Ransomware weekoverzicht 14-2021

Gepubliceerd op 12 april 2021 om 20:57

Gevolgen ransomware aanval nog altijd merkbaar voor Hof van Twente, transportbedrijf Bakker rijdt minder vrachten door hack en de REvil ransomware verandert nu het wachtwoord om automatisch in te loggen in de veilige modus. Hier het overzicht van de nieuwste ransomware vormen en het nieuws van dag tot dag.

5 april 2020

Gemeente Brescia (I) gehackt: losgeld geëist van 1,3 miljoen euro (in bitcoin)

„De website is geïnfecteerd met het DoppelPaymer ransomware die bestanden versleutelt waardoor ze ontoegankelijk worden“. Het zijn niet "slechts" een paar websites: een groot deel van het bestuurlijke apparaat van de gemeente ligt plat. Om het weer op gang te krijgen vroegen de hackers voor een decoderingssleutel een losgeld bedrag van 26 Bitcoins, gelijk aan een waarde van ongeveer 1,3 miljoen euro, een bedrag dat de Lodge (uiteraard) niet van plan is te betalen. Bron

Cosmetica groep Pierre Fabre is getroffen door een ransomware aanval

De toonaangevende Franse farmaceutische groep Pierre Fabre kreeg te maken met een REvil-ransomware aanval waarbij de cybercriminelen aanvankelijk een losgeld van $ 25 miljoen eisten. Bron

Ransomware criminelen REvil beweren Tata Steel te hebben gehackt en lekken data op het Darkweb

Nieuwe Jormungand variant ransomware

Dnwls0719 ontdekt een nieuwe variant met extensie *.glock

Nieuwe variant Hiddentear ransomware

GrujaRS ontdekt een nieuwe variant met extensie *.Dark!

6 april 2020

Gevolgen ransomware-aanval nog altijd merkbaar voor Hof van Twente

De ransomware-aanval op de Hof van Twente heeft nog altijd merkbare gevolgen voor zowel gemeente als inwoners. Zo zijn belastingaanslagen en WOZ-beschikkingen nog niet door de gemeente verstuurd. "Dat betekent dat we een beroep op u doen. Zorg even dat u het geld opzij zet. Die belastingaanslagen komen er wel, alleen later dan u van ons gewend bent", aldus burgemeester Ellen Nauta in een update over de aanval die op 30 november 2020 plaatsvond. Bron

Herstel ransomware-infectie kost Schotse milieuwaakhond 924.000 euro

De Schotse milieuwaakhond SEPA die eind december vorig jaar door ransomware werd getroffen heeft al 924.000 euro uitgegeven aan het herstel van de aanval. Die vond plaats op 24 december en raakte het contactcentrum, interne systemen, processen en interne communicatie. Naast e-mail waren ook verschillende andere interne systemen en "externe dataproducten" offline. Bron

National College of Ireland getroffen door ransomware aanval

Het National College of Ireland (NCI) werd onderworpen aan een ransomwareaanval, heeft de Business Post vernomen. De cyberaanval, die zaterdagochtend werd ontdekt, resulteerde in het opschorten van de toegang tot al zijn IT-systemen, inclusief Moodle en de Library Service.

In een verklaring aan de studenten zei NCI dat het IT-team en externe serviceproviders eraan werkten om de service "zo snel mogelijk" te herstellen. Bron

TU Dublin Tallaght campus (I) onderzoekt 'significante' ransomware aanval

De volledige on-site ICT-systemen van de Tallaght-campus werden donderdag vroeg aangevallen en een onderzoek door technische experts en An Garda Síochána is nu aan de gang. De universiteit zei dat er nog geen aanwijzingen zijn dat gegevens, inclusief persoonlijke gegevens, zijn "geëxfiltreerd, gedownload, gekopieerd of bewerkt". Bron

Windows XP zorgt ervoor dat ransomware bendes harder voor hun geld werken

Een recentelijk gecreëerde ransomware-decryptor illustreert hoe bedreigingsactoren Windows XP moeten ondersteunen, zelfs toen Microsoft de ondersteuning ervan zeven jaar geleden stopte. Windows XP bereikte het einde van zijn levensduur op 8 april 2014, en hoewel het geen beveiligingsupdates meer ontvangt, gebruiken meer mensen XP dan Windows Vista. Volgens StatCounter wordt Windows XP gebruikt door 0,84% van de mensen met Windows, een verdubbeling van het huidige gebruik van Windows Vista. Bron

7 april 2020

Bedrijven via lek in Fortinet vpn-servers geïnfecteerd met ransomware

Criminelen maken misbruik van een bekende kwetsbaarheid in Fortinet vpn-servers om bedrijven met ransomware te infecteren, zo waarschuwt antivirusbedrijf Kaspersky. Het lek, CVE-2018-13379, bevindt zich in de FortiOS SSL VPN webportal. FortiOS is het besturingssysteem dat in de netwerkoplossingen van Fortinet wordt gebruikt, zoals firewalls en vpn-servers. Bron

Kaspersky Ics Cert Vulnerability In Fortigate Vpn Servers Is Exploited In Cring Ransomware Attacks En
PDF – 430,3 KB 212 downloads

FBI: Hackers maken actief misbruik van kwetsbaarheden in FortiOS

De FBI heeft een waarschuwing afgegeven voor actief misbruik van drie bekende kwetsbaarheden in FortiOS, het besturingssysteem dat in de netwerkoplossingen van fabrikant Fortinet wordt gebruikt, zoals firewalls en vpn-systemen. Het gaat om CVE-2018-13379, CVE-2019-5591 en CVE-2020-12812. Lees verder

Een massale cyberaanval verlamde een stadhuis in Tsjechië

Sinds de vroege uurtjes van woensdag 7 april heeft het gemeentelijke datanetwerk te maken gehad met een massale cyberaanval op het hele systeem. De cyberaanvaller viel de data-infrastructuur van de gemeente aan, waarna om veiligheidsredenen de afzonderlijke subsystemen werden losgekoppeld. Bron

Cyberaanval op kruideniers in Oostenrijk

"Wegens cyberaanvallen en chantage zijn we waarschijnlijk vanaf woensdag 7 april gesloten." Dit briefje hangt de afgelopen dagen op de markt van Georg Wieser 'Nah & Frisch' in Türnitz. Bron

De REvil ransomware verandert nu het wachtwoord om automatisch in te loggen in de veilige modus

Een recente wijziging in de REvil-ransomware stelt de bedreigingsactoren in staat om bestandscodering te automatiseren via de veilige modus na het wijzigen van Windows-wachtwoorden.

Nieuwe variant ransomware

S!Ri ontdekt een nieuwe variant met extensie *.wintenzz

8 april 2020

Transportbedrijf Bakker rijdt minder vrachten door hack

Transportbedrijf Bakker Logistiek uit Zeewolde is afgelopen weekend gehackt, waardoor het bedrijf minder vrachten kan rijden dan normaal. Het automatiseringssysteem bij het magazijngedeelte werkt niet, maar leidt volgens directeur Toon Verhoeven niet tot problemen. "We kunnen minder leveren, maar het leidt niet tot lege schappen in de winkel." Bron

Ziekenhuis Saint-Gaudens (F) getroffen door ransomware aanval

Er is een verzoek om losgeld ingediend, legt de directeur van het ziekenhuis, Jean-Marc Viguier, uit. De administratie legt uit dat ze " alle computerservers heeft geblokkeerd om gegevens en besmetting te beschermen" om zo het stelen van patiëntgegevens te voorkomen. Bron

Het elektronische register van Axios (I), getroffen door ransomware

Duizenden scholen zonder de mogelijkheid om de registers bij te werken en - in sommige gevallen - afstandsonderwijs uit te voeren. Voor het bedrijf zijn er geen gegevens gestolen of verloren gegaan, maar opdrachtgevers moeten de gebeurtenis registreren in het datalek logboek. Bron

