Overzicht cyberaanvallen week 25-2021

Gepubliceerd op 28 juni 2021 om 15:00

Luik (B) meldt grootschalige en gerichte aanval op gemeentesystemen, ransomware-aanval kostte Ierse gezondheidszorg al 100 miljoen euro en ChaChi RAT-trojan richt zich met ransomware op onderwijs. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


26 juni

Slachtoffer Cybercriminele organisatie Datum
ADG SARDA SRL Prometheus 2021-06-26
Transform SR Brands, LLC Sodinokibi (REvil) 2021-06-26
Service Gel Srl Prometheus 2021-06-26

25 juni

Slachtoffer Cybercriminele organisatie Datum
KOMPAN A/S Conti 2021-06-25
Scott Felder Homes Conti 2021-06-25
Nickerson Insurance Services, Inc Conti 2021-06-25
Sleep Outfitters Conti 2021-06-25
JAMAC FROZEN FOODS Conti 2021-06-25
Grupo Herdez, S.A.B. de C.V. Holding Companies Conti 2021-06-25
FNA GROUP Conti 2021-06-25
Fischer Homes Conti 2021-06-25
Engineered Specialty Products, Inc Conti 2021-06-25
Concept Building Services Conti 2021-06-25
Cambium Inc Conti 2021-06-25
The Waterloo Networking Company Conti 2021-06-25
Southern Eagle Distributing Conti 2021-06-25
Perfume Worldwide Inc. Conti 2021-06-25
Lareau Courtiers d’assurances Conti 2021-06-25
Megaforce Cuba 2021-06-25
Innovairre Cuba 2021-06-25
Xefi Everest 2021-06-25
Grupo Fleury Sodinokibi (REvil) 2021-06-25
GROUPE CONFIANCE IMMOBILIER Everest 2021-06-25
Primo Water Sodinokibi (REvil) 2021-06-25
Software company Xoriant Ragnar_Locker 2021-06-25
Yuba County DoppelPaymer 2021-06-25

'Vertraging Testen voor Toegang kwam door hack'

Stichting Open Nederland zegt dat de vertragingen bij de teststraten van Testen voor Toegang "naar alle waarschijnlijkheid" veroorzaakt zijn door een hackpoging. Nadat op vrijdagochtend onregelmatigheden waren vastgesteld in het IT-systeem, zijn onmiddellijk maatregelen genomen om de systemen veilig te stellen en vergelijkbare hackpogingen uit te sluiten, zegt de stichting in een persbericht. Tom Middendorp van Stichting Open Nederland is teleurgesteld over de vermoedelijke hackpoging: "Duizenden mensen kijken ernaar uit om voor het eerst in maanden weer een avond te gaan stappen en veel testlocaties zijn vandaag volgeboekt. Het is dan ook zeer teleurstellend om te zien dat iemand dit van buitenaf probeert te verstoren." De stichting doet samen met externe partijen verder onderzoek naar de aanvalspoging.


Ransomware-aanval kostte Ierse gezondheidszorg al 100 miljoen euro

Het herstel van een grootschalige ransomware-aanval die in mei plaatsvond heeft de Ierse gezondheidszorg HSE al honderd miljoen euro gekost, maar het bedrag kan naar een half miljard oplopen. Dat liet HSE-directeur Paul Reid tegenover een commissie van het Ierse parlement weten. Het gaat onder andere om geld dat wordt uitgegeven aan de infrastructuur, upgrades en het vervangen van systemen, alsmede externe experts en bedrijven die moesten worden ingeschakeld, meldt The Independent. Door de aanval zagen ziekenhuizen zich genoodzaakt om allerlei afspraken te annuleren en werd de dienstverlening aan patiënten ontregeld.


Zuid-Afrikaanse broers verdacht van diefstal miljarden euro's aan bitcoins

Twee Zuid-Afrikaanse broers zijn verdwenen met 69.000 bitcoins, met een waarde van omgerekend zo'n 1,97 miljard euro. Indien de bitcoins zijn gestolen gaat het om de grootste diefstal van cryptovaluta ooit. Bloomberg meldt dat de diefstal plaatsvond op bitcoin exchange Africrypt. De Chief Operating Officer van het bedrijf informeerde klanten in april dat het bedrijf doelwit zou zijn geworden van een cyberaanval. Hij vroeg getroffen klanten geen melding te maken bij de autoriteiten en geen advocaat in te schakelen, aangezien dit het herstel van de gestolen valuta zou vertragen. 


