeldeis is opgehoogd naar een bedrag dat neerkomt op 20 miljoen Amerikaanse dollars. De afpersers hebben bij de bekendmaking daarvan ook verklaard dat hun doel is om de regering van Chaves omver te werpen. Persbureau AP haalt een ransomware-expert aan die stelt dat dit politieke dreigement waarschijnlijk loze praat is. De cybercriminelen zouden dit doen om meer rumoer te creëren en de druk te verhogen. Bij de politieke boodschap zit echter wel de dreiging van verdere verstoring van het overheidsfunctioneren in en voor Costa Rica. De afpersers zouden namelijk nog meer systemen lam kunnen leggen dan ze nu al hebben gedaan. De Conti-ransomwarebende heeft in april al meerdere kritieke systemen van het ministerie van Financiën gepakt, wat ook de douane en de belastingdienst raakt. Nu, een maand later, zijn nog lang niet alle systemen weer hersteld. President Chaves heeft meteen na zijn aantreden de noodtoestand afgekondigd. Vorige week heeft het Amerikaanse ministerie van Buitenlandse Zaken premies uitgeloofd voor informatie die kan leiden tot het oppakken van de cybercriminelen. De beloning kan oplopen tot wel 10 miljoen dollar, met daarnaast nog een premie tot 5 miljoen dollar voor informatie die kan helpen om directe uitvoerders of medewerkers aan Conti-gijzelingsaanvallen te arresteren en/of veroordelen.
Doelbewuste aanval op klanten van reisbureau verspreidt AsyncRAT
Cybercriminelen blijven nieuwe mogelijkheden zoeken om malware te verspreiden en de reisbranche was recentelijk het doelwit. Het onderzoeksteam van Zscaler ThreatLabz heeft onlangs een malwarecampagne ontdekt die is gericht op gebruikers die reisdocumenten voor Thailand aanvragen. De uiteindelijke payload van veel van deze aanvallen is AsyncRAT, een trojan voor externe toegang die kan worden gebruikt om gevoelige gegevens van de machines van slachtoffers te monitoren, controleren en stelen. Thailand Pass is een online reisbureau dat in vliegtickets bemiddelt voor reizigers die Thailand of andere Aziatische landen willen bezoeken. Aanvallers misleiden slachtoffers met behulp van een spoof-webpagina die erg lijkt op de website van Thailand Pass, waardoor gebruikers uiteindelijk worden overgehaald om AsyncRAT te downloaden. “InfoStealers, waar AsyncRAT onder valt, zijn een methode om gevoelige informatie te bemachtigen. Deze malwarecategorie speelt een steeds grotere rol in moderne ransomware-aanvallen aangezien aanvallers een dubbel afpersingsmechanisme gebruiken. Als de eerste payload faalt doordat een organisatie een effectieve back-up-strategie heeft om gegevens te herstellen en encryptie te voorkomen, kan een dubbele afpersingsmethode organisaties alsnog dwingen om te betalen. Zo kunnen kwaadwillenden met behulp van Infostealer Remote Access Trojans (RAT’s) dreigen de gestolen gegevens openbaar te maken, wat de druk op organisaties nog verder vergroot”, aldus Mark Lueck, CISO bij Zscaler. Hier de volledige technische analyse van AsyncRAT
Nieuwe EarthGrass ransomware
WORLD GRASS/EARTH GRASS Ransomware; Extension: ; Ransom note: .34r7hGr455; Changes desktop wallpaperhttps://t.co/oeA1WYo4zY@Amigo_A_ @struppigel @JakubKroustek @LawrenceAbrams @demonslay335
— PCrisk (@pcrisk) May 16, 2022
FBI waarschuwt voor diefstal creditcarddata op bestelpagina webwinkels
De FBI heeft een waarschuwing afgegeven voor criminelen die creditcardgegevens op de bestelpagina van webwinkels stelen. In een "Flash" alert wijst de Amerikaanse opsporingsdienst naar een recente aanval op een Amerikaanse webshop waar het aanvallers lukte om malafide php-code aan de bestelpagina toe te voegen. Deze code stuurde door klanten ingevulde creditcardgegevens en andere persoonlijke informatie door naar de aanvallers. Daarnaast hadden de aanvallers een webshell op de webserver van de webshop geplaatst om zo toegang te behouden. Deze tactiek wordt al jaren door aanvallers toegepast. De FBI heeft in het Flash-alert indicators of compromise (IOC's) gegeven, zoals ip-adressen, bestandsnamen en hashes, die organisaties kunnen gebruiken om eventuele aanvallen te detecteren en stoppen (pdf). Hoe de aanvallers de malafide code aan de bestelpagina konden toevoegen laat de FBI niet weten. Beheerders worden door de opsporingsdienst onder andere aangeraden om besturingssystemen en code die op de website draait up-to-date te houden, standaard inloggegevens op alle systemen te wijzigen, requests naar de e-commerce-omgeving te monitoren, netwerksegmentatie toe te passen en multifactorauthenticatie te implementeren.
VS klaagt Franse arts aan voor ontwikkeling en verkoop van ransomware
De Amerikaanse autoriteiten hebben een 55-jarige Franse arts aangeklaagd voor het ontwikkelen, verkopen en gebruiken van ransomware. Volgens de aanklacht ontwikkelde de in Venezuela woonachtige cardioloog verschillende ransomwaretools die cybercriminelen gebruikten voor het afpersen van slachtoffers. De arts zou de malafide software zowel hebben verhuurd als verkocht en gaf afnemers ook technische ondersteuning. Eén van de ransomware-exemplaren wiste de harde schijf van slachtoffers wanneer die te vaak de ransomware probeerden te verwijderen. Eind 2019 zou de arts een tool hebben aangeboden voor het maken van ransomware. "De Thanos-software liet gebruikers hun eigen unieke ransomware maken, die ze dan konden gebruiken of verhuren aan andere cybercriminelen", zo stelt het Amerikaanse ministerie van Justitie. Verder stelt de aanklacht dat de arts zijn ransomware op verschillende fora aanbood. Criminelen konden een licentie voor de malware aanschaffen of aan een partnerprogramma deelnemen, waarbij de arts een deel van het losgeld ontving. Begin deze maand sprak de FBI met een familielid van de arts die in Florida woont en waarvan het PayPal-account door de arts was gebruikt om geld van criminelen te ontvangen. De persoon in kwestie bevestigde waar de arts woont en dat hij zichzelf programmeren had aangeleerd. Ook deelde hij een e-mailadres van de arts dat volgens de aanklacht is gebruikt voor de infrastructuur van de Thanos-ransomware. De arts bevindt zich nog in Venezuela.
Wizard Spider Group Diepgaande analyse
Dit rapport biedt ongekend inzicht in de structuur, achtergrond en motivaties van Wizard Spider. We hebben commandostatistieken, doellandstatistieken, uitvoeringspatronen van opdrachten en andere informatie over de tactieken, technieken en procedures van de groep verkregen. Deze omvatten nieuwe oplossingen na uitbuiting en psychologische tactieken. De meeste inspanningen van Wizard Spider gaan naar het hacken van Europese en Amerikaanse bedrijven, met een speciale hack tool die door sommige van hun aanvallers wordt gebruikt om hoogwaardige doelen te doorbreken. Een deel van het geld dat ze krijgen, wordt teruggestoken in het project om nieuwe tools en talent te ontwikkelen.
Ransomware niet de oorzaak van sluiting Amerikaanse hogeschool
Een ransomware-aanval is niet de oorzaak geweest dat een Amerikaanse hogeschool vorige week na 157 jaar de deuren sloot. Dat laat David Gerlach weten, directeur van het Lincoln College. De school werd wereldnieuws omdat het vanwege een ransomware-aanval de deuren zou hebben gesloten. De aanval die eind vorig jaar plaatsvond speelde echter een kleine rol die simpelweg het onvermijdelijke uitstelde, aldus de directeur. In een verklaring op de eigen website gaf de hogeschool aan dat het vanwege een geldtekort, veroorzaakt door de gevolgen van de coronacrisis, de deuren moest sluiten. Ook werd gewezen naar een ransomware-aanval die afgelopen december plaatsvond. Daardoor had de hogeschool geen toegang tot systemen en data, waardoor de onderwijsinstelling ook niet wist hoeveel studenten zich voor het najaar van 2022 hadden ingeschreven. De school betaalde de aanvallers losgeld om de gegevens te kunnen ontsleutelen. In maart van dit jaar waren alle systemen weer hersteld. De vooruitzichten lieten echter grote tekorten zien wat betreft het aantal ingeschreven studenten. Een exact losgeld bedrag dat is betaald wordt niet gegeven, maar het was minder dan 100.000 dollar, laat Gerlach tegenover The Record weten. Op de vraag of de ransomware verantwoordelijk was voor het sluiten van de deuren stelt de directeur dat de aanval alleen het onvermijdelijke uitstelde. Doordat systemen waren versleuteld kon de school geen studenten voor het nieuwe schooljaar aanmelden en waren er ook problemen met de financiële systemen. Er speelden echter veel meer factoren merkt Gerlach op, waarbij een tekort aan nieuw ingeschreven studenten en een te kleine financiële buffer de hoofdredenen waren.
Ransomware treft ziekenhuizen in provincie Luxemburg te Belgie
De klinieken van het Vivalia-netwerk in de provincie Luxemburg zijn de voorbije nacht (13/14 mei) aangevallen met ransomware. Patiëntendossiers zijn daardoor niet meer beschikbaar en verschillende procedures moeten met de hand gebeuren. Door de cyberaanval moeten de ziekenhuizen van Marche-en-Famenne, Bastenaken, Bertrix, Libramont, Aarlen en Virton hun werking aanpassen. De computers die draaien op een Windows-besturingssysteem zijn geblokkeerd. Ook tweehonderd servers, die instaan voor de communicatie tussen werkstations, zijn getroffen. Aanvallen met ransomware komen vaak voor, maar door de aard van het doelwit - een ziekenhuisnetwerk - is de impact van deze hacking niet te onderschatten. Het Vivalia-netwerk telt zeven ziekenhuizen en zes woonzorgcentra. Vooral de ziekenhuizen, samen goed voor 1.600 bedden, zijn getroffen. Bij dit type hacking worden computersystemen versleuteld en vragen de aanvallers losgeld in ruil voor de sleutel. Vivalia heeft tot op heden nog geen concrete losgeldvraag gekregen. ‘We geraken niet meer in de dossiers van de patiënten omdat alle Windows-pc’s geblokkeerd zijn’, zegt medisch directeur Pascal Pierre. ‘Dat is vooral een probleem voor de digitale voorschriften. We gaan die nu proberen terug te vinden via back-ups en dan afdrukken, om dan met papier en balpen verder te werken.’ Daarnaast moeten ook de klinische labo’s hun werking aanpassen. ‘In plaats van automatische analyses, moet alles nu manueel gebeuren. Daardoor duurt het veel langer’, zegt Pierre. ‘Als er bij een patiënt bloed moet worden afgenomen zullen we dat nog doen, maar het is langer wachten op een resultaat. We kunnen ook niet zomaar meerdere analyses tegelijk doen.’ Belangrijke afdelingen zoals de spoeddienst, intensieve zorgen of de nierdialyse kunnen blijven werken. Pierre: ‘De machines daar, waaronder beademingstoestellen, werken autonoom. Ook de monitoring van patiënten kan gewoon gebeuren. De sterilisatie van medisch materiaal kan ook nog plaatsvinden, maar de registratie daarvan moet manueel gebeuren, onder meer door foto’s te nemen van de schermen van de sterilisatietoestellen. Er zijn ook problemen bij de radiologie, waardoor ze hun werking wat moeten aanpassen. Ook de geautomatiseerde sturing van telefoons van buitenaf werkt niet.’ De komende uren en dagen zal blijken of de gevolgen van de aanval blijven duren. De ziekenhuisgroep sluit niet uit dat consultaties volgende week moeten worden uitgesteld. ‘We kunnen veel doen zonder toegang tot de dossiers, maar zeker niet alles’, zegt Pierre. ‘Morgen zullen we evalueren wat de volgende stappen zijn.’ ‘De aanval vond deze nacht omstreeks half twee plaats’, zegt Yves Bernard, algemeen directeur van de ziekenhuisgroep. ‘Onze informaticadiensten hebben zo snel mogelijk maatregelen genomen om onze servers en computers te beschermen.’ ‘We hebben onmiddellijk alle internetverbindingen tussen Vivalia en de buitenwereld verbroken en alle machines uitgeschakeld die werken met Windows’, zegt hoofd IT Yves-Henri Serckx. ‘Nu proberen we de oorsprong van de aanval te analyseren en de systemen op te schonen.’ Over de precieze aard van de ransomware-aanval of de bron ervan is nog geen duidelijkheid. Omdat wel zeker is dat het om een kwaadwillige aanval gaat, is er een opsporingsonderzoek opgestart. De federale gerechtelijke politie is ter plekke en ook experts van het Centrum voor Cybersecurity (CCB) leveren bijstand. ‘Alles verloopt trager en op papier, maar onze prioriteit is nu de zorg voor de patiënten te waarborgen’, zegt Yves Bernard.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 38-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 37-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 36-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 35-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 34-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 33-2024
Reading in 🇬🇧 or another language