Ransomware aanval sluit het hele schooldistrict van Haverhill af (VS)

Ransomware aanval op Havschools leidt tot annulering van lessen (preK-12). Het OM en de Haverhill politie onderzoeken in samenwerking met IT-consultants om het systemen weer online te krijgen. Bron

Ransomware criminelen REvil beweren Harris Federation te hebben gehackt en lekken data op het Darkweb

Nieuwe variant ransomware

Dnwls0719 ontdekt een nieuwe variant met extensie *.beaf

9 april 2020

'Ransomware' is volwassen geworden en is 32 jaar

Als u de wereld van cybersecurity (informatiebeveiliging) een beetje volgt, hebt u de afgelopen jaren vast een hoop over ransomware (gijzelsoftware) gehoord. U kunt zelfs de pech hebben gehad dat u slachtoffer bent geweest van een ransomware aanval. Het is waarschijnlijk niet overdreven om ransomware als de gevaarlijkste malware van onze tijd te betitelen. Lees verder

Er werd 500.000 euro losgeld geëist van de stad L'Isle-sur-la-Sorgue (F)

De stad L'Isle-sur-la-Sorgue (Vaucluse) was vrijdagochtend het slachtoffer van een grootschalige ransomware aanval. Alle bestanden zijn versleuteld. De hackers eisen van de Stad 500.000 euro losgeld in ruil voor een decoderingssleutel. Bron

Ransomware aanval op een basisschool in Bazel Zwitserland

Alle servers van de school zijn momenteel niet beschikbaar, dus er is geen toegang tot gegevens. Om ervoor te zorgen dat de school maandag begint, is een tijdelijk WLAN-netwerk geactiveerd, is het datacenter geïsoleerd en zijn de hostsystemen volledig uitgeschakeld. Het ministerie van Onderwijs diende een klacht in tegen onbekende personen en het incident werd gemeld aan het National Center for Cybersecurity. Bron

Axios Italia Service getroffen door cyberaanval

Zes dagen na de cyberaanval is het elektronische registerbeheersysteem dat door meer dan 2.500 Italiaanse scholen wordt gebruikt, nog niet hersteld. In een verklaring bevestigde het bedrijf wat hun IT-experts waarschijnlijk vanaf het begin hadden gevreesd; een cyberaanval van het ransomware-type. Bron

Maze / Egregor ransomware-kartel heeft naar schatting $ 75 miljoen verdiend

Aangenomen wordt dat de groep achter de Maze en Egregor ransomware-operaties ten minste $ 75 miljoen aan Bitcoin heeft verdiend aan losgeldbetalingen na inbraken bij bedrijven over de hele wereld. Bron

RANSOM MAFIA ANALYSIS OF THE WORLDS FIRST RANSOMWARE CARTEL
PDF – 10,7 MB 412 downloads

De Avaddon Ransomware-bende heeft 10 slachtoffer organisaties tegelijk onthuld.

Nieuwe Gehenna variant ransomware

Dnwls0719 ontdekt een nieuwe variant met extensie *.gehenna

Nieuwe variant Stop Djuvu ransomware

Michael Gillespie ontdekt een nieuwe variant met extensie *.Imas

Nieuwe variant RIP_Imao ransomware

GrujaRS ontdekt een nieuwe variant met extensie *.crypted!

10 april 2020

Ransomware aanval op het computersysteem van de Gino Group-dealer (I)

Op woensdag 7 april leed de in Cuneo gevestigde gigant van dealers aan wat in technische termen "ransomware" wordt genoemd, een cyberaanval die bedrijfssoftware infecteert en waarvoor losgeld moet worden betaald om de beperkingen op te heffen. Resultaat: donderdag en gisteren liep het hele digitale systeem van de Gino Group in de war. Bron

Ransomware criminelen REvil beweren Honeywell te hebben gehackt en lekken data op het Darkweb

Nieuwe variant Maoloa ransomware

Dnwls0719 ontdekt een nieuwe variant met extensie *.charlie.j0hnson

Ransomware criminelen RansomEXX beweren Castello te hebben gehackt en lekken data op het Darkweb

Ransomware criminelen Ragnarok beweren MOBA te hebben gehackt en lekken data op het Darkweb

11 april 2020

Microsoft: contactformulier websites gebruikt voor unieke malware-aanval

Criminelen maken op grote schaal gebruik van de contactformulieren van websites om op een unieke wijze malware te verspreiden, zo stelt Microsoft. Volgens het bericht dat de aanvallers via het contactformulier achterlaten heeft de betreffende website zich schuldig gemaakt aan copyrightschending. Als de afbeeldingen in kwestie niet snel worden verwijderd dreigt de afzender met juridische stappen. Deze malware kan het netwerk van de getroffen organisatie verder verkennen, inloggegevens stelen en aanvullende malware installeren, zoals ransomware. Bron

Met speciale dank aan: anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.

Identificeren van Ransomware

Upload een ransom bericht en/of een geëncrypteerd bestand om de ransomware te identificeren die uw bestanden heeft geëncrypteerd (versleuteld).

Ransomware

Ransomware cyberaanvallen zijn een big business, zo groot zelfs dat onderzoek verwacht dat een bedrijf elke 11 seconden wordt aangevallen door een cybercrimineel  en dat de schade als gevolg van deze aanvallen tegen 2021 ongeveer 20.000.000.000.000,- (20 biljoen) dollar zal bedragen .

Wat is Ransomware?

Ransomware is software waarmee de computer wordt ‘gegijzeld’. Het slachtoffer kan niet meer bij zijn persoonlijke bestanden. Bij het opstarten van de computer verschijnt een melding dat een bedrag betaald moet worden om weer toegang te krijgen. Wil je meer weten over Ransomware, dan kun je hier verder lezen.

Doxware

Wat is Doxware?

Doxware is een soort ransomware die persoonlijke gegevens aan het publiek dreigt vrij te geven als de gebruiker het losgeld niet betaalt.

De term komt van de hacker-term 'doxing' of het vrijgeven van vertrouwelijke informatie via internet. Doxware-aanvallen infecteren computers vaak via phishing-e-mails. Meer weten over doxware, dan kun je hier verder lezen.

Advies

  1. Installeer een goede virusscanner.
  2. Houd alle software up-to-date, waaronder besturingssysteem, internetbrowser, browser aanvullingen en populaire programma's, zoals Adobe Reader. Met ScanCircle zie je snel hoe je pc ervoor staat. Voor software als Adobe Flash en Java is uitschakelen aan te raden.
  3. Klik niet op bijlagen en links in e-mails, tenzij je zeker weet dat het vertrouwd is. Twijfel je, kijk dan op de Opgelicht website of de e-mail daar voorkomt. Zo niet, wacht dan een dag en controleer nogmaals of stuur hem door naar digitaalgids@consumentenbond.nl voor uitsluitsel. 
  4. Schakel geen macro's bij Office-documenten van derden, zeker niet als daar in het document om wordt gevraagd.
  5. Ransomware is vaak een uitvoerbaar .exe-bestand, vermomd als ander soort bestand, bijvoorbeeld een pdf-document. Schakel  bestandsextensies weergeven, zodat je de vermomming kunt doorzien.
  6. En tenslotte: back-ups maken! Dat is sowieso verstandig, maar bij ransomware-besmetting vaak het enige redmiddel om verlies van al je gegevens te voorkomen.

Wilt u weten hoe uw digitale veiligheid is? Doe dan hier de test en ontvang uw test score. (.../10)

Meer weekoverzichten

Ransomware berichten

Alle het nieuws