'De bibliotheek voor de bestrijding van digitale criminaliteit'

Home » Cybercrime » Cyberaanvallen weekoverzichten » Overzicht cyberaanvallen week 41-2021

Overzicht cyberaanvallen week 41-2021

Gepubliceerd op 18 oktober 2021 om 15:00


Drama bij VDL NedCar na cyberaanval duurt voort, de Belgisch bouwgroep Besix getroffen door cyberaanval en losgeld verbod is druppel op gloeiende plaat. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 3.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.

Status op 18 oktober 2021 : 3.438


Week overzicht

Slachtoffer Cybercriminelen Website Land
DOSIK Technology Moses Staff www.dosik.co.il Israel
Meshulam Moses Staff www.meshulam.biz Israel
Electron Csillag Moses Staff www.electron.co.il Israel
Gidel Moses Staff gidel.com Israel
Israel Post Moses Staff israelpost.co.il Israel
ferrolabella.com LockBit ferrolabella.com USA
Freeport Logistics, Inc. Grief freeport-logistics.com USA
cassini-technologies.com LockBit cassini-technologies.com Netherlands
SEIU Local 888 Conti www.seiu888.org USA
NOF CORPORATION Spook www.nof.co.jp Japan
WAMGROUP Hive wamgroup.com Italy
www.lockslaw.com Payload.bin www.lockslaw.com USA
espera.com LockBit espera.com Germany
Apex Filling Systems Spook apexfilling.com USA
valleyregionaltransit.org LockBit valleyregionaltransit.org USA
uslogic.com LockBit uslogic.com USA
Manhasset Union Free School District Vice Society manhassetschools.org USA
Crowder Construction Company Conti www.crowderusa.com USA
ABSOLUTERESULTS.COM CL0P absoluteresults.com Canada
BOLTONUSA.COM CL0P boltonusa.com USA
SSMSJUSTICE.COM CL0P ssmsjustice.com USA
sb-kc.com LockBit sb-kc.com USA
Facilities Resource Group LV webfrg.com USA
PJ SAS Trading LV www.pjsas.com.au Australia
alwatania.sa LockBit alwatania.sa Saudi Arabia
wataniaind.com LockBit wataniaind.com Saudi Arabia
Statcomm BlackByte www.statcomm.com USA
Galloway Research Service Conti www.gallowayresearch.com USA
National Beverage BlackMatter www.nationalbeverage.com USA
SKH Group Grief skhgroup.co.in India
wmlaw.com.au LockBit wmlaw.com.au Australia
EXAIR Conti www.exair.com USA
uvisionuav.com LockBit uvisionuav.com Israel
Uteco Converting S.p.A. Atomsilo www.uteco.com Italy
Hemmink Hive hanzestrohm.nl Netherlands
PTT Exploration and Production Sodinokibi (REvil) www.pttep.com Thailand
Glenbrook Automotive Group Conti glenbrookautomotivegroup.com USA
malcopro Conti www.malcopro.com USA
elganso Conti www.elganso.com Spain
shawneemt Conti www.shawneemt.com USA
Tech-Etch Conti techetch.com USA
conumaresources Conti conumaresources.com Canada
agencegoodwin Conti en.agencegoodwin.com Canada
dataxport Conti www.dataxport.net USA
jadecorp Conti www.jadecorp.com.au Australia
Nakisa Conti www.nakisa.com Canada
Graff Diamonds Conti www.graff.com UK
Medical Designs BlackByte www.advancemedicaldesigns.com USA
EagleView & Pictometry Hive www.eagleview.com USA
Princess Yachts International Spook www.princessyachts.com UK
hitrac-engineering.com LockBit hitrac-engineering.com Italy
wolfbergalvarez.com LockBit www.wolfbergalvarez.com USA
planitox.com.br LockBit planitox.com.br Brazil
Distribuidora de Industrias Nacionales BlackByte www.abcdin.cl Chile
ELGINKAN HOLDING SA LV www.elginkan.com.tr Turkey
Madina Group BlackMatter www.madinagulf.com Bangladesh
riversidetwp.org LockBit riversidetwp.org USA
Neofidelys Spook www.neofidelys.fr France
FEDERFARMA.CO DISTRIBUZIONE E SERVIZI IN FARMACIA SPA Grief www.federfarmaco.it Italy
TRUJAS SAS Grief carwest.fr France
TK Elevator Innovation and Operations GmbH Grief www.tkelevator.com Germany
Roosevelt School District No 66 Grief www.rsd66.org USA
HJ Lea Oakes Grief www.hjlea.com UK
LENSBURY Grief lensbury.com UK
Daco Corporation Grief www.dacocorp.com USA
4 Earth Farms, LLC Grief www.4earthfarms.com USA
Paris Society Spook www.paris-society.com France
VKP Spook vkp.fr France
Ferretti International Spook ferretti-international.com.au Australia

17 oktober


Israëlische ziekenhuizen opnieuw doelwit van cyberaanval

Vorige week woensdag werd het Hillel Yaffe Medical Center in de stad Hadera getroffen door een ransomware-aanval met als gevolg dat niet-dringende procedures werden geannuleerd en het verplegend personeel de toevlucht moest nemen tot pen en papier. Maar ook in het weekend waren waren het meerdere ziekenhuizen in Israël doelwit van cyberaanvallen, melden het National Cyber Directorate en het ministerie van Volksgezondheid vandaag. De aanvallen werden tijdig ontdekt en schade werd voorkomen. “Vroegtijdige beoordelingen en een snelle reactie van het directoraat en het personeel ter plaatse hebben de pogingen stopgezet en er is geen schade aangericht”, aldus de gezamenlijke verklaring. Sinds de aanval op woensdag zijn het National Cyber Directorate en het ministerie van gezondheid bezig de cyberbescherming van de ziekenhuizen in het land te verbeteren en nieuwe kwetsbaarheden te identificeren. Verwacht wordt dat Iran achter de cyberaanvallen zit. Israël en Iran zijn al langer verwikkeld in een schaduwoorlog over het nucleaire programma van de Islamitische Republiek waarbij beide landen elkaars infrastructuur proberen te schaden. Volgens VirusTotal en cyberbeveiligingsbedrijf Check Point zijn Israëlische bedrijven en instellingen ongeveer twee keer zo vaak doelwit van cyberaanvallen als het gemiddelde in andere landen.


16 oktober


Drama bij VDL NedCar na cyberaanval duurt voort

VDL ondervindt nog steeds problemen van de cyberaanval die de automaker vorige week trof. Steeds meer onderdelen kunnen de productie weer uitbreiden, maar het bedrijf opereert volgens een woordvoerder nog altijd niet op volle capaciteit. Wegens de cyberaanval bij VDL werden alle online-systemen uitgeschakeld, waardoor bijvoorbeeld autofabriek VDL NedCar een tijdlang geen auto’s in elkaar kon zetten. Veel productieprocessen zijn in hoge mate gedigitaliseerd. Afgelopen woensdag begon de productie bij die auto-assemblagelijn in het Limburgse Born weer langzaam. Ondanks kwam in het nieuws dat de Nederlandse autobouwer aan de slag gaat voor een veelbelovende start-up. Ook andere werkmaatschappijen kunnen weer een beetje meer doen nadat ze een “digitaal veilige omgeving” hebben opgezet. Hoe lang het duurt voordat het bedrijf weer op volle kracht draait, is volgens het bedrijf moeilijk te voorspellen. Over de aard van de cyberaanval doet het Eindhovense bedrijf nog geen mededelingen, dus ook niet of het gaat om gijzelsoftware. Experts noemen dat wel waarschijnlijk. Cybercriminelen gebruiken daarbij een zwakke plek in de beveiliging om in de computersystemen van bedrijven te komen, waarna ze onderdelen versleutelen en die pas willen vrijgeven na betaling van losgeld. VDL bestaat uit 105 werkmaatschappijen, die bijvoorbeeld stadsbussen of geautomatiseerde systemen voor veehouders maken. Vorig jaar had het bedrijf een omzet van 4,7 miljard euro. Of de cybercriminelen betaald zijn, is niet bekend. Experts raden doorgaans af om te betalen na een cyberaanval.


15 oktober


De Belgisch bouwgroep Besix getroffen door cyberaanval

De Belgische bouwgroep Besix heeft bijna een week last gehad van een cyberaanval. De problemen zijn zo goed als opgelost. Sinds zaterdag hebben informatici bij Besix gewerkt om een cyberaanval op te lossen. 'De aanval trof de servers in de Benelux', klinkt het bij Besix. 'We hebben snel ingegrepen om de effecten te beperken en meteen contact opgenomen met CERT (Computer Emergency Responce Team), dat de oorsprong van de aanval onderzoekt. Vandaag hebben we een systeem gebouwd om al onze gegevens over te zetten. Alles komt stukje bij beetje weer in orde.' Besix deelt wereldwijd bestanden met commerciële en professionele partners. Om te voorkomen dat zij getroffen worden door de cyberaanval stuurde het bedrijf waarschuwingsberichten uit. Medewerkers van het energiebedrijf Tractebel kregen bijvoorbeeld allemaal een melding. Daarin stond dat ze geen documenten mochten openen van Besix tot het probleem was opgelost.


Coalitie van landen bestempelt ransomware als wereldwijde dreiging

Ransomware is een wereldwijde dreiging met ernstige gevolgen voor economie en veiligheid, zo stellen meer dan dertig landen, waaronder Nederland, in een gezamenlijke verklaring. Die werd gegeven na afloop van een door de Verenigde Staten georganiseerd initiatief. Tijdens het Counter Ransomware Initiative stond de globale aanpak van ransomware centraal, waarbij de landen op verschillende punten willen gaan inzetten. Zo gaat het om het vergroten van de cyberweerbaarheid en samenwerking met de private sector. Volgens de landen zijn er verschillende basale maatregelen die de kans op een succesvolle ransomware-aanval drastisch kunnen verminderen. Het gaat om het maken van offline back-ups, gebruik van sterke wachtwoorden en multifactorauthenticatie, het installeren van beveiligingsupdates en het onderwijzen van personeel om geen verdachte links en documenten te openen. Verder willen de landen gaan inzetten op het tegengaan van het witwassen van losgeldbetalingen, het verstoren van ransomware-operaties en betere samenwerking tussen opsporingsdiensten. Daarnaast zal diplomatie worden toegepast om landen aan te pakken die ransomwaregroepen binnen hun landsgrenzen ongemoeid laten.

Background Press Call On The Virtual Counter
PDF – 93,5 KB 2 downloads

Amerikaanse waterzuiveringsinstallaties getroffen door ransomware

De afgelopen maanden zijn waterzuiveringsinstallaties in drie Amerikaanse staten getroffen door ransomware, zo hebben de FBI, NSA, Het Environmental Protection Agency en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security laten weten. Afgelopen augustus raakte een zuiveringsinstallatie in Californië besmet met een variant van de Ghost-ransomware. De malware bleek al een maand in de systemen van de installatie aanwezig te zijn en werd ontdekt toen drie supervisory control and data acquisition (SCADA)-servers een ransomwareboodschap lieten zien. In juli werd een SCADA-systeem van een waterzuiveringsinstallatie in Maine getroffen. Hierdoor moest de waterzuiveringsinstallatie handmatig worden bediend totdat de SCADA-computer was hersteld. Een waterzuiveringsinstallatie in Nevada werd in maart het slachtoffer van een aanval, waarbij zowel het SCADA-systeem als back-upsystemen besmet raakten. Het SCADA-systeem werd gebruikt voor monitoring. Hoe de systemen besmet konden raken laten de Amerikaanse overheidsinstanties niet weten. Wel worden adviezen gegeven hoe waterzuiveringsinstallaties hun systemen kunnen beschermen. Het gaat onder andere om het scheiden van it- en ot-netwerken. Dit moet voorkomen dat een aanvaller via het it-netwerk toegang tot het ot-netwerk kan krijgen. Verder wordt het installeren van cyber-fysieke veiligheidssystemen aangeraden. Die moeten op fysieke wijze voorkomen dat er gevaarlijke situaties ontstaan wanneer een controlesysteem door een aanvaller is gecompromitteerd.

Ongoing Cyber Threats To U S Water And Wastewater Systems
PDF – 315,4 KB 2 downloads

Israëlisch ziekenhuis annuleert niet-urgente procedures wegens ransomware

Een Israëlisch ziekenhuis heeft wegens een ransomware-aanval alle niet-urgente procedures geannuleerd. Dat laat het Hillel Yaffe Medical Center op de eigen website weten. Volgens het ziekenhuis kwam de aanval "compleet onverwacht" en worden er nu "alternatieve systemen" gebruikt om patiënten te behandelen. Volgens The Times of Israel is het ziekenhuis teruggevallen op pen en papier om opnames van patiënten te registreren. Doordat artsen continu heen en weer moeten wandelen tussen afdelingen om testresultaten te bekijken zouden er ook grote vertragingen in behandelingen zijn ontstaan. Weggestuurde patiënten worden door andere ziekenhuizen opgevangen. Het Israëlische ministerie van Volksgezondheid heeft uit angst voor meer ransomware-aanvallen alle ziekenhuizen in het land gewaarschuwd om patiëntendossiers te printen. De aanvallers achter de aanval op het Hillel Yaffe Medical Center zouden nog niet om losgeld hebben gevraagd. Volgens het ministerie hebben de aanvallers zeer waarschijnlijk een financiële motivatie en zijn er geen aanwijzingen dat het om een aanval door een staat gaat. Ook is nog onduidelijk hoe de infectie kon plaatsvinden en om wat voor soort ransomware het


Accenture bevestigt datalek na ransomware-aanval in augustus

De wereldwijde IT-consultancygigant Accenture heeft bevestigd dat LockBit ransomware-operators gegevens van hun systemen hebben gestolen tijdens een aanval die de systemen van het bedrijf in augustus 2021 trof. Dit werd onthuld in het financiële rapport van het bedrijf voor het vierde kwartaal en het volledige fiscale jaar, dat eindigde op 31 augustus 2021. "In het verleden hebben we te maken gehad met, en zullen we in de toekomst mogelijk opnieuw te maken krijgen, gegevensbeveiligingsincidenten als gevolg van ongeautoriseerde toegang tot de systemen van ons en onze serviceproviders en ongeautoriseerde verwerving van onze gegevens en de gegevens van onze klanten, waaronder: onbedoelde openbaarmaking, onjuiste configuratie van systemen, phishing ransomware of malware-aanvallen," melde Accenture.

Accenture Form 10 K Acn Bc Q 4 2021
PDF – 1,7 MB 14 downloads

14 oktober


VDL Nedcar herstart productie

VDL Nedcar heeft woensdagmiddag de autoproductie in Born weer opgestart. Vandaag draaien er twee ploegen en draait de fabriek weer de normale productie, bevestigt VDL-woordvoerder Miel Timmers aan Automotive. "We hebben een veilige digitale omgeving waardoor de fabriek weer kan functioneren", vertelt hij. In verband met de veiligheid wil hij echter niet vertellen wat zo'n omgeving inhoudt. De Limburgse autofabriek werd precies een week geleden stilgelegd na een cyberaanval op VDL Groep. Daarbij werden grote delen van het concern getroffen. VDL telt wereldwijd 105 bedrijven. Het is nog niet duidelijk wanneer de andere VDL-bedrijven weer kunnen gaan draaien. In totaal werken bij VDL 15 duizend medewerkers. Afgelopen week kregen medewerkers van diverse VDL-bedrijven het verzoek om snipperdagen op te nemen, meldt het FD. VDL Nedcar werd dit jaar ook al enkele malen stilgelegd wegens chiptekorten. Het bedrijf is hard op zoek naar nieuwe opdrachtgevers, omdat de productie van de Mini Clubman voor BMW eind volgend jaar stopt. Timmers meldt dat het bedrijf met diverse partijen in gesprek is, maar dat er, met uitzondering van de Amerikaanse start-up Canoo, nog geen nieuwe opdrachtgever is gevonden.  


Nieuwe Yanluowang-ransomware gebruikt bij gerichte bedrijfsaanvallen

Zoals het Symantec Threat Hunter-team van Broadcom ontdekte, wordt een nieuwe en nog steeds in ontwikkeling zijnde ransomware-stam gebruikt bij zeer gerichte aanvallen op bedrijfsentiteiten. De malware, 'Yanluowang ransomware' genaamd (naar een Chinese godheid Yanluo Wang , een van de tien koningen van de hel), is gebaseerd op de extensie die het toevoegt aan versleutelde bestanden op gecompromitteerde systemen. Het werd onlangs opgemerkt tijdens het onderzoek naar een incident waarbij een spraakmakende organisatie betrokken was na het detecteren van verdachte activiteit met de legitieme AdFind-opdrachtregel Active Directory-querytool. AdFind wordt vaak gebruikt door ransomware-operators voor verkenningstaken, waaronder het verkrijgen van toegang tot informatie die nodig is voor zijwaartse verplaatsing via de netwerken van hun slachtoffers.


University of Sunderland kondigt storing aan na cyberaanval

De University of Sunderland in het VK heeft uitgebreide operationele problemen aangekondigd waardoor de meeste van haar IT-systemen zijn uitgeschakeld, waardoor het probleem wordt toegeschreven aan een cyberaanval. De eerste tekenen van verstoring van de IT-systemen van de universiteit verschenen dinsdagochtend, maar zijn nog steeds ingrijpend en onopgelost. 


13 oktober


Medewerkers VDL nemen verlof op door cyberaanval

Medewerkers van VDL hebben verlof opgenomen vanwege de cyberaanval. Het bedrijf ligt al sinds vorige week stil vanwege een hack. Dat bevestigt een woordvoerder van VDL na berichtgeving in het Financieele Dagblad. Volgens een woordvoerder hebben "werknemers in goed overleg verlof opgenomen". Of het ook gaat om locaties in Limburg is niet bekend. VDL heeft in Limburg vestigingen in Born (Nedcar), Venlo, Weert, Nederweert, Swalmen, Sevenum en Hoensbroek. Nedcar start woensdag de productie van auto's weer op. Het bedrijf start met de middagdienst, die rond 15:00 uur begint. "Alle seinen staan op groen", aldus de woordvoerder. Nedcar liet eerder weten dat het bedrijf in een "veilige digitale omgeving kan produceren". Of het gaat om de oude digitale omgeving wil het bedrijf niet zeggen. Job Kuijpers, bestuursvoorzitter van het Haagse digitale veiligheidsbedrijf EYE Security vermoedt dat het gaat om een gijzelsoftware. Waarschijnlijk is het een toevalstreffer van criminelen. "Als ze er dan achter komen dat ze met een bedrijf als VDL te maken hebben, zal het losgeld snel naar de miljoenen gaan", vertelt Kuijpers.


Australië verplicht grote bedrijven om ransomware-aanvallen te melden

Grote bedrijven in Australië worden verplicht om ransomware-aanvallen op hun systemen en netwerken bij de overheid te melden. De meldplicht gaat gelden voor ondernemingen met een jaaromzet van 10 miljoen Australische dollars of meer, zo laat de Australische minister Karen Andrews van Binnenlandse Zaken weten. Het is één van de maatregelen die de Australische regering vandaag heeft aangekondigd om ransomware te bestrijden. Volgens Andrews moet de meldplicht de overheid meer zicht geven op de ransomwaredreiging en voor betere ondersteuning van slachtoffers zorgen. Als onderdeel van het Ransomware Action Plan (pdf) zal ook wetgeving worden aangepast waardoor opsporingsdiensten financiële cryptotransacties kunnen volgen, bevriezen of in beslag nemen. Verder wordt het kopen en aanbieden van malware voor het plegen van computermisdrijven strafbaar, wat ook geldt voor de handel in gestolen gegevens. De Australische regering wil cybercriminelen die de vitale infrastructuur aanvallen strenger gaan straffen. De Australische autoriteiten zetten ook in op het verstoren van ransomware-operaties. Zo moeten nieuwe bevoegdheden er onder andere voor zorgen dat politie straks data mag aanpassen en verwijderen.

Ransomware Action Plan
PDF – 2,7 MB 1 download

Google publiceert analyse van 80 miljoen ransomware-exemplaren

Google heeft een analyse gepubliceerd van tachtig miljoen ransomware-exemplaren die het de afgelopen anderhalf jaar via de online viruscandienst VirusTotal ontving. Via VirusTotal is het mogelijk om verdachte bestanden door zo'n zestig antivirusprogramma's te laten controleren. De meeste ransomware-exemplaren werden ingezonden door gebruikers uit Israël, Zuid-Korea, Vietnam en China. In de eerste helft van vorig jaar zag Google een toename van de ransomware-activiteit. Dit zou met name door de GandCrab-groep komen, een ransomware-as-a-service (Raas). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. In juli van dit jaar zag Google opnieuw een piek in het aantal ransomware-exemplaren, die het techbedrijf toeschrijft aan de Bakuk-ransomware. In 2020 en de eerste helft van dit jaar waren er volgens Google honderddertig verschillende ransomwarefamilies actief. De meest actieve ransomware was GandCrab, gevolgd door Babuk, Cerber, Matsnu, Congur, Locky, Teslacrypt, Rkor en Reveon. Hoewel de meeste van de grote ransomwarecampagnes komen en gaan, zijn er op elk moment zo'n honderd ransomwarefamilies actief die blijven doorgaan, aldus Google. Uit de analyse van het techbedrijf blijkt verder dat aanvallers voor hun campagnes steeds nieuwe ransomware-exemplaren genereren.

Ransomware In A Global Context
PDF – 702,2 KB 6 downloads
We Analyzed 80 Million Ransomware Samples
PDF – 268,1 KB 4 downloads

Witte Huis overlegt met dertig landen over internationale aanpak ransomware

Het Witte Huis is een tweedaags initiatief gestart waarbij het met afgevaardigden van meer dan dertig landen, waaronder Nederland, overlegt over een internationale aanpak van ransomware. Tijdens het Counter-Ransomware Initiative komen verschillende onderwerpen aan bod, zoals het versterken van de nationale cyberweerbaarheid, het misbruik van cryptovaluta voor het witwassen van losgeldbetalingen, het verstoren van ransomware-operaties en het vervolgen van de criminelen die achter de aanvallen zitten. Met het initiatief wil het Witte Huis naar eigen zeggen landen bijeen brengen in de strijd tegen ransomware. Volgens de overheidsfunctionaris die het Counter-Ransomware Initiative leidt zullen nog veel gesprekken na dit overleg volgen over hoe het probleem kan worden aangepakt. Rusland was niet uitgenodigd om aan het initiatief mee te doen. Via een ander kanaal wordt er echter met het land over ransomware gesproken, stelde de functionaris. Die merkte op dat Rusland naar aanleiding van eerdere kritiek vanuit de Verenigde Staten "vervolgacties" heeft genomen, maar wat die precies inhouden wilde de functionaris niet zeggen. Wat betreft het initiatief sluit de VS niet uit dat Rusland aan toekomstige sessies wel deel zal nemen. Vandaag zal het Witte Huis meer details over het initiatief en de aanpak van ransomware bekendmaken.

