Meer dan 4.300 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.

Status op 17 januari 2022 : 4.332

Week overzicht

Microsoft: Oekraïense organisaties doelwit van malware die systemen saboteert

Meerdere Oekraïense organisaties en overheidsinstanties zijn doelwit van malware geworden die zich voordoet als ransomware, maar in werkelijkheid bestanden en de Master Boot Record (MBR) van systemen overschrijft waardoor de computers niet meer opstarten, zo stelt Microsoft op basis van eigen onderzoek. Volgens het techbedrijf is het doel van de aanvallers dan ook sabotage in plaats van het verkrijgen van losgeld. De eerste aanvallen met de malware werden op 13 januari waargenomen. Hoe de malware wordt verspreid laat Microsoft niet weten. Eenmaal actief overschrijft de malware de MBR en laat een zogenaamde losgeldboodschap zien. Daarin wordt gesteld dat het slachtoffer losgeld moet betalen om zijn systeem te herstellen. Er ontbreekt echter een herstelmechanisme, waardoor het niet mogelijk is om de MBR te herstellen, ook al wordt het losgeld betaald. De MBR bevat gegevens over het soort en de locatie van de logische partities van de harde schijf en bevat de bootloader van het besturingssysteem. Het is essentieel voor de computer om te kunnen starten. Nadat de MBR is overschreven wordt er aanvullende malware gedownload die allerlei bestanden overschrijft waardoor die onbruikbaar worden. Microsoft heeft op tientallen systemen de malware aangetroffen, maar vermoedt dat het werkelijke aantal slachtoffers hoger ligt. "Gegeven de schaal van de waargenomen aanvallen kan Microsoft de bedoeling van de destructieve acties niet bepalen, maar denkt dat die een verhoogd risico voor alle overheidsinstanties, non-profitorganisaties en bedrijven met systemen in Oekraïne vormen", aldus Microsoft. Dat roept organisaties op om meteen een onderzoek binnen hun eigen omgeving uit te voeren en verdedigingsmaatregelen toe te passen, waaronder het inschakelen van multifactorauthenticatie.

Qlocker ransomware maakt wereldwijde comeback op QNAP NAS-apparaten

De lieden achter de Qlocker ransomware hebben het wereldwijd opnieuw gemunt op Qnap nas- apparaten die op het internet zijn aangesloten. Qlocker dook eerder in de week van 19 april 2021 al op in de vorm een massale aanval, waarbij bestanden van slachtoffers na het binnendringen van hun nas-apparaten werden verplaatst binnen wachtwoord-beschermde 7-zip archieven met de .7z extensie. Qnap waarschuwde dat de aanvallers gebruik maakten van de CVE-2021-28799 hard-coded credentials kwetsbaarheid in de HBS 3 Hybrid Backup Sync app om in te breken in de apparaten van gebruikers en hun bestanden te vergrendelen. Voor sommigen kwam deze waarschuwing echter veel te laat, temeer de aanvallers op dat moment reeds honderden gebruikers hadden afgeperst. In totaal verloren getroffen Qnap-gebruikers ongeveer $ 350.000 binnen een maand na het betalen van het losgeld van 0,01 bitcoins (op dat moment ongeveer $ 500) om het wachtwoord te verkrijgen dat nodig was om hun gegevens te herstellen. De huidige Qlocker aanval begon op 6 januari en dropt losgeld-tekstbestanden genaamd !!!READ_ME.txt op besmette apparaten. Voornoemde notes bevatten het Tor site adres (gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion) dat slachtoffers dienen te bezoeken om meer informatie te krijgen over hoeveel ze zullen moeten betalen om de toegang tot hun bestanden terug te krijgen. Op de pagina's van Tor-slachtoffers die door BleepingComputer zijn gezien sinds deze nieuwe serie Qlocker-aanvallen begon, worden losgeldeisen getoond die variëren tussen 0,02 en 0,03 bitcoins. Meer informatie over wat je moet doen als de QLocker2 ransomware campagne je heeft getroffen kun je vinden in dit support topic (het topic voor de 2021 Qlocker campagne kun je hier vinden). Daarnaast kun je ook de oude guide raadplegen over hoe je gegevens kunt herstellen van nas-apparaten die vorig jaar bij de aanvallen zijn aangetast.

Acht verdachten achter REvil-ransomwaregroep aangeklaagd in Rusland

De Russische autoriteiten hebben acht personen aangeklaagd die vorige week werden aangehouden op verdenking van deelname aan de REvil-ransomwaregroep. Dat meldt het Russische staatspersbureau TASS. De acht worden verdacht van witwassen, waarop een gevangenisstraf van maximaal acht jaar staat. Volgens Yelisey Boguslavskiy van securitybedrijf Advanced Intelligence zijn de aangehouden verdachten waarschijnlijk laaggeplaatste partners van REvil en niet de groep verantwoordelijk voor de ontwikkeling en het aanbieden van de ransomware. Voordat de REvil-groep ermee stopte opereerde het als een ransomware-as-a-service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. De REvil-ransomware kwam vorig jaar groot in het nieuws toen het wereldwijd door een beveiligingslek in de software van Kaseya werd verspreid. Bij de operatie van de Russische geheime dienst FSB vorige week vonden op 25 adressen van veertien verdachten huiszoekingen plaats. Daarbij is bijna zes miljoen euro in contanten in beslag genomen, alsmede twintig luxe auto's, computers en cryptowallets.

Witte Huis: verdachte achter ransomware-aanval op Colonial Pipeline aangehouden

Bij een operatie van de Russische geheime dienst FSB waarbij vorige week meerdere personen werden aangehouden die onderdeel van de REvil-ransomwaregroep zouden zijn is ook een persoon aangehouden die voor de ransomware-aanval op de Colonial Pipeline verantwoordelijk wordt gehouden. Deze aanval was volgens de FBI het werk van de DarkSide-groep. Bij de aanval op de Colonial Pipeline Company werd de grootste brandstofpijplijn van de Verenigde Staten platgelegd, wat onder andere voor brandstoftekorten in het land zorgde. Het bedrijf betaalde 4,4 miljoen dollar losgeld, waarvan het grootste deel door de FBI werd teruggehaald. Daarnaast zorgde de aanval ervoor dat de aanpak van ransomware hoog op de Amerikaanse politieke agenda terechtkwam en de Amerikaanse president Biden dit onder andere met de Russische president Putin besprak. Tijdens een gesprek met journalisten liet een functionaris van het Witte Huis weten dat de VS blij is met de stappen van het Kremlin tegen ransomwaregroepen in Rusland. Verder voegde de functionaris toe dat één van de aangehouden verdachten ervan wordt verdacht achter de aanval op de Colonial Pipeline te zitten. "We zullen ons inzetten om de personen die ransomware-aanvallen tegen de Amerikaanse bevolking hebben uitgevoerd, waaronder de aanvallen tegen JBS, Colonial Pipeline en Kaseya, voor het gerecht worden gebracht."

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.

Meer weekoverzichten