Overzicht cyberaanvallen week 37-2022

Gepubliceerd op 19 september 2022 om 15:00



Hackersgroepen lanceren meer aanvallen op energiebedrijven, ransomware versleutelt ruim 11.000 QNAP-apparaten via zerodaylek en €1.000,- euro als je het logo van ransomware criminelen 'Lockbit' tatoeëert. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 6.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes omdat ze weigerden te betalen. Als je betaald wordt er geen data gelekt en kom je niet op deze lijst.. ‘Zo'n 80% van de organisaties betaalt losgeld’ 🤔


LAATSTE WIJZIGING: 19-september-2022 | Aantal slachtoffers: 6.231



Week overzicht

Slachtoffer Cybercriminelen Website Land
South Pacific Inc BlackByte southpacificinc.ph Philippines
Biggest News BlackByte www.newvision.co.ug Uganda
TOR VERGATA STORMOUS web.uniroma2.it Italy
Laddawn Inc. Lorenz laddawn.com USA
software-line.it LockBit software-line.it Italy
equatortrustees.com LockBit equatortrustees.com Seychelles
scottobrothers.com LockBit scottobrothers.com USA
kaffeeberlin.com LockBit kaffeeberlin.com France
ces-conditionneur.fr LockBit ces-conditionneur.fr France
American International Industry AvosLocker aiibeauty.com USA
HT Ports Services Pte Ltd (HTPS) STORMOUS htportservices.com  Singapore
Emtec Inc AvosLocker www.emtecinc.com USA
asecna.org LockBit asecna.org Senegal
County Suffolk and contractors BlackCat (ALPHV) www.suffolkcountyny.gov USA
midlandplastics.com LockBit midlandplastics.com USA
dss-cz.com LockBit dss-cz.com Czech Republic
Bell Technical Solutions Hive bellsolutionstech.ca Canada
Nextlabs 0mega www.nextlabs.com USA
nakamuracorp.co.jp LockBit nakamuracorp.co.jp Japan
FONTAINEBLEAU Hive fontainebleau.com USA
Tri-Supply BlackCat (ALPHV) trisupplyhome.com USA
Triten BlackCat (ALPHV) www.triten.com USA
aliat.group LockBit aliat.group Vietnam
medical69.com LockBit medical69.com France
d-securite.com LockBit d-securite.com France
southamptoncounty.org LockBit southamptoncounty.org USA
Northwest University AvosLocker northwestu.edu USA
cnachile.cl LockBit cnachile.cl Chile
independence.com.co LockBit independence.com.co Colombia
makler.com.ve LockBit makler.com.ve Venezuela
markherder.com LockBit markherder.com USA
inspecshawaii.com LockBit inspecshawaii.com USA
DYNAM JAPAN HOLDINGS CO., LTD Cheers www.dyjh.co.jp Japan
MR. WONDERFUL  Sparta www.mrwonderful.com Spain
AUTO88 Sparta auto88.com Spain
quintal.com.co LockBit quintal.com.co Colombia
cityofbartlett.org LockBit cityofbartlett.org USA
aipcenergy.com LockBit aipcenergy.com USA
kcgreenholdings.com LockBit kcgreenholdings.com South Korea
maisonloisy.fr LockBit maisonloisy.fr France
maleosante.fr LockBit maleosante.fr France
mj-donnais.fr LockBit mj-donnais.fr France
pays-colombey-sudtoulois.fr LockBit pays-colombey-sudtoulois.fr France
sarassure.fr LockBit sarassure.fr France
sva-avignon.concession-landrover.fr LockBit sva-avignon.concession-landrover.fr France
ville-faulquemont.fr LockBit ville-faulquemont.fr France
cultivar.net LockBit cultivar.net Spain
camdomain.com LockBit camdomain.com Unknown
kwp.at LockBit kwp.at Austria
artdis.fr LockBit artdis.fr France
cmb-artimmo.com LockBit cmb-artimmo.com France
daune.org LockBit daune.org In progress
euro-modules.fr LockBit euro-modules.fr France
euromip.fr LockBit euromip.fr France
jt-engineering.com LockBit jt-engineering.com USA
lagence33.com LockBit lagence33.com France
idealtridon.com LockBit idealtridon.com USA
taxprepandmore.com LockBit taxprepandmore.com USA
mackenzie-law.co.uk LockBit mackenzie-law.co.uk UK
thezincgroup.com LockBit thezincgroup.com UK
Daydream Island Resort & Spa BianLian www.daydreamisland.com Australia
bakkerheftrucks.com LockBit bakkerheftrucks.com New Zealand
groupg4.com RedAlert groupg4.com Spain
Font Packaging Sparta fontpackaging.com Spain
Ferrer&Ojeda Sparta www.ferrerojeda.com Spain
Tema Litoclean Group Sparta www.litoclean.es Spain
Grupo Galilea Sparta www.grupogalilea.com Spain
Fundació Sant Francesc d'Assís  Sparta fundaciosfda.cat Spain
INDIBA Sparta www.indiba.com Spain
RIVISA Sparta www.rivisa.com Spain
RABAT Sparta www.rabat.net Spain
COMSA CORPORATION Sparta www.comsa.com Spain
SERCOM Sparta www.sercom.net Spain
ORDEREXPRESS.COM.MX CL0P orderexpress.com.mx Mexico
LOESCHGROUP.DE CL0P loeschgroup.de Germany
PCSupport  BlackCat (ALPHV) www.pcsch.co.nz New Zealand
Fiveninefive  BlackCat (ALPHV) www.fiveninefive.com Germany
Elmbrook Schools Vice Society www.elmbrookschools.org USA
The Checker Transportation Group BlackCat (ALPHV) www.thecheckergroup.com Canada
Hayat BlackCat (ALPHV) www.hayat.com.tr Turkey
OakBend Medical DAIXIN www.oakbendmedcenter.org USA
omegaservices.com.au LockBit omegaservices.com.au Australia
frigobandeira.com LockBit frigobandeira.com Spain
ch-sf.fr LockBit ch-sf.fr France

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land
bakkerheftrucks.com LockBit bakkerheftrucks.com Nederland

In samenwerking met DarkTracer

Top 3 cybercrime groepen met de meeste slachtoffers

Groepering Aantal slachtoffers
1 LockBit 1126 Nog actief
2 Conti 674 Niet meer actief
3 REvil 246 Nog actief

Bitdefender publiceert gratis decryptietool voor LockerGoga-ransomware

Antivirusbedrijf Bitdefender heeft een gratis decryptietool voor de LockerGoga-ransomware beschikbaar gemaakt, nadat de Zwitserse autoriteiten tal van decryptiesleutels in handen kregen. Voor slachtoffers van de MegaCortex-ransomware zal binnenkort ook een tool verschijnen voor het kosteloos ontsleutelen van bestanden, zo laten de Zwitserse autoriteiten weten. De criminelen achter de LockerGoga-ransomware wisten in 2019 onder andere systemen van de Noorse aluminiumproducent Hydro te versleutelen, wat voor een schade van tussen 57 en 67 miljoen euro. Hydro, dat via een e-mail besmet raakte, besloot het losgeld dat de aanvallers vroegen niet te betalen. Ook de Amerikaanse chemiebedrijven Hexion en Momentive werden slachtoffer van de LockerGoga-ransomware. Eind vorig jaar vond er een internationale politieoperatie plaats tegen verdachten die van de LockerGoga- en MegaCortex-ransomware gebruik zouden hebben gemaakt. Eerder waren de Nederlandse autoriteiten al een onderzoek naar de bende achter de ransomware-aanvallen gestart. Die wordt verantwoordelijk gehouden voor het maken van achttienhonderd slachtoffers in meer dan zeventig landen. De hierbij veroorzaakte schade wordt op 104 miljoen dollar geschat. Tijdens het onderzoek wist het Team High Tech Crime (THTC) van de politie informatie te achterhalen over systemen van bedrijven die wereldwijd waren geïnfecteerd, maar waar de ransomware nog niet was geactiveerd. Vervolgens werden deze bedrijven door het THTC en Nationaal Cyber Security Centrum (NCSC) gewaarschuwd, zodat ze maatregelen konden nemen om de ransomware te verwijderen. Het Zwitserse openbaar ministerie laat weten dat het tijdens het onderzoek naar een verdachte in deze zaak op een onderzochte datadrager tal van decryptiesleutels heeft aangetroffen. Deze sleutels zijn met Bitdefender gedeeld, zodat het een gratis decryptietool voor getroffen organisaties kon ontwikkelen. Binnenkort zal er ook een decryptietool voor de MegaCortex-ransomware beschikbaar komen.


VS klaagt drietal aan voor ransomware-aanvallen tegen vitale infrastructuur

De Amerikaanse autoriteiten hebben drie Iraniërs aangeklaagd wegens ransomware-aanvallen op de vitale infrastructuur in het land, waaronder ziekenhuizen, vervoersdiensten en nutsbedrijven. Volgens de aanklacht wisten de drie toegang tot honderden systemen van slachtoffers wereldwijd te krijgen. Hiervoor werd gebruikgemaakt van bekende kwetsbaarheden waarvoor slachtoffers beschikbare updates niet hadden geïnstalleerd. Vervolgens werden gegevens van gecompromitteerde systemen gestolen en bestanden versleuteld. Onder andere organisaties en bedrijven in de vitale infrastructuur werden slachtoffer, waaronder medische centra, vervoersdiensten en nutsbedrijven, zoals elektriciteitsmaatschappijen. Daarnaast werden bedrijven, overheidsinstanties en non-profitorganisaties getroffen. Wanneer slachtoffers het gevraagde losgeld niet betaalden dreigden de verdachten hun gestolen gegevens openbaar te maken. De drie mannen zijn aangeklaagd voor samenzwering, afpersing en het beschadigen van een beveiligde computer, waarop maximale gevangenisstraffen van respectievelijk vijf, vijf en tien jaar staan, alsmede boetes van 250.000 dollar. De drie zijn voortvluchtig en bevinden zich volgens het Amerikaanse openbaar ministerie in het buitenland.