24 juni

Slachtoffer Cybercriminele organisatie Datum
Trasporti Internazionali Transmec s.p.a. Sodinokibi (REvil) 2021-06-24
Forefront Dermatology Cuba 2021-06-24
Dynamic NC Conti 2021-06-24
Buchanan Hauling & Rigging Lorenz 2021-06-24
Malcolm C Foy & Co Limited Sodinokibi (REvil) 2021-06-24
Proponent Conti 2021-06-24
Xoriant Ragnar_Locker 2021-06-24

Binance exchange hielp Clop ransomware witwassers op te sporen

Cryptocurrency-uitwisselingsdienst Binance speelde een belangrijke rol bij de recente arrestaties van Clop ransomware-groepsleden, en hielp de politie bij hun poging om de verdachten te identificeren en uiteindelijk aan te houden. Met de naam FANCYCAT om naar de groep te verwijzen, zegt Binance dat de criminelen geld witwassen als gevolg van ransomware-aanvallen en verschillende andere illegale activiteiten. Het witwassen van illegale winsten gebeurt "via geneste services en parasitaire exchanger-accounts die in macro-VASP's [Virtual Asset Service Providers] leven" , zegt Binance , eraan toevoegend dat cybercriminelen uitwisselingen gebruiken als tussenpersonen bij het opschonen van het gestolen geld.


Colonial Pipeline opnieuw aangeklaagd wegens grove nalatigheid

De Colonial Pipeline Company is voor de tweede keer aangeklaagd wegens de recente ransomware-aanval. Volgens de klagers was het bedrijf grof nalatig bij het beveiligen van het eigen netwerk. Criminelen wisten door middel van een gelekt vpn-wachtwoord toegang tot het netwerk te krijgen en ransomware uit te rollen. Een tweede factor om in te loggen was niet vereist. Vanwege de aanval zag Colonial Pipeline zich genoodzaakt om de grootste brandstofpijplijn in de Verenigde Staten uit te schakelen, wat grote gevolgen had voor de brandstofvoorziening in de VS. Zo kwamen duizenden tankstations zonder brandstof te zitten. Het bedrijf betaalde de aanvallers uiteindelijk 4,4 miljoen dollar voor een decryptietool om zo de data te kunnen ontsleutelen.


Microsoft: criminelen verspreiden ransomware via malafide callcenter

Criminelen maken gebruik van een malafide callcenter om organisaties met ransomware te infecteren, zo laat Microsoft via Twitter weten. Het techbedrijf heeft een campagne ontdekt die met een e-mail begint. Volgens het bericht maakt de ontvanger gebruik van een bepaald programma en zal daar binnenkort voor moeten worden betaald. Om het zogenaamde abonnement te annuleren moet een opgegeven telefoonnummer worden gebeld. Dit telefoonnummer komt uit bij een malafide callcenter. Slachtoffers die bellen worden door een callcentermedewerker doorgestuurd naar een website waar een Excel-bestand kan worden gedownload om het abonnement op te zeggen. Dit Excel-document bevat een kwaadaardige macro. Wanneer gebruikers deze macro inschakelen wordt er malware op het systeem gedownload en uitgevoerd.


FBI herhaalt oproep aan bedrijven om geen losgeld bij ransomware te betalen

De FBI heeft bedrijven en organisaties opnieuw opgeroepen om geen losgeld bij ransomware te betalen. Volgens FBI-directeur Christopher Wray zal het betalen van losgeld criminelen alleen maar aanzetten om de aanvallen op te voeren. De Amerikaanse opsporingsdienst ontmoedigt al jaren het betalen van losgeld. Ook stelde Wray dat getroffen bedrijven en organisaties zo snel mogelijk bij de FBI moeten aankloppen. Wray getuigde gisteren voor een panel van de Amerikaanse senaat. In zijn getuigenis benoemde de FBI-directeur ook de dreiging van ransomware, waarmee criminelen ziekenhuizen, politiekorpsen en bedrijven kunnen lamleggen. "We moeten het lastiger en pijnlijker voor hackers en criminelen maken om te doen wat ze doen", aldus Wray, die toevoegde dat er sancties moeten worden opgelegd aan cybercriminelen.

