Cyberaanvallen ransomware weekoverzicht 18-2021

Gepubliceerd op 10 mei 2021 om 15:43

Cybercrime High Tech aanvallen duidelijk zichtbaar in de lift, nieuwe ransomware bendes ontdekt op het darkweb en nieuwe modus operandi toegepast door ransomware bende. Hier het overzicht van de nieuwste ransomware vormen en het nieuws van dag tot dag.


9 mei


USA: Oklahoma en Rensselaer Polytechnic Institute maken incidenten met ransomware bekend

Het Rensselaer Polytechnic Institute heeft al drie dagen te maken met een malware aanval die een groot deel van het computernetwerk heeft afgesloten en gevolgen heeft voor de studenten van de universiteit terwijl ze de examens van het voorjaarssemester ingaan. Bron


Ransomware criminelen Noname beweren Proctor Financial te hebben gehackt en lekken data op het Darkweb

Noname

Ransomware criminelen sturen mail naar slachtoffer concurrent

De Marketo-bende lekte interne gegevens van een bedrijf dat ze hadden gehackt op het Darkweb en stuurde een e-mail naar de concurrenten van het slachtoffer. Dit is een nieuwe modus operandi van ransomware bendes.


Nieuwe variant LegionLocker ransomware

Dnwls0719 ontdekt een nieuwe variant met extensie *.LGNLCKD


8 mei


FRA: Eco-vriendelijk sneaker merk Veja gehackt

Een klap voor het ecologisch verantwoorde schoenenmerk dat populair is bij beroemdheden als Meghan Markle en president Emmanuel Macron. Bron


ESP: IT-diensten van de gemeenteraad van Oviedo zijn uitgeschakeld

Sinds vijf uur 's ochtends zijn alle IT-diensten van de gemeenteraad van Oviedo gekaapt. Een kwaadaardig programma heeft de toegang tot servers en gegevens geblokkeerd. Bron


USA: Oliepijpleidingen VS stilgelegd vanwege cyberaanval

Het grootste oliepijpleidingbedrijf van de Verenigde Staten heeft alle leidingen afgesloten vanwege een cyberaanval. Gebleken is dat de aanval een aantal ict-systemen heeft getroffen, zegt Colonial Pipeline in een verklaring. Bron


USA: Drie aangesloten stammen getroffen door een ransomwareaanval en gegijzeld van stamgegevens

Op 28 april kondigden de Three Affiliated Tribes - de Mandan, Hidatsa & Arikara Nation - zijn personeel en medewerkers aan dat de server was gehackt en dachten dat dit was door kwaadaardige software genaamd ransomware. Sinds de server is gehackt, heeft de stam geen toegang meer tot bestanden, e-mail en kritieke informatie. Bron


Nieuwe variant STOP ransomwareAmigo-A ontdekt een nieuwe variant met extensie *.pcqq


7 mei


FRA: Albioma hit by “ransomware type virus”

Albioma is een onafhankelijke producent van hernieuwbare energie die genoteerd staat aan de beurs van Parijs. In een persbericht vandaag:

20210507 Albioma CP ENG
PDF – 120,6 KB 262 downloads

DUI: Ransomware criminelen REvil beweren Peter Müller GARTENGESTALTUNG GmbH te hebben gehackt en lekken data op het Darkweb


ENG: Ransomware criminelen REvil beweren Thackray Williams LLP Solicitors te hebben gehackt en lekken data op het Darkweb


USA: Wolfe Eye Clinic slachtoffer van Lorenz-dreigingsactoren

Er is geen melding van enige cyberaanval op de website van Wolfe Eye Clinic in Iowa, maar de kliniek onderzoekt en pakt een vermeende aanval nu al meer dan een maand aan terwijl de patiëntenzorg op hun meerdere locaties wordt voortgezet.


IND: Kirloskar Brothers Limited Company wordt geconfronteerd met cyberaanval, netwerk gehackt

De verdachte kreeg naar verluidt toegang tot de virtual private network (VPN) -gegevens van het bedrijf en gebruikte het VPN IP-adres om het 'super admin'-account in de' network switch port 'van het bedrijfsnetwerk te hacken, aldus de politie. Bron


Verzekeraar AXA stopt met vergoeden van losgeld bij ransomware

Verzekeringsmaatschappij AXA stopt in Frankrijk met het vergoeden van het losgeld dat slachtoffers van ransomware-aanvallen betalen om hun bestanden terug te krijgen of het openbaar maken van gestolen data te voorkomen. Dat laat het bedrijf weten in een reactie op zorgen van de Franse overheid. Bron


Nieuwe variant GoNNaCry ransomware

Dnwls0719 ontdekt een nieuwe variant met extensie *.GoNNaCry


6 mei


ROU: De website van de Cluj County Council is gehackt door hackers. Ze vragen $ 100 in bitcoin

De website van de districtsraad van Cluj is donderdag gehackt. Volgens een bericht dat op de site staat vragen de cybercriminelen $ 100 in bitcoin om de database en de bestanden te ontsleutelen en niet openbaar te maken. Bron


USA: Hackers eisen losgeld van schooldistrict Portland

Centennial School District bevestigde woensdag 5 mei dat de aanval op hun computers ransomware was en hoewel de computers nog steeds offline zijn, verwachten ze dat studenten tegen 21 mei weer online kunnen leren. Bron


NED: Herstel cyberaanval Hof van Twente duurt nog maanden

Door een cyberaanval bij de gemeente Hof van Twente van vorig jaar zijn de digitale kavelwachtlijsten per kern verloren gegaan. De lijsten van voorgaande jaren zijn nog wel op papier bewaard gebleven. Hof van Twente is nu bezig om de lijsten weer compleet te krijgen, maar dit gaat nog maanden duren. Bron


NED: Websites CBR slecht bereikbaar door cyberaanval

De websites van het Centraal Bureau Rijvaardigheidsbewijzen (CBR) zijn sinds dinsdag getroffen door een reeks aanvallen van cybercriminelen. Het CBR meldt dat het door de cyberaanvallen soms langer kan duren om in te loggen voor het reserveren van een theorie-examen, een Gezondheidsverklaring te kopen of een rijschool te machtigen voor het reserveren van het examen. "Het CBR voert een actief beleid om fraude of het moedwillig frustreren van de dienstverlening aan te pakken", laat de organisatie weten. Bron


GBR: De cyberaanval op scholen veroorzaakt nog steeds problemen

Een grote cyberaanval op de University of the Highlands and Islands is nog steeds niet opgelost - twee maanden nadat deze voor het eerst werd gemeld. Bron


AUS: UnitingCare cyberaanval opgeëist door de beruchte losgeldbende REvil / Sodin

Hackers die de verantwoordelijkheid opeisen voor een aanval op UnitingCare Queensland, een aanbieder van gezondheids- en gemeenschapszorg, zijn geopenbaard als een van de meest beruchte cyber losgeldbendes ter wereld. Bron


FRA: Ransomware-aanval op het milieucentrum resulteerde in gegevensverlies

“We hadden een cryptografisch virus dat op onze computerserver terechtkwam. Toen we het systeem openden, hadden al onze bestanden dezelfde naam. En als we ze wilden ontsleutelen, moesten we daarvoor losgeld betalen ”, zegt Adèle Gamache, directeur van CPIE, en voegt eraan toe: Op het gebied van bestanden zijn we sinds april 2020 alles kwijtgeraakt : leermiddelen, boekjes, actiebladen Bron


Pirateringsoftware voor studenten leidde tot een volledige Ryuk-ransomware-aanval

De poging van een student om dure datavisualisatiesoftware te piraten, leidde tot een complete Ryuk-ransomware-aanval op een Europees biomoleculair onderzoeksinstituut. Bron


Darkside ransomware Reverse engineering

Darkside gebruikt het aPLib- algoritme om de configuratie te comprimeren en een hybride cryptografieschema van aangepaste RSA-1024 en Salsa20 om bestanden te versleutelen en de sleutels te beschermen.

Darkside Ransomware
PDF – 2,9 MB 226 downloads

Een leksite voor de nieuwe ransomware bende "XING LOCKER" gevonden op darkweb


CAN: Een ransomware bende die de gemeente Whistler in Canada aanviel, heeft een document gelekt naar het Darkweb


5 mei


USA: Orthopedic Associates of Dutchess County stelt meer dan 330.000 patiënten op de hoogte van een inbreuk die klinkt als een ransomware-aanval

Vanaf gisteren worden brieven verstuurd naar 331.376 patiënten. De brief biedt 12 maanden identiteits- en kredietbewaking. Bron: anoniem


AUS: NSW Labour getroffen door cyberaanval

'Je hebt 240 uur om samen te werken': Cyberaanvallers eisen losgeld van NSW Labour. Een cyberaanval op NSW Labour is doorverwezen naar de politie, waarbij de hackers dreigen gestolen informatie vrij te geven, waaronder afbeeldingen van paspoorten, rijbewijzen en arbeidsovereenkomsten. Bron, darkweb


USA: Cyberaanval op het kantoor van de procureur-generaal van Illinois lijkt veel erger dan eerst werd gedacht

De wetshandhavingsinstantie van Illinois wordt nu aangevallen sinds 10 april. Een bende ransomware criminelen drongen de computers van de procureur-generaal binnen en nam de controle over talloze vertrouwelijke bestanden die zaakinformatie en persoonlijke gegevens bevatten, waardoor de systeemkantoor over de gehele staat. Bron


CAN: Transportbedrijf Boutin slachtoffer van een cyberaanval

Het transportbedrijf Boutin is het doelwit van ransomware. Het bedrijf heeft al zijn computersystemen stilgelegd, maar slaagt erin de activiteiten voort te zetten. Sam Harper meldt dat het bedrijf een beveiligingsspecialist heeft ingeschakeld na het ontdekken van een probleem en het ontvangen van een losgeld eis. Bron


GBR: Matthew Clark Bibendum lijdt aan een cyberaanval

Gisteren (4 mei) plaatste het bedrijf een update op de website van het bedrijf. "We hebben goede vorderingen gemaakt met het zorgvuldig herstellen van onze IT-systemen en verwachten dat alle bestelinterfaces voor klanten tegen maandag 10 mei hersteld zullen zijn". Bron


4 mei


AUS: Telstra-serviceprovider getroffen door cyberaanval

Dit zegt de ransomware bende Avaddon op Darkweb"

"Schepisi Communications, het bedrijf wil niet met ons samenwerken, daarom geven we hen 240 uur om met ons te communiceren en met ons samen te werken. Gebeurt dit niet voordat de tijdteller verloopt, dan lekken we waardevolle bedrijfsdocumenten. We hebben een grote hoeveelheid gegevens op mobiele apparaten, tienduizenden simkaarten en veel informatie voor hen, financiële informatie, contracten, bankgegevens en nog veel meer. Onthoud ook dat gegevens niet kunnen worden gedecodeerd zonder onze algemene decryptor. En uw site wordt aangevallen door een DDoS-aanval." Bron: darkweb


BEL: Wat weten we al over de "nooit geziene" cyberaanval tegen overheidswebsites in ons land?

Al urenlang wordt ons land getroffen door een cyberaanval, waardoor de websites van overheidsinstellingen en universiteiten hinder ondervinden. Volgens de getroffen provider Belnet gaat het om een cyberaanval "van nooit geziene grootte". Wat is er precies aan de hand? Wat zijn de gevolgen? En wie zit achter de aanval? Lees verder


BEL: Beschuldigende vinger traditioneel snel richting China


BEL: Een ongeziene cyberaanval legt met één klap de overheidsserver Belnet plat

Belnet bedient een hele reeks websites van ruim 200 overheidsdiensten, van tax-on-web, over universiteiten tot de Kamer. Zelfs afspraken voor een covidvaccin konden niet meer worden gemaakt. Dit is geen werk van amateurs, alles wijst in de richting van een georkestreerde cyberaanval. Want uitgerekend op dezelfde dag waren Oeigoeren in de Kamer uitgenodigd om over de wandaden van het Chinese beleid te komen vertellen. Eerder waren ook Australische parlementsleden slachtoffer van exact dezelfde soort aanval. Bron


BEL: 257.000 IP-adressen gebruikt bij cyberaanval op Belgische overheid

Bij de gigantische cyberaanval op de websites van de Belgische overheidswebsites zijn gisteren 257.000 IP-adressen uit 29 landen gebruikt. Dat blijkt uit een analyse van IT-bedrijf Secutec. Het federaal parket zal een gerechtelijk onderzoek openen naar de cyberaanval op het netwerk van de internetprovider Belnet. Bron


ESP: Spaanse Glovo getroffen door cyberaanval

Een hacker brak vorige week in in de systemen van de Spaanse startup Glovo. Bron


Ransomware criminelen Marketo beweren The Municipal Court of Princeton, West Virginia te hebben gehackt en lekken data op het Darkweb


PHL: Ransomware criminelen Lorenz beweren Bases Conversion and Development Authority (BCDA, Philippines) te hebben gehackt en lekken data op het Darkweb


Nieuwe variant WastedLocker ransomware

Dnwls0719 ontdekt een nieuwe variant met extensie *.saverswasted


Nieuwe Toxin Ransomware verkocht op hackerforums

3xp0rt merkte op dat een nieuwe Toxin Ransomware werd gepromoot op hackforums.


Nieuwe variant STOP ransomware

Michael Gillespie ontdekt een nieuwe variant met extensie *.rejg


DeCovid19  ransomware

Emmanuel_ADC-Soft ontdekt een nieuwe variant met extensie *.bumcoder


Cuba ransomware groep op dreef

Eind 2020 leidde het 'SecurityJoes en Profero-incidentresponsen' een onderzoek naar een complexe aanval waarbij honderden machines werden versleuteld en het bedrijf volledig offline ging. De bedreigingsactoren achter de aanval implementeerden de Cuba-ransomware in het bedrijfsnetwerk en gebruikten een combinatie van PowerShell-scripts, SystemBC en Cobalt Strike om het te verspreiden. Cuba Ransomware gebruikt het symmetrische ChaCha20-algoritme voor het versleutelen van bestanden en het asymmetrische RSA-algoritme voor het versleutelen van sleutelinformatie. Als gevolg hiervan konden de bestanden niet worden gedecodeerd zonder de persoonlijke RSA-sleutel van de bedreigingsacteur.

Cuba Ransomware Group On A Roll
PDF – 2,9 MB 250 downloads

Een nieuwe darkweb-leksite ontdekt Lorenz


3 mei


USA: Amerikaanse ziekenhuizen getroffen door ransomware-aanval

Verschillende Amerikaanse ziekenhuizen en zorginstellingen van zorgverlener Scripps Health zijn getroffen door een ransomware-aanval, waardoor personeel op pen en papier is teruggevallen, verschillende afspraken zijn uitgesteld, zorgpersoneel en patiënten geen toegang meer tot patiëntendossiers hebben en ambulances uit voorzorg naar andere ziekenhuizen worden omgeleid.. Bron


USA: Ransomware-aanval op het Midwest-transplantatienetwerk treft meer dan 17.000

De aanvallers konden persoonlijke gezondheidsinformatie over overleden donoren en orgaanontvangers verkrijgen, waaronder namen, geboortedata en soorten orgaandonatie of transplantatieprocedures. Bron


FRA: Colis Privé meldt dat een cyberaanval de bedrijfsvoering verstoort

Colis Privé was het slachtoffer van een computeraanval die volgens het bedrijf snel werd 'ingeperkt'. Dit incident kan echter "enkele storingen" hebben veroorzaakt, waarvan de aard niet wordt gespecificeerd. Op Twitter klagen klanten over vertragingen in de bezorging. Bron


USA: Onbekende cyberaanvallers dwingen Alaska Court System om de verbinding met internet te verbreken

Een cyberaanval heeft ertoe geleid dat het Alaska Court System de meeste van zijn activiteiten van het internet heeft afgesloten , een handeling die naar verwachting elektronische rechtszaken blokkeert, online betalingen verstoort en verhindert dat hoorzittingen plaatsvinden via videoconferentie gedurende enkele dagen. Bron


CAN: BC-website voor studieleningen werkt niet nadat deze is overgenomen door hackers

De website die BC-studenten bezoeken om hun studieleningen te beheren, lijkt te zijn gehackt. Zondag rond 21.00 uur meldden mensen op Twitter dat de landingspagina voor studentaidbc.ca was vervangen door een zwarte pagina met groene letters en muziek op de achtergrond. Bron


ZAF: VirginActive gaat offline na een cyberaanval

Virgin Active is een keten van gezondheidsclubs in Zuid-Afrika, Botswana, Namibië, Italië, Australië, Singapore, Thailand en het Verenigd Koninkrijk. In een verklaring op 30 april maakten ze een cyberaanval bekend. Bron


BRA: Ransomware criminelen Everest beweren Procuradoria Geral da Fazenda Nacional (Brazil) te hebben gehackt en lekken data op het Darkweb


De N3TW0RM-ransomware duikt op in een golf van cyberaanvallen in Israël

Een nieuwe ransomware-bende, bekend als 'N3TW0RM', richt zich op Israëlische bedrijven in een golf van cyberaanvallen die vorige week begon. De Israëlische media Haaretz meldden dat ten minste vier Israëlische bedrijven en één non-profitorganisatie met succes waren gehackt in deze golf van aanvallen. Bron


Nieuwe variant Nitro ransomware

Malwrhunterteam ontdekt een nieuwe Nitro Ransomware-variant die zichzelf 'ArchAngel Ransomware' noemde.


Nieuwe Ransomware bende

Yelisey Boguslavskiy ontdekt een nieuwe ransomware bende genaamd 'Galaxy ransomware'


Nieuwe Henry ransomware

Dnwls0719 ontdekt een nieuwe variant met extensie *.henry217


Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Identificeren van Ransomware

Upload een ransom bericht en/of een geëncrypteerd bestand om de ransomware te identificeren die uw bestanden heeft geëncrypteerd (versleuteld).


Ransomware

Ransomware cyberaanvallen zijn een big business, zo groot zelfs dat onderzoek verwacht dat een bedrijf elke 11 seconden wordt aangevallen door een cybercrimineel  en dat de schade als gevolg van deze aanvallen tegen 2021 ongeveer 20.000.000.000.000,- (20 biljoen) dollar zal bedragen .

Wat is Ransomware?

Ransomware is software waarmee de computer wordt ‘gegijzeld’. Het slachtoffer kan niet meer bij zijn persoonlijke bestanden. Bij het opstarten van de computer verschijnt een melding dat een bedrag betaald moet worden om weer toegang te krijgen. Wil je meer weten over Ransomware, dan kun je hier verder lezen.


Doxware

Wat is Doxware?

Doxware is een soort ransomware die persoonlijke gegevens aan het publiek dreigt vrij te geven als de gebruiker het losgeld niet betaalt.

De term komt van de hacker-term 'doxing' of het vrijgeven van vertrouwelijke informatie via internet. Doxware-aanvallen infecteren computers vaak via phishing-e-mails. Meer weten over doxware, dan kun je hier verder lezen.


Advies

  1. Installeer een goede virusscanner.
  2. Houd alle software up-to-date, waaronder besturingssysteem, internetbrowser, browser aanvullingen en populaire programma's, zoals Adobe Reader. Met ScanCircle zie je snel hoe je pc ervoor staat. Voor software als Adobe Flash en Java is uitschakelen aan te raden.
  3. Klik niet op bijlagen en links in e-mails, tenzij je zeker weet dat het vertrouwd is. Twijfel je, kijk dan op de Opgelicht website of de e-mail daar voorkomt. Zo niet, wacht dan een dag en controleer nogmaals of stuur hem door naar digitaalgids@consumentenbond.nl voor uitsluitsel. 
  4. Schakel geen macro's bij Office-documenten van derden, zeker niet als daar in het document om wordt gevraagd.
  5. Ransomware is vaak een uitvoerbaar .exe-bestand, vermomd als ander soort bestand, bijvoorbeeld een pdf-document. Schakel  bestandsextensies weergeven, zodat je de vermomming kunt doorzien.
  6. En tenslotte: back-ups maken! Dat is sowieso verstandig, maar bij ransomware-besmetting vaak het enige redmiddel om verlies van al je gegevens te voorkomen.

Wilt u weten hoe uw digitale veiligheid is? Doe dan hier de test en ontvang uw test score. (.../10)


Meer weekoverzichten


Ransomware nieuws


Alle het nieuws