Uber getroffen door inbraak op interne bedrijfssystemen

Een aanvaller is erin geslaagd om toegang tot interne bedrijfssystemen van Uber te krijgen, waarop de taxi-app allerlei systemen offline heeft gehaald. Onder andere de Amazon Web Services-console, VMware ESXi virtual machines, Google Workspace beheerdersdashboard, respositories met broncode, Slack-server en HackerOne-account zijn gecompromitteerd, zo laten beveiligingsonderzoeker Sam Curry en The New York Times weten. De aanvaller wist op een nog onbekende wijze toegang tot het Slack-account van een Uber-medewerker te krijgen en plaatste vervolgens een bericht op het Uber Slack-kanaal. In eerste instantie dachten Uber-medewerkers dat het om een grap ging, aldus Curry. Vervolgens heeft de aanvaller ook toegang tot andere interne systemen gekregen. Uber meldt op Twitter dat het te maken heeft gekregen met een cybersecurity-incident en het later met meer informatie zal komen. Vanwege de aanval haalde Uber allerlei communicatie- en ontwikkelsystemen offline, waaronder Slack. In een bericht aan het personeel stelt het bedrijf dat het niet weet wanneer toegang tot de tools zal zijn hersteld. Uber kreeg in 2014 en 2016 ook al met een inbraak op de eigen systemen te maken, waarbij gegevens van klanten en taxichauffeurs werden gecompromitteerd. Het bedrijf besloot om het datalek van 2016 te verzwijgen en de verantwoordelijke aanvallers te betalen. De taxi-app koos ervoor om het datalek van 2016 uiteindelijk voor 148 miljoen dollar met de Amerikaanse toezichthouder FTC te schikken.


Five Eyes-landen adviseren BitLocker te activeren wegens ransomware

Bedrijven en organisaties doen er verstandig aan om Microsofts encryptiesoftware BitLocker op al hun netwerken in te schakelen en de encryptiesleutel bij zowel Microsoft als een offline back-up te bewaren, zo adviseren verschillende overheidsinstanties van de Verenigde Staten, het Verenigd Koninkrijk, Canada, Australië en Nieuw-Zeeland, die bij elkaar de Five Eyes-landen vormen. Aanleiding voor het advies, dat mede afkomstig is van de FBI, NSA en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), zijn aanvallen van een groep die aan de Iraanse Revolutionaire Garde gelieerd zou zijn. De groep weet via bekende kwetsbaarheden in Log4j, Microsoft Exchange Server en Fortinet FortiOS toegang tot organisaties te krijgen. Vervolgens worden er allerlei gegevens gestolen en bestanden versleuteld. Zo werd begin dit jaar een Amerikaans luchtvaartbedrijf via één of meerdere Log4j-kwetsbaarheden gecompromitteerd en kon er allerlei informatie worden gestolen, zo laat de waarschuwing van de Five Eyes-landen weten. Bij een andere aanval werden de Log4j-kwetsbaarheden gebruikt om de systemen van een Amerikaanse stad te compromitteren en die onder andere voor cryptomining te gebruiken. Naast het stelen van data maakt de groep ook gebruik van Microsofts BitLocker om bestanden te versleutelen. Organisaties moeten vervolgens losgeld betalen voor de decryptiesleutel. Onlangs maakte Microsoft al melding van deze groep aanvallers die het DEV-0270 noemt. Om aanvallen tegen te gaan geven de NSA, FBI en CISA allerlei bekende adviezen, zoals het installeren van beschikbare beveiligingsupdates, het maken van back-ups, toepassen van netwerksegmentatie en gebruik van multifactorauthenticatie. Aangezien de betreffende groep gebruikmaakt van BitLocker geven de Five Eyes-landen organisaties ook het specifieke advies om BitLocker zelf op alle netwerken te activeren, zodat de aanvallers dit niet meer kunnen doen. Vervolgens wordt organisaties aangeraden om hun BitLocker-sleutels bij zowel Microsoft als een aparte, offline back-up te bewaren. Microsoft stelt dat het encryptiesleutels niet aan de autoriteiten verstrekt als die hierom vragen.