Statement Before The Senate Appropriations Committee
PDF – 519,1 KB 299 downloads

Wat we kunnen leren van Ransomware-acteur "Beveiligingsrapporten"

Casestudy's van echte ransomware-onderhandelingen waarbij de dreigingsactor gedetailleerde details verstrekte over de volledige levenscyclus van de aanval, inclusief gebruikersnamen en wachtwoorden van gecompromitteerde accounts en specifieke CVE's die zijn gebruikt om toegang te krijgen. Houd er rekening mee dat deze rapporten niet zijn bewerkt of op spelling zijn gecontroleerd en dat we identificerende informatie hebben verwijderd. Bovendien werden de tactieken beschreven door de dreigingsactoren hierin gevalideerd na grondig forensisch onderzoek.

What We Can Learn From Ransomware Actor
PDF – 2,1 MB 226 downloads

23 juni

Slachtoffer Cybercriminele organisatie Datum
Goetze Dental Conti 2021-06-23
USI Conti 2021-06-23
Cerfrance Côtes d Conti 2021-06-23
Sea Mar Community Health Centers Marketo 2021-06-23
LENAJA DISTRIBUTION Grief 2021-06-23
Altus Group Hive 2021-06-23

Gezondheidszorggigant Grupo Fleury getroffen door REvil ransomware-aanval

Het Braziliaanse medische diagnostische bedrijf Grupo Fleury heeft te maken gehad met een ransomware-aanval die de bedrijfsvoering heeft verstoord nadat het bedrijf zijn systemen offline had gehaald. Grupo Fleury is het grootste bedrijf in medische diagnostiek in Brazilië, met meer dan 200 servicecentra en meer dan 10.000 medewerkers. Het bedrijf voert ongeveer 75 miljoen klinische onderzoeken per jaar uit. Bron


Nachtelijke cyberaanval verlamt SalzburgMilch

Onbekenden hebben alle wachtwoorden in het IT-systeem van SalzburgMilch gewijzigd. "Niets werkt meer, de daders hebben het bevel over ons overgenomen", zeggen ze. De recherche van de deelstaat Salzburg is hierbij betrokken. Bron


‘ChaChi RAT-trojan richt zich met ransomware op onderwijs’

Onderzoekers van BlackBerry signaleren dat overheden, waaronder scholen, steeds meer last hebben van de remote access trojan (RAT) ChaChi die ransomware-aanvallen van de PYSA-variant mogelijk maakt. BlackBerry geeft in het onderzoek aan dat de ChaChi-trojan nu slachtoffers maakt in de Verenigde Staten. Vooral onderwijsinstellingen, van lager onderwijs tot universiteiten, zijn daar het slachtoffer. Ook gezondheidszorginstellingen en bedrijven zijn geliefde doelen voor de hackers die deze RAT-trojan gebruiken. De trojan dook al in een eerdere variant begin vorig jaar in Frankrijk op, waar het lokale overheden aanviel.

PYSA Loves Cha Chi
PDF – 7,4 MB 216 downloads

Clop ransomware is weer actief na recente arrestaties

De Clop ransomware-operatie is weer in bedrijf na recente arrestaties en is begonnen met het opnieuw vermelden van nieuwe slachtoffers op hun dataleksite. Vorige week leidde een wetshandhavingsoperatie uitgevoerd door de nationale politie van Oekraïne, het Koreaanse nationale politiebureau en de VS tot de arrestatie van Clop Ransomware-bendeleden.


Ransomware: groeiend aantal aanvallers dat virtuele machines gebruikt

Symantec heeft bewijs gevonden dat een toenemend aantal ransomware-aanvallers virtuele machines (VM's) gebruikt om hun ransomware-payloads uit te voeren op gecompromitteerde computers. De motivatie achter de tactiek is stealth. Om argwaan te wekken of antivirussoftware te activeren, zal de ransomware-payload zich "verbergen" in een VM terwijl de bestanden op de hostcomputer worden versleuteld.

Ransomware VM
PDF – 185,9 KB 217 downloads

22 juni

Slachtoffer Cybercriminele organisatie Datum
The Smith & Wollensky Restaurant Group, Inc. Sodinokibi (REvil) 2021-06-22
City of Tulsa Conti 2021-06-22
VALLEY TRUCK & TRACTOR CL0P 2021-06-22
KSS ARCHITECTS LLP CL0P 2021-06-22

Tulsa waarschuwt voor datalek nadat Conti ransomware politiecitaten lekt

De stad Tulsa, Oklahoma, waarschuwt inwoners dat hun persoonlijke gegevens mogelijk openbaar zijn gemaakt nadat een ransomware-bende politiecitaten online had gepubliceerd. Begin mei kreeg Tulsa te maken met een ransomware-aanval die ertoe leidde dat de stad haar netwerk afsloot om de verspreiding van de malware te voorkomen. Bron


Luik meldt grootschalige en gerichte aanval op gemeentesystemen

De Belgische stad Luik is het doelwit van een "grootschalige en gerichte computeraanval" geworden, waardoor gemeentesystemen deels onbereikbaar zijn, wat gevolgen heeft voor de dienstverlening aan burgers. Dat meldt de stad op de eigen website en Twitter. Onder ander de dienstverlening met betrekking tot geboorten, begrafenissen en huwelijken zijn niet beschikbaar. Ook andere diensten zijn getroffen, maar het volledige overzicht wordt later bekendgemaakt.

Alle burgers die afspraken met de gemeente hebben worden opgeroepen om niet te komen. Met hen zal een nieuwe afspraak worden gemaakt. Volgens de Belgische Radio- en televisieomroep RTBF eisen de aanvallers losgeld, wat op een ransomware-aanval zou kunnen duiden. Andere Belgische media melden dat het niet duidelijk is of er gegevens zijn gestolen of dat er geld wordt geëist. Verdere details over de aanval zijn op dit moment onbekend.


Mysterieuze ransomware-betaling herleid tot een sensuele massagesite

Een ransomware gericht op een Israëlisch bedrijf heeft ertoe geleid dat onderzoekers een deel van een losgeldbetaling hebben gevolgd op een website die sensuele massages promoot. De aanval werd uitgevoerd door een recentere ransomware-operatie die bekend staat als Ever101, die een Israëlische computerfarm compromitteerde en vervolgens de apparaten versleutelde. "Tijdens ons onderzoek naar de geïnfecteerde machines kwamen we iets tegen dat leek op een schat aan informatie die was opgeslagen in de map Muziek. Het bestond uit het ransomware-binaire bestand zelf, samen met verschillende andere bestanden - sommige versleuteld, andere niet - die we geloven de dreigingsactoren gebruikten om informatie te verzamelen en zich via het netwerk te verspreiden", legt Profero's en Security Joe's rapport uit .

Secrets Behind The Mysterious Ever 101 Ransomware
PDF – 3,8 MB 259 downloads

21 juni

Slachtoffer Cybercriminele organisatie Datum
ASSURANCES ET COURTAGES LYONNAIS Everest 2021-06-21
Alltech France Everest 2021-06-21
Dicky Smith & Co Inc Sodinokibi (REvil) 2021-06-21
https://www.vedderprice.com/ Noname 2021-06-21
areteir.com Noname 2021-06-21
crownlaboratories.com Noname 2021-06-21
Canad Inns. Sodinokibi (REvil) 2021-06-21
Grupo La Moderna, S.A. de C.V. LV 2021-06-21
Navistar Marketo 2021-06-21
French Connection Sodinokibi (REvil) 2021-06-21

IT-systemen stad Luik in Belgie plat door cyberaanval

Het computernetwerk van de stad Luik ligt sinds maandagochtend deels plat door een cyberaanval. Dat schrijft het stadsbestuur op de website. Door de hack kunnen bij verschillende diensten geen documenten geprint worden, of dossiers bijgewerkt.

De stad analyseert momenteel de omvang van de aanval, en probeert er alles aan te doen om de informaticasystemen te herstellen. Met name de dienst bevolking en de burgerlijke stand ondervinden hinder. Met burgers die een afspraak bij deze diensten hebben wordt persoonlijk contact gezocht om een nieuwe afspraak te maken. Het is niet duidelijk of er gegevens gestolen zijn, of dat er geld wordt geëist. Bron


Belastingadviseurs: losgeld ransomware fiscaal aftrekbaar in VS

De miljoenen dollars losgeld die door ransomware getroffen bedrijven betalen zijn fiscaal aftrekbaar, zo stellen verschillende Amerikaanse belastingadviseurs tegenover persbureau AP. Belastingadvocaat Scott Harty van Alston & Bird zou klanten adviseren om het losgeld af te trekken. "Het past binnen de definitie van een gewone en noodzakelijke uitgave."

Hoogleraar belastingrecht Don Williamson van de Kogod School of Business schreef in 2017 een paper genaamd "Ransomware: Tax Compliance Issues for a New Reality" waarin hij onder andere ingaat op de fiscale aftrekbaarheid van losgeldbetalingen bij ransomware. Sinds de publicatie is het aantal ransomware-aanvallen toegenomen en daarmee ook het argument voor de Amerikaanse belastingdienst IRS om losgeld als aftrekpost toe te staan. "Het komt steeds vaker voor en is daarmee gewoon geworden", stelt Williamson

Williamsondon Bloombergransomware 2017
PDF – 183,3 KB 280 downloads

Australisch wetsvoorstel verplicht melden van betalen losgeld bij ransomware

De Australische Labourpartij heeft een wetsvoorstel gepresenteerd dat grote bedrijven verplicht om bij de overheid te melden dat ze van plan zijn om het losgeld bij ransomware-aanvallen te betalen. Aanleiding voor het wetsvoorstel zijn recente aanvallen op de Colonial Pipeline Company in de Verenigde Staten en vleesverwerker JBS. De laatstgenoemde betaalde de aanvallers 11 miljoen dollar losgeld. Volgens het Australian Cyber Security Centre (ACSC) is ransomware de grootste dreiging voor Australische bedrijven.

Door de "Ransomware Payments Bill 2021" moeten inlichtingen- opsporingsdiensten informatie kunnen verzamelen over waar het geld precies naar toe gaat, waarmee vervolgens de daders zijn te achterhalen, stelt Labor-lid en bedenker van het wetsvoorstel Tim Watts. Mocht het wetsvoorstel worden aangenomen gaat die gelden voor overheidsinstellingen en bedrijven met een omzet van meer dan tien miljoen dollar.

21085 B 01
PDF – 317,8 KB 282 downloads
21085 EM Watts
PDF – 309,4 KB 274 downloads

Ragnar Locker ransomware cybercriminelen hebben 700 GB aan data van ADATA

De Ragnar Locker ransomware-bende heeft downloadlinks gepubliceerd voor meer dan 700 GB aan gearchiveerde gegevens die zijn gestolen uit de Taiwanese geheugen- en opslagchipmaker ADATA. Een set van 13 archieven, die naar verluidt gevoelige ADATA-bestanden bevatten, zijn al enige tijd openbaar beschikbaar op een cloudgebaseerde opslagservice.


Marktplaats voor datalekken zet slachtoffers onder druk door concurrenten te e-mailen

De marktplaats voor gegevensdiefstal van Marketo oefent maximale druk uit op slachtoffers door hun concurrenten te e-mailen en voorbeeldpakketten van de gestolen gegevens aan te bieden. De gegevens die op deze sites worden verkocht, worden verkregen via de eigen aanvallen van de markt, van andere cybercriminelen of door gegevens te verzamelen die vrijkomen bij andere aanvallen, zoals ransomware of datalekken op websites. De gestolen gegevens worden verkocht voor slechts $ 100 tot tienduizenden dollars, afhankelijk van de markt.


N.Koreaanse hackers richten zich op S.Koreaanse onderzeeër gegevens

Vermoedelijke Noord-Koreaanse hackers hebben vorig jaar een enorme hoeveelheid gegevens gestolen van Daewoo Shipbuilding and Marine Engineering, dat een nieuwe onderzeeër van 3.000 ton voor de marine fabriceert.

Ze vielen onlangs ook het door de staat gerunde Korea Atomic Energy Research Institute aan, dat betrokken was bij de ontwikkeling van een kleine reactor voor het aandrijven van kernonderzeeërs. Bron


Lucky Star Casino's hebben bevestigd dat ze te maken hebben gehad met ransomware-aanvallen

Nadat de locaties over de hele staat in het weekend waren gesloten, zei Lucky Star Casinos maandag dat het het onderwerp was van een ransomware-aanval. Het casino heeft zaterdag op zijn Facebook-pagina aangekondigd dat het zijn locaties in de staat heeft gesloten. De casino's blijven op dit moment gesloten. Bron


Overzicht cyberaanvallen week 24-2021

Holland America Line alweer getroffen, Zuid-Korea's Nuclear Research-bureau gehackt en betaal je aan ransomware criminelen, dan komen ze bijna altijd terug. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.. Lees verder


Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten