Overzicht cyberaanvallen week 50-2021

Gepubliceerd op 20 december 2021 om 15:00

Beruchte ransomwaregroep gebruikt Log4j-kwetsbaarheid bij aanvallen, Grapperhaus informeert Tweede Kamer over Log4j-kwetsbaarheid en misbruik Log4j-lek negen minuten na openbaarmaking. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 4.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.

Status op 20 december 2021 : 4.155


Week overzicht

Slachtoffer Cybercriminelen Website Land
WOLSEY Hive www.wolsey.com UK
Sit'N Sleep Hive www.sitnsleep.com USA
Madix Inc Hive madixinc.com USA
Haselden Construction Hive www.haselden.com USA
The Briad Group Conti www.briad.com USA
Kangean Energy Indonesia BlackByte www.kangean-energy.com Indonesia
van Eupen Logistik BlackCat (ALPHV) vaneupen.com Germany
Tegravendas Atomsilo tegravendas.com.br Brazil
Eisai Co., Ltd. AtomSilo www.eisaireimbursement.com USA
LIGHT CONVERSION AtomSilo lightcon.com Lithuania
Dental Health Products BlackByte www.dhpsupply.com USA
RCMS BlackCat (ALPHV) Unknown Unknown
Raveco Hive www.raveco.com Czech Republic
baa.legal LockBit baa.legal Spain
skinnertrans.com LockBit skinnertrans.com USA
Finq Entropy www.fin-q.be Belgium
agrofair.nl LV agrofair.nl Netherlands
cunninghamgolfcar.com LockBit cunninghamgolfcar.com USA
Hellmann Worldwide Logistics RansomEXX www.hellmann.net Germany
OPENROADAUTOGROUP.COM LV openroadautogroup.com Canada
Component Assembly Systems Lorenz componentassembly.com USA
Kenall/Legrand Lorenz kenall.com USA
WEBER_OTT AG Conti www.weberundott.de Germany
PROFIL ALSACE Grief www.profilalsace.com France
ABC Seamless Snatch abcseamless.com USA
The Execu|Search Group Snatch www.execu-search.com USA
vipsmotel.it LockBit vipsmotel.it Italy
Rosendahl Design Group ROOK www.rosendahldesigngroup.com Denmark
Rossell Techsys ROOK rosselltechsys.com India
GryphTech Hive www.gryphtech.com Canada
Amoria Bond Conti www.amoriabond.com Nederland
New City Commercial Corporation (NCCC) BlackCat (ALPHV) www.nccc.com.ph Philippines
Ncmutuallife Cuba www.ncmutuallife.com USA
Lahebert Cuba www.lahebert.ca Canada
Sonomatic Cuba sonomatic.com UK
Atlasdie Cuba www.atlasdie.com USA
PACE Worldwide Karakurt paceworldwide.com USA
Valley Realty Karakurt valleyrealty.com USA
Petro Serve USA. Karakurt petroserveusa.com USA
Contech TopSystems AG Karakurt contech.com USA
RI Analytical Laboratories Inc Karakurt rianalytical.com USA
Five Star Products, Inc. Karakurt fivestarproducts.com USA
Jones Studio Inc. Karakurt jonesstudioinc.com USA
Remedial Construction Services L.P. Karakurt reconservices.com USA
DuraTech Industries® Karakurt duratech.com USA
Data Access Worldwide Karakurt dataaccess.com USA
Heritage Palms Professional Building Karakurt heritagepalms.com USA
Comtec USA Karakurt comtecusa.com USA
Fiberstar, Inc. Karakurt fiberstar.net USA
Katz & Associates Karakurt katzandassociates.com USA
Gym Source Karakurt gymsource.com USA
Charles River Apparel Karakurt charlesriverapparel.com USA
Implant Concierge™ Karakurt implantconcierge.com USA
The Preston Partnership Karakurt theprestonpartnership.com USA
Pursell Farms Karakurt pursellfarms.com USA
Newman, Newman & Kaufman, LLP. Karakurt nnkllp.com USA
Wine & Spirits Retail Marketing, Inc. Karakurt wsretailers.com USA
Meritus Associations Karakurt merituscorp.com USA
Industrial Network Systems Karakurt ins3.com USA
Better World Books Karakurt betterworldbooks.com USA
Michael David Winery Karakurt michaeldavidwinery.com USA
Wet Design Karakurt wetdesign.com USA
EBZ GROUP Karakurt Ebz-Group.com USA
ALPHA TRADING S.P.A. Karakurt Alphatrading.it Italy
KBKB, Ltd. Karakurt Kbkbcpa.com USA
Faber Industrial Technologies Karakurt Faberinc.com USA
MIND Technology, Inc. Karakurt Mind-Technology.com USA
Yanmar Karakurt Yanmar.com Japan
FC Dallas Karakurt Fcdallas.com USA
TALIS GROUP Conti www.talis-group.com Germany
Flanders Color Grief www.flanderscolor.be Belgium
Chantelle Group Conti group.chantellelingerie.com France
DOMICIM Agence Conti www.domicim.ch Switzerland
Comerio Ercole spa Conti www.comercole.it Italy
Nordic Choice Hotels Conti www.nordicchoicehotels.no Norway
MEETH Conti www.meeth.de Germany
tt-network.dk LV tt-network.dk Denmark

Beruchte ransomwaregroep gebruikt Log4j-kwetsbaarheid bij aanvallen

De beruchte ransomwaregroep Conti maakt inmiddels gebruik van de recent ontdekte Log4j-kwetsbaarheid voor het aanvallen van bedrijven en organisaties, zo stelt securitybedrijf Advanced Intel. Bij de nu waargenomen aanvallen gebruikt de groep het Log4j-lek in VMware vCenter Server om zich lateraal door het netwerk te bewegen. VCenter is één van de vele programma's die van Log4j gebruikmaakt. Volgens het securitybedrijf heeft de Conti-groep verschillende toepassingen van de kwetsbaarheid getest, waarbij uiteindelijk het beveiligingslek in VMware vCenter Server voor verdere toegang tot de getroffen organisatie werd toegepast. Beveiligingsonderzoeker Vitali Kremez van Advanced Intel laat weten dat de aanvallers in dit geval al toegang tot een systeem van de organisatie hadden, maar het slechts een kwestie van tijd is voordat Conti en andere ransomwaregroepen de volledige capaciteit van het Log4j-lek zullen inzetten. In september waarschuwden de FBI, de Amerikaanse geheime dienst NSA en het Cybersecurity and Infrastructure Security Agency (CISA) voor een toename van aanvallen door de Conti-groep. Volgens de overheidsinstanties heeft deze groep meer dan vierhonderd aanvallen tegen Amerikaanse en internationale organisaties uitgevoerd. Vorige maand meldde een securitybedrijf dat de Conti-groep sinds juli van dit jaar ruim 25 miljoen dollar zou hebben verdiend. Conti was ook verantwoordelijk voor de grootschalige ransomware-aanval op de Ierse gezondheidszorg (HSE) die volgens de directeur van de HSE al zeker 100 miljoen euro schade veroorzaakte.

Ransomware Advisory
PDF – 1,1 MB 188 downloads

Nieuw beveiligingslek in Log4j maakt denial of service-aanvallen mogelijk

Apache heeft voor de derde keer in korte tijd een beveiligingsupdate uitgebracht voor een kwetsbaarheid in Log4j. Via het nieuwste beveiligingslek, aangeduid als CVE-2021-45105, is het mogelijk voor aanvallers om een denial of service (dos) te veroorzaken. Hiervoor moet een aanvaller speciaal geprepareerde invoerdata versturen die binnen Log4j voor een "recursive lookup" zorgt. Dit leidt uiteindelijk tot een "StackOverflowError" die het proces beëindigt. De dos-kwetsbaarheid doet zich alleen voor bij loggingconfiguraties met een niet-standaard "Pattern Layout". De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 7.5 beoordeeld. Vorige week rolde Apache eerst een update (2.15) uit voor een kritieke kwetsbaarheid (CVE-2021-44228) die remote code execution mogelijk maakt. Dit beveiligingslek, met een impactscore van 10.0, kwam wereldwijd in het nieuws. Vervolgens bleek deze versie een dos-kwetsbaarheid (CVE-2021-45046) te bevatten, waarop update 2.16 uitkwam. Later bleek het via CVE-2021-45046 ook mogelijk voor aanvallers om in bepaalde gevallen op afstand code uit te voeren, waardoor de impactscore van een 3.7 naar een 9.0 ging. Het nieuwste beveiligingslek is aanwezig in Log4j versies 2.0-alpha1 tot en met 2.16.0. Beheerders wordt aangeraden om te updaten naar versie 2.17.0.


Ruim 35.000 Java-packages getroffen door Log4j-kwetsbaarheden

Ruim 35.000 Java-packages in de Maven Central-repository, de belangrijkste repository voor het vinden en downloaden van Java-packages, is getroffen door twee recent onthulde kwetsbaarheden in Log4j en het kan nog jaren duren voordat ze in deze packages zijn verholpen. Dat stelt Google op basis van eigen onderzoek naar alle packages in de Maven Central-repository. Volgens Google maken tienduizenden packages en applicaties gebruik van Log4j voor het genereren van logs. Om de impact van de twee beveiligingslekken (CVE-2021-44228 en CVE-2021-45046) te onderzoeken analyseerde Google de packages in de Maven Central-repository. 35.863 van de beschikbare packages zijn afhankelijk van de kwetsbare Log4j-code. Dit houdt in dat meer dan acht procent van alle packages in Maven Central tenminste één versie heeft die kwetsbaar is. Bij andere kwetsbaarheden ligt het gemiddelde op twee procent. Sinds de aankondiging van de beveiligingslekken hebben 4600 packages updates doorgevoerd. Dat houdt in dat nog meer dan 30.000 packages kwetsbaar zijn. Volgens Google kan het nog jaren duren voordat alle getroffen Java-packages zijn beschermd. Als er wordt gekeken naar andere kritieke kwetsbaarheden waar packages in Maven Central mee te maken hebben blijkt dat minder dan de helft (48 procent) een oplossing heeft doorgevoerd. Aan de andere noemt Google het veelbelovend dat in een week tijd 4600 packages zijn gepatcht, wat neerkomt op dertien procent.


VS noemt Log4-lek onacceptabel risico en kondigt noodmaatregelen af

De recent ontdekte kwetsbaarheid in Log4j waardoor aanvallers op afstand code op servers kunnen uitvoeren vormt een "onacceptabel risico" voor de Amerikaanse federale overheid waardoor noodmaatregelen nodig zijn. Dat stelt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security.  Het CISA kan in noodsituaties een "Emergency Directive" afgeven. Daarmee worden federale overheidsinstanties in de VS verplicht om beveiligingsupdates voor een bepaalde datum te installeren of mitigatiemaatregelen door te voeren. Eerder kwam het CISA vanwege het Log4j-lek al met een "Binding Operational Directive" waarin werd gesteld dat de Log4j-patch voor 24 december moet zijn geïnstalleerd. Vanwege de impact van het beveiligingslek is nu ook een "Emergency Directive" afgegeven. Het CISA stelt dat de kwetsbaarheid een onacceptabel risico vormt en direct noodmaatregelen vereist. Dit is gebaseerd op het waargenomen misbruik van het beveiligingslek, de kans op verder misbruik, de aanwezigheid van de kwetsbare software binnen de Amerikaanse overheid en de grote kans dat aanvallers toegang tot vertrouwelijke systemen krijgen. In de Emergency Directive staat dat overheidsinstanties alle kwetsbare systemen die vanaf internet toegankelijk zijn meteen moeten patchen. Wanneer dit niet mogelijk is moeten mitigatiemaatregelen worden genomen. Anders dient de kwetsbare software van overheidsnetwerken te worden verwijderd. Overheidsinstanties krijgen tot en met 28 december de tijd om aan het CISA te laten weten welke maatregelen ze hebben genomen en voor welke software.


Hackers hebben nieuwe manier om Log4j te misbruiken

Hackers zijn van van methode gewisseld voor het misbruiken van zogeheten Apache Log4j kwetsbaarheden. Net nadat er een beveiliginspatch is ontwikkeld, zijn hackers op een nieuwe methode overgestapt. In plaats van het Lightweight Directory Access Protocol (LDAP) maken ze nu gebruik van Remote Method Invocation (RMI). LDAP is een netwerkprotocol dat beschrijft hoe bepaalde gegevens benaderd moeten worden. RMI is een Application Programming interface om Java-objecten met elkaar te laten communiceren. Momenteel wordt RMI alleen gebruikt door hackers die je computer willen gebruiken om de cryptovaluta Monero te minen. Andere kunnen echter snel volgen. Dat melden onderzoekers van het softwarebedrijf Juniper.

Log 4 J Vulnerability
PDF – 788,5 KB 208 downloads

Grapperhaus informeert Tweede Kamer over Log4j-kwetsbaarheid

Demissionair minister Grapperhaus van Justitie en Veiligheid heeft de Tweede Kamer geïnformeerd over de Log4j-kwertsbaarheid. Volgens de bewindsman laat het beveiligingslek het belang van onze digitale veiligheid zien en dat het volgende kabinet moet inzetten op het versterken van de digitale weerbaarheid van Nederland. De afgelopen dagen is onder coördinatie van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), door het Nationaal Cyber Security Centrum (NCSC) en het ministerie van Economische Zaken, intensief samengewerkt met vakdepartementen, medeoverheden, diverse (vitale en niet-vitale) aanbieders en andere organisaties binnen de cybersecuritygemeenschap, zo laat Grapperhaus weten. Zo heeft het NCSC vitale aanbieders en andere schakelorganisaties binnen het Landelijk Dekkend Stelsel van cybersecurity samenwerkingsverbanden geïnformeerd. Tevens zijn de toezichthouders ingelicht en hebben het NCSC, Digital Trust Center (DTC) en het nationale Cyber Security Incident Response Team voor digitale dienstverleners (CSIRT-DSP) een gezamenlijk Webinar voor it-experts verzorgd over Log4j, waar zo'n 2400 mensen aan deelnamen. "Vanzelfsprekend is er ook aandacht voor de mogelijkheid dat de vitale infrastructuur of dat vitale belangen geraakt worden. Verstoring van een vitaal proces kan de continuïteit van dit proces ernstig raken", merkt Grapperhaus op. Eerder waarschuwde het NCSC dat het zeer waarschijnlijk is dat in de komende weken ransomware-aanvallen en datalekken plaatsvinden. De minister voegt toe dat de komende dagen het beeld wat betreft de impact van het Log4j-lek nader zal worden geduid. "Ook zal door onze ministeries worden gewerkt aan een handelingsperspectief in het kader van de uitoefening van de respectievelijke taken van de ministeries, indien en voor zover de kwestie zich langer zal voordoen", schrijft de minister in een brief aan de Tweede Kamer. Afsluitend stelt Grapperhaus dat de Log4j-kwetsbaarheid aantoont hoe belangrijk onze digitale veiligheid is. "Het kabinet werkt daarom aan de versterking van de digitale weerbaarheid via de Nederlandse Cyber Security Agenda (NCSA). Desondanks neemt het dreigingsniveau toe", aldus de minister. "Dat is zorgwekkend, zeker in combinatie met onze afhankelijkheid van digitale systemen. Het is daarom van groot belang dat ook het volgende kabinet inzet op het versterken van de digitale weerbaarheid van Nederland."

Kwetsbaarheid In Apache Log 4 J
Word – 96,6 KB 182 downloads

Amerikaanse hotelketen McMenamins getroffen door ransomware

De Amerikaanse café- en hotelketen McMenamins is getroffen door ransomware, waardoor het geen toegang tot e-mail en reserveringssystemen heeft. Ook de creditcardscanners zijn door de aanval offline gegaan. McMenamins exploiteert 56 hotels, bioscopen, bars en restaurants in de regio van Portland. Doordat de creditcardscanners offline zijn moet de onderneming noodgedwongen terugvallen op alternatieve betaalsystemen, meldt Oregon Live. Gasten kunnen op het moment alleen telefonisch reserveren. Het is echter niet mogelijk om prijzen te krijgen of bepaalde type kamers vast te leggen. Ook kunnen op de meeste locaties geen cadeaubonnen worden ingewisseld. Bij de aanval zijn mogelijk gegevens van medewerkers buitgemaakt, zoals naam, adresgegevens, e-mailadres, telefoonnummers, geboortedata, socialsecurity-nummers en bankgegevens. McMenamins telt 2700 medewerkers en had in 2017 nog een omzet van 170 miljoen dollar.


Ransomware bij salarisverwerker legt mogelijk betalingen salaris plat

Het Canadese bedrijf UKG heeft last van ransomware bij zijn salarisverwerkingssoftware Kronos Private Cloud. Daardoor kunnen veel bedrijven en organisaties wellicht geen salarissen uitbetalen. De ransomware heeft ook een datacenter in Amsterdam getroffen. De getroffen datacenters van UKG staan in de VS, in de Duitse stad Frankfurt en in Amsterdam. UKG zegt het datalek te hebben gemeld bij de Gegevensbeschermingsautoriteit in België. Het bedrijf vermoedt dat er geen link is met de Log4Shell-kwetsbaarheid, maar weet dat niet zeker.


Duitse overheid: situatie rond Log4j-kwetsbaarheid nog altijd zorgelijk

De situatie rond de Log4j-kwetsbaarheid is nog altijd zorgelijk, aldus de Duitse overheid, die wegens het beveiligingslek code rood blijft aanhouden. Volgens het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, is het nog altijd onduidelijk welke producten allemaal kwetsbaar zijn. Het Nederlandse Nationaal Cyber Security Centrum (NCSC) houdt op GitHub een overzicht bij. Het beveiligingslek in Log4j wordt op dit moment door aanvallers gebruikt voor het installeren van cryptominers, waarmee cryptovaluta is te delven, en worden systemen onderdeel van een botnet gemaakt voor het uitvoeren van ddos-aanvallen. Daarnaast zijn er ook enkele ransomware-aanvallen waargenomen. Het BSI waarschuwt dat grootschalig misbruik van de kwetsbaarheid en aanvullende cyberaanvallen te verwachten zijn. Deze aanvallen kunnen de komende weken en maanden plaatsvinden, waarbij aanvallers gebruikmaken van de toegang die ze nu al via het Log4j-lek hebben verkregen. Organisaties moeten dan ook de aanbevolen maatregelen volgen, zoals het installeren van beveiligingsupdates, aldus de Duitse overheidsinstantie. Die stelt verder dat eindgebruikers minder risico lopen, omdat Log4j niet zoveel wordt gebruikt op thuisapparatuur. Individuele applicaties en IoT-apparaten zouden echter wel kwetsbaar kunnen zijn. In dit geval zijn gebruikers echter afhankelijk van hun leverancier voor updates en zijn de nu verschenen mitigatiemaatregelen alleen toepasbaar door ervaren gebruikers, aldus het BSI.


VS verzoekt vitale infrastructuur om netwerken onmiddellijk te beveiligen

De Amerikaanse autoriteiten hebben de vitale infrastructuur in het land opgeroepen om onmiddellijk maatregelen te treffen om hun netwerken tegen mogelijke cyberaanvallen te beschermen. De waarschuwing wordt gegeven in aanloop naar de feestdagen en vanwege continue cyberdreigingen. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security hebben onder andere statelijke actoren aangetoond dat ze netwerken kunnen compromitteren en deze toegang voor aanvallen tegen de vitale infrastructuur kunnen gebruiken. Het CISA roept organisaties dan ook om meteen vijf stappen te nemen om de eigen beveiliging te versterken. Zo moet de organisatorische waakzaamheid worden versterkt, bijvoorbeeld door voor voldoende securitypersoneel en monitoring te zorgen. Verder moet de organisatie in staat zijn om snel op een incident te reageren. Zo moeten cyber incident response procedures worden gemaakt, bijgewerkt of herzien en is een staat van "verhoogde alertheid" nodig. Tevens moet netwerkpersoneel cybersecurity best practices implementeren, zoals het gebruik van multifactorauthenticatie, het gebruik van sterke wachtwoorden, het installeren van beveiligingsupdates en het beveiligen van accounts en inloggegevens. Organisaties moeten verder op de hoogte blijven van dreigingen en aanvallen en ervoor zorgen dat ze in het geval van een incident eenvoudig informatie met het CISA of de FBI kunnen delen.


Grote cyberaanval op gemeente Den Haag, nog hele dag problemen verwacht

De gemeente Den Haag wordt momenteel (15-12-'21) getroffen door een digitale aanval. Daardoor is onder meer de gemeentelijke website moeilijker bereikbaar en werken ook de systemen van de balies in het stadhuis en de parkeersystemen niet optimaal. Daarnaast moest het begin van de gemeenteraadsvergadering woensdag bijna anderhalf uur worden uitgesteld, omdat die online niet te volgen was. De verwachting is dat de problemen nog de hele dag aanhouden. Volgens de Haagse wethouder Saskia Bruines (D66, ict) is er sprake van een grote DDoS-aanval. Daarbij worden enorme hoeveelheden data naar de gemeente gestuurd. De aanval begon dinsdagmorgen en hield 's avonds op. Maar hij werd woensdagmorgen hervat. Tijdens de gemeenteraadsvergadering verklaarde Bruines dat 'met man en macht' wordt gewerkt om de aanval af te slaan. Daarbij zijn de eigen specialisten ingezet, maar ook bedrijven van buiten. De wethouder benadrukte dat de hackers er tot nu toe niet in geslaagd om binnen te komen bij de gemeente en dat er geen gegevens zijn buitgemaakt. 'We weten tot nu toe ook nog niet wie het zijn en wat de beweegredenen zijn.'


Amerikaanse zorgverlener via lek in firewall besmet met ransomware

Een Amerikaanse zorgverlener is door middel van een kwetsbaarheid in een firewall besmet geraakt met ransomware. De Oregon Anesthesiology Group (OAG) werd op 11 juli het slachtoffer van een aanval door de ransomwaregroep HelloKitty, zo laat de zorgverlener weten in een datalekmelding van vorige week. OAG levert anesthesisten aan ziekenhuizen in de Amerikaanse staat Oregon. In oktober werd de zorgverlener door de FBI ingelicht dat er een account van de HelloKitty-groep in beslag was genomen dat bestanden van patiënten en medewerkers bevatte. De Amerikaanse opsporingsdienst denkt dat de aanvallers via een kwetsbaarheid in de firewall van OAG toegang tot het netwerk wisten te krijgen. Om welke "third-party firewall" het precies gaat is niet bekendgemaakt. Nadat de aanvallers toegang tot het netwerk hadden gekregen wisten ze de inloggegevens van de systeembeheerder te bemachtigen en hadden zo toegang tot versleutelde data van OAG, aldus een verklaring van de zorgverlener. Het gaat om de privégegevens van zo'n 750.000 patiënten en 522 voormalige en huidige medewerkers. De patiëntgegevens bestaan uit namen, adresgegevens, behandeldata, diagnoses, medische dossiernummers, en verzekeringsgegevens. Van de medewerkers werden namen, adresgegevens socialsecurity-nummers en belastinggegevens buitgemaakt. Na de aanval heeft OAG de firewall vervangen en het gebruik van multifactorauthenticatie uitgebreid. Vorige maand kwam de FBI nog met een waarschuwing voor de HelloKitty-groep.


Cloudflare: misbruik Log4j-lek negen minuten na openbaarmaking

De kwetsbaarheid in Apache Log4j is negen minuten na de openbaarmaking van het beveiligingslek op 9 december voor het eerst misbruikt, zo stelt internetbedrijf Cloudflare. Inmiddels zijn de eerste ransomware-aanvallen via het lek waargenomen en maken ook statelijke actoren er misbruik van, aldus Microsoft. Afgelopen maandag meldde Cloudflare nog dat het eerste misbruik van de Log4j-kwetsbaarheid op 1 december was waargenomen. Eerder stelde Cisco dat het activiteit van aanvallers met betrekking tot het beveiligingslek op 2 december had gezien. Cloudflare heeft nu iets meer details gegeven en stelt dat het op 1 december alleen "beperkte tests" van de kwetsbaarheid heeft waargenomen. Het eerste daadwerkelijke waargenomen misbruik vond negen minuten na de openbaarmaking van de kwetsbaarheid plaats, toen een onderzoeker de details via Twitter en GitHub deelde. Volgens Cloudflare laat dit zien hoe snel aanvallers zich op nieuw gevonden kwetsbaarheden storten. Volgens antivirusbedrijf Bitdefender zijn de meeste Log4j-aanvallen gericht tegen Linux-servers, maar zijn er ook aanvallen tegen Windows-servers waargenomen. Bij deze aanvallen probeerden aanvallers de Khonsari-ransomware te installeren. Deze ransomware versleutelt allerlei bestanden op de server. Volgens securitybedrijf Cado Security is de ransomware zeer beperkt verspreid en is het onwaarschijnlijk dat veel organisaties erdoor zijn getroffen. Microsoft meldt via de eigen website dat inmiddels ook statelijke actoren uit China, Iran, Noord-Korea en Turkije van de Log4j-kwetsbaarheid gebruikmaken. Een Chinese groep genaamd Hafnium zou via het beveiligingslek niet nader genoemde virtualisatie-infrastructuur aanvallen. Verder stelt Microsoft dat ook meerdere criminele groepen het lek gebruiken om toegang tot systemen te krijgen en deze toegang mogelijk doorverkopen aan ransomwaregroepen.


Nieuwe kwetsbaarheid in Apache Log4j maakt dos-aanval mogelijk

In Apache Log4j is een nieuwe kwetsbaarheid gevonden waardoor het mogelijk is om denial of service (dos)-aanvallen uit te voeren tegen servers waarop Log4j draait. Afgelopen maandag verscheen er al een beveiligingsupdate voor de kwetsbaarheid (CVE-2021-45046), waarvan de impact veel kleiner is dan het beveiligingslek (CVE-2021-44228) dat vorige week uitgebreid in het nieuws kwam en aanvallers de controle over kwetsbare servers kan geven. Volgens de Apache Software Foundation was de update voor de kwetsbaarheid CVE-2021-44228 in bepaalde niet-standaard configuraties onvolledig. Daardoor zouden aanvallers met controle over bepaalde invoerdata een denial of service kunnen veroorzaken. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 3,7 beoordeeld en is aanwezig in alle Log4j-versies van 2.0-beta9 tot en met 2.12.1 en 2.13.0 tot en met 2.15.0. Beheerders wordt aangeraden om te updaten naar Log4j versie 2.12.2 of 2.16.0 die afgelopen maandag verscheen. In Log4j 2.16.0 staat toegang tot de Java Naming and Directory Interface (JNDI) API standaard aangeschakeld en moeten JNDI-lookups expliciet worden ingeschakeld. Verder is de message lookups feature volledig verwijderd en is de toegang tot protocollen standaard beperkt.


Servers down van Call of Duty, Overwatch en Battle.net door DDoS aanval 

De Warzone- en Vanguard-servers zijn momenteel (vanaf 14 december) downwaarbij spelers moeite hebben om verbinding te maken met Battle.net servers. Blizzard heeft het probleem erkend als een DDOS-aanval op Battle.net servers, wat betekent dat het alle titels, inclusief Overwatch, beïnvloedt, niet alleen Warzone. Wat was DDoS ook alweer?


VVD stelt Kamervragen over datadiefstal bij leverancier politie en Defensie

De VVD heeft Kamervragen aan demissionair minister Grapperhaus van Justitie en Veiligheid gesteld over de datadiefstal bij het Nederlandse Abiom, dat technologie aan politie, Defensie, Schiphol, de GGD en de brandweer levert. Zo wil VVD-Kamerlid Rajkowski weten of de minister het ermee eens is dat de minimale veiligheidseisen voor it-leveranciers worden herzien en dat Abiom details over de inbraak deelt met de overheid. Abiom ontwikkelt en levert onder andere oplossingen en accessoires voor het C2000-netwerk waar hulpdiensten als politie, ambulance en brandweer gebruik van maken. Ook levert het bedrijf uit Wijchen technologie voor verschillende defensieonderdelen, alsmede gemeenten en provincies. Zo zijn handhavers in de gemeente Utrecht sinds augustus uitgerust met de bodycams van Abiom. Begin november bleek dat Abiom was getroffen door de ransomwaregroep Lockbit 2.0. Die eiste losgeld, anders zou het de tienduizenden bij Abiom gestolen bestanden publiceren. Een deel van de bestanden werd vervolgens openbaar gemaakt. Rajkowski wil nu opheldering van Grapperhaus. "Is bekend waarom een ransomware-aanval bij Abiom is gedaan, wat de werkwijze van de criminelen is en wie hier eventueel achter zit? Zo nee, wordt daar nog onderzoek naar gedaan?", vraagt ze aan de minister. Die moet ook duidelijk maken hoeveel losgeld de aanvallers eisten voor het niet publiceren van de documenten. Het VVD-Kamerlid wil ook weten of de minister het ermee eens is om de minimale veiligheidseisen voor it-leveranciers te herzien en wellicht te verhogen om de kans op aanvallen met grootschalige impact zo klein mogelijk te maken. "Zo ja, welke veiligheidseisen heeft u voor ