Overzicht cyberaanvallen week 26-2022

Gepubliceerd op 4 juli 2022 om 15:00

Tweede Kamerlid stelt vragen over de toename van gehackte windmolens, aantal cyberaanvallen op scholen neemt toe, regulering ontbreekt en nieuwe SessionManager-malware valt Exchange-servers aan. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 5.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.

Update: 04-juli-2022 | Aantal slachtoffers: 5.797


Week overzicht

Slachtoffer Cybercriminelen Website Land
Montrose Environmental Group, Inc Black Basta montrose-env.com USA
CAPSONIC Black Basta capsonic.com USA
V2 Logistics Corp Black Basta v2logistics.com USA
OLDPALMGOLFCLUB Black Basta www.oldpalmgolfclub.com USA
plravocats.fr LockBit plravocats.fr France
slpcolombus.com LockBit slpcolombus.com France
axelcium.com LockBit axelcium.com France
faacgroup.com LockBit faacgroup.com Italy
lesbureauxdelepargne.com LockBit lesbureauxdelepargne.com France
bosco-avocats.com LockBit bosco-avocats.com France
Timios Inc. Yanluowang www.timios.com USA
boxerproperty Yanluowang www.boxerproperty.com USA
Shorr.com Yanluowang shorr.com USA
tmsw.com Yanluowang tmsw.com USA
havi.com Yanluowang havi.com USA
various organizations Yanluowang Unknown Unknown
Walmart Yanluowang www.walmart.com USA
Cincinnati bell Yanluowang my.cincinnatibell.com USA
HANSA KONTAKT BlackCat (ALPHV) hansa-kontakt.hu Hungary
Amalfitana Gas Srl Everest www.amalfitanagas.it Italy
Continental Management BlackCat (ALPHV) continentalmgt.com USA
Atlantic Dialysis Management Services Snatch www.atlanticdialysis.com USA
fgmarchitects.com Industrial Spy fgmarchitects.com USA
sando.com Industrial Spy sando.com Spain
diodes.com LockBit diodes.com USA
Crupi Group Quantum crupigroup.com Canada
Apex Snatch apex-tokyo.co.jp Japan
Avante Health Solutions Quantum avantehs.com USA
New Peoples Bank Black Basta www.newpeoples.bank USA
Egg Holz Kälin AG Karakurt eggholz.ch Switzerland
Catalogic Software Inc. Karakurt catalogicsoftware.com USA
Tolmage, Peskin, Harris & Falick Karakurt www.stephanpeskin.com USA
Paracca Flooring Karakurt paraccaflooring.com USA
AUTOPAY Karakurt autopay.com USA
TVS Logistics Services Karakurt tvsscs.com India
Senior Star Corporate Karakurt www.seniorstar.com USA
OKAKI Karakurt www.okaki.com Canada
Century Dental Associates Karakurt centurydentalsmiles.com USA
Tankersley Foodservice Karakurt tankersleyfoods.com USA
Viora Karakurt www.vioramed.com USA
Lawson Products Karakurt www.lawsonproducts.com USA
KMH Cardiology Karakurt kmhlabs.com Canada
Mitcham Industries, Inc Karakurt mind-technology.com USA
Norwood  Karakurt norwoodt.co.uk UK
Superior Asphalt Karakurt www.superiorasphaltinc.net USA
CMG Mortgage, Inc. Karakurt www.cmgfi.com USA
Forterra PLC Karakurt forterra.co.uk UK
Habasit Karakurt habasit.com Switzerland
FellowShip Warehousing & Logistics Karakurt www.fellowshipco.com USA
Shields Health Care Group Karakurt www.shields.com USA
Hengan International Group Karakurt www.hengan.com China
Council of Governments (COG) Karakurt mcrcog.com USA
Weldco Karakurt www.weldcobuildco.com USA
Trantor Karakurt www.trantorinc.com USA
Kamarin Karakurt www.kamarin.com.tr Turkey
Notaire Karakurt notaires.fr France
SuperAlloy Industrial Co., Ltd. Hive superalloyengineering.com Taiwan
Diskriter Hive diskriter.com USA
datalit.it LockBit datalit.it Italy

In samenwerking met DarkTracer


Tweede Kamerlid stelt vragen over de toename van gehackte windmolens

Tweede Kamerlid Joost Eerdmans heeft een aantal schriftelijke vragen ingediend (pdf) over de recente toename van gehackte windmolens. Hij stelt de vragen aan de minister voor Klimaat en Energie, Rob Jetten. Als voorbeeld noemt Eerdmans de vijf nieuwe windmolens langs de Oude Maas die al maanden stilstaan, omdat de Duitse exploitant van de windmolens, Nordex, eind maart gehackt is. Het zou om ransomware-aanvallen gaan door Russische hackersgroep Conti. Nordex weigerde te betalen, en koos ervoor een nieuw bedrijfsnetwerk op te zetten. Eerdmans vraagt Jetten of er nog meer van dit soort aanvallen geweest zijn, en wie hierachter zaten. Ook wil hij weten hoe getroffen windparkbeheerders met de situatie om zijn gegaan, of alles opgelost is, en of de Rijksoverheid hier een rol in heeft gespeeld. Als laatste vraagt hij hoe Jetten vol kan houden dat windenergie ons minder afhankelijk van het buitenland maakt, terwijl grote offshore windprojecten gegund worden aan Chinese staatsbedrijven. Eerdmans doelt hiermee op eerdere ophef in de Tweede Kamer nadat een Chinees staatsbedrijf bijna in aanmerking kwam voor de bouw van een windpark op de Noordzee. Dat bedrijf werd uiteindelijk door Jetten geweerd.

Het Hacken Van Windturbines
PDF – 23,3 KB 183 downloads

Aantal cyberaanvallen op scholen neemt toe, regulering ontbreekt

Het aantal cyberaanvallen op Nederlandse onderwijsinstellingen nam in het afgelopen jaar opnieuw toe. Desondanks hebben scholen nog steeds geen wettelijke verplichting om securitymaatregelen te treffen. Onderwijsvereniging SURF doet jaarlijks onderzoek naar de cyberveiligheid van scholen en onderzoeksinstellingen. “We zien een flinke toename van ransomware-aanvallen in 2021”, stelt het rapport.

Cyberdreigingsbeeld Onderwijs En Onderzoek 2021 2022 Lr
PDF – 7,5 MB 218 downloads

Meer rapporten? Kijk dan hier »


Nieuwe SessionManager-malware valt Exchange-servers aan

Onderzoekers van Kaspersky hebben een nieuwe malware-variant ontdekt die Microsoft Exchange-servers aanvalt. De zogeheten SessionManager-malware installeert een backdoor op getroffen servers. Volgens de Kaspersky is de SessionManager-malware al 15 maanden actief. Sinds maart 2021 zouden er zo’n 34 servers van 24 bedrijven met de malware besmet zijn. Ongeveer 20 van deze servers zijn nog niet opgeschoond. De securityexperts stellen dat hackersgroep Selenium waarschijnlijk achter de aangetroffen malware zit.

The Session Manager IIS Backdoor
PDF – 1,6 MB 198 downloads

Meer rapporten? Kijk dan hier »


AstraLocker 2.0 infecteert gebruikers rechtstreeks vanuit Word-bijlagen

Een minder bekende ransomware-stam genaamd AstraLocker heeft onlangs zijn tweede grote versie uitgebracht en volgens bedreigingsanalisten houden de operators zich bezig met snelle aanvallen die de payload rechtstreeks uit e-mailbijlagen laten vallen. Deze aanpak is vrij ongebruikelijk omdat alle tussenstappen die typisch kenmerkend zijn voor e-mailaanvallen er zijn om detectie te omzeilen en de kans op het verhogen van rode vlaggen op e-mailbeveiligingsproducten te minimaliseren. Volgens ReversingLabs, dat AstraLocker-operaties heeft gevolgd, lijken de tegenstanders zich niets aan te trekken van verkenning, evaluatie van waardevolle bestanden en laterale netwerkbewegingen. In plaats daarvan voeren ze "smash-n-grab" -aanvallen uit om zijn onmiddellijke hit met maximale kracht te bereiken, gericht op een snelle uitbetaling.

Astra Locker 2 0 Infecteert Gebruikers Rechtstreeks Vanuit Word Bijlagen
PDF – 1,1 MB 204 downloads

Meer rapporten? Kijk dan hier »


Knauf Groep (B) getroffen door cyberaanval

De Knauf Groep is woensdag het slachtoffer geworden van een cyberaanval. Zijn wereldwijde informaticasysteem ligt plat. De Belgische vestigingen in Wezet en Engis, in de provincie Luik, zijn ook getroffen maar de productielijnen blijven draaien. De producent van bouwmaterialen zegt in de verklaring op zijn website dat zijn cyberbeveiligingssysteem onmiddellijk gereageerd heeft en dat het IT-team 'het incident kon isoleren'. Bepaalde digitale diensten zijn uit voorzorg stopgezet en er wordt verder onderzoek verricht. Het bedrijf zegt alles in het werk te stellen om de gevolgen voor zijn klanten en partners in te perken en te werken aan een veilige heropstart. 'Momenteel is het informaticasysteem geblokkeerd om te voorkomen dat het probleem zich uitbreidt', zegt Olivier Douxchamps, manager van de Knauf Insulation-vestiging in Wezet, aan Belga. 'We weten niet hoe lang dat zal duren en doen onze administratie dus even op papier.' De groep verwacht de leveringen aan de klanten tegen het weekend te kunnen hervatten, maar benadrukt de productie niet onderbroken werd. Knauf stelt wereldwijd meer dan 40.000 mensen tewerk in ruim 300 fabrieken in 90 landen. Het bedrijf werd in 1974 in België opgericht.


Nieuwe Baal Ransomware


Helft aanvallen met ransomware komt van acht groepen

Onderzoek wijst uit dat ransomwaregroepen in essentie doorgaans allemaal dezelfde fasering in hun aanvallen toepassen en daarbij ook dezelfde, vaak gebruikte tools inzetten. Toch is niet makkelijk preventief actie te ondernemen tegen die tools en werkwijzen, anders dan bekende lekken in software van patches voorzien zodra die beschikbaar zijn. Deze conclusies trekt Kaspersky Labs uit onderzoek (pdf) naar de handelwijzen van acht van de meest actieve ransomwaregroepen. Samen blijken deze groepen goed voor meer dan de helft van de aanvallen in de periode maart 2021 tot maart 2022, meldt Venturebeat. De stadia in de aanvallen vertonen opmerkelijk veel overeenkomsten: Binnendringen op het netwerk van het slachtoffer, malware injecteren, onderzoek doen naar de opbouw van het netwerk, zoeken naar rechten op het netwerk, wissen van schaduwkopieën, verwijderen van backups en uiteindelijk de zaak op slot gooien en losgeld eisen. Kaspersky onderzocht de werkwijzen van de ransomwaregroepen Conti/Ryuk, Pysa, Clop (TA505), Hive, Lockbit2.0, RagnarLocker, BlackByte en BlackCat. Ze richten zich vooral op organisaties in de Verenigde Staten, Groot-Brittannië en Duitsland. In totaal vielen ze meer dan 500 organisaties aan gedurende de periode die werd onderzocht. Een verklaring voor de grote gelijkenis tussen de strategieën tools die worden ingezet door verschillende groepen, is de opkomst van een fenomeen genaamd ransomware-as-a-service. De groepen nemen geautomatiseerde tools van een dienstverlener af om malware bij slachtoffers af te leveren. Ondanks de standaardisatie bij het aflevermodel is het volgens Kaspersky nog niet eenvoudig om die als basis te nemen voor verweer tegen de aanvallen. Er zijn domweg te veel 'threat vectors' in het spel om een effectieve verdediging in te stellen. Tijdig patchen blijft het devies volgens de IT-beveiliger.


Nieuwe RedTeam ransomware


FBI waarschuwt voor ransomware die organisaties via rdp binnendringt

De FBI en verschillende andere Amerikaanse overheidsinstanties hebben een gezamenlijke waarschuwing gegeven (pdf) voor ransomware die voornamelijk via kwetsbare rdp-configuraties organisaties binnendringt. Het zou dan gaan om rdp-systemen die kwetsbaar voor bruteforce-aanvallen zijn. Daarnaast gebruiken de criminelen achter de MedusaLocker-ransomware ook e-mailbijlagen als aanvalsvector. MedusaLocker wordt aangeboden als Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. De verspreider van de ransomware krijgt zo'n zestig procent van het losgeld, de rest gaat naar de ontwikkelaar. Eenmaal actief op een systeem schakelt MedusaLocker bepaalde beveiligings-, boekhoud en forensische software uit, zo laten de Amerikaanse overheidsdiensten weten. Vervolgens wordt de machine in veilige modus herstart om detectie door beveiligingssoftware te voorkomen. Hierna worden allerlei bestanden versleuteld en lokale back-ups en shadow kopieën verwijderd. Tevens schakelt de ransomware verschillende herstelopties van het besturingssysteem uit. In de waarschuwing geeft de FBI verschillende Indicators of Compromise, zoals gebruikte bitcoinwallets, e-mailadressen en ip-adressen, die organisaties kunnen gebruiken om zich te beschermen. Ook worden tips gegeven om infecties te voorkomen, zoals het uitschakelen van ongebruikte poorten, updaten van software, verplichten van multifactorauthenticatie en het focussen op cybersecurity awareness en training.


Netwalker affiliate pleit schuldig

De Canadese Netwalker ransomware-partner Sebastien Vachon-Desjardins pleitte schuldig aan hack aanklachten van de Amerikaanse DOJ.

Gov Uscourts Flmd 386126 33 0
PDF – 389,0 KB 273 downloads

Macmillan sluit systemen af na waarschijnlijke ransomware-aanval

Uitgeverij gigant Macmillan werd gedwongen om hun netwerk en kantoren af te sluiten terwijl ze herstelden van een beveiligingsincident dat een ransomware-aanval lijkt te zijn. De aanval vond naar verluidt plaats in het weekend, op zaterdag 25 juni, waarbij het bedrijf al hun IT-systemen afsloot om de verspreiding van de aanval te voorkomen. Publishers Weekly rapporteerde voor het eerst over het incident en zag e-mails van Macmillan waarin stond dat ze een "beveiligingsincident hadden gehad, waarbij bepaalde bestanden op ons netwerk worden versleuteld." Het gebruik van encryptie bij de aanval geeft aan dat het om een ransomware-aanval ging. Sindsdien zijn Macmillan-redacteuren ongewoon transparant geweest over het beveiligingsincident en hebben ze agenten en klanten verteld dat ze niet worden genegeerd, maar de toegang tot hun systemen, e-mails en bestanden hebben verloren.


Ransomware LockBit: honderd slachtoffers per maand in de eerste helft

In de eerste helft van het jaar werden meer dan 420 slachtoffers geëist op de darkweb site van de LockBit 2.0-franchise. Dit cijfer is lager dan de werkelijkheid. Maar in welke mate? Het onderzoek van aanwijzingen in de broncode van de showcase site brengt een nieuw licht... op het niveau van activiteit van de franchise, maar ook op het percentage slachtoffers dat mogelijk heeft ingestemd met het betalen van losgeld. Uitleg.


Black Basta Ransomware Operators breiden hun aanvalsarsenaal uit met QakBot Trojan en PrintNightmare Exploit

We kijken naar een recente aanval georkestreerd door de Black Basta ransomware-groep die de banktrojan QakBot gebruikte als een middel voor toegang en beweging en misbruik maakte van de PrintNightmare-kwetsbaarheid om geprivilegieerde bestandsbewerkingen uit te voeren.

Black Basta Ransomware Operators Expand Their Attack Arsenal With Qak Bot Trojan And Print Nightmare Exploit
PDF – 922,2 KB 238 downloads

Meer rapporten? Kijk dan hier »


Russische hackers leggen Noorse sites plat

Noorwegen is het slachtoffer geworden van een cyberaanval door Russische hackers. De aanval is waarschijnlijk een vergelding voor het blokkeren van goederentransporten voor Russen die op Spitsbergen werken. Eerder had Moskou met tegenmaatregelen gedreigd. Volgens de Noorse veiligheidsdienst NSM legden de hackers een reeks sites plat, waaronder het identificatiesysteem voor Noorse banken en de site van een van de belangrijkste kranten. De NSM onderzoekt nu of het om een door de staat gelanceerde cyberaanval gaat. Dezelfde groep hackers viel eerder deze week ook een reeks instellingen aan in Litouwen. Dat was volgens hen uit protest tegen het blokkeren van goederentransporten naar de Russische exclave Kaliningrad door de Litouwse autoriteiten. Volgens Litouwen gaat het slechts om enkele goederen die onder de EU-sancties tegen Rusland vallen. Tot woede van Rusland hield Noorwegen vorige maand 7 ton aan goederen tegen die bestemd waren voor het personeel van Artikoegol, een Russische kolenmijn op de noordelijke eilandengroep. De goederen waren over land onderweg naar de havenstad Tromsø, van waaruit ze per schip naar Spitsbergen zouden gaan. Volgens Moskou gaat het om voedsel, medicijnen en bouwmateriaal. Konstantin Kozatsjov, de voorzitter van de buitenlandcommissie van de Russische Senaat, noemde het tegenhouden van de goederen een ‘schending van de mensenrechten’. Volgens hem gaat het afknijpen van de bevoorrading van de kolenmijn bij Barentsburg ook in tegen het uit 1920 daterende Spitsbergenverdrag. Daarin kreeg Noorwegen de soevereiniteit over de eilandengroep, maar mogen burgers uit de andere landen die bij het verdrag zijn aangesloten daar, op gelijke voet met de Noren, ook economisch actief zijn. In de praktijk is Rusland het enige andere land dat naast Noorwegen op Spitsbergen bedrijven heeft, waaronder de steenkolenmijn in Barentsburg. In de Sovjet-tijd werkten daar 2.500 mijnwerkers, maar het zijn er nu nog maar 500, van wie een deel de Oekraïense nationaliteit heeft. Volgens Kozatsjov heeft Noorwegen onder het verdrag geen recht beperkingen op te leggen aan schepen en transporten van en naar Spitsbergen. Een andere Russische senator waarschuwde al dat de kwestie vragen oproept over ‘de soevereiniteit van Noorwegen over de eilandengroep’. De Noorse minister van Buitenlandse Zaken Anniken Huitfeldt wimpelde de Russische kritiek af. Zij erkende dat Noorwegen zijn havens en zijn grondgebied in het kader van de EU-sancties heeft gesloten voor goederenvervoer uit Rusland. Maar volgens haar had Rusland de goederen zonder probleem vanuit Moermansk per schip kunnen vervoeren naar Spitsbergen, waar Russische schepen wel toegelaten worden. Zeker na de Russische inval in Oekraïne worden de Russische activiteiten op Spitsbergen in Noorwegen met de nodige achterdocht gevolgd. De eilandengroep is voor beide partijen interessant vanwege de strategische ligging aan de route voor de Russische Noordelijke Vloot naar de Atlantische Oceaan.


Maaltijddienst Apetito getroffen door cyberaanval

Maaltijddienst Apetito is afgelopen zaterdag getroffen door een ransomwareaanval. Hierdoor heeft de dienst niet tot nauwelijks toegang tot de computersystemen, schrijft Apetito. Apetito verzorgt maaltijden voor ouderen, wat moeilijker verloopt door de cyberaanval. De dienst laat woensdag weten dat het contact heeft gehad met "nagenoeg alle klanten" en dat het probeert om die "zo goed mogelijk van maaltijden te blijven voorzien". Klanten die nog niets hebben vernomen, worden verzocht om met de dienst contact op te nemen via Facebook Messenger. Apetito belooft om dan zo spoedig mogelijk te reageren. Het bedrijf kan moeilijk inschatten hoelang het nog met de gevolgen van de aanval blijft kampen en wanneer het in staat is om op de gebruikelijke manier maaltijden te bezorgen. Het e-mailadres en het algemene telefoonnummer zijn nog niet bereikbaar. Apetito, dat is gevestigd in Duitsland, heeft aangifte gedaan bij de lokale politie. Ook is er een melding gemaakt bij het Centrale Aanspreekpunt voor Cybercriminaliteit in Keulen en de Autoriteit Persoonsgegevens in Nederland. Het is nog niet bekend wie achter de aanval zit en of er losgeld is geëist.

Apetito Slachtoffer Van Internationale Cyber Aanval
PDF – 119,3 KB 187 downloads

Hive Ransomware Decryptor uitgebracht (versie 1 ~ versie 4)

Het Korea Internet & Security Agency (KISA) implementeert een geïntegreerde hersteltool voor Hive-ransomware. Deze hersteltool kan Hive ransomware versies 1 tot en met 4 herstellen. Voor instructies over het gebruik van de hersteltool raadpleegt u de bijgevoegde handleiding.

*Wij zijn niet verantwoordelijk in het geval van problemen veroorzaakt door misbruik.


Hoe kan een ransomware groepering zoveel slachtoffers maken?

Op 28 Juni kwam er een persbericht uit dat Artis geraakt was door ransomware en dat er een miljoen Euro ransomware bail te betalen in bitcoin werd geeist. Voor een dierentuin die nog aan het herstellen is van de Corona lockdowns is dat erg veel geld en de kans dat ze het gaan betalen is erg klein. Het is verder niet bekend gemaakt om welke ransomware groepering het gaat. Aangezien het meestal tussen de 3 en de 7 dagen duurt eer een ransomware groepering hun slachtoffer exposed op de shame en blame pagina’s zal het nog wel een paar dagen duren voordat er bekend word over welke groepering het gaat.Volgens Erik Westhovens, oprichter van Ransomwared is het met name bij Karakurt lastig om vast te stellen of het om deze groepering gaat omdat ze het op hun bail pagina’s niet bekend maken. "Daarnaast zijn alleen op woensdag 29 Juni maar liefst 31 nieuwe slachtoffers bekend geworden die door een ransomware aanval van Karakurt getroffen zijn. De grote vraag die nu ontstaat is: Hoe kan het dat een ransomware groepering die normaal 5 tot 10 slachtoffers maakt opeens 31 slachtoffers maakt op 1 dag?"Het antwoord is veel simpeler dan gedacht en ook meteen heel schrikbarend, vindt Westhovens: "Karakurt maakt net als een paar andere groeperingen misbruik van een oude bekende in een nieuw jasje. Qbot oftewel Qakbot. Gebruikers krijgen via email een word of excel bestand toegestuurd wat ogenschijnlijk met een digital signature is beschermd. Om het document te lezen moeten ze in Office op een optie klikken die het content ontsluit. Het bestand maakt dan een connectie naar een Qbot c2 servers waar de payload word gedownload en op het apparaat van de gebruiker word geactiveerd. De payload installeert dan een bestandje en met behulp van regsvr32 en curl word het bestandje als een hidden service toegevoegd en is het device geïnfecteerd. Daarna word er een connectie gemaakt naar een cobaltstrike C2 server waarvandaan de aanval gestart word."Het grote probleem in cybersecurity land is dat dit bijna niet te detecteren is en bestaand xdr en antivirus er geen signaal op afgeeft waardoor de infectie ongemerkt blijft en zich makkelijk kan verspreiden. "Met behulp van custom detection rules zijn er wel mogelijkheden om het te detecteren, maar voor de meeste bedrijven, en zeker in het MKB ontbreekt het aan de kennis om deze rules goed te implementeren. Er staat ons nog wat naar nieuws te wachten de komende paar weken zolang we geen goed antwoord hebben op deze methode", aldus Erik Westhovens.


Ransomwarebesmettingen eerste kwartaal al verdubbeld ten opzichte van 2021

Het totale aantal ransomwarebesmettingen was in het eerste kwartaal van dit jaar al verdubbeld ten opzichte van heel 2021. Dat concludeert WatchGuard Technologies in de nieuwste editie van het Internet Security Report. De securityspecialist signaleert daarnaast een groei in Powerscript-aanvallen en kwaadaardige cryptomining. Het Internet Security Report informeert organisaties over het actuele dreigingslandschap en draagt best practices voor IT-beveiliging aan.

WG Threat Report Q 1 2022
PDF – 2,8 MB 272 downloads

Meer rapporten? Kijk dan hier »


Verschillende Noorse publieke en private instellingen zijn de afgelopen 24 uur slachtoffer geworden van een ddos-aanval

Rusland beschuldigt Noorwegen ervan het transport van goederen naar door Russen bewoonde nederzettingen op de Arctische eilandengroep Spitsbergen tegen te houden. Het land roept Oslo op de kwestie zo snel mogelijk op te lossen, of de gevolgen te aanvaarden. Wat die gevolgen zijn, heeft Rusland niet gezegd. De Noorse autoriteiten zouden als reden voor de weigering wijzen op de sancties tegen Rusland die zijn opgelegd vanwege de oorlog van het land tegen Oekraïne. Rusland heeft bij de Noorse zaakgelastigde geprotesteerd tegen de restricties, waardoor voedsel en medisch materieel zouden worden tegengehouden. Spitsbergen is onderdeel van Noorwegen, hoewel Rusland volgens een verdrag uit 1920 het recht heeft op exploitatie van de natuurlijke grondstoffen. Verschillende Noorse publieke en private instellingen zijn de afgelopen 24 uur slachtoffer geworden van een ddos-aanval, meldde de Noorse veiligheidsautoriteit NSM woensdag. Een criminele pro-Russische groep lijkt volgens de NSM achter de aanvallen te zitten. Of de cyberaanvallen te maken hebben met het tegenhouden van het transport, is onbekend. De aanvallen richtten zich op instellingen die belangrijke diensten leveren, aldus de NSM, maar om welke instellingen het gaat is niet bekendgemaakt. De website van de Noorse arbeidsinspectie was woensdag onbereikbaar. Volgens Noorse media zou de arbeidsinspectie een van de aangevallen instellingen zijn. "We hebben recent soortgelijke aanvallen in andere landen gezien, hoewel geen van hen enige blijvende impact heeft gemeld", zegt NSM-directeur Sofie Nystroem. Wel wees ze er daarbij op dat dit soort aanvallen kan leiden tot onzekerheid onder de bevolking. Noorwegen meldde woensdag drie meervoudige raketlanceersystemen te doneren aan Oekraïne. Het land volgt daarmee soortgelijke beslissingen van het Verenigd Koninkrijk, Duitsland en de Verenigde Staten. Het afleveren van het raketsysteem, dat een beter bereik heeft en preciezer werkt dan de Russische artillerie, wordt samen met het Verenigd Koninkrijk uitgevoerd. Noorwegen stuurt ook nog eens vijfduizend granaten naar Oekraïne, naast de vijfduizend die al eerder werden gestuurd. Kiev heeft meermaals bondgenoten opgeroepen meer zwaar wapengeschut te sturen. De Oekraïense strijdkrachten worden teruggedrongen door het Russische leger in de regio Donbas in het oosten van Oekraïne. "We moeten doorgaan met het ondersteunen van Oekraïne zodat zij hun strijd voor vrijheid en onafhankelijkheid kunnen voortzetten", zet de Noorse defensieminister Bjorn Arild Gram.


Nieuwe Warlocks Ransomware


RansomHouse cybercriminelen claimen hack op AMD inc

RansomHouse, een bende die eerder al grote bedrijven digitaal binnendrong en afperste, beweert op darkweb dat het data heeft van chipmaker AMD. De bende beweert dat een partner een jaar geleden op hun bedrijfsnetwerk geraakte en daar tot begin dit jaar toegang had tot gegevens. RansomHouse zegt dat er geen ransomware werd gebruikt, maar dat AMD zeer eenvoudige wachtwoorden gebruikte om hun netwerken te beschermen. Het wil AMD naar eigen zeggen niet chanteren om te betalen, maar de bende wil de data graag aan anderen verkopen. Wat die data precies is, en of ze echt is, blijft wel onduidelijk. 


Criminelen achter LockBit-ransomware starten eigen bugbountyprogramma

De criminelen achter de LockBit-ransomware zijn een eigen bugbountyprogramma gestart, waarbij ze onder andere beloningen uitloven voor het melden van kwetsbaarheden in de website van de groep en het encryptieproces van de ransomware. Dat laten verschillende beveiligingsonderzoekers op Twitter weten. Volgens securitybedrijf NCC Group was de LockBit-groep de meest actieve ransomwaregroep in mei en zou zeker 95 organisaties hebben getroffen. Eerder dit jaar liet ook de FBI weten dat LockBit tot de meest actieve ransomwaregroepen behoort. Het komt nog altijd voor dat onderzoekers kwetsbaarheden in ransomware vinden waardoor bijvoorbeeld bestanden gratis zijn te ontsleutelen of het versleutelen van bestanden kan worden gestopt. Recentelijk toonde een onderzoeker hoe de LockBit-ransomware op een besmet systeem is uit te schakelen, zonder dat bestanden worden versleuteld. Op de eigen website laat de LockBit-groep nu weten dat het een bugbountyprogramma is gestart, met beloningen van tussen de duizend en één miljoen dollar. De beloningen zijn voor kwetsbaarheden in de website van de groep, problemen in het encryptieproces waardoor bestanden zonder decryptor zijn te ontsleutelen en kwetsbaarheden in TOX Messenger en het Tor-netwerk waardoor het ip-adres van de LockBit-server is te achterhalen. Daarnaast loven de criminelen ook beloningen uit voor "briljante ideeën" en het doxxen van de programmamanager. Wie de leider van de groep weet te identificeren zou één miljoen dollar krijgen.


Nieuwe BlueSky ransomware


Artis getroffen door ransomware: hackers eisen 1 miljoen losgeld

Dierentuin Artis in Amsterdam is vandaag getroffen door een aanval met ransomware, waarbij computersystemen worden gegijzeld. Sommige systemen van Artis, zoals die voor online-kaartverkoop, werken door de cyberaanval momenteel niet. De cybercriminelen eisen 1 miljoen euro aan losgeld, te betalen in cryptomunten. Wie achter de hack zitten, is volgens Artis nog niet bekend. "Er zijn direct maatregelen getroffen om verdere toegang tot onze systemen te voorkomen." De dierentuin heeft aangifte gedaan bij de politie. Artis weet nog niet of de cybercriminelen persoonsgegevens hebben gestolen of toegang hebben gehad tot e-mails. "Het is niet bekend tot welke delen van ons netwerk ze toegang hebben gehad en of er gegevens zijn gestolen", zegt een woordvoerder. "We werken samen met externe cyberspecialisten aan een onderzoek en het bepalen van de juiste vervolgstappen." Uit voorzorg heeft de dierentuin ook melding gemaakt bij de Autoriteit Persoonsgegevens. Artis is ondanks de aanval gewoon open. Micropia en het Groote Museum waren dinsdag wel gesloten. "We hebben die twee locaties uit voorzorg gesloten omdat we daar niet de optimale bezoekerservaring konden bieden", vertelt de woordvoerder. Vanaf woensdagochtend zijn Micropia en het Groote Museum weer geopend. Door de cyberaanval is het online-ticketsysteem momenteel niet beschikbaar, waardoor het niet mogelijk is via internet kaartjes te kopen. Het is nog niet bekend wanneer dat systeem weer beschikbaar komt. Kaartjes zijn wel aan de kassa te koop, zegt de woordvoerder. 

ARTIS Doelwit Van Cyberaanval
PDF – 81,4 KB 179 downloads

Vice Society claimt ransomware-aanval op Med. Universiteit van Innsbruck (Oostenrijk)

De Ransomware-bende van de Vice Society heeft de verantwoordelijkheid opgeëist voor de cyberaanval van vorige week op de Medische Universiteit van Innsbruck, die ernstige verstoring van de IT-service en de vermeende diefstal van gegevens veroorzaakte. De onderzoeksuniversiteit heeft 3.400 studenten en 2.200 medewerkers en biedt uitgebreide medische zorgdiensten, waaronder operaties. De Oostenrijkse universiteit maakte op 20 juni 2022 een IT-storing bekend, waardoor de toegang tot online servers en computersystemen werd beperkt. Op 21 juni 2022 ging het IT-team van de universiteit verder met het resetten van alle accountwachtwoorden van 3.400 studenten en 2.200 werknemers en belde iedereen om een handmatig proces te doorlopen om persoonlijk hun nieuwe inloggegevens te verzamelen. In de dagen die volgden, herstelde de universiteit geleidelijk haar online diensten en keerde de activiteiten terug naar haar hoofdsite, die eerder offline was gehaald. De universiteit heeft echter alleen vermeld dat ze werden aangevallen, maar gaf geen verdere details in hun gepubliceerde verklaringen en statusupdates..


Fitzgibbon Ziekenhuis getroffen door ransomware

Zaterdag ontving de Amerikaanse AP  informatie die wees op een aanval op het Fitzgibbon-ziekenhuis in Missouri. De groep die de verantwoordelijkheid opeist, noemt zichzelf 'Daixin Team'. Het is geen naam die eerder bekend was bij het AP. Hun darkweb site bevatte naar verluidt bestanden van Fitzgibbon ziekenhuis.


Russische hackergroep claimt cyberaanval op Litouwen na spoorblokkade

Overheidsinstellingen en bedrijven in Litouwen zijn maandag getroffen door een DDoS-aanval, waardoor websites onbereikbaar waren. Dat meldt het Litouwse ministerie van Defensie. De Russische hackersgroep 'Killnet' eiste de verantwoordelijkheid op en zegt dat de aanval een reactie is op het besluit van Litouwen om de doorvoer van goederen naar de Russische exclave Kaliningrad te blokkeren. "De aanval gaat door totdat Litouwen de blokkade opheft", zei een woordvoerder van de zogeheten Killnet-groep tegen persbureau Reuters. Het Litouwse cyberveiligheidscentrum acht het zeer waarschijnlijk dat de aanvallen de komende dagen doorgaan, vooral in de transport-, energie- en financiële sector. Kaliningrad ligt ingeklemd tussen Litouwen en Polen. Het is verbonden met de rest van Rusland via een spoorverbinding die door Litouwen loopt. Rusland dreigde Litouwen vorige week met "serieuze consequenties" vanwege het doorvoerverbod, waardoor de toevoer van steenkool en metalen naar Kaliningrad via het spoor is stopgezet. De actie van Litouwen volgt uit sancties die de Europese Unie heeft opgelegd aan Moskou om de oorlog in Oekraïne.


Russische hackers vallen Litouwen aan vanwege spoorblokkade

Litouwse overheden en bedrijven zijn slachtoffer van een grote cyberaanval, zegt het ministerie van Defensie van Litouwen, dat onderdeel is van de EU en de NAVO. De Russische hackergroep 'Killnet' heeft de verantwoordelijkheid opgeëist. De hackersgroep zegt dat de aanval een reactie is op het besluit van Litouwen om de doorvoer van goederen naar de Russische exclave Kaliningrad te blokkeren. "De aanval zal doorgaan totdat Litouwen de blokkade opheft", zei een woordvoerder van de Killnet-groep tegen Reuters. "We hebben tot nu toe 1652 websites gesloopt." Het Litouwse cyberveiligheidscentrum acht het zeer waarschijnlijk dat de aanvallen de komende dagen doorgaan, vooral in de transport-, energie- en financiële sector. Kaliningrad ligt ingeklemd tussen Litouwen en Polen. Het is verbonden met de rest van Rusland via een spoorverbinding die door Litouwen loopt. Rusland dreigde Litouwen vorige week met "serieuze consequenties" vanwege het doorvoerverbod, waardoor de toevoer van steenkool en metalen naar Kaliningrad via het spoor is stopgezet. De actie van Litouwen volgt uit sancties die de Europese Unie heeft opgelegd aan Rusland vanwege de oorlog in Oekraïne. 


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »