Ransomware weekoverzicht 51-2020

Gepubliceerd op 21 december 2020 om 12:00
Ransomware 'Game over'

De supply chain-aanval van 'SolarWinds' heeft het cybersecurity-nieuws van afgelopen week gedomineerd, maar helaas ontbraken de ransomware aanvallen afgelopen week ook niet.

De afgelopen maand is Israël het doelwit geweest van een reeks cyberaanvallen die aan Iran worden toegeschreven. Afgelopen week richtten de 'Pay2Key-ransomware-criminelen' zich op een ander Israëlisch bedrijf in een  aanval op 'Intel's Habana Labs'. Deze groep lijkt gefocust op het veroorzaken van schade aan de Israëlische belangen in plaats van het genereren van losgeld.

We zagen ook een cybercrimineel die profiteerde van de release van 'Cyberpunk 2077' door ransomware te verspreiden, vermomd als de game .

En de gemeente 'Hof van Twente' gaat geen losgeld betalen voor het ontsleutelen van de data. Hier het overzicht van nieuwe ransomware vormen en het nieuws van dag tot dag.

14 december 2020

Intel's Habana Labs gehackt door Pay2Key-ransomware, gegevens gestolen

De ontwikkelaar van AI-processor Habana Labs, eigendom van Intel, heeft een cyberaanval ondergaan waarbij gegevens werden gestolen en vervolgens gepubliceerd werden door de cybercriminelen (doxware).

New Conti variant

S!Ri vond een nieuwe Conti-variant die de extensie .KCWTT toevoegt aan versleutelde bestanden.

Nieuwe Ouroboros-ransomware variant

S!Ri  vond een nieuwe variant van de Ouroboros-ransomware die de extensie .Sophos toevoegt.

Nieuwe Zeoticus-variant

MalwareHunterTeam  vond een nieuwe Zeoticus 2.0-ransomware variant die de  .2020END- extensie toevoegt.

Nieuwe STOP Ransomware-variant

Michael Gillespie  vond een nieuwe STOP Ransomware-variant die de .booa- extensie toevoegt.

Hackers verlammen Symrise - waarom de zaak bijzonder ernstig is

De Nedersaksen MDax-groep Symrise werd het slachtoffer van een ernstige aanval door onbekende hackers. De productie in het in 2003 in Holzminden opgerichte bedrijf staat grotendeels stil. "Om de gevolgen te kunnen inschatten en mogelijke verdere effecten te voorkomen, heeft het bedrijf alle essentiële systemen stilgelegd", aldus Symrise.

Clop-sample gebruikt op Symrise

Minhee Lee  vond de Clop-ransomware variant die werd gebruikt bij de Symrise-aanval.

15 december 2020

Ransomware-aanval veroorzaakt vertragingen in de facturering voor de stad Missouri

De City of Independence, Missouri, kreeg vorige week te maken met een ransomware aanval die de diensten van de stad blijft verstoren.

Nieuwe Dharma-ransomwarevarianten

Jakub Kroustek  vond twee nieuwe Dharma Ransomware-varianten die de .msf- of .lock- extensies toevoegen.

Nieuwe Phobos Ransomware-variant

Michael Gillespie heeft een nieuwe Phobos-variant gevonden die de extensie ".id []. [ICQ_Sophos] .Antivirus" toevoegt.

16 december 2020

Ransomware-bendes automatiseren de levering van payloads met SystemBC-malware

SystemBC, een commodity-malware die op ondergrondse markten wordt verkocht, wordt gebruikt door ransomware-as-a-service (RaaS) -operaties om kwaadaardig verkeer te verbergen en de levering van ransomware-payloads op de netwerken van gecompromitteerde slachtoffers te automatiseren.

Beazley Breach Insights - Q3 2020

In een ongelooflijk uitdagend jaar waarin ransomware gemakkelijk de grootste cyber dreiging is geworden voor zowel individuen als organisaties, is de ernst van ransomware-aanvallen blijven escaleren. In de loop van 2020 hebben deze incidenten een nieuw niveau van complexiteit bereikt, aangezien ze een lange weg hebben afgelegd sinds de vroege incarnaties van ransomware, ontworpen om te misleiden en op een malafide e-mail te klikken die vervolgens een werkstation en gedeelde bestanden versleutelt.

Beazley Breach Insights
PDF – 116,5 KB 267 downloads

Nieuwe Hades Ransomware

Michael Gillespie vond een nieuwe ransomware genaamd Hades Ransomware die een willekeurige extensie toevoegt en een losgeld briefje laat vallen met de naam " HOW-TO-DECRYPT-xxxxx.txt ."

Nieuwe HiddenTear-variant

MalwareHunterTeam  heeft een HiddenTear-variant gevonden die de extensie .fmfgmfgm toevoegt.

De COVID-20 Ransomware

MalwareHunterTeam vond een dwaze bootlocker genaamd COVID-20 ransomware.

17 december 2020

Iraanse natiestaat hackers gekoppeld aan Pay2Key-ransomware

De door Iran gesteunde hack groep Fox Kitten is in verband gebracht met de Pay2Key-ransomware-operatie die onlangs is begonnen met het aanvallen van organisaties uit Israël en Brazilië.

Ransomware doet zich voor als mobiele versie van Cyberpunk 2077

Een cybercrimineel verspreidt valse Windows- en Android-installatieprogramma's voor de Cyberpunk 2077-game die een ransomware installeert die zichzelf CoderWare noemt.

FBI: slachtoffers van ransomware opgebeld door criminelen

Het afgelopen jaar zijn meerdere slachtoffers van de DoppelPaymer-ransomware door de verantwoordelijke criminelen opgebeld, zo heeft de FBI bekendgemaakt (pdf). De criminelen intimideren slachtoffers en dreigen gestolen gegevens openbaar te maken (doxware), tenzij het losgeld wordt betaald.

FBI PIN 12 10 2020
PDF – 1,1 MB 343 downloads

18 december 2020

Gemeente Hof van Twente bevestigt aanval door ransomware

Op 1 december merkten we dat we onze eigen systemen niet in konden. Er werd duidelijk dat onbekende derden zich toegang hebben verschaft tot onze systemen en de gegevens op al onze servers voor ons ontoegankelijk hebben gemaakt. 

Nieuwe STOP Ransomware-variant

Michael Gillespie vond een nieuwe STOP Ransomware-variant die de .omfl- extensie toevoegt.

Nieuwe Hakbit-variant

xiaopao  heeft een nieuwe Hakbit-variant gevonden die de extensie .rastar toevoegt.

Nieuwe Inferno RaaS

RAKESH KRISHNAN  vond een nieuwe ransomware-as-a-service genaamd Inferno die criminelen rekruteren.

19 december 2020

Hof van Twente gaat losgeld voor ontsleutelen data niet betalen

De gemeente Hof van Twente gaat de hackers die verantwoordelijk zijn voor het platleggen van de computersystemen van de gemeente, begin deze maand, niet betalen. Dat heeft burgemeester Ellen Nauta gezegd. De gemeente gaat een nieuwe infrastructuur opbouwen. Het duurt nog een half jaar voor alles weer werkt.

Met dank aan de bijdragers van deze week:

@Seifreed, @FourOctets, @malwareforme, @jorntvdw, @VK_Intel, @malwrhunterteam, @BleepinComputer, @LawrenceAbrams, @DanielGallagher, @Ionut_Ilascu, @ demonslay335, @serghei, @struppigel, @fwosar, @PolarToffee, @GelosSnake, @ sh1shk0va, @ClearskySec, @ProferoSec, @OhadMZ, @Sophos, @thepacketrat, @JakubKroustek, @siri_urz, @BeazleyGroup, @ darb0ng, @Kangxiaopao en @ RakeshKrish12.

Ransomware

Ransomware cyberaanvallen zijn een big business, zo groot zelfs dat onderzoek verwacht dat een bedrijf elke 11 seconden wordt aangevallen door een cybercrimineel  en dat de schade als gevolg van deze aanvallen tegen 2021 ongeveer 20.000.000.000.000,- (20 biljoen) dollar zal bedragen .

Wat is Ransomware?

Ransomware is software waarmee de computer wordt ‘gegijzeld’. Het slachtoffer kan niet meer bij zijn persoonlijke bestanden. Bij het opstarten van de computer verschijnt een melding dat een bedrag betaald moet worden om weer toegang te krijgen. Wil je meer weten over Ransomware, dan kun je hier verder lezen.

Doxware

Wat is Doxware?

Doxware is een soort ransomware die persoonlijke gegevens aan het publiek dreigt vrij te geven als de gebruiker het losgeld niet betaalt.

De term komt van de hacker-term 'doxing' of het vrijgeven van vertrouwelijke informatie via internet. Doxware-aanvallen infecteren computers vaak via phishing-e-mails. Meer weten over doxware, dan kun je hier verder lezen.

Advies

  1. Installeer een goede virusscanner.
  2. Houd alle software up-to-date, waaronder besturingssysteem, internetbrowser, browser aanvullingen en populaire programma's, zoals Adobe Reader. Met ScanCircle zie je snel hoe je pc ervoor staat. Voor software als Adobe Flash en Java is uitschakelen aan te raden.
  3. Klik niet op bijlagen en links in e-mails, tenzij je zeker weet dat het vertrouwd is. Twijfel je, kijk dan op de Opgelicht website of de e-mail daar voorkomt. Zo niet, wacht dan een dag en controleer nogmaals of stuur hem door naar digitaalgids@consumentenbond.nl voor uitsluitsel. 
  4. Schakel geen macro's bij Office-documenten van derden, zeker niet als daar in het document om wordt gevraagd.
  5. Ransomware is vaak een uitvoerbaar .exe-bestand, vermomd als ander soort bestand, bijvoorbeeld een pdf-document. Schakel  bestandsextensies weergeven, zodat je de vermomming kunt doorzien.
  6. En tenslotte: back-ups maken! Dat is sowieso verstandig, maar bij ransomware-besmetting vaak het enige redmiddel om verlies van al je gegevens te voorkomen.

Wilt u weten hoe uw digitale veiligheid is? Doe dan hier de test en ontvang uw test score. (.../10)

Meer weekoverzichten

Maart 2024
Februari 2024

Ransomware berichten

Februari 2024
November 2023
Oktober 2023
September 2023
Augustus 2023
Mei 2023
April 2023
Maart 2023
December 2022

Doxware berichten

Juni 2021

New York Pizza slachtoffer van doxwaring

New York Pizza is het slachtoffer geworden van doxware. Een onbekende dader is er in geslaagd om een groot aantal klantgegevens te bemachtigen. Hij dreigt deze gegevens openbaar te maken of te verkopen. De pizza keten adviseert klanten om het wachtwoord van hun account te veranderen.

Lees meer »
Augustus 2020
Juni 2020

LG Electronics slachtoffer van Doxware

De cybercriminelen achter de Maze-ransomware claimt systemen van elektronicagigant 'LG Electronics' te hebben geïnfecteerd, waarbij ook door het bedrijf ontwikkelde broncode is buitgemaakt. Als LG het gevraagde losgeld niet betaalt zullen de criminelen de gestolen data openbaar maken.

Lees meer »

Cybercrime algemeen

Maart 2024
Januari 2024
December 2023
November 2023