Meer dan 4.300 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.

Status op 21 januari 2022 : 4.350

Week overzicht

Cyberaanval op Defensie Belgie gebeurde zo goed als zeker in opdracht van buitenlandse overheid

Alles wijst erop dat de grootscheepse cyberaanval tegen Defensie in december werd uitgevoerd door een ‘state actor’. Die aanval begon ook al een week vroeger dan eerder werd gecommuniceerd. Er wordt gekeken in de richting van Rusland of Iran, of eventuele organisaties die door deze landen worden aangestuurd. Lees verder

Rode Kruis getroffen door cyberaanval

Het hoofdkantoor van het Internationale Comité van het Rode Kruis (ICRC) in Genève was deze week het doelwit van een cyberaanval. De aanval was gericht op de servers van de hulporganisatie, waar data en vertrouwelijke informatie van meer dan 515.000 vluchtelingen en andere kwetsbare mensen waren opgeslagen. Het Nederlandse Rode Kruis onderzoekt of er ook gegevens van de Nederlandse tak op de servers stonden. Het Rode Kruis onthult de cyberaanval in een persverklaring.

Accountgegevens buitgemaakt bij hack en ransomwareaanval OpenSubtitles.org

De accountgegevens en wachtwoorden van 6,7 miljoen gebruikers van OpenSubtitles.org zijn in augustus 2021 gelekt na een hack en ransomwareaanval. Pas nu heeft de website dit aan gebruikers verteld. De gegevens zijn inmiddels toegevoegd aan Have I Been Pwned. In een forumpost leggen de admins van de site uit dat zij in augustus 2021 benaderd zijn door een persoon die toegang had tot gebruikersgegevens. Hij vroeg een dwangsom om de gegevens te verwijderen en niet te openbaren. De aanvaller had toegang tot de inloggegevens, e-mailadressen, IP-adressen, land van herkomst en ontsleutelde wachtwoorden van in totaal 6.783.158 accounts. Die inloggegevens zijn toegevoegd aan de wachtwoorddatabase van Have I Been Pwned. De admins van OpenSubtitles.org leggen uit dat de wachtwoorden versleuteld waren met md5-hashes zonder salt, waardoor korte wachtwoorden makkelijk ontsleuteld konden worden. De aanvaller kreeg toegang tot de site door een slecht beveiligde SuperAdmin-account en een onbeveiligd script. Hierdoor kon de aanvaller SQL-injecties uitvoeren en de data stelen. Volgens de admins hebben zij 'amper' gehoor gegeven aan de ransomware-eis, omdat het geldbedrag te hoog was. Wat dat precies betekent leggen zij niet uit. Wel vertellen ze dat de aanvaller hen heeft geholpen de site beter te beveiligen door uit te leggen waar de kwetsbaarheid zat. Ook had hij beloofd de buitgemaakte data te verwijderen. De harde les die de admins naar eigen zeggen hebben geleerd is dat de beloftes van een aanvaller niets waard zijn, omdat hij alsnog de wachtwoorden openbaar gemaakt heeft. Volgens de admins heeft de hacker geen toegang gekregen tot creditcardgegevens van gebruikers, omdat die extern opgeslagen zijn. Wel heeft hij toegang gekregen tot accounts, met name die met korte of slechte wachtwoorden, omdat die makkelijk te ontsleutelen zijn. De site raadt aan het wachtwoord aan te passen. Daarnaast heeft het de beveiliging inmiddels verbeterd

VS waarschuwt organisaties alert te zijn na malware-aanval in Oekraïne

Elke organisatie in de Verenigde Staten loopt risico door cyberdreigingen die essentiële diensten kunnen verstoren en in theorie zelfs gevolgen voor de openbare veiligheid kunnen hebben. Met name partijen die zaken doen met Oekraïense organisaties moeten extra alert zijn, zo waarschuwt het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) naar aanleiding van malware-aanvallen in Oekraïne (pdf). Bij deze aanvallen werd malware ingezet die zich voordeed als ransomware, maar in werkelijkheid het beschadigen van bestanden en saboteren van systemen als doel had. Volgens het CISA is het gebruik van dergelijke malware zeer alarmerend gegeven het feit dat soortgelijke malware in het verleden is ingezet en grote schade aan de vitale infrastructuur veroorzaakte. Er wordt onder andere gewezen naar de NotPetya-malware en WannaCry-ransomare. In de nu gegeven waarschuwing geeft het CISA adviezen om aanvallen te voorkomen, te detecteren en hierop te reageren. Zo moeten alle onnodige poorten en protocollen zijn uitgeschakeld, moeten alle beheerders en accounts met hogere rechten van multifactorauthenticatie gebruikmaken en hoort alle software up-to-date te zijn. Verder moet logging zijn ingeschakeld en it-personeel alert zijn op verdacht netwerkverkeer. Bedrijven en organisaties die met Oekraïense organisaties zaken doen of samenwerken moeten extra alert zijn en verkeer afkomstig van deze organisaties extra monitoren, inspecteren en isoleren. Ook moet er worden gekeken naar de access controls voor dat verkeer. Afsluitend wordt aangeraden om met cyberincidenten te oefenen en back-upprocedures te testen.

"Servers Belgisch ministerie van Defensie nog steeds offline na Log4j-aanval"

Meerdere servers van het Belgische ministerie van Defensie zijn na de Log4j-aanval van 16 december nog steeds offline en het herstel zal nog tot februari duren, zo meldt de Belgische krant De Morgen op basis van een bron binnen de militaire inlichtingendienst ADIV. Vorige week werd bekend dat het ministerie na vier weken weer met de buitenwereld kan mailen. HR-toepassingen en het opzoeken van informatie op internet zijn nog altijd niet beschikbaar. "We zullen nog tot februari bezig zijn met de opkuis. De belangrijkste servers zijn weer online, maar lang niet allemaal. Zo werkt het hr-systeem nog niet. Tot de heropstart klaar is, kun je weinig zeggen. Ook al omdat we nog niet weten welke server als eerste is gehackt. Die geeft je informatie over het begin van de aanval", aldus de bron. Volgens De Morgen lijkt de schade van de aanval zelf relatief beperkt te zijn. Vooralsnog is een handvol besmette servers gevonden. Het gaat onder andere om de webservers voor de websites van het Belgische leger en ADIV. De militaire geheime dienst denk dat het om een opzettelijke verstoringsoperatie gaat. Het is nog altijd de vraag hoe de aanvallers konden toeslaan. Het Belgische Centrum voor Cybersecurity (CCB) waarschuwde op 13 december voor de Log4j-kwetsbaarheid, drie dagen voor de aanval.

Microsoft: Oekraïense organisaties doelwit van malware die systemen saboteert

Meerdere Oekraïense organisaties en overheidsinstanties zijn doelwit van malware geworden die zich voordoet als ransomware, maar in werkelijkheid bestanden en de Master Boot Record (MBR) van systemen overschrijft waardoor de computers niet meer opstarten, zo stelt Microsoft op basis van eigen onderzoek. Volgens het techbedrijf is het doel van de aanvallers dan ook sabotage in plaats van het verkrijgen van losgeld. De eerste aanvallen met de malware werden op 13 januari waargenomen. Hoe de malware wordt verspreid laat Microsoft niet weten. Eenmaal actief overschrijft de malware de MBR en laat een zogenaamde losgeldboodschap zien. Daarin wordt gesteld dat het slachtoffer losgeld moet betalen om zijn systeem te herstellen. Er ontbreekt echter een herstelmechanisme, waardoor het niet mogelijk is om de MBR te herstellen, ook al wordt het losgeld betaald. De MBR bevat gegevens over het soort en de locatie van de logische partities van de harde schijf en bevat de bootloader van het besturingssysteem. Het is essentieel voor de computer om te kunnen starten. Nadat de MBR is overschreven wordt er aanvullende malware gedownload die allerlei bestanden overschrijft waardoor die onbruikbaar worden. Microsoft heeft op tientallen systemen de malware aangetroffen, maar vermoedt dat het werkelijke aantal slachtoffers hoger ligt. "Gegeven de schaal van de waargenomen aanvallen kan Microsoft de bedoeling van de destructieve acties niet bepalen, maar denkt dat die een verhoogd risico voor alle overheidsinstanties, non-profitorganisaties en bedrijven met systemen in Oekraïne vormen", aldus Microsoft. Dat roept organisaties op om meteen een onderzoek binnen hun eigen omgeving uit te voeren en verdedigingsmaatregelen toe te passen, waaronder het inschakelen van multifactorauthenticatie.

Qlocker ransomware maakt wereldwijde comeback op QNAP NAS-apparaten

De lieden achter de Qlocker ransomware hebben het wereldwijd opnieuw gemunt op Qnap nas- apparaten die op het internet zijn aangesloten. Qlocker dook eerder in de week van 19 april 2021 al op in de vorm een massale aanval, waarbij bestanden van slachtoffers na het binnendringen van hun nas-apparaten werden verplaatst binnen wachtwoord-beschermde 7-zip archieven met de .7z extensie. Qnap waarschuwde dat de aanvallers gebruik maakten van de CVE-2021-28799 hard-coded credentials kwetsbaarheid in de HBS 3 Hybrid Backup Sync app om in te breken in de apparaten van gebruikers en hun bestanden te vergrendelen. Voor sommigen kwam deze waarschuwing echter veel te laat, temeer de aanvallers op dat moment reeds honderden gebruikers hadden afgeperst. In totaal verloren getroffen Qnap-gebruikers ongeveer $ 350.000 binnen een maand na het betalen van het losgeld van 0,01 bitcoins (op dat moment ongeveer $ 500) om het wachtwoord te verkrijgen dat nodig was om hun gegevens te herstellen. De huidige Qlocker aanval begon op 6 januari en dropt losgeld-tekstbestanden genaamd !!!READ_ME.txt op besmette apparaten. Voornoemde notes bevatten het Tor site adres (gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion) dat slachtoffers dienen te bezoeken om meer informatie te krijgen over hoeveel ze zullen moeten betalen om de toegang tot hun bestanden terug te krijgen. Op de pagina's van Tor-slachtoffers die door BleepingComputer zijn gezien sinds deze nieuwe serie Qlocker-aanvallen begon, worden losgeldeisen getoond die variëren tussen 0,02 en 0,03 bitcoins. Meer informatie over wat je moet doen als de QLocker2 ransomware campagne je heeft getroffen kun je vinden in dit support topic (het topic voor de 2021 Qlocker campagne kun je hier vinden). Daarnaast kun je ook de oude guide raadplegen over hoe je gegevens kunt herstellen van nas-apparaten die vorig jaar bij de aanvallen zijn aangetast.

Acht verdachten achter REvil-ransomwaregroep aangeklaagd in Rusland

De Russische autoriteiten hebben acht personen aangeklaagd die vorige week werden aangehouden op verdenking van deelname aan de REvil-ransomwaregroep. Dat meldt het Russische staatspersbureau TASS. De acht worden verdacht van witwassen, waarop een gevangenisstraf van maximaal acht jaar staat. Volgens Yelisey Boguslavskiy van securitybedrijf Advanced Intelligence zijn de aangehouden verdachten waarschijnlijk laaggeplaatste partners van REvil en niet de groep verantwoordelijk voor de ontwikkeling en het aanbieden van de ransomware. Voordat de REvil-groep ermee stopte opereerde het als een ransomware-as-a-service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. De REvil-ransomware kwam vorig jaar groot in het nieuws toen het wereldwijd door een beveiligingslek in de software van Kaseya werd verspreid. Bij de operatie van de Russische geheime dienst FSB vorige week vonden op 25 adressen van veertien verdachten huiszoekingen plaats. Daarbij is bijna zes miljoen euro in contanten in beslag genomen, alsmede twintig luxe auto's, computers en cryptowallets.

Witte Huis: verdachte achter ransomware-aanval op Colonial Pipeline aangehouden

Bij een operatie van de Russische geheime dienst FSB waarbij vorige week meerdere personen werden aangehouden die onderdeel van de REvil-ransomwaregroep zouden zijn is ook een persoon aangehouden die voor de ransomware-aanval op de Colonial Pipeline verantwoordelijk wordt gehouden. Deze aanval was volgens de FBI het werk van de DarkSide-groep. Bij de aanval op de Colonial Pipeline Company werd de grootste brandstofpijplijn van de Verenigde Staten platgelegd, wat onder andere voor brandstoftekorten in het land zorgde. Het bedrijf betaalde 4,4 miljoen dollar losgeld, waarvan het grootste deel door de FBI werd teruggehaald. Daarnaast zorgde de aanval ervoor dat de aanpak van ransomware hoog op de Amerikaanse politieke agenda terechtkwam en de Amerikaanse president Biden dit onder andere met de Russische president Putin besprak. Tijdens een gesprek met journalisten liet een functionaris van het Witte Huis weten dat de VS blij is met de stappen van het Kremlin tegen ransomwaregroepen in Rusland. Verder voegde de functionaris toe dat één van de aangehouden verdachten ervan wordt verdacht achter de aanval op de Colonial Pipeline te zitten. "We zullen ons inzetten om de personen die ransomware-aanvallen tegen de Amerikaanse bevolking hebben uitgevoerd, waaronder de aanvallen tegen JBS, Colonial Pipeline en Kaseya, voor het gerecht worden gebracht."

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.

Meer weekoverzichten