'De bibliotheek voor de bestrijding van digitale criminaliteit'

Home » Cybercrime » Cyberaanvallen weekoverzichten » Overzicht cyberaanvallen week 29-2021

Overzicht cyberaanvallen week 29-2021

Gepubliceerd op 26 juli 2021 om 15:00


Ransomware-aanval op hostingprovider Cloudstar raakt honderden bedrijven, DDoS aanval legt GGD-sites voor test- en prikafspraken opnieuw plat en veel slachtoffers van ransomware beschikken over betrouwbare back-ups. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


25 juli

Slachtoffer Cybercriminele organisatie
Erik Buell Racing Hive
GURTEEN Hive
Sardinha Family Trust Hive
Mele Printing Hive
Brinkman Turkey Farms Hive
SS Design Hive
Steven L. Sugarman & Associates Hive
goncayplastik.com LockBit
nmb.com.au LockBit
lwolf.com LockBit

Cyberaanval sluit diensten af ​​in de op een na grootste stad van Griekenland

Terwijl hackers – veel gesponsord door Rusland en China en autoritaire regeringen over de hele wereld – de cyberaanvallen op gemeentelijke diensten in een aantal landen hebben opgevoerd, werden de agentschappen van Thessaloniki gesloten vanwege een elektronische inbraak. Dat gebeurde op 23 juli, toen Giorgos Avarlis, loco-burgemeester van Bedrijfsplanning, e-Overheid en Migratiebeleid, zei dat de stad – de op één na grootste van Griekenland – haar diensten en webapplicaties sloot, “zodat goed onderzoek kan worden uitgevoerd en we geen risico lopen opnieuw wordt aangevallen”.  Bron


24 juli

Slachtoffer Cybercriminele organisatie
Сompilation of lawyers France Everest
MWEST HOLDINGS LockBit
Zakher Palace office SynACK
CGP Industries S.A.S. SynACK
KACO GmbH + Co. KG SynACK
Jealsa Rianxeira S.A. SynACK

23 juli

Slachtoffer Cybercriminele organisatie
HUF GROUP Conti
networksunlimited.africa LockBit
norsadfinance.com LockBit
firstohm.com.tw LockBit
ma.com LockBit
dialalimentos.com LockBit
alfaparf.com LockBit
Weichai Power Co. LV Blog

GGD-sites voor test- en prikafspraken zijn weer bereikbaar

Mensen kunnen weer online een afspraak maken voor een coronatest of een vaccinatie. Door een DDoS-aanval op een leverancier was het afsprakensysteem donderdag heel moeilijk bereikbaar, maar inmiddels zijn de sites weer in de lucht, meldt de overkoepelende organisatie GGD GHOR Nederland. Ook woensdag waren er DDoS-aanvallen. Daardoor konden mensen niet met hun DigiD-gegevens inloggen bij de GGD. Mensen konden niet alleen geen nieuwe afspraak maken, het was ook vrijwel onmogelijk om testuitslagen te bekijken of eerder gemaakte afspraken in te zien. Af en toe lukte het iemand om via de website toch een afspraak te maken, maar de meesten kwamen er niet doorheen. De getroffen leverancier gaat aangifte doen van de aanval. ‘En als het helpt zullen wij dat zeker ook niet nalaten’, aldus de GGD-organisatie. Volgens de GGD lijkt er geen enkel verband te zijn tussen de DDoS-aanval op de leverancier en de technische storing bij softwarebedrijf Akamai, waardoor enkele grote sites van over de hele wereld donderdag een tijdlang onbereikbaar waren. Expertisecentrum voor cybersecurity in de zorg, Z-CERT, maakte dit voorjaar bekend dat de grootste digitale dreiging in de zorgsector ransomware is, gevolgd door datalekken via malware, phishing, menselijke fouten en kwetsbaarheden in webapplicaties. Ook thuiswerkoplossingen zoals Citrix kunnen het risico op cyberincidenten verhogen. Daarnaast moet de zorg alert zijn op DDoS-aanvallen, waarbij computernetwerken of servers onbruikbaar worden door een overvloed aan informatie en op spionage, aldus Z-CERT dit voorjaar. DDoS-aanvallen zijn online heel eenvoudig te bestellen en uit te voeren. Het is niet bekend wie achter de aanvallen op de GGD zitten en wat het motief is.


Kaseya ontvangt decryptiesleutel voor slachtoffers ransomware-aanval

Softwarebedrijf Kaseya heeft van een onbekende derde partij een decryptiesleutel ontvangen waarmee slachtoffer van de recente aanval met de REvil-ransomware hun data kunnen ontsleutelen. Dat heeft het bedrijf via de eigen website bekendgemaakt. Kaseya zegt dat het getroffen klanten actief zal helpen met het herstellen van hun omgevingen en vooralsnog zijn er geen meldingen binnengekomen over problemen met de gebruikte decryptietool. Bij het helpen van getroffen klanten werkt Kaseya samen met antivirusbedrijf Emsisoft, dat vaker decryptietools voor slachtoffers van ransomware ontwikkelt. "Emsisoft heeft bevestigd dat de sleutel werkt om slachtoffers te ontsleutelen", aldus Kaseya. Het softwarebedrijf zal klanten die door de REvil-ransomware zijn getroffen zelf benaderen. Van welke derde partij Kaseya de decryptiesleutel heeft ontvangen is onbekend.


Verzekeraar CNA raakte via valse browserupdate besmet met ransomware

Verzekeringsmaatschappij CNA kon via een valse browserupdate in maart van dit jaar met ransomware besmet raken. Volgens bronnen betaalde de verzekeraar uiteindelijk veertig miljoen dollar losgeld aan de aanvallers. CNA meldt de werkwijze van de aanvallers in een datalekmelding aan de procureur-generaal van de Amerikaanse staat New Hampshire. Uit onderzoek dat CNA naar de aanval liet uitvoeren bleek dat de aanvaller op 5 maart toegang kreeg tot het werkstation van een medewerker, door een valse browserupdate die werd uitgevoerd nadat de medewerker een legitieme website bezocht. Verdere uitleg wordt niet gegeven, maar bij veel van dergelijke aanvallen moet de gebruiker de zogenaamde update zelf installeren. CNA stelt dat de medewerker in kwestie standaard rechten had, maar de aanvaller zijn rechten door middel van "aanvullende malafide activiteiten" wist te verhogen om zich zo lateraal door het netwerk te bewegen. Uiteindelijk wist de aanvaller op 20 maart de monitoring- en beveiligingssoftware uit te schakelen en verschillende back-ups te verwijderen. Vervolgens werd de ransomware uitgerold op het netwerk. Voordat de ransomware werd uitgerold kopieerde de aanvaller eerst nog allerlei gegevens van het netwerk. Hiervoor gebruikte hij de tool MEGAsync. Hierbij werd data van het CNA-netwerk versleuteld en gekopieerd naar een account bij opslagdienst MEGA. Uit onderzoek waarbij de FBI betrokken was blijkt dat de naar MEGA gekopieerde data daar niet is bekeken of gedeeld. In een datalekmelding aan de procureur-generaal van de Amerikaanse staat Maine laat CNA weten dat de gegevens van ruim 75.000 mensen bij de aanval zijn gestolen. Daarnaast stelt de verzekeraar dat het maatregelen heeft genomen om dergelijke aanvallen in de toekomst te voorkomen.

Cna Financial 20210712
PDF – 1,2 MB 33 downloads

Dns-storing Akamai kwam door update softwareconfiguratie

De dns-storing bij Akamai die donderdagavond grote hoeveelheden sites wereldwijd onbereikbaar maakte, kwam door een bug die werd veroorzaakt door een update van een softwareconfiguratie. De storing duurde een uur. De configuratie-update veroorzaakte om donderdag om 17.46 een bug in het dns-systeem van Akamai. Door deze update terug te draaien, was de storing een uur later verholpen. Dat meldt Akamai in een korte update. Volgens het bedrijf had de storing 'impact op sommige websites van klanten'. Volgens het bedrijf vond er geen aanval plaats op het platform van Akamai. Details over de update en de impact geeft het bedrijf verder niet. Donderdagavond was een groot aantal websites wereldwijd onbereikbaar door de dns-storing. Veel bedrijven nemen Akamais Edge DNS-dienst af, juist om websites beschikbaar te houden, ook als ze bijvoorbeeld doelwit van ddos-aanvallen zijn. De op IP Anycast gebaseerde dienst van Akamai maakt gebruik van duizenden nameservers in meer dan 140 steden wereldwijd om weerstand te bieden tegen aanvallen.


PHOBOS ransomware-infectie in het Clinical Hospital No.1 CF Witting in Boekarest

SRI heeft onlangs, in samenwerking met CERT-RO en het Klinisch Ziekenhuis No.1 CF Witting in Boekarest, een cyberaanval onderzocht met de ransomware-toepassing PHOBOS, die gericht was op de servers van de entiteit op het gebied van gezondheid. Na de versleuteling van de gegevens vroegen de aanvallers om losgeld voor hun ontsleuteling, een betaling die niet door de getroffen instelling was gedaan. De huidige activiteit van het ziekenhuis is echter niet onderbroken, de continuïteit wordt gewaarborgd door het gebruik van offline registers. Bovendien is de huidige aanval vergelijkbaar met die in de zomer van 2019, toen 4 andere ziekenhuizen in Roemenië werden getroffen door PHOBOS, in de context van het ontbreken van antivirusoplossingen op het niveau van de door hen gebruikte IT&C-infrastructuur. PHOBOS ransomware heeft een gemiddelde complexiteit en gebruikt als infectiemethode voornamelijk Remote Desktop Protocol (RDP) verbindingen.


22 juli

Slachtoffer Cybercriminele organisatie
anderscpa.com LockBit
classicalmusicindy.org LockBit
cspmould-stampi.it LockBit
facturation.net LockBit
modernbakery.com LockBit
vincents.com.au LockBit
DISMAR Buloneria INDUSTRIAL AND HARDWARE LockBit
Server Flaminio LockBit

Cyberaanval: productie bij Sattler gestopt

Bij de speciale textielfabrikant Sattler in Gössendorf bij Graz ligt de productie sinds zaterdag stil: een cyberaanval veroorzaakt enorme verstoringen binnen de IT-infrastructuur van de hele groep. Volgens een uitzending gaat het specifiek om externe toegang tot individuele IT-systemen; hierdoor is productie momenteel niet mogelijk en is het ook niet mogelijk om bestellingen te verwerken of leveringen te verwerken. Het bedrijf was op zo'n scenario voorbereid - dus er werd meteen een taskforce opgericht: interne en externe IT- en forensische experts werden ingezet om het probleem grondig te onderzoeken en op te lossen. “Volgens de huidige stand van de kennis was de aanval uitsluitend gericht tegen de Sattler-groep. Er is momenteel geen bewijs dat de gegevens of e-mailsystemen van onze klanten of zakenpartners zijn gecompromitteerd. Zij kunnen ervan uitgaan dat hun bescherming en die van hun gegevens altijd de hoogste prioriteit hebben voor de Sattler Group. Onze hoge beveiligingsstandaard wordt ook jaarlijks gecertificeerd door onafhankelijke auditors”, zegt CEO Alexander Tessmar-Pfohl. Het is nog niet in te schatten wanneer welke diensten weer beschikbaar zullen zijn. Tessmar-Pfohl gaat ervan uit "dat in de loop van de komende week in ieder geval een beperkte operatie kan worden hervat". Het incident is conform de wet tijdig gemeld aan de Autoriteit Persoonsgegevens en tevens is een beschrijving van de feiten naar de officier van justitie gestuurd. De groep stelt wereldwijd ongeveer 650 mensen tewerk, waarvan ongeveer 430 in Oostenrijk.


Websites weer online na wereldwijde storing, probleem voorbij

Een groot aantal websites was voor een langere tijd onbereikbaar. Het ging onder meer om sites van de politie, Rabobank, ING, Albert Heijn en websites van kranten van uitgever DPG, zoals Het Parool en de Volkskrant. Rond 18.45 uur waren de meeste websites weer toegankelijk. Volgens DownDetector, een site die meldingen bijhoudt over storingen, waren in de Verenigde Staten onder meer websites van luchtvaartmaatschappijen en postbedrijven onbereikbaar. Bezoekers kregen een foutmelding als ze bijvoorbeeld de site van Delta Air Lines proberen te bezoeken. Aanleiding van de problemen was een grote storing bij het Amerikaanse techbedrijf Akamai. Akamai zegt een oplossing te hebben gevonden voor de storing. Eerdere problemen lijken daarmee opgelost, meldt de onderneming op Twitter. Het bedrijf schrijft een ‘fix’ te hebben doorgevoerd. ‘En op basis van wat we nu zien, is de service weer zoals het normaal zou moeten zijn. We blijven dit in de gaten houden om er zeker van te zijn dat alle problemen volledig zijn opgelost,’ luidt de tweet. Het bedrijf weet ook te melden dat het niet gaat om een cyberaanval. Eerder dit jaar was er een grote storing bij Akamai-concurrent Fastly. Toen lagen onder andere grote internationale mediawebsites als CNN en The Guardian een uur lang plat.


DDoS aanval legt GGD-sites voor test- en prikafspraken opnieuw plat

Mensen die online een testafspraak wilden maken of een vaccin tegen het coronavirus wilden inplannen, konden dat donderdag vrijwel niet doen. De GGD GHOR, de koepelorganisatie van GGD’en in Nederland, bevestigde aan verschillende media dat een leverancier te maken had met een DDoS-aanval, waardoor verschillende websites geen koppeling konden maken met DigiD. De aanval begon donderdagmiddag rond half vier. De maker van de koppeling tussen de website coronatest.nl en DigiD heeft inmiddels maatregelen genomen om de DDoS-aanvallen tegen te gaan, maar die werken nog niet optimaal. Volgens de GGD GHOR kost het enige tijd voordat de website is aangesloten op het netwerk van de Nationale Wasstraat, een initiatief van internetproviders om gezamenlijk DDoOS-aanvallen te weren. Bellen naar de GGD voor afspraken kan wel gewoon. De koepelorganisatie roept dan ook op om, als de website niet werkt, telefonisch een afspraak te maken voor vaccinatie of een coronatest. Voor een test kunnen mensen bellen naar 0800-1202  en voor een vaccinatie met 0800-7070. Wat is DDoS?


Kaseya verkrijgt universele decryptor voor slachtoffers van REvil ransomware

Kaseya heeft een universele decryptor ontvangen waarmee slachtoffers van de REvil ransomware-aanval op 2 juli hun bestanden gratis kunnen herstellen. Op 2 juli lanceerde de REvil ransomware-operatie een massale aanval door gebruik te maken van een zero-day kwetsbaarheid in de Kaseya VSA remote management-applicatie om ongeveer zestig managed service providers en naar schatting 1.500 bedrijven te versleutelen. Na de aanval eisten de dreigingsactoren $ 70 miljoen voor een universele decryptor, $ 5 miljoen voor MSP's en $ 40.000 voor elke extensie die versleuteld was op het netwerk van een slachtoffer. Vandaag heeft Kaseya verklaard dat ze een universele decryptor voor de ransomware-aanval hebben ontvangen van een "vertrouwde derde partij" en deze nu distribueren naar getroffen klanten. "We kunnen bevestigen dat we een decryptor hebben verkregen van een vertrouwde derde partij, maar kunnen niets meer delen over de bron", zegt Kaseya's SVP Corporate Marketing Dana Liedholm. "We hebben de tool laten valideren door een extra derde partij en zijn begonnen deze vrij te geven aan onze getroffen klanten."


Wereldwijde storing Akamai DNS legt grote websites en online services plat

Akamai onderzoekt een voortdurende storing die veel grote websites en online services treft, waaronder Steam, PlayStation Network, Newegg, Cloudflare, AWS, Amazon, Google en Salesforce. Hoewel het bedrijf het probleem al heeft erkend en het op een Edge DNS-serviceprobleem heeft gelegd, probeert Akamai nog steeds de onderliggende oorzaak van het incident te vinden. "We zijn op de hoogte van een opkomend probleem met de Edge DNS-service", zei het bedrijf in een  Edge DNS Service Incident-  melding. "We zijn het probleem actief aan het onderzoeken. Als u vragen heeft of gevolgen ondervindt als gevolg van dit probleem, neem dan contact op met de technische ondersteuning van Akamai. In het belang van de tijd bieden we u de meest actuele informatie die beschikbaar is, die onderhevig is aan wijzigingen, correcties en updates." Volgens Akamai is Edge DNS de cloudgebaseerde, gezaghebbende DNS-oplossing die is ontworpen om 24/7 DNS-beschikbaarheid te bieden en de DNS-responsiviteit te verbeteren.


Hackeraanval treft Zuid-Afrikaanse containerhavens

Johannesburg (Reuters) - Volgens ingewijden heeft een hackeraanval de operaties in verschillende Zuid-Afrikaanse containerterminals beïnvloed. De belangrijkste overslagpunten op het Afrikaanse continent worden getroffen, zeggen drie mensen die bekend zijn met de gebeurtenissen. De aanslag van donderdagochtend leidde tot vertragingen in de afhandeling van goederen, waaronder auto-onderdelen. De verzending van grondstoffen wordt daarentegen nauwelijks beïnvloed. Het staatsbedrijf Transnet, dat belangrijke havens als Kaapstad en Durban exploiteert, zei dat er problemen waren met de IT-systemen. Transnet wilde in eerste instantie niet ingaan op de vraag of de verstoringen te wijten waren aan een hackeraanval. Een branchevereniging in de haven van Kaapstad sprak daarentegen duidelijk over een hackeraanval in een mail aan haar leden die door persbureau Reuters werd bekeken. De vereniging van expediteurs waarschuwde dat er geen lading zou worden verzonden totdat de systemen weer operationeel waren. Dit kan leiden tot verdere achterstanden. Door de recente onrust in verschillende delen van Zuid-Afrika had Transnet onlangs te maken met verstoringen in de havens en het goederenspoornet. De huidige verstoring heeft geen gevolgen voor het treinverkeer, aldus Transnet. Veel natuurlijke hulpbronnen worden ook verscheept vanuit andere Afrikaanse landen via de havens en het spoorwegnetwerk van de Groep. Dat geldt bijvoorbeeld voor koper en kobalt uit mijnen in de Democratische Republiek Congo, waar grondstoffenreuzen als Glencore en Barrick Gold actief zijn.


21 juli

Slachtoffer Cybercriminele organisatie
betonlucko.hr LockBit
ccz.com.au LockBit
cecengenharia.com.br LockBit
Corporación Nacional de Telecomunicación  RansomEXX
grupodismar.com LockBit
sahintoptangida.com.tr LockBit
siro-group.com LockBit

GGD ging plat door aanvallen op DigiD-leverancier

De storing waardoor websites van de GGD niet bereikbaar waren, is veroorzaakt door meerdere aanvallen op een leverancier van de GGD. Het gaat om de maker van de koppeling waarmee met DigiD kan worden ingelogd op de GGD-websites. Inmiddels zijn de websites weer bereikbaar. De getroffen partij riep de hulp in van de Nationale Beheerorganisatie Internet Providers (NBIP). Een woordvoeder van GGD-koepelorganisatie Ghor meldt dat de aanbieder van die DigiD-koppeling binnen 24 uur drie ddos-aanvallen te verwerken kreeg. Ze wil de naam van die partij niet noemen, ‘Dat hebben we samen zo afgesproken.’ Door de ddos-aanvallen kon er op verschillende GGD-sites niet worden ingelogd met DigiD. Zoals op de website Coronatest.nl. Daardoor konden mensen niet online een afspraak maken voor een test of vaccinatie of uitslagen inzien. De GGD’s moesten teruggrijpen op hun call-centers om mensen telefonisch op de hoogte stellen van uitslagen, of om afspraken te maken. De GGD’s hebben een vermoeden uit welke hoek de aanval komt, maar willen daar verder nog niets over kwijt. De ddos-aanvallen zijn gepareerd met hulp van de stichting NBIP. Zij levert een technische infrastructuur om internetverkeer te schonen van kwaadaardige bestanden en leiden verkeer om als er sprake is van een ddos-aanval. Algemeen directeur Octavia de Weerdt laat weten dat de getroffen leverancier eerst met een eigen oplossing de ddos-aanvallen wilde aanpakken. Toen dat niet werkte is NBIP om hulp gevraagd.  'We zien vaker dat partijen aankloppen als aanvallen te groot of te complex worden. 'We zijn natuurlijk blij dat we deze ddos-aanvallen gemitigeerd hebben, maar we zijn ook realistisch. Het kan bij ons ook voorkomen dat we een keer iets zien dat we niet kennen. Honderd procent garantie bestaat niet', aldus De Weerdt. Ze wijst op de risico's in 'de keten' nu steeds meer partijen hun systemen met elkaar verbinden en sluit niet uit dat de ddos-aanvallen bij een leverancier van de leverancier is begonnen. 'Dat zal nog onderzocht moeten worden.' In april waarschuwde haar organisatie nog dat ddos-aanvallen aan kracht en complexiteit toenemen en steeds langer duren. Wat is DDoS?


Microsoft: cyberhygiëne en verstoren beste aanpak van ransomware

Het verbeteren van de cybersecurityhygiëne van gebruikers en organisaties en het verstoren van de criminele infrastructuur is de beste strategie om ransomware-aanvallen aan te pakken, zo heeft Microsoft onlangs aan een commissie van het Amerikaanse Huis van Afgevaardigden laten weten. Volgens het techbedrijf gebruiken criminelen voor hun ransomware-aanvallen vaak dezelfde infrastructuur. Door gebruikte websites, servers en e-mailaccounts uit de lucht te halen wordt het lastiger voor de criminelen achter deze aanvallen om er geld mee te verdienen. Daarnaast moet ook de gebruikte betaalinfrastructuur worden verstoord, stelt Kemba Walden van Microsofts Digital Crimes Unit. Bij veel aanvallen maken aanvallers gebruik van een cryptowallet, waar slachtoffers het geld naar toe over maken, en van partijen die helpen om de betaalde cryptovaluta naar andere valuta om te zetten. Microsoft laat weten dat sommige aanbieders van cryptowallets en cryptobeuzen in jurisdicties kunnen bestaan waar ze niet worden aangepakt. "Het zijn deze tussenpersonen die de stroom van ransomwaregeld faciliteren", merkt Walden op. Een ander punt waarop moet worden ingezet is cybersecurityhygiëne. "Vaak voorkomt het toepassen van basale cybersecurityhygiëne dat cybercriminelen een systeem kunnen gijzelen", stelt Walden. Hij wijst naar een ransomware-aanval op een systeem van de Amerikaanse beurswaakhond SEC. Criminelen wisten toegang tot het netwerk te krijgen via een systeembeheerderswachtwoord dat de verantwoordelijke gebruiker ook had gebruikt voor zijn Yahoo-mailaccount en dat in 2013 waarschijnlijk op straat is komen te liggen. Door basale maatregelen te nemen wordt het lastiger voor aanvallers om op systemen in te breken. Walden benadrukt vooral het gebruik van multifactorauthenticatie. "Een door Microsoft uitgevoerd onderzoek schat dat meer dan 99 procent van alle cyberaanvallen voorkomen had kunnen worden als multifactorauthenticatie was gebruikt."


20 juli

Slachtoffer Cybercriminele organisatie
Elm3 Financial Group, LLC Marketo
Haftpflichtkasse Darmstadt Conti
Jhillburn Nefilim
riostarfoods.com LockBit

China noemt beschuldigingen over Exchange-hack ongegrond en onverantwoordelijk

China ontkent iedere verantwoordelijkheid voor cyberaanvallen op en het afpersen via ransomware van bedrijven. De Chinese overheid meldt via zijn ambassade in Nieuw-Zeeland dat de beschuldigingen 'ongegrond en onverantwoordelijk' zijn. De Europese Unie (EU), Verenigde Staten (VS) en NAVO schreven een omvangrijke cyberaanval op honderdduizenden organisaties via een beveiligingsprobleem in Microsoft Exchange server indirect toe aan de Chinese overheid. De aanvallen zijn naar verluid het werk van aanvallers die banden hebben met de Chinese regering. Zo stellen de VS dat de aanvallers op de loonlijst stonden van het Chinese ministerie van Staatsveiligheid. Het doel van de aanvallen zou onder meer spionage, diefstal van bedrijfsgeheimen en monetaire winst in de vorm van losgeld zijn geweest. China verwijst de beschuldigingen van de hand. De Nieuw-Zeelandse ambassade van het land ontkent betrokkenheid hierbij en noemt de beschuldigingen zowel 'ongegrond' als 'onverantwoord'. De Australische ambassade stelt juist dat de VS 'wereldkampioen' is in het uitvoeren van cyberaanvallen en wijst hierbij op afluisterpraktijken, waarvan onder meer bondgenoten doelwit waren.


Ransomware-aanval op hostingprovider Cloudstar raakt honderden bedrijven

Door een ransomware-aanval op hostingprovider Cloudstar zijn honderden bedrijven in de Verenigde Staten getroffen en hebben geen toegang meer tot hun data, wat gevolgen heeft voor hun bedrijfsvoering. Cloudstar biedt diensten aan voornamelijk bedrijven in de vastgoedsector, notarissen, verzekeraars en hypotheekverstrekkers. De hostingprovider heeft honderden klanten en vijf datacenters in de VS, meldt The Title Report. Het bedrijf laat op de eigen website weten dat het op 16 juli slachtoffer van een "zeer geraffineerde ransomware-aanval" werd waardoor alle systemen onbeschikbaar zijn. Een situatie die gisteren nog altijd niet was veranderd. De hostingprovider zegt nog niet te weten welke data van klanten is getroffen en wanneer alle systemen weer online zijn. Volgens ingewijden heeft de aanval grote gevolgen voor klanten van Cloudstar, die daardoor onder andere geen hypotheken en leningen kunnen verstrekken.


Veel slachtoffers van ransomware beschikken over betrouwbare back-ups

Veel bedrijven en organisaties die slachtoffer van ransomware worden beschikken over betrouwbare back-ups, maar besluiten uiteindelijk toch het gevraagde losgeld te betalen omdat niemand binnen de organisatie heeft getest hoelang het terugzetten van de data duurt. Dat stelt Fabian Wosar, chief technology officer van antivirusbedrijf Emsisoft. "In veel gevallen beschikken bedrijven over back-ups, maar hebben ze nooit eerder geprobeerd om hun netwerk vanaf back-ups te herstellen, en hebben dus geen idee hoelang het duurt", aldus Wosar tegenover it-journalist Brian Krebs. "Opeens ziet het slachtoffer dat ze petabytes aan data via het internet moeten herstellen, en beseffen ze dat zelfs met hun snelle verbinding het drie maanden gaat duren om alle back-upbestanden te downloaden." Volgens Wosar maken veel automatiseringsafdelingen geen berekening hoelang het duurt op basis van de beschikbare bandbreedte om data te herstellen. Een ander veelvoorkomend probleem is dat bedrijven wel over off-site, versleutelde back-ups beschikken, maar de decryptiesleutel op het door ransomware getroffen netwerk stond, en daardoor niet meer is te gebruiken. Daarnaast komt het ook voor dat aanvallers de back-ups weten te corrumperen, maar dat is volgens Wosar een uitzondering. "Helaas komt het vrij vaak voor dat er in de één of andere vorm back-ups aanwezig zijn en deze drie redenen voorkomen dat ze kunnen worden gebruikt", zo stelt de Emsisoft-CTO. Daar komt bij dat veel organisaties de afhankelijkheden binnen hun netwerken niet kennen en zo niet weten in welke volgorde systemen moeten worden hersteld. Wosar adviseert organisaties dan ook om een "playbook" op te stellen waarin staat wat er moet worden gedaan om van een ransomware-aanval te herstellen.


Ransomware-aanval op hostingprovider Cloudstar raakt honderden bedrijven

Shahaf meldt dat  Pionet, dat eigendom is van Malam Tim, te maken kreeg met een ransomware-aanval die veel van de systemen van het bedrijf en de sites van meer dan honderd klanten van het bedrijf heeft verlamd, waaronder Assuta, Rambam, Hadassah, Budget Car Rental Company, Sonol Fuel Company en Apple-importeur Idigital. Tot de klanten van Idigital behoren de Israel Electric Corporation en Israel Railways. De aanvallers hebben naar verluidt een losgeld van ongeveer een half miljoen shekels geëist (conversie: $ 151.861,82 USD). Een losgeldbrief eist een onmiddellijke/voorlopige betaling van $5000,00 in Monero.

Kahan meldt dat het bedrijf maanden geleden was gewaarschuwd dat zijn systemen kwetsbaar waren voor aanvallen, en dat het bedrijf naar verluidt specifieke aanbevelingen heeft gekregen om de beveiliging te versterken. Op het moment van de aanval had het bedrijf naar verluidt geen van beide geïmplementeerd.


19 juli

Slachtoffer Cybercriminele organisatie
Actiontec Conti
apg-neuros Conti
aris-services Conti
Beckley Conti
cegos Conti
cometgroup.be LockBit
creditoycaucion.com.ar LockBit
habasit Conti
infovista Conti
INSERM-TRANSFER Conti
keltbray Conti
kennen.com.ar LockBit
matchmg Conti
Revision Skincare Conti
spiralfoods.com.au LockBit

Ministerie zet Russische techbedrijven op zwarte lijst

De cyberoorlog tussen de VS en Rusland gaat een nieuwe fase in. Het Amerikaanse ministerie van Economische Zaken heeft vier Russische IT-bedrijven en twee andere ondernemingen op een zwarte lijst gezet. Volgens het departement maken ze zich schuldig ‘agressieve en schadelijke activiteiten’, waaronder digitale spionage. De Russische overheid zou daarbij een prominente rol hebben vervuld. Dat meldt Reuters.


VS, EU en NAVO beschuldigen China van aanvallen op Microsoft Exchange-servers

Het Witte Huis, de Europese Unie en NAVO hebben China officieel beschuldigd van de aanvallen op Microsoft Exchange-servers die eerder dit jaar plaatsvonden en waarbij meerdere zerodaylekken in de software werden gebruikt. Volgens het Witte Huis wisten "hackers" die voor het Chinese ministerie van Staatsveiligheid werken via de kwetsbaarheden tienduizenden computers en netwerken wereldwijd te compromitteren, wat grote herstelkosten voor getroffen organisaties met zich meebracht. Tegelijkertijd met de beschuldiging hebben de Amerikaanse geheime dienst NSA, de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security een advisory uitgegeven met technieken die China gebruikt voor het aanvallen van netwerken. Met de informatie wil het Witte Huis verdedigers in staat stellen om verdedigingsmaatregelen te treffen en zo hun gegevens en netwerken te beschermen. Verder stelt het Witte Huis dat de aanvallers die voor de Chinese overheid werken ook voor eigen financieel gewin aanvallen uitvoeren en zich bezighouden met ransomware-aanvallen tegen bedrijven. Door de criminele activiteiten van deze ingehuurde aanvallers niet aan te pakken zorgt China voor grote kostenposten bij bedrijven en organisaties die tot miljarden dollars kunnen oplopen, aldus de Amerikaanse autoriteiten. Na het Witte Huis hebben ook de Europese Unie en NAVO China beschuldigd van de Exchange-aanvallen.

The United States Joined By Allies And Partners Attributes Malicious Cyber Activity And Irresponsible State Behavior To The Peoples Republic Of China
PDF – 123,1 KB 34 downloads
China Declaration By The High Representative On Behalf Of The European Union Urging Chinese Authorities To Take Action Against Malicious Cyber Activities Undertaken From Its Territory
PDF – 28,1 KB 35 downloads
Statement
PDF – 657,6 KB 28 downloads

Ransomware-incident bij grote cloudprovider verstoort vastgoed

Een ransomware-incident bij Cloudstar, een cloudhostingservice en managed service provider voor verschillende industriesectoren, heeft de activiteiten van honderden bedrijven verstoord. Cloudstar , dat verschillende datacenters in de VS exploiteert, is vooral bekend in de hypotheek-, eigendomsverzekering-, onroerendgoed-, juridische, financiële en lokale overheidssector, waar het diensten levert zoals virtuele desktophosting, software-as-a-service-aanbiedingen , en andere beheerde cloudinfrastructuur, die de IT-infrastructuur van veel bedrijven ondersteunt. Vrijdag maakte het in Florida gevestigde bedrijf bekend dat het te maken had met een "zeer geavanceerde ransomware-aanval" waardoor het de overgrote meerderheid van zijn diensten moest uitschakelen. Met uitzondering van zijn versleutelde e-mailservice, zei Cloudstar  vandaag op een  statuspagina dat het grootste deel van zijn infrastructuur drie dagen na de aanval nog steeds niet werkt.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten



«   »