Gamers op YouTube doelwit van nieuwe malware

Nieuw ontdekte malware richt zich specifiek op gamers die op YouTube zoeken naar digitale hulpmiddelen voor games. Opvallend is dat de malware zichzelf na installatie opnieuw via YouTube kan verspreiden door video's te publiceren. Het gaat om een nieuwe malwarebundel die is ontdekt door onderzoekers van cyberbeveiliger Kaspersky. De malware verspreidt zich via YouTube-video's die zich richten op gamers die willen valsspelen in online games. Met zogenoemde game-hacks, cheats en cracks kunnen games worden aangepast, waardoor richten bijvoorbeeld veel makkelijker wordt. Gamers die zoeken naar zulke hulpmiddelen voor valsspelen, komen terecht op YouTube-video's die helpen bij het installeren. Stap 1 is dan vaak het downloaden van een bestand: als dat gebeurt, is de besmetting al gelukt.


Hackersgroepen lanceren meer aanvallen op energiebedrijven

Tijdens de zomermaanden is het aantal aanvallen op Europese bedrijven in de energiesector gevoelig gestegen. Dat schrijft de krant De Standaard in Belgie. De hackers hadden het al gemunt op bedrijven in Italië en Luxemburg, maar België blijft voorlopig buiten schot.  Het Centrum voor Cybersecurity neemt wel extra voorzorgsmaatregelen. Waar er doorgaans één of twee aanvallen per week op Europese energiebedrijven plaatsvinden, is dat aantal tijdens de zomermaanden gevoelig gestegen. In juli waren er drie aanvallen per week, in augustus vijf. Zowel het overheidsbedrijf GSE - dat zich specialiseert in hernieuwbare energie - als de Italiaanse multinational Eni kregen zo'n aanval te verduren. Of en hoeveel losgeld er werd geëist, is niet bekend. In juli was ook al het Luxemburgse bedrijf Creos getroffen. Wie die aanvallen uitvoert? Er wordt gekeken in de richting van Rusland, maar dat is moeilijk hard te maken, zegt Miguel De Bruycker, directeur van het Belgische Centrum voor Cybersecurity. "We zien dat de bekende hackersgroepen zich gereorganiseerd hebben sinds de crisis in Oekraïne. We zien dat die groepen op het Darkweb in het Russisch communiceren, maar dat is op zich geen bewijs dat ze ook echt Russisch zijn. Maar er zijn dus wel indicaties." Het is tegelijkertijd ook zo dat een aantal van die aanvallen werden opgeëist door de groep Blackcat. Die zou eerder al de hacking hebben uitgevoerd bij het Duitse Oiltanking - dat de opslag van olieproducten verzorgt - en bij het Amerikaanse Colonial Pipeline. Toen was de grootste pijpleiding van de VS enkele dagen buiten gebruik. In België zijn er voorlopig geen incidenten gemeld. Maar, zo zegt De Bruycker: "We zijn wel extra waakzaam en nemen bijkomende beschermingsmaatregelen. Het is wel heel moeilijk te bepalen hoe groot het risico voor ons land is."


Nieuwe BISAMWARE ransomware


Miljoenen gestolen door social engineering van betalingsverwerkers zorg

Criminelen hebben miljoenen dollars weten te stelen door middel van social engineering en phishing van betalingsverwerkers voor zorgorganisaties, zo stelt de FBI. Zorginstanties in de Verenigde Staten, zoals ziekenhuizen, werken met een betalingsverwerker die voor hen de betalingen verwerken. Klanten van deze betalingsverwerkers kunnen bijvoorbeeld via een online account allerlei zaken instellen, zoals gebruikt rekeningnummer. In een waarschuwing laat de FBI weten dat criminelen zich via publiek beschikbare informatie en social engineering zich tegenover betalingsverwerkers voordoen als medewerkers van zorginstanties (pdf). Zo weten ze de benodigde toegang en informatie te krijgen om het rekeningnummer van de betreffende zorginstantie of zorgverlener te wijzigen, waardoor het geld naar rekeningen van de crimineel gaat. Zo wist een aanvaller begin dit jaar de inloggegevens van een grote Amerikaanse zorgverlener te bemachtigen en wijzigde vervolgens bij de betalingsverwerker de bankgegevens, waardoor er 3,1 miljoen dollar naar de verkeerde rekening werd overgemaakt. Een aantal dagen later werd in een ander incident via dezelfde methode 700.000 dollar buitgemaakt. In april van dit jaar lukte het een crimineel om zich voor te doen als medewerker van een zorginstantie en wijzigde bij de betalingsverwerker de geautomatiseerde betalingsinstellingen, waardoor er een bedrag van 840.000 dollar naar de verkeerde rekening ging. De FBI adviseert organisaties om personeel te trainen zodat ze in staat zijn om phishing en social engineering te herkennen. Ook moet personeel worden geadviseerd om voorzichtig te zijn met het prijsgeven van gevoelige informatie in telefoongesprekken, zoals wachtwoorden.

220914 2
PDF – 1,1 MB 10 downloads

Amerikaanse ziekenhuizen getroffen door ransomware-aanval

Verschillende ziekenhuizen van het Amerikaanse OakBend Medical Center zijn op 1 september getroffen door een ransomware-aanval en twee weken later nog altijd niet volledig hersteld. Daarnaast claimen de aanvallers dat ze meer dan een miljoen records met informatie van patiënten en medewerkers hebben gestolen. Het zou daarbij ook gaan om vertrouwelijke gezondheidsinformatie. Na ontdekking van de aanval besloot OakBend alle systemen offline te halen. Het ging ook om de mailserver. Als back-up werd vervolgens besloten om voor de communicatie met patiënten een Gmail-adres aan te maken. Inmiddels is de e-mail weer hersteld, maar de voicemail van het telefoonsysteem werkt bijvoorbeeld nog niet. Een ransomwaregroep genaamd Daixin Team claimt de verantwoordelijkheid voor de aanval, meldt beveiligingsonderzoeker Brett Callow. Op hun eigen website stellen de aanvallers dat er meer dan miljoen records zijn buitgemaakt, waarvan het eerste deel nu te downloaden is. Hoe de criminelen toegang tot de ziekenhuissystemen konden krijgen is niet bekendgemaakt. Volgens OakBend is de veiligheid van patiënten niet in het geding geweest.


WordPress-sites op grote schaal aangevallen via zerodaylek in WPGateway

WordPress-sites worden op grote schaal aangevallen via een zerodaylek in WPGateway, een plug-in voor het populaire contentmanagementsysteem, zo meldt securitybedrijf Wordfence. Een beveiligingsupdate van de ontwikkelaar is nog niet beschikbaar. WordPress-beheerders wordt dan ook aangeraden om de plug-in direct te verwijderen totdat er een update is uitgebracht. WPGateway is een betaalde plug-in waarmee gebruikers van de WPGateway-clouddienst vanuit een dashboard hun WordPress-sites kunnen opzetten en beheren. Een kwetsbaarheid in de plug-in, aangeduid als CVE-2022-3180, maakt het mogelijk voor ongeauthenticeerde aanvallers om een malafide beheerder aan de website toe te voegen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Wordfence wil nog geen verdere details over de kwetsbaarheid geven, aangezien een beveiligingsupdate van de ontwikkelaar niet beschikbaar is. Het zerodaylek zou zeker sinds 8 september worden aangevallen. Sindsdien heeft Wordfence naar eigen zeggen 4,6 miljoen aanvallen tegen 280.000 websites waargenomen. Hoeveel websites van WPGateway gebruikmaken is onbekend. Aangezien een update ontbreekt krijgen webmasters het advies om de plug-in direct uit te schakelen totdat er een patch beschikbaar is.


Steam-gebruikers doelwit van "browser-in-the-browser" phishingaanval

Gebruikers van het populaire gamingplatform Steam zijn het doelwit van een phishingaanval waarbij van de "browser-in-the-browser" techniek gebruik wordt gemaakt. Dat laat securitybedrijf Group-IB weten. Bij deze techniek laat een malafide website een inlogpop-up zien met de url van een legitieme website. Gebruikers kunnen deze url ook kopiëren en plakken. De betreffende pop-up is echter niet van de legitieme website afkomstig. Zodra gebruikers via deze pop-up inloggen worden hun inloggegevens naar de aanvaller gestuurd. Wanneer het slachtoffer tweefactorauthenticatie voor zijn Steam-account heeft ingeschakeld vraagt de pop-up om deze informatie. Group-IB adviseert gebruikers om te controleren dat nieuw geopende vensters ook zichtbaar in de taakbalk zijn. "Anders is het browservenster nep", aldus het securitybedrijf. Verder wordt aangeraden om het venster te resizen. Als dit niet kan, is dit ook een aanwijzing dat het om een nagemaakt browservenster gaat.


€1.000,- euro als je het logo van ransomware criminelen 'Lockbit' tatoeëert

LockBit lanceerde de stunt via sociale media en was op zoek naar mensen die het logo van de groep wilden laten vereeuwigen op hun lichaam om reclame te maken. De bende wordt door verschillende inlichtingendiensten gezocht en verkoopt gijzelsoftware voor computers. Het duurde niet lang voor op Twitter de eerste foto’s opdoken van internetgebruikers die gehoor gaven aan de oproep. Zeker tien mensen haastten zich naar een tattooerder. Mogelijk ligt het echte aantal nog hoger, want het was niet noodzakelijk om een foto te verspreiden. LockBit voerde met iedere ‘deelnemer’ wel een videocall. Die kon dan via de webcam bewijzen dat de tattoo niet afwasbaar is. Eén internetgebruiker heeft op GitHub een collectie foto’s en filmpjes aangelegd van verschillende - vooral Russische - LockBit-fans met tattoo.


Lampion malware maakt comeback in WeTransfer phishing-aanvallen

Securitybedrijf Cofense waarschuwt dat malwarevariant Lampion steeds vaker opduikt. Aanvallers misbruiken WeTransfer om de malware met phishing-campagnes te verspreiden. WeTransfer is een gratis webtool voor het delen van bestanden. Sommige cybercriminelen gebruiken het platform als goedkope tool voor het omzeilen van securitysoftware die kwaadaardige URL’s in mails detecteert. Securitybedrijf Cofense meldt dat Lampion wordt verspreid met gehackte bedrijfsaccounts en phishing mails. Slachtoffers worden per mail gepusht om een ‘betalingsbewijs’ op WeTransfer te downloaden. Het WeTransfer-bestand is een ZIP-pakket met een VBS (Virtual Basic script). De malware activeert zodra een slachtoffer het VBS uitvoert.


DigiD was urenlang beperkt beschikbaar vanwege ddos-aanvallen

DigiD was maandagavond urenlang beperkt beschikbaar vanwege een storing. De website werd geteisterd door ddos-aanvallen. Veel gebruikers konden daardoor niet inloggen op verschillende overheidswebsites. Aan het einde van de avond was het probleem opgelost en kon iedereen weer inloggen. Volgens Logius ontstond de storing om 18.42 uur. Logius is een agentschap van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. De dienstverlener is verantwoordelijk voor onder meer de beschikbaarheid, werking en beveiliging van DigiD. DigiD lag er maandagavond niet helemaal uit. "Het zou kunnen dat het nu niet lukt om in te loggen, maar dat de website het wel doet als je het over tien minuten nog eens probeert", zei de woordvoerder. Op een kaart van AlleStoringen.nl was te zien dat de inlogproblemen verspreid over het land voorkwamen. Ook op Twitter meldden veel mensen dat ze problemen hebben met inloggen via DigiD.


‘Ongekend intense’ cyberaanval legt Montenegro lam, ‘schuld van Rusland’

Op het hoofdkwartier van de regering in NAVO-lidstaat Montenegro zijn de computers uit het stopcontact getrokken, het internet is uitgeschakeld en de belangrijkste websites van de staat zijn offline. De black-out komt er te midden van een massale cyberaanval tegen de kleine Balkanstaat die volgens ambtenaren het stempel draagt van pro-Russische hackers en zijn veiligheidsdiensten. De gecoördineerde aanval die rond 20 augustus begon, legde online informatieplatforms van de overheid lam en bracht de essentiële infrastructuur van Montenegro, waaronder bank-, water- en elektriciteitsvoorzieningssystemen, in groot gevaar. De aanval, die door deskundigen wordt omschreven als ongekend intens en de langste in de recente geschiedenis van het kleine land, vormde het sluitstuk van een reeks cyberaanvallen sinds de Russische inval in Oekraïne, waarbij hackers het gemunt hadden op Montenegro en andere Europese naties, waarvan de meeste NAVO-lid zijn.


NAVO-bondgenoten veroordelen cyberaanvallen op Albanië

NAVO-lidstaten en -bondgenoten steunen Albanië in het versterken van zijn cyberveiligheid nu de nationale IT-infrastructuur van het land in toenemende mate doelwit is van cyberaanvallen. In een verklaring betuigen de landen steun aan het Oost-Europese land. Albanië is al enige tijd doelwit van cyberaanvallen. Vrijdag werden nog de computersystemen van de nationale politie in het land getroffen door een aanval. In juli waren daarnaast meerdere Albanese overheidswebsites en digitale diensten onbereikbaar door cyberaanvallen. Het Oost-Europese land beschuldigt Iran van betrokkenheid bij de aanvallen. In reactie op de aanvallen zijn alle diplomatieke banden tussen Albanië en Iran verbroken. In een verklaring betuigen de NAVO-leden en -bondgenoten nu steun aan Albanië en geven zij aan solidair te zijn met het land. "Bondgenoten erkennen de verklaringen van Albanië en andere Bondgenoten die de verantwoordelijkheid voor de cyberaanval toeschrijven aan de regering van Iran. We veroordelen ten stelligste dergelijke kwaadaardige cyberactiviteiten die zijn ontworpen om de veiligheid van een Bondgenoot te destabiliseren en te schaden, en het dagelijks leven van burgers te verstoren. De NAVO en de Bondgenoten steunen Albanië bij het versterken van zijn cyberdefensievermogens om dergelijke kwaadaardige cyberactiviteiten in de toekomst te weerstaan en af te weren", schrijven de landen. Ook melden de bondgenoten zich in te zetten voor het beschermen van hun kritieke infrastructuur, opbouwen van veerkracht en versterken van hun cyberafweer. "We zullen in de toekomst blijven waken voor dergelijke kwaadaardige cyberactiviteiten en elkaar ondersteunen om het volledige spectrum van cyberdreigingen af te schrikken, te verdedigen en tegen te gaan, onder meer door mogelijke collectieve reacties te overwegen", aldus de bondgenoten. "We promoten een vrije, open, vreedzame en veilige cyberspace. We streven naar inspanningen om de stabiliteit te vergroten en de risico's van conflicten te verminderen door respect voor het internationaal recht en de vrijwillige normen van verantwoordelijk staatsgedrag in cyberspace te bevorderen, zoals erkend door alle leden van de Verenigde Naties. We roepen alle staten op om hun internationale verplichtingen na te komen om een op normen gebaseerde benadering van cyberspace te handhaven."


VS verplicht vitale infrastructuur om losgeld betaald bij ransomware te melden

Amerikaanse vitale organisaties die slachtoffer van ransomware worden en losgeld aan de aanvallers betalen zullen dit straks verplicht bij de Amerikaanse overheid moeten rapporteren. Ook cyberincidenten dienen straks te worden gemeld. Dat is het gevolg van de Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA). Hoe de meldplicht er precies komt uit te zien is nog niet helemaal duidelijk. Het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security, is een 'request for information' gestart. Vanaf vandaag kan de vitale infrastructuur en het publiek op het voorstel reageren. Aan de hand van de verkregen feedback wordt gekeken hoe de nieuwe meldplicht effectief kan worden geïmplementeerd. Het CISA wil graag input over zaken als definities en gebruikte terminologie, alsmede vorm, inhoud en procedures voor het melden van cyberincidenten en losgeldbetalingen, maar ook hoe de verplichting kan worden gehandhaafd. Volgens de overheidsinstantie zorgt de meldplicht ervoor dat het sneller middelen kan vrijmaken voor slachtoffers van aanvallen en opkomende dreigingen en trends sneller in kaart kan brengen. "CIRCIA is voor de hele cybersecurity-community en iedereen die de vitale infrastructuur van ons land wil beschermen een game changer. Het zorgt ervoor dat we de dreigingen waarmee we te maken hebben beter kunnen begrijpen, aanvalscampagnes eerder kunnen herkennen en meer gecoördineerde actie met onze private en publieke partners kunnen ondernemen", zegt CISA-directeur Jen Easterly. "We kunnen niet beschermen tegen wat we niet kennen en de informatie die we ontvangen zal helpen om belangrijke gaten te dichten."


QNAP herhaalt oproep om UPnP en port forwarding op NAS uit te schakelen

QNAP heeft eigenaren van een NAS-apparaat dat toegankelijk vanaf het internet is opnieuw opgeroepen om UPnP en port forwarding uit te schakelen. Aanleiding is de recente zeroday-aanval op gebruikers van een QNAP-NAS begin deze maand. Aanvallers achter de DeadBolt-ransomware maakten gebruik van een zerodaylek in de Photo Station-software van QNAP. Zodoende konden allerlei bestanden worden versleuteld en moesten slachtoffers losgeld betalen om hun data terug te krijgen. QNAP zegt dat het vijf uur na het identificeren van de "malwarepatronen" met een beveiligingsupdate voor het aangevallen zerodaylek is gekomen. Verder heeft de NAS-fabrikant een lijst met ip-adressen die de aanvallers gebruiken op een blacklist van de QuFirewall-applicatie gezet. Verder stelt het bedrijf dat het vorig jaar NAS-snapshots heeft geïntroduceerd die niet door ransomware zijn te verwijderen. In QTS 5.0.0 staan deze snapshots standaard in het Thin/Thick volume ingeschakeld. Gebruikers die regelmatig snapshots maken kunnen die herstellen. Klanten die niet regelmatig snapshots maken worden aangeraden om contact op te nemen met de klantenservice van QNAP. Ook adviseert de NAS-fabrikant om wel geregeld snapshots te maken. In april kwam QNAP met advies om UPnP en port forwarding uit te schakelen en die oproep wordt nu herhaald. Universal Plug and Play (UPnP) is een veelgebruikt protocol dat het eenvoudiger voor apparaten in een netwerk moet maken om met andere apparaten op het netwerk te communiceren. Aangezien het bedoeld is om op lokale, vertrouwde netwerken te worden gebruikt implementeert het UPnP-protocol standaard geen enkele vorm van authenticatie of verificatie. Port forwarding maakt het mogelijk om het NAS-appraat voor het internet toegankelijk te maken. QNAP stelt dat gebruikers hier voorzichtig mee moeten zijn en het uitschakelen van de feature wordt aangeraden. In het geval een NAS-systeem toch toegankelijk vanaf het internet moet zijn is het nodig om een strikte firewallconfiguratie toe te passen en de managementpoort aan te passen, zo stelt de fabrikant. Hoeveel QNAP-gebruikers slachtoffer van de recente aanval zijn geworden is niet bekend.

 

Ransomware versleutelt ruim 11.000 QNAP-apparaten via zerodaylek

De criminelen achter de DeadBolt-ransomware hebben begin deze maand ruim 11.000 NAS-apparaten van fabrikant QNAP via een zerodaylek weten te versleutelen, zo stelt securitybedrijf Censys. Sinds het begin van dit jaar zijn QNAP-systemen het doelwit van de DeadBolt-ransomware, waarbij vaak bekende kwetsbaarheden worden gebruikt. Begin september wisten de aanvallers NAS-systemen via een zerodaylek in de Photo Station-software aan te vallen. QNAP stelt dat het een aantal uur na ontdekking van de aanvallen met een beveiligingsupdate kwam om het probleem te verhelpen. Op het forum van QNAP klaagden tal van gebruikers dat hun systeem was versleuteld. Censys houdt het aantal met DeadBolt besmette QNAP-apparaten bij. Dat waren er op 1 september zo'n 7700. Op 4 september was dit gestegen naar 19.000. De meeste infecties werden geteld in de Verenigde Staten, gevolgd door Duitsland, Italië, Taiwan en het Verenigd Koninkrijk. Slachtoffers moeten honderden euro's betalen voor het ontsleutelen van hun data. Vorig jaar kwam QNAP met snapshots die niet door ransomware zijn te verwijderen. Gebruikers die regelmatig snapshots maken kunnen zo hun data herstellen. Klanten die niet regelmatig snapshots maken en door de recente aanval zijn getroffen worden aangeraden om contact op te nemen met de klantenservice van QNAP.


Ransomwaregroep publiceert bij Cisco gestolen bedrijfsgegevens

Een groep ransomwarecriminelen die wist in te breken op systemen van Cisco heeft de daarbij gestolen bestanden openbaar gemaakt, zo heeft de netwerkgigant bekendgemaakt. Het zou onder andere om geheimhoudingsverklaringen van het bedrijf gaan. Volgens Cisco laat het incident zien dat organisaties hun personeel goed over het gebruik van multifactorauthenticatie (MFA) moeten onderwijzen. De aanval vond eind mei plaats, maar werd pas vorige maand door Cisco naar buiten gebracht. De aanvaller wist via het persoonlijke Google-account van een Cisco-medewerker toegang tot het Cisco-vpn te krijgen. Deze medewerker had wachtwoordsynchronisatie via Google Chrome ingesteld en zijn Cisco-inloggegevens in de browser opgeslagen. Daardoor werden deze gegevens met het Google-account gesynchroniseerd. Hoe het account van de medewerker kon worden gecompromitteerd heeft Cisco niet laten weten. Het vpn van Cisco was ook beveiligd met multifactorauthenticatie, waardoor de aanvaller aan alleen de buitgemaakte inloggegevens niet voldoende had. Om dit obstakel te omzeilen maakte de aanvaller gebruik van verschillende methodes, waaronder telefonische phishing en “MFA fatigue”, waarbij een doelwit wordt bestookt met pushnotificaties op de telefoon om de inlogpogingen van de aanvaller goed te keuren. Nadat de aanvaller toegang had verkregen wist die verschillende eigen systemen voor de multifactorauthenticatie aan te melden en kon zo succesvol op het Cisco-vpn inloggen. De aanvaller wist vervolgens adminrechten te krijgen, waardoor hij tot meerdere Cisco-systemen toegang kreeg. Dit veroorzaakte een waarschuwing waarop Cisco een onderzoek startte. De aanvaller bleek meerdere tools te gebruiken, waaronder LogMeIn en TeamViewer, en tools zoals Cobalt Strike, PowerSploit, Mimikatz en Impacket. Ook voegde de aanvaller zijn eigen backdoor-accounts toe. De aanvaller probeerde vervolgens data te stelen. Dat is volgens Cisco beperkt tot alleen een "Box folder" van de in eerste instantie gecompromitteerde medewerker. Er is geen ransomware uitgerold, zo laat het netwerkbedrijf verder weten. Na de aankondiging van de inbraak en gestolen data kwam Cisco met een update waarin het stelt dat organisaties hun medewerkers over het gebruik van MFA moeten voorlichten, zodat ze weten hoe ze met onbedoelde push requests op hun telefoon moeten omgaan. Daarnaast moeten medewerkers weten wie ze in deze gevallen kunnen informeren mocht een dergelijke aanval zich voordoen. Verder adviseert Cisco ook technische maatregelen, zoals een strengere controle bij het toevoegen van nieuwe apparaten waarmee medewerkers op een vpn kunnen inloggen, of het in zijn geheel blokkeren hiervan. Verder moet van elk systeem voordat het vpn-toegang krijgt de "security baseline" worden gecontroleerd. Dit moet ook voorkomen dat malafide, niet toegestane apparaten verbinding met het bedrijfsnetwerk kunnen maken. Ook adviseert Cisco het gebruik van netwerksegmentatie en het gecentraliseerd verzamelen van logbestanden.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


Oktober 2022
September 2022
Augustus 2022
Juli 2022

«   »