Background Press Call On The Virtual Counter
PDF – 115,8 KB 3 downloads

12 oktober


‘Losgeldverbod is druppel op gloeiende plaat’

Verzekeraars verbieden om losgeld te vergoeden dat cliënten aan hackers hebben betaald, is zinloos. Het is niet de oplossing om het verdienmodel van hackers en cybercriminelen te ondermijnen. Bedrijven en organisaties die het doelwit zijn van een ransomware-aanval, zoeken dan andere manieren om te betalen, simpelweg omdat ze geen andere uitweg zien. Dat blijkt uit onderzoek van jurist Nynke Brouwer. Zij promoveerde vorig week donderdag op het functioneren van cyberverzekeringen.

Losgeldverbod Voor Cyberverzekering Is Zinloos
PDF – 68,3 KB 3 downloads

Groep criminelen slaat ransomware over en steelt alleen data voor afpersing

De afgelopen maanden is een toenemend aantal bedrijven en organisaties afgeperst door een groep criminelen die binnen dertig minuten op systemen weet in te breken en allerlei data steelt. Als de getroffen organisatie geen losgeld betaalt dreigt de groep gestolen data openbaar te maken. In tegenstelling tot veel andere aanvallen die de afgelopen maanden plaatsvonden maakt deze groep geen gebruik van ransomware. Dat meldt securitybedrijf NCC Group in een analyse. De groep wordt vanwege de snelle aanvallen en het gebruik van de tool mc.exe voor het exfiltreren van data "SnapMC" genoemd. Om toegang tot systemen en netwerken van organisaties te krijgen maakt de groep gebruik van bekende kwetsbaarheden in webserver-applicaties en vpn-oplossingen. Het gaat onder andere om een twee jaar oude kwetsbaarheid in Telerik UI waar sinds december 2019 een beveiligingsupdate voor beschikbaar is, maar die niet door getroffen organisaties is geïnstalleerd. Zodra de aanvallers toegang tot een systeem hebben maken ze gebruik van de PrintNightmare-kwetsbaarheid om hun rechten te verhogen. Voor dit beveiligingslek is sinds 8 juni van dit jaar een patch beschikbaar. Vervolgens wordt er via een script allerlei data in CSV-bestanden opgeslagen, die door middel van 7-Zip worden gearchiveerd. Uiteindelijk wordt de verzamelde data via de MinIO-client naar de aanvallers gestuurd. "De toegang werd via bekende kwetsbaarheden verkregen waarvoor patches beschikbaar zijn. Het tijdig patchen en het up-to-date houden van apparaten is de meest effectieve manier om dit soort aanvallen te voorkomen", aldus het securitybedrijf. Dat adviseert organisaties om geregeld het eigen netwerk op kwetsbaarheden te scannen.

Snap MC Skips Ransomware Steals Data
PDF – 142,0 KB 4 downloads

Systemen Amerikaanse tak Olympus getroffen door cyberaanval

De systemen van de Amerikaanse tak van Olympus zijn getroffen door een cyberaanval, zo heeft het techbedrijf via de eigen website laten weten. Volgens de verklaring ontdekte Olympus op zondag 10 oktober verdachte activiteit op het netwerk van de Canadese, Latijns-Amerikaanse en Amerikaanse tak. Na ontdekking van de verdachte activiteit werd er een onderzoek ingesteld en wordt er inmiddels gewerkt aan een oplossing. Als onderdeel van het onderzoek en om de situatie te beperken heeft Olympus besloten alle getroffen systemen uit te schakelen. Het bedrijf zegt alle relevante partners hierover te hebben gewaarschuwd. Uit voorlopig onderzoek blijkt dat alleen de systemen in Noord-Amerika en Latijns-Amerika zijn getroffen en er geen impact op andere regio's is. Verdere details over de aard van de aanval zijn niet gegeven. Vorige maand meldde Olympus ook al een "cybersecurity incident". Toen ging het om de systemen gebruikt door de EMEA (Europa, Midden-Oosten en Afrika)-tak. Volgens berichten ging het hierbij om een ransomware-aanval.


Cyberaanval sluit de grootste bank van Ecuador, Banco Pichincha

De grootste particuliere bank van Ecuador, Banco Pichincha, is getroffen door een cyberaanval die de activiteiten heeft verstoord en de geldautomaat en het online bankportaal offline hebben gehaald. De cyberaanval vond in het weekend plaats, waardoor de bank delen van hun netwerk moest afsluiten om te voorkomen dat de aanval zich naar andere systemen verspreidde. Het stilleggen van systemen heeft geleid tot wijdverbreide ontwrichting voor de bank, waarbij geldautomaten niet meer werken en de portals voor internetbankieren onderhoudsmeldingen vertonen.


11 oktober


Ransomwaregroep steelt klantgegevens bij Pacific City Bank

De Amerikaanse Pacific City Bank is eind augustus getroffen door een ransomware-aanval waarbij de aanvallers gegevens van klanten buitmaakten. Dat heeft de financiële instelling, die zich met name richt op de Koreaans-Amerikaanse gemeenschap in de Verenigde Staten, getroffen klanten in een brief laten weten (pdf). Het aantal gedupeerde klanten is niet bekendgemaakt. De bank detecteerde naar eigen zeggen op 30 augustus verdachte activiteit op het netwerk. Het onderzoek dat volgde wees op 7 september uit dat een aanvaller klantgegevens had buitgemaakt. Het gaat om leningaanvragen, belastinggegevens en salarisgegevens, met onder andere naam, adresgegevens en social-securitynummers. De aanval werd uitgevoerd door de groep achter de AvosLocker-ransomware. Deze groep steelt net als andere ransomwaregroepen data van slachtoffers. Wanneer een slachtoffer geen losgeld betaalt wordt de gestolen data op internet te koop aangeboden. Hoe de systemen van de bank met ransomware besmet konden raken is onbekend. Wel meldt de Pacific City Bank dat het bestaande procedures en beleid gaat herzien en aanvullende maatregelen overweegt om eventuele ransomware-aanvallen in de toekomst te voorkomen. De bank meldde onlangs dat het in het tweede kwartaal van dit jaar een recordwinst van tien miljoen dollar had geboekt.

Sample Consumer Notification
PDF – 253,9 KB 4 downloads

VS lanceert speciaal team om crimineel gebruik cryptovaluta te bestrijden

De Amerikaanse overheid heeft een speciaal team gelanceerd dat zich gaat bezighouden met de bestrijding van het crimineel gebruik van cryptovaluta, onder andere door ransomwaregroepen. Zo zal het National Cryptocurrency Enforcement Team (NCET) proberen om cryptobetalingen van ransomwareslachtoffers te traceren en terug te halen. Volgens het Amerikaanse ministerie van Justitie worden cryptovaluta voor allerlei criminele doeleinden gebruikt, waaronder voor het losgeld bij ransomware, witwassen, het aanbieden van illegale gelddiensten en de verkoop van drugs, wapens, malware en "hackingtools". Het NCET moet daarom een essentiële rol gaan spelen in de ondersteuning van opsporingsdiensten op zowel federaal, staats en regionaal niveau. Het handhavingsteam zal onder andere zaken waar cryptovaluta een belangrijke rol spelen gaan onderzoeken en vervolgen. De Amerikaanse autoriteiten willen zo het gebruik van cryptovaluta als illegale tool tegengaan. Verder zal het NCET strategische prioriteiten ontwikkelen, onderzoeksgebieden aanwijzen en relaties met verschillende opsporingsdiensten aangaan. Verder moet het team connecties opzetten met private partijen die over cryptokennis beschikken en kunnen bijdragen aan de missie van het NCET.

Department Of Justice
PDF – 167,2 KB 6 downloads

Jurist: verbod op betalen losgeld ransomware door verzekeraars zinloos

Een verbod dat verzekeraars verbiedt om het bij ransomware betaalde losgeld te vergoeden is zinloos, bedrijven hebben vaak geen andere keus. Dat stelt jurist Nynke Brouwer, die hier onderzoek naar deed en afgelopen donderdag op het onderwerp aan de Radboud Universiteit promoveerde. Vorige week liet demissionair minister Grapperhaus van Justitie en Veiligheid weten dat de overheid onderzoekt of het verzekeraars kan verbieden om het losgeld te vergoeden dat door ransomware getroffen bedrijven en organisaties betalen. Allerlei verzekeringsmaatschappen bieden inmiddels "cyberverzekeringen" aan waarbij het losgeld wordt vergoed dat slachtoffers van ransomware betalen om hun bestanden terug te krijgen. Volgens sommige experts zijn aanvallers hierdoor veel hogere losgeldbedragen gaan vragen. "Door losgeld te betalen worden criminele activiteiten beloond en gestimuleerd. Daarnaast is de verwachting van de politie dat het betalen van losgeld leidt tot meer aanvallen van ransomware", liet Grapperhaus eerder weten. Volgens Brouwer vergoeden de meeste cyberverzekeraars het losgeld dat hun verzekerde heeft betaald. Een verbod hiervan zou echter weinig uithalen. "Dat is een druppel op een gloeiende plaat. In mijn onderzoek heb ik geen duidelijke verbanden gevonden tussen het hebben van verzekeringsdekking voor betaald losgeld en de beslissing van het bedrijf om te betalen. Verzekerd of niet, bedrijven betalen omdat ze niet anders kunnen", laat Brouwer weten. Ze stelt dat een verbod de betalingen alleen maar de illegaliteit in zal drukken. "Bedrijven vinden dan wel weer een andere manier om te betalen. Een verzekering is bovendien een overeenkomst. Voor overeenkomsten geldt contractvrijheid. Een verbod op het bieden van verzekeringsdekking vormt een vergaand ingrijpen daarop." Brouwer betoogt dat de overheid cyberverzekeraars niet moet zien als hinder, maar als handig hulpmiddel voor betere cyberbeveiliging. In de praktijk kunnen verzekeringen namelijk helpen het beveiligingsniveau van bedrijven te verbeteren. "Bij het afsluiten van een cyberverzekering moet een bedrijf aan bepaalde voorwaarden voldoen. Over deze eisen zou weliswaar meer consensus kunnen worden bereikt, maar daartoe zijn al ontwikkelingen gaande in de markt." Wanneer bedrijven en organisaties als gevolg van het afsluiten van een verzekering nadenken over de risico's, maatregelen nemen om aanvallen te voorkomen, die regelmatig evalueren en versterken, kunnen volgens Brouwer veel incidenten worden voorkomen.


Rechtszaak in VS claimt dat baby overleed als gevolg van ransomware-aanval

In de Verenigde Staten is een Amerikaans ziekenhuis aangeklaagd voor het overlijden van een baby als gevolg van een ransomware-aanval die in 2019 plaatsvond. De zaak is aangespannen door de moeder van het overleden kind. Zij werd op 16 juli 2019 in het Springhill Medical Center opgenomen om te bevallen. Vanwege een ransowmare-aanval waren de computers op elke verdieping al bijna acht dagen uitgeschakeld. Een real-time wireless tracker voor het vinden van medisch personeel in het ziekenhuis was offline. Ook jaren aan patiëntendossiers waren onbereikbaar en ook de apparatuur voor het monitoren van de hartslag van pasgeborenen kon niet worden gebruikt. De baby werd geboren met de navelstreng rond haar nek, wat voor een waarschuwing op de hartmonitor zorgde. Door de verstrengeling werd de bloed- en zuurstoftoevoer afgeknepen en liep de baby ernstige hersenschade op. Ze overleed negen maanden later. Tijdens de aanval waren er minder personen die de hartmonitoren in de gaten hielden, zo meldt The Wall Street Journal. Volgens de moeder zorgde de ransomware-aanval ervoor dat informatie over de toestand van haar baby nooit bij de dokter terechtkwam. "Het aantal zorgmedewerkers dat haar bevalling normaliter monitorde was aanzienlijk verminderd en belangrijke redundantielagen waren verdwenen", aldus de claim. Indien bewezen zou het het eerste bevestigde sterftegeval als gevolg van ransomware zijn. Het ziekenhuis ontkent de aantijgingen en stelt dat het veilig was om open te blijven en patiënten te verzorgen. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security stelt in een recent verschenen rapport dat er nog geen gevallen bekend zijn van overlijdens in Amerikaanse ziekenhuizen die direct het gevolg zijn van cyberaanvallen.

CISA Insight Provide Medical Care Sep 2021
PDF – 904,7 KB 4 downloads

VDL weet niet wanneer alle fabrieken zijn hersteld van cyberaanval

VDL weet nog altijd niet wanneer alle fabrieken zijn hersteld van de cyberaanval waar het vorige week door werd getroffen. "Als VDL Nedcar donderdag weer open kan, zou dat fantastisch zijn", zo laat een woordvoerder tegenover het Financieele Dagblad weten. Het bedrijf moest vanwege de aanval productie staken en personeel noodgedwongen naar huis sturen. VDL is nog altijd via e-mail onbereikbaar aldus de krant. Details over de aanval zijn ook onbekend. Vanuit VDL-gelederen komt het gerucht dat het bedrijf is getroffen door een Russische cyberaanval, zo meldt 1Limburg. "We gaan daar gewoon niets over zeggen", aldus een woordvoerder. Die wil ook niet zeggen of er losgeld is geëist. Bij VDL zijn alle online systemen uitgeschakeld, waardoor onder andere de autoproductie stilligt. VDL telt 105 bedrijven en hoe de situatie per bedrijf eruitziet kan een woordvoerder niet zeggen. Ook is onduidelijk wanneer er weer kan worden geproduceerd. De hoop is aanstaande donderdag, maar zekerheid kan VDL niet geven. "Het is nog een onzekere situatie, maar we hopen het dan op te kunnen starten. Mits de problemen eerder verholpen zijn", stelt een woordvoerder tegenover 1Limburg. Het concern had vorig jaar een omzet van 4,5 miljard euro, wat neerkomt op 87 miljoen euro per week. De verwachting is dan ook dat de schade in de miljoenen euro's zal lopen.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten

Iedere maandag om 15:00 het complete overzicht van de afgelopen week. Wil je deze in de mail ontvangen zodat je geen enkel overzicht mist? Laat het ons dan weten via het volgende e-mailadres aanmelden.cybercrimeinfo.nl@gmail.com onder de vermelding van 'Aanmelding overzicht cyberaanvallen'



«   »