Overzicht cyberaanvallen week 28-2022

Gepubliceerd op 18 juli 2022 om 15:00

Mkb-bedrijven doelwit van aanvallen met H0lyGh0st-ransomware, Microsoft waarschuwt voor actief aangevallen zerodaylek in Windows en Bandai Namco bevestigt gehackt te zijn. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 5.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes omdat ze weigerden te betalen. Als je betaald wordt er geen data gelekt en kom je niet op deze lijst.. ‘Zo'n 80% van de organisaties betaalt losgeld’ 🤔

Update: 18-juli-2022 | Aantal slachtoffers: 5.921


Week overzicht

Slachtoffer Cybercriminelen Website Land
ryanhanley.ie LV ryanhanley.ie Ireland
Eka(Business/Productivity Software) Karakurt www.eka1.com USA
sig.id LockBit sig.id Indonesia
Oklahoma Ordnance Works Authority LV Unknown USA
ryanhanley.ie LV ryanhanley.ie Ireland
ISGEC Heavy Engineering BianLian www.isgec.com India
VERITAS Solicitors BianLian www.veritassolicitors.co.uk UK
Conway Electrics BianLian www.conwayelectrics.com.au Australia
M**** BianLian Unknown Unknown
Carrolls Irish Gifts Hive www.carrollsirishgifts.com Ireland
Metropolitan Associates Karakurt www.metapts.com USA
C2CORP Black Basta www.c2imaging.com USA
KNAUF Black Basta www.knauf.com Germany
ttdwest Black Basta www.ttdwest.com USA
WALLWORKINC Black Basta www.wallworktrucks.com USA
augustacoop Black Basta www.augustacoop.com USA
paradise Black Basta www.dillonprecision.com USA
Montmorency College AvosLocker cmontmorency.qc.ca Canada
Rain the Growth Agency BianLian www.rainforgrowth.com USA
Unisuper S.A. BlackCat (ALPHV) www.supermercadoslatorre.com Guatemala
duda.com BlackCat (ALPHV) duda.com USA
viera.com BlackCat (ALPHV) viera.com USA
vierabuilders.com BlackCat (ALPHV) vierabuilders.com USA
Podhurst Orseck BlackCat (ALPHV) www.podhurst.com USA
iis.ac.uk LockBit iis.ac.uk UK
Mackenzie Medical BianLian www.mackenziemedical.com Canada
Anderson Insurance Associates BianLian www.aiasc.com USA
High Power Technical Services BianLian www.hpts.tv USA
Mooresville Schools BianLian www.mooresvilleschools.org USA
American International Industries Quantum www.aiibeauty.com USA
Makeready Karakurt makereadyexperience.com USA
Shanghai Hanbell Precise Machinery Co Ltd Karakurt www.hanbell.com.cn China
Summit Care RansomHouse www.summitcare.net USA
Uppco Lorenz www.uppco.com USA
PSA BlackByte www.psa.org.nz New Zealand
vlp.nl LockBit vlp.nl Netherlands
Maxey Moverley 0mega www.maxeymoverley.com UK
The Royal Commission for Riyadh City (RCRC) BlackCat (ALPHV) www.rcrc.gov.sa Saudi Arabia
Bandai Namco BlackCat (ALPHV) www.bandainamcoent.com Japan
Hydraelectric BlackCat (ALPHV) hydraelectric.com USA
Pontal Engineering Everest pontalengenharia.com.br Brazil
Meritus Karakurt merituscommunities.com USA

In samenwerking met DarkTracer


Gevolgen van Log4j-kwetsbaarheid kunnen nog jaren aanhouden

De kwetsbaarheid Log4j kan nog zeker tien jaar cybersecurity problemen blijven veroorzaken. Dat staat in een rapport van de Cyber Safety Review Board (CSRB), die deel uitmaakt van de Amerikaanse veiligheidsdienst Homeland Security.

CSRB Report On Log 4 July 11 2022 508
PDF – 1,5 MB 280 downloads

De juridische consequenties van ransomwarebetalingen

De juridische consequenties van het wel of niet betalen van ransomware hangen als een donkere schaduw boven het bedrijfsleven, vooral nu deze aanvallen steeds vaker voorkomen en steeds geavanceerder worden. Ransomware blijft de belangrijkste bedreiging voor mkb-ondernemers en grote ondernemingen die actief zijn in de gezondheidszorg, de retail, de productie en andere vitale sectoren, zo staat te lezen in het Acronis Cyberthreats Report 2022.

White Paper Acronis Cyber Threats Report 2022 EN US
PDF – 5,8 MB 209 downloads

Black Basta is een van de meest succesvolle ransomware gangs

Sinds einde maart zagen we opeens een relatief nieuwe ransomware groepering die snel slachtoffers maakte. En niet zomaar slachtoffers, maar ook diverse grote bedrijven. Door de snelheid waarmee ze werkten wekte dit wel enige verbazing. De leden achter deze groepering staan zeker niet voor het eerst op het toneel en kennen het klappen van de zweep. Maar hoe maken ze dan zo snel zo veel slachtoffers? Security expert Erik Westhovens licht dit nader toe in deze blog.BlackBasta maakt gebruik van wat we tegenwoordig Qbot of Qakbot noemen. Het massaal versturen van emails met attachements waarbij de gebruiker eerst enable editing moet klikken om het document te openen en daarmee halen ze naast een stukje RTF code ook de malware binnen.Deze malware (Wacatac, Presenoker en nog wat van die namen) infecteert het device en voert verborgen in normale windows processen zijn destructieve werk uit. Denk aan Reconnaissance, data en credential collection en lateral movement. Ze halen veel informatie over de omgeving en het domein waartoe het device behoort en infecteren servers met de malware en Command shells. Zodra ze binnen zijn gaan ze snel op zoek naar de domein controllers waarbij ze lateral movement doen via PSexec en als ze op de domein controller binnen zijn creëren ze een GPo die Defender en andere antivirus uitschakelt. Wat vooral opvalt is de snelheid waarmee ze te werk gaan en de destructiviteit. Zeker bij Vmware omgevingen gaan ze snel op zoek naar de ESXi servers en leggen deze geheel plat waarna ze de VM's encrypten.Gezien de destructieve taken die ze uitvoeren en het vernietigen van de backups blijft voor veel bedrijven niet veel andere keuze over dan betalen waarmee ze deze misdaad in stand houden. Bedrijven die op Intune zitten kunnen veel ellende makkelijk voorkomen door Windows Defender binnen Intune in te schakelen en een configuration profile MDMoverGPO aan te maken waardoor de gehanteerde techniek niet werkt omdat MDM defender keihard enabled. Aangevuld met Antitamper maken ze veel minder kans om daadwerkelijk de omgeving geheel te infecteren.


Botnet van 5000 servers en virtual machines achter grote ddos-aanval van juni

Een botnet van vijfduizend gekaapte servers en virtual machines was verantwoordelijk voor de grootste ddos-aanval via https die internetbedrijf Cloudflare ooit te verwerken kreeg. Het Mantis-botnet, zoals Cloudflare het noemt, wist afgelopen juni tijdens een ddos-aanval 26 miljoen https-requests per seconde te genereren. Dat is gemiddeld 5200 https-requests per seconde per bot. "Het genereren van 26 miljoen http-requests is al lastig genoeg zonder de extra overhead van het opzetten van een beveiligde verbinding, maar Mantis deed dit over https. Https-ddos-aanvallen zijn vanwege het opzetten van een versleutelde tls-verbinding veel kostbaarder in termen van de vereiste rekenkracht", zegt Omer Yoachimik in een analyse van het botnet. Volgens Cloudflare is het Mantis-botnet dan ook het krachtigste botnet van dit moment. In tegenstelling tot veel andere botnets die uit gecompromitteerde Internet of Things-apparaten bestaan, zoals ip-camera's en digitale videorecorders, bestaat het Mantis-botnet uit gekaapte virtual machines en krachtige servers, aldus Yoachimik. "Dit houdt in dat elke bot veel meer rekenkracht heeft, met als resultaat deze gecombineerde kracht." Het botnet zou vooral worden ingezet voor het aanvallen van bedrijven in de internet- en telecomsector, gevolgd door nieuwswebsites. Daarbij zijn vooral Amerikaanse en Russische bedrijven het doelwit, zo claimt Cloudflare.


Microsoft: mkb-bedrijven doelwit van aanvallen met H0lyGh0st-ransomware

Sinds vorig jaar juli zijn mkb-bedrijven het doelwit van aanvallen met de H0lyGh0st-ransomware, zo stelt Microsoft. Volgens het techbedrijf worden de aanvallen door een Noord-Koreaanse actor uitgevoerd, mogelijk in opdracht van de Noord-Koreaanse overheid. Microsoft vermoedt dat de aanvallen een financieel motief hebben, vermoedelijk om inkomsten voor de verzwakte Noord-Koreaanse economie te genereren. Bedrijven die door de H0lyGh0st-ransomware zijn getroffen moeten bedragen tussen de 1,2 en 5 bitcoin betalen voor het ontsleutelen van hun data. Wanneer ondernemingen niet betalen stellen de aanvallers dat ze gestolen data van de organisatie openbaar maken. Op basis van gevonden bitcoinwallets stelt Microsoft dat de aanvallers sinds het begin van deze maand geen losgeld van hun slachtoffers hebben ontvangen. Hoe de aanvallers precies toegang tot de netwerken van slachtoffers weten te krijgen is onbekend. Mogelijk maken ze misbruik van bekende kwetsbaarheden in webapplicaties en contentmanagementsystemen (CMS). Het zou onder andere om CVE-2022-26352 gaan, een kritieke kwetsbaarheid in het cms-platform DotCMS. Naast een waarschuwing voor de ransomware heeft Microsoft ook verschillende indicators of compromise (IoC's), zoals ip-adressen, bestanden en hashes, gepubliceerd die organisaties kunnen gebruiken om eventuele aanvallen te detecteren.

North Korean Threat Actor Targets Small And Midsize Businesses With H 0 Ly Gh 0 St Ransomware
PDF – 772,3 KB 210 downloads

Israëlische reisorganisatie gehackt: info 300.000 Israëli’s gelekt

Een Israëlische reisorganisatie is gehackt door Iraanse hackers waardoor informatie over meer dan 300.000 Israëli’s is gelekt. In april van dit jaar eiste een groep pro-Iraanse hackers nog de verantwoordelijkheid op voor een DDoS-cyberaanval die de website van de Israel Airports Authority tijdelijk platlegde. De Israëlische toezichthouder heeft de servers van Gol Tours LTD, die de getroffen websites beheert, in beslag genomen. Volgens de toezichthouder omvat het lek telefoonnummers, adressen, data en locaties van geboekte vakanties en gevoelige medische informatie. De Times of Israël noemt hotel4u.co.il, booking-hotels.co.il, booking-kibbutz.co.il, mlonot.co.il, noapass.co.il, gol.co.il, funtoursisrael.co. il, ortal.net, come2israel.co.il en come2israel.com als de getroffen websites. In reactie op de beschuldigingen dat hij (de eigenaar van de reisorganisatie) niet zou hebben meegeholpen de beveiliging van de sites te optimaliseren, zei de eigenaar van Gol Tours LTD dat de autoriteiten hem slechter hadden behandeld dan de Iraanse hackers ooit hebben gedaan. “De Iraniërs hebben alleen namen en telefoonnummers van onze site gehaald. We hebben geen creditcardnummers in ons systeem.”


Tienduizend organisaties doelwit van phishingaanval met proxyserver

Sinds vorig jaar september zijn meer dan tienduizend organisaties het doelwit van een phishingaanval geworden waarbij aanvallers een proxyserver inzetten om tweefactorauthenticatie te omzeilen en sessiecookies van het doelwit te stelen. De gecompromitteerde accounts worden vervolgens gebruikt voor het plegen van Business Email Compromise (BEC) fraude, zo stelt Microsoft in een analyse. De aanval begint met een e-mail waarin wordt gesteld dat de ontvanger een voicemailbericht kan afluisteren. Wanneer de ontvanger de meegestuurde html-bijlage opent wordt hij doorgestuurd naar een phishingsite. Deze phishingsite draait op een proxyserver die zich tussen de gebruiker en de echte Microsoft-inlogpagina bevindt. Zodra de gebruiker zijn wachtwoord invoert wordt dat naar de echte inlogpagina doorgestuurd. De echte inlogpagina vraagt vervolgens om de multifactorauthenticatie. De proxyserver laat dit verzoek aan de gebruiker zien. Zodra die de authenticatiegegevens invoert worden die doorgestuurd naar de inlogpagina, die een sessiecookie teruggeeft. De aanvaller injecteert het sessiecookie in zijn browser om het authenticatieproces over te slaan, ook als het doelwit van multifactorautenticatie gebruikmaakt, zo laat Microsoft weten. Sinds vorig jaar september zijn meer dan tienduizend organisaties op deze manier aangevallen, waarbij de aanvallers het hebben voorzien op Office 365-gebruikers. De phishingpagina doet zich namelijk voor als de online inlogpagina van Office. Zodra de aanvallers toegang tot een account hebben zoeken ze naar financieel gerelateerde e-mailconversaties of andere mogelijkheden om BEC-fraude te plegen. Bij BEC, waar ook ceo-fraude onder valt, weten aanvallers via bijvoorbeeld phishing of zwakke of hergebruikte wachtwoorden toegang tot e-mailaccounts te krijgen. Via de gekaapte accounts, maar ook door gebruik te maken van gespoofte e-mailadressen of typosquatting, waarbij ze domeinen registreren die op die van een legitieme organisatie lijken, sturen de aanvallers malafide e-mails. Zo doen de oplichters zich bijvoorbeeld voor als leverancier en verzoeken afnemers om betalingen naar andere rekeningen over te maken, of wordt de financiële administratie van een aangevallen organisatie verzocht om bepaalde facturen te betalen, waarbij het geld moet worden overgemaakt naar door de aanvallers opgegeven rekeningen. De door BEC veroorzaakte schade bedroeg tussen juni 2016 en december 2021 ruim 43 miljard dollar, aldus de FBI afgelopen mei. Zodra de aanvallers een geschikte e-mailconversatie vinden proberen ze de fraude te plegen. Om detectie te voorkomen maken de aanvallers een inboxregel aan om toekomstige reacties van het beoogde doelwit te verbergen, alsmede verzonden berichten. Naast een analyse van de phishingaanval heeft Microsoft ook een overzicht gepubliceerd van de verschillende phishingdomeinen die de aanvallers gebruikten.

From Cookie Theft To BEC
PDF – 1,3 MB 274 downloads

Bandai Namco bevestigt gehackt te zijn

Eerder deze week claimde een ransomware groep genaamd ALPHV (ook bekend als BlackCat) Bandai Namco te hebben gehackt. De uitgever bevestigt aan VGC dat ze inderdaad gehackt zijn: “Op 3 juli, 2022, bevestigde Bandai Namco Holdings Inc. dat een ongeautoriseerde derde partij toegang kreeg tot de interne systemen van verschillende Group-bedrijven in Aziatische regio’s (met uitzondering van Japan)”, aldus de uitgever. “Nadat we de ongeautoriseerde toegang bevestigden, hebben we maatregelen genomen zoals het blokkeren van toegang tot de servers om de schade te beperken. Daarbovenop is er een kans dat informatie van klanten gerelateerd aan de Toys and Hobby Business in Aziatische regio’s (met uitzondering van Japan) bij de servers en pc’s zat inbegrepen, en we identificeren momenteel de status van bestaande lekken, de grootte van de schade en doen onderzoek naar de oorzaak.” Toys and Hobby Business is de tak binnen Bandai Namco die zich bezighoudt met de “planning, ontwikkeling, productie en verkoop van speelgoed, capsulespeelgoed, kaarten, zoetwaren en voedsel, kleding, diversen, plastic modellen, prijzen, briefpapier en andere producten”. “We zullen de oorzaak van dit incident blijven onderzoeken en zullen de resultaten, waar gepast, delen. We zullen ook met externe organisaties samenwerken om onze beveiliging in de hele Group te versterken en maatregelen nemen om herhaling te voorkomen. We bieden onze oprechte excuses aan iedereen die hierbij betrokken is, voor enige complicaties of zorgen die dit incident veroorzaken." Vx-underground meldde maandag dat de ALPHV-ransomwaregroep Bandai Namco wilde afpersen. Ransomware is software die gebruikt wordt om geld af te troggelen van slachtoffers. Vaak dreigt men om interne data naar buiten te brengen als er niet betaald wordt.


Criminelen doen zich in phishingaanval voor als behulpzaam securitybedrijf

Verschillende organisaties zijn het doelwit van een phishingaanval geworden waarbij de aanvallers zich voordoen als bekende securitybedrijven en uiteindelijk het personeel vragen om malware te installeren. De aanval begint met een e-mail die van een securitybedrijf afkomstig lijkt en claimt dat het netwerk van de betreffende organisatie is gecompromitteerd. Het securitybedrijf zou dit tijdens een netwerkaudit hebben ontdekt en hierna de it-afdeling van de organisatie hebben gewaarschuwd. Deze afdeling zou vervolgens hebben gezegd dat het securitybedrijf het probleem direct met de medewerkers moet afhandelen. In de e-mail staat een telefoonnummer dat de ontvanger van de phishingmail moet bellen. Zodra er wordt gebeld proberen de aanvallers de medewerker software of malware te laten installeren om toegang tot zijn systeem te krijgen en zo het netwerk verder te compromitteren. Dergelijke "callback campaigns", waarbij personeel wordt verleid om zelf de aanvallers te bellen, komen vaker voor. Met de toegang tot het netwerk zal waarschijnlijk worden geprobeerd om ransomware op de werkstations te verspreiden, aldus CrowdStrike, één van de securitybedrijven waarvan de naam bij de phishingaanvallen is gebruikt.


Microsoft waarschuwt voor actief aangevallen zerodaylek in Windows

Microsoft heeft een actief aangevallen zerodaylek in Windows verholpen waardoor een aanvaller die al toegang tot een systeem heeft systeemrechten kan krijgen. Federale Amerikaanse overheidsinstanties zijn door het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security verplicht om de door Microsoft beschikbaar gestelde update voor 2 augustus te installeren. Het beveiligingslek, aangeduid als CVE-2022-22047, bevindt zich in het Client Server Runtime Subsystem van Windows en is met name verantwoordelijk voor de Win32 console en het uitschakelen van de GUI en is essentieel voor de werking van het systeem. Het onderdeel bevat een "Elevation of Privilege" kwetsbaarheid waardoor een aanvaller die al toegang tot het systeem heeft zijn rechten kan verhogen naar SYSTEM. Daarmee krijgt de aanvaller volledige controle over het systeem. Het is niet mogelijk om op afstand via dit lek toegang tot een systeem te krijgen. Volgens Microsoft is de kwetsbaarheid bij zeroday-aanvallen gebruikt, maar verdere details worden niet door het techbedrijf gegeven. Het was Microsoft zelf dat het lek ontdekte. Voor alle ondersteunde versies van Windows zijn beveiligingsupdates uitgebracht, die op de meeste systemen automatisch worden geïnstalleerd.

Meer ernstige kwetsbaarheden? Kijk dan hier »


ECB-topvrouw Lagarde slachtoffer van cyberaanval, geen gegevens gestolen

ECB-voorzitter Christine Lagarde is het slachtoffer van een cyberaanval geworden. Dat heeft een woordvoerder van de Europese Centrale Bank dinsdag bevestigd. “De aanval werd snel opgemerkt en gestopt. Er zijn geen gegevens gestolen. Meer kunnen we momenteel niet zeggen, aangezien het onderzoek nog loopt”, klonk het. Volgens nieuwssite Insider (het vroegere Business Insider) probeerden hackers wekenlang om onder meer de WhatsApp-accounts van vooraanstaande personen over te nemen. Zo zou Lagarde schijnbaar met het echte gsm-nummer van de voormalige Duitse bondskanselier Angela Merkel gecontacteerd zijn. Daarop zou Lagarde Merkel opgebeld hebben om te vragen of ze haar via WhatsApp wou contacteren. Op die manier zou de poging tot hacking aan het licht zijn gekomen.


Bandai Namco slachtoffer van ransomware aanval

Bandai Namco, de uitgever van games als Elden Ring en Tekken, is slachtoffer geworden van een ransomware aanval. Dat meldt vx-underground. De ransomwaregroep ALPHV - ook bekend als BlackCat - claimt de Japanse uitgever te hebben aangevallen. De uitgever zelf heeft nog geen statement naar buiten gebracht. Ransomware is software die gebruikt wordt om geld af te troggelen van slachtoffers. Vaak wordt met de software de toegang tot eigen data van het slachtoffer ontzegd. Meestal dreigt men om dergelijke interne data naar buiten te brengen als er niet betaald wordt. Vooralsnog is er geen data naar buiten gelekt van Bandai Namco. Op internet verscheen een illustratie waarin onder andere games als Tekken 8 en Little Nightmares 3 en Elden Ring-dlc genaamd Barbarians of the Badlands werden vermeld, maar die illustratie blijkt nep te zijn. Eerder had CD Projekt Red al te kampen met gestolen data, waardoor de broncode van games als Cyberpunk 2077 en The Witcher 3: Wild Hunt naar buiten lekten. Vorig jaar kreeg Electronic Arts er mee te maken - toen lekten de broncodes voor Fifa 21 en de Frostbite Engine uit.


Juwelier Graff wil $7,5 miljoen aan bitcoin van ransomware-hack terugkrijgen via verzekeraar

De Britse juwelier Graff Diamonds Corp. heeft een rechtszaak aangespannen tegen zijn verzekeraar. Ze willen een schadevergoeding ontvangen van The Travellers Companies. Laatstgenoemde wil deze schadevergoeding echter niet verstrekken. Het gaat om een bedrag van $7,5 miljoen in bitcoin. De juwelier moest dit vorig jaar aan losgeld betalen na een ransomware-hack. Bloomberg schrijft dat de systemen van Graff in september 2021 werden uitgebuit door de beruchte Russische hackbende Conti. Doordat ze in de computersystemen kwamen, kregen ze toegang tot gegevens van "high-end" klanten. Het ging onder andere om de voormalig Amerikaanse president Donald Trump, net als de koninklijke families uit Saoedi-Arabië, de VAE en Qatar. Na de aanval zette Conti 69.000 documenten met de privé-informatie over de klanten online. Ze dreigden om nog meer vrij te geven als er niet $15 miljoen in bitcoin zou worden betaald. In november 2021 betaalde Graff de hackergroep in totaal 118 BTC (toen $7,5 miljoen waard), de helft van het aanvankelijk gevraagde bedrag. Het bedrijf zei dat het losgeld moest betalen om zijn klanten te beschermen. Momenteel is deze 118 bitcoin overigens nog maar $2,5 miljoen waard. “De criminelen dreigden met het gericht publiceren van de privé-aankopen van onze klanten. We waren vastbesloten om alle mogelijke stappen te ondernemen om hun belangen te beschermen en hebben zo een betaling onderhandeld die die dreiging met succes heeft geneutraliseerd." Na het incident verwachtte het bedrijf dat de schade zou worden gedekt door de verzekeraar. Ze gingen er van uit dat het een 'verzekerd risico' was, maar tot op de dag van vandaag is er geen vergoeding ontvangen van Travellers. Daarom zet de juwelier nu de stap naar het Hooggerechtshof om toch nog geld te kunnen vangen. Volgens onderzoek van analysebedrijf Elliptic haalden hackersgroepen in 2021 maar liefst $602 miljoen binnen uit ransomware-aanvallen. Dat was iets minder dan in 2020, toen dit getal nog op $692 miljoen stond.


Ransomware-aanval treft Frans telecombedrijf

De Franse virtuele mobiele telefoonoperator La Poste Mobile werd getroffen door een ransomware-aanval die administratieve en beheerdiensten beïnvloedde. Het bedrijf waarschuwde zijn klanten dat bedreigingsactoren mogelijk toegang hebben gekregen tot hun gegevens en dus moeten ze waakzaam blijven omdat er risico's zijn op identiteitsdiefstal of phishing-aanvallen als hun gegevens zijn gecompromitteerd. La Poste Mobile is een mobiele virtuele netwerkoperator met ongeveer 2 miljoen klanten in Frankrijk en rapporteerde een omzet van meer dan $ 500 miljoen in 2021. De administratieve en beheerdiensten van La Poste Mobile zijn op 4 juli het slachtoffer geworden van een kwaadaardig virus van het ransomware-type. Toen ze zich bewust werden van de aanval, namen ze onmiddellijk beschermende maatregelen door de betrokken computersystemen op te schorten. Dus moesten ze hun website en klantenzone tijdelijk sluiten. De IT-teams van de telecom stellen de situatie in kaart. Bij hun eerste analyse zijn hun servers, die essentieel zijn voor de werking van de mobiele lijn, goed beschermd. Het is echter mogelijk dat bestanden op de computers van medewerkers van La Poste Mobile zijn getroffen. Sommige van deze bestanden kunnen persoonlijke gegevens bevatten. De Lockbit ransomware-groep wordt verondersteld achter de aanval te zitten, omdat de operators de naam van La Poste Mobile in de nacht van donderdag op vrijdag op hun leksite hebben toegevoegd. De bende die al minstens sinds 2019 actief is, is een van de meest actieve ransomware-bendes van dit moment. Onlangs heeft de Lockbit ransomware-operatie LockBit 3.0 uitgebracht, die belangrijke nieuwigheden heeft, zoals een bug bounty-programma, Zcash-betaling en nieuwe afpersingstactieken.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »