English | Français | Deutsche | Español | Meer talen
Exchange-servers aangevallen om BlackCat-ransomware te verspreiden, Zwitsers luchtruim tijdlang gesloten door computer storing bij luchtverkeersleiding en Ransomwarebende maakt een website waarop werknemers naar hun gestolen gegevens kunnen zoeken. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Meer dan 5.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.
Update: 20-juni-2022 | Aantal slachtoffers: 5.673
Week overzicht
| Slachtoffer | Cybercriminelen | Website | Land |
|---|---|---|---|
| htijobs.com | Industrial Spy | htijobs.com | USA |
| hfi-inc.com | Industrial Spy | hfi-inc.com | USA |
| SOCOTEC | Suncrypt | www.socotec.us | USA |
| CR2 | AvosLocker | cr2.com | Ireland |
| Bechstein | AvosLocker | bechstein.com | Germany |
| Spy Ballon | Moses Staff | Unknown | Unknown |
| www.tb-kawashima.co.jp/en/ | LockBit | www.tb-kawashima.co.jp | Japan |
| www.lundinroof.com | LockBit | www.lundinroof.com | USA |
| RG Alliance Group | Quantum | rgalliance.com | USA |
| www.cmz.com | Industrial Spy | www.cmz.com | Spain |
| Novelty Group | Vice Society | www.novelty-group.com | France |
| MOLTOLUCE | LV | www.moltoluce.com | Austria |
| vanderpol's | BlackCat (ALPHV) | www.vanderpolseggs.com | Canada |
| Israeli power companies | Moses Staff | iec.co.il | Israel |
| RadiciGroup | Black Basta | www.radicigroup.com | Italy |
| Magnum | Vice Society | www.magnum.fr | France |
| genusplc.com | LockBit | genusplc.com | UK |
| medcoenergi.com | LockBit | medcoenergi.com | Indonesia |
| dgi.gouv.ml | LockBit | www.dgi.gouv.ml | Mali |
| gruppowasteitalia.it | LockBit | gruppowasteitalia.it | Italy |
| www.kinexia.it | LockBit | www.kinexia.it | Italy |
| YMCA | Quantum | www.ymcasouthflorida.org | USA |
| Shred Station | Quantum | www.shredstation.co.uk | UK |
| M. Green and Company LLP | Quantum | mgreencpas.com | USA |
| Medlab Pathology | Quantum | medlab.com.au | Australia |
| Purvis Industries | BlackCat (ALPHV) | purvisindustries.com | USA |
| SHOPRITE HOLDINGS LTD | RansomHouse | www.shopriteholdings.co.za | South Africa |
| Plainedge Public Schools | BlackCat (ALPHV) | www.plainedgeschools.org | USA |
| SCHIFFMANS | LV | schiffmans.com | USA |
| MOTOLUCLE.COM | LV | motolucle.com | Unknown |
| theallison.com | BlackCat (ALPHV) | theallison.com | USA |
| Bernd Hösele Group | Black Basta | www.hoesele.com | Austria |
| Grand Valley State University | Vice Society | www.gvsu.edu | USA |
| Etron | Cuba | www.etron.com | Taiwan |
| ptg.com.au | LockBit | ptg.com.au | Australia |
In samenwerking met DarkTracer
Poetin ‘beveelt tot 50 spionnen van slaapagenten die zich in Groot-Brittannië verbergen om zich voor te bereiden op cyberaanvallen tegen het VK’
Vladimir Poetin heeft tot 50 slapende agenten in Groot-Brittannië bevolen om zich voor te bereiden op een aanval tegen het VK, zo wordt beweerd. MI5 is van mening dat de Russische leider undercoveragenten opdracht heeft gegeven klaar te staan om cyberaanvallen uit te voeren te midden van oplopende spanningen met Moskou over de oorlog in Oekraïne. Inlichtingenfunctionarissen vrezen dat de speciale troepen ook proberen militaire informatie te stelen en zich richten op Oekraïense activisten en dissidenten in Rusland. Bronnen vertelden aan The Mirror dat Russische spionnen waren geïnfiltreerd in alle sectoren van de Britse samenleving, inclusief de hoogste staatsscholen en het ambtenarenapparaat. Een hoge inlichtingenfunctionaris zei: 'We moeten aannemen dat Rusland nu actief is op alle niveaus van de Britse samenleving. (Binnenkort hier meer over op Cybercrimeinfo)
Cyberaanval op een NAVO land
Een cyberaanval wordt binnenkort misschien wel gezien als een gewapende aanval, die artikel 5 van de NAVO in werking kan treden. Kortom: een cyber-aanval op 1 NAVO-land, is een aanval op alle NAVO-landen. Het kabinet is het eens met dat idee, dat in het nieuwe Strategisch Concept van de NAVO staat. CEO van ESET Nederland Dave Maasland weet wat de gevolgen hiervan zijn.
Supermarktketen Shoprite getroffen door ransomware
De grootste supermarktketen van Afrika, Shoprite Holdings, met bijna 3.000 winkels in 12 landen op het continent, is aangevallen met ransomware. Shoprite heeft een omzet van $ 5,8 miljard en 149.000 medewerkers. De retailer heeft 2.943 winkels en bedient miljoenen klanten in Zuid-Afrika, Nigeria, Ghana, Madagaskar, Mozambique, Namibië, DRC, Angola en andere landen. Het bedrijf maakte bekend dat het afgelopen vrijdag een beveiligingsincident heeft meegemaakt en waarschuwde klanten in Eswatini, Namibië en Zambia dat hun persoonlijke gegevens mogelijk in gevaar zijn gebracht na een cyberaanval. Volgens de verklaring van de supermarkt zijn er aanvullende beveiligingsmaatregelen genomen om gegevensverlies verder te voorkomen door de authenticatieprocessen en strategieën voor fraudepreventie en -detectie aan te passen om gegevens van klanten te beschermen. Ze zorgen ervoor dat ook de toegang tot relevante delen van het netwerk wordt afgesloten. De gecompromitteerde records hadden namen en identificatiegegevens, maar er waren geen financiële informatie of bankrekeningnummers bij betrokken. Nu heeft een ransomwarebende genaamd RansomHouse de verantwoordelijkheid voor de aanval opgeëist en een steekproef van 600 GB aan gegevens vrijgegeven waarvan ze denken dat ze tijdens de aanval van een winkelier hebben gestolen.
Microsoft: Exchange-servers aangevallen om BlackCat-ransomware te verspreiden
Microsoft zegt dat hackers actief proberen om Microsoft Exchange-servers aan te vallen om vervolgens BlackCat-ransomware te verspreiden. BlackCat is ransomware die door meerdere partijen wordt gebruikt. Volgens Microsoft proberen hackers in te breken door ongepatchte kwetsbaarheden te misbruiken. Eens dat lukt, gaan ze in het bedrijfsnetwerk inloggegevens en bedrijfsgegevens stelen, later wordt BlackCat uitgerold. Zo kan het bedrijf zowel worden afgeperst door toestellen te versleutelen, als met de dreiging om de bedrijfsgegevens publiek te maken. BleepingComputer merkt op dat het niet om één groep gaat, maar vermoedelijk om meerdere groepen, gezien BlackCat wordt aangeboden als ransomware as a service. Daarbij gaan de makers van de ransomware hun software aanbieden aan meerdere spelers die vervolgens zelf hun doelwit kiezen en mogelijk afpersen. BlackCat zelf is sinds november 2021 actief? Microsoft zegt dat het op verschillende toestellen en besturingssystemen wordt gebruikt, zowel Linux, Windows als VMWare omgevingen.
| Slachtoffers BlackCat | ||||
|---|---|---|---|---|
| vanderpol's | PhoenixPackagingPA | Relationships Australia | Medical Staff | SNOP GROUP |
| Purvis Industries | Alliant Physical Therapy | LW Group | Scherr Legate | Uriach |
| Plainedge Public Schools | Davis Law Group, P.C. | Maintainco Inc. | NorthEast Coverages | Ballester Hermanos |
| theallison.com | j-w-anderson.com | KELLY,REMMEL&ZIMMERMAN | Quantel Medical | Lincoln Industries |
| The University of Pisa | FRISA.com | Bradsby Group | bishopeye.com | van Eupen Logistik |
| eivp-paris.fr | innotecgroup.com | BERITASATUMEDIA.COM | chemtech.net | RCMS |
| land karnten | Calvetti Ferguson | HAVI Logistic | hk-callcentre | New City Commercial Corporation (NCCC) |
| Alexandria. (LA) | Abrams & Bayliss LLP | vri.maniberia.net | Albany Bank and Trust Company | Strataworldwide.com |
| Nelsonslaw LLP | North View Escrow Corp | Noble Oil | Royal Laser | Kellersupply |
| AMS-Gruppe | Secova Inc | unapen.internal | mainland.com.hk | |
| CMC Electronics | Barakat Travel and Private Jet | M.T.B. | CGT S.p.A. | |
| Klasner Solomon & Partners Chartered Professional Accountants | eNoah it solutions | Bullfrog International | SVA Jean Rozé | |
| Whitehall. (OH) | Wally Edgar Chevrolet | Monteleone & McCrory LLP | themisautomation.com | |
| GREEN MOUNTAIN ELECTRIC SUPPLY | tgs.com.ar | inibsa.com | ipec.ro | |
| Horwitz Law, Horwitz & Associates | Florida International University | Carpenter & Zuckerman | Brookson Group | |
| Imagen Television | AIT.th | BAUCENTER | Moncler | |
| SYSOL | North Carolina A&T State University | Assimoco Group | D.F. Chase | |
| Boom Logistics (boomlogistics.com.au) | bet9ja.com | Waller Lansden Dortch & Davis, LLP | Redbadge | |
| Tecnopack | goldbet.it | Long Fence | CSEG.CN | |
| M+A Partners | Enoah Isolutions | MADRID CALLE 30 SA | Detroit Stoker | |
| Campbell & Partners Consulting | DC ADVISORY | GEMS Education | The Grand Bahama Port Authority | |
| The People's Federal Credit Union | Favoris Holding AG | JinkoSolar.com (NYSE: JKS) | FrenchGourmet | |
| BRITISH LINK KUWAIT | Trace Midstream | Phyllis Browning Company | CED Group | |
| Sarasin & partners LLP | WKPZ Law | www.pccua.edu | NanoFocus | |
| Richardson & Pullen, PC | CASTGROUP.COM.BR | threesixtysourcing.com | Centaris.com | |
| IKPT | Dober | Doherty Cella Keane | Douglas Shaw & Associates | |
| NECSUM | SSW Consulting | Southwark Metal Manufacturing Co. | Unified Technologies | |
| NECSUM TRISON | Rudsak Inc | HyLife | Hunter Douglas | |
| Innotec, Corp. | DC Solutions | Swissport | Buffers USA | |
| quito.gob.ec | VOYAGER DISTRIBUTING COMPANY PTY. LTD. | ecostampa.it | Solaris Management Consultants |
Zwitsers luchtruim tijdlang gesloten door computer storing bij luchtverkeersleiding
Het luchtruim van Zwitserland was woensdagochtend omwille van veiligheidsredenen “tot nader order” gesloten, wegens een informaticapanne bij luchtverkeersleider Skyguide. Volgens de luchthaven van Genève en Zürich is het probleem ondertussen opgelost en kan het vliegverkeer weer opstarten. Op de luchthaven van Genève zijn alle vertrekkende en inkomende vluchten tot zeker 11 uur opgeschort. Vanaf Brussels Airport zijn woensdagochtend twee vluchten naar Genève gepland, waarvan er één geannuleerd werd en een andere met vertraging aangekondigd is. Het luchtverkeer is sinds 8.30 uur geleidelijk hervat. Verschillende vluchten blijven geannuleerd, waardoor reizigers verzocht wordt om bij hun luchtvaartmaatschappij na te gaan of hun vlucht nog doorgaat. Heel wat vluchten naar Genève of Zürich werden woensdagochtend omgeleid naar luchthavens in buurlanden, waaronder die van Lyon, Milaan en Wenen. De woordvoerder van Skyguide, Vladi Barrosa, liet aan het Duitse persagentschap dpa weten dat het bedrijf niet uitgaat van een cyberaanval, maar dat een hardwareprobleem wellicht aan de basis van de panne lag.
Ransomware-aanval gemeente Buren via gestolen inloggegevens leverancier
De ransomware-aanval op de gemeente Buren vanwege afgelopen april waarbij gevoelige informatie van inwoners werd gestolen en gepubliceerd kon plaatsvinden doordat de aanvallers over de inloggegevens van een leverancier beschikten. Voor dit account was geen tweefactorauthenticatie (2FA) ingesteld, waardoor de aanvallers alleen aan een gebruikersnaam en wachtwoord voldoende hadden. Verdere details over het soort account en de leverancier in kwestie zijn niet gegeven. Bij de aanval werd zeker honderddertig gigabyte aan data buitgemaakt. Het ging onder andere om identiteitsbewijzen. Op de getroffen systemen stonden kopieën van ruim 1300 identiteitsbewijzen. Om misbruik te voorkomen geeft de gemeente getroffen inwoners de mogelijkheid om hun identiteitsbewijs kosteloos te vervangen. Op dit moment zijn er al ruim duizend inwoners aangeschreven met het aanbod hun identiteitsbewijs te laten vervangen. De gemeente Buren zegt dat het op advies van specialisten niet is ingegaan op verzoeken van de aanvallers tot contact. "Naar alle waarschijnlijkheid zou er om losgeld zijn gevraagd. Er is daarover niet met de hackers onderhandeld. Ook omdat de Rijksoverheid zich uitgesproken heeft tegen betaling van losgeld bij datadiefstal", zo laat de gemeente weten. De aanvallers claimen dat ze vijf terabyte aan data hebben buitgemaakt. "Bij onze beveiliging volgen we de richtlijnen van de Baseline Informatiebeveiliging Overheid (BIO). De gemeente kon na de ransomware-aanval meteen doordraaien, omdat de back-upstrategie op juiste wijze is ingericht. Ten aanzien van de monitoring liep ten tijde van de hack nog een inkooptraject dat nog niet was afgerond. Samen met de experts hebben we inmiddels de monitoring van systemen ingericht", zegt burgemeester Josan Meijers. De aanvallers publiceerden honderddertig gigabyte aan gestolen data op internet. "Helaas kunnen we niet uitsluiten dat meer gegevens opduiken op het darkweb. De gemeente is alert op signalen van schendingen van vertrouwelijkheid van gegevens als gevolg van de hack", zo laat Meijers verder weten. De gemeente werkt nog aan een openbare versie van het onderzoeksrapport naar de aanval.
Nieuwe Sheeva ransomware
Sheeva Ransomware; Filename pattern: id[victim's_ID].[Sheeva@onionmail.org].[original_filename].sheeva; Ransom note: sheeva.txthttps://t.co/C2nVxRSchF@Amigo_A_ @LawrenceAbrams @demonslay335 @JakubKroustek @struppigel
— PCrisk (@pcrisk) June 14, 2022
FBI: slachtoffers Netwalker-ransomware betaalden 60 miljoen dollar losgeld
Bedrijven en organisaties die slachtoffer van de Netwalker-ransomware werden betaalden bijna zestig miljoen dollar losgeld aan de criminelen achter de aanvallen. Slechts een kwart van de slachtoffers deed hier echter aangifte van en het percentage ligt vermoedelijk nog veel lager. Deze aangiftes zijn echter nodig om onderzoeken naar ransomware criminelen te kunnen starten, zo liet de FBI tijdens de afgelopen RSA Conferentie weten. NetWalker werd aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Vorig jaar werd de Netwalker-operatie mede door toedoen van de FBI uit de lucht gehaald. Een Canadese man die van de Netwalker-ransomware gebruikmaakte, en hier 27 miljoen dollar mee zou hebben verdiend, werd door de VS aangeklaagd. Bij de operatie tegen de ransomware criminelen werden door de Bulgaarse autoriteiten verschillende backend-servers in beslag genomen. Daarop werden meer dan duizend Netwalker-versies aangetroffen, die voor elk slachtoffer uniek waren aangepast. Aan de hand van de informatie op de servers kon de FBI meer dan 450 slachtoffers identificeren. Slechts 115 hiervan hadden aangifte gedaan. In totaal werden er vijftienhonderd "builds" van de Netwalker-ransomware geïdentificeerd, dus het werkelijke aantal ligt volgens de FBI tussen de vierhonderd en vijftienhonderd, zo meldt The Record. De slachtoffers die aangifte deden verklaarden dat ze in totaal 6,7 miljoen dollar losgeld hadden betaald. Maar aan de hand van de cryptowallets die de ransomwaregroep gebruikte en informatie op de in beslag genomen servers blijkt dat de criminelen bijna 60 miljoen dollar van hun slachtoffers kregen, aldus de FBI. Slechts vijftien slachtoffers vertelden de FBI dat ze losgeld hadden betaald. Het werkelijke aantal ligt volgens de opsporingsdienst boven de tweehonderd. De hoogste betaling die de FBI kon achterhalen bedroeg drie miljoen dollar. Het gemiddelde losgeldbedrag bedroeg 196.000 dollar. De Netwalker-groep wordt verantwoordelijk gehouden voor aanvallen op 270 organisaties wereldwijd.
The NetWalker ransomware affiliate arrested in Canada last year pleaded guilty and was sentenced to seven years in prisonhttps://t.co/plIIf1NGCi pic.twitter.com/8aboCbgm7Q
— Catalin Cimpanu (@campuscodi) February 8, 2022
Ransomwarebende maakt een website waarop werknemers naar hun gestolen gegevens kunnen zoeken
De ALPHV-ransomwarebende, ook wel bekend als BlackCat, heeft afpersing naar een hoger niveau getild door een speciale website te maken waarmee klanten en werknemers van slachtoffers kunnen controleren of hun gegevens zijn gehackt uit aanvallen. De gestolen gegevens worden vervolgens gebruikt in dubbele chantage waarin hackers losgeld eisen om de decryptor te leveren en de openbaarmaking van de bedrijfsgegevens te voorkomen. Om slachtoffers te dwingen te betalen, creëren ransomwarebendes websites voor datalekken, waar ze langzaam stukjes gestolen gegevens vrijgeven of klanten en werknemers e-mailen dat informatie is gestolen.
Alphv has created a @haveibeenpwned-like site on the clearnet where the employees and customers of a victim organization can check if their personal info. has been compromised. 1/3 pic.twitter.com/95BWwRPvhD
— Brett Callow (@BrettCallow) June 14, 2022
Emotet-malware steelt creditcardgegevens uit Google Chrome
Er is een nieuwe versie van de beruchte Emotet-malware ontdekt die creditcardgegevens uit Google Chrome steelt. Andere browsers laat de malware met rust. Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, wachtwoorden steelt en zelf zeer lastig te verwijderen is. Om zich te verspreiden maakt Emotet gebruik van e-mails die als bijlage doc-bestanden met kwaadaardige macro's bevatten. Zodra de ontvanger van de e-mail de macro's in het document inschakelt wordt Emotet geïnstalleerd en zal vervolgens proberen om andere machines in het netwerk te infecteren. Emotet kan aanvullende malware downloaden en was verantwoordelijk voor een aantal zeer ernstige ransomware-uitbraken bij grote organisaties. Onderzoekers van securitybedrijf Proofpoint en de Japanse politie melden dat Emotet van een nieuwe module gebruikmaakt waarmee in Google Chrome opgeslagen creditcardgegevens worden gestolen en teruggestuurd naar de aanvallers. De creditcardmodule werkt alleen tegen Chrome. Naast creditcardgegevens beschikt Emotet ook over modules voor het stelen van inloggegevens voor verschillende e-mailclients, waaronder Outlook en Thunderbird. Verder kan Emotet in Internet Explorer, Mozilla Firefox, Google Chrome, Safari en Opera opgeslagen wachtwoorden stelen. Vorig jaar vond er een internationale politie-operatie tegen het Emotet-botnet plaats. Door ingrijpen van de Nederlandse en Duitse politie werd de malware van een miljoen computers verwijderd. Inmiddels is de malware bezig met een comeback en weer begonnen met het op grote schaal versturen van malafide documenten om nieuwe slachtoffers te maken.
On June 6th, Proofpoint observed a new #Emotet module being dropped by the E4 botnet. To our surprise it was a credit card stealer that was solely targeting the Chrome browser. Once card details were collected they were exfiltrated to different C2 servers than the module loader. pic.twitter.com/zy92TyYKzs
— Threat Insight (@threatinsight) June 7, 2022
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 38-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 37-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 36-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 35-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 34-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 33-2024
Reading in 🇬🇧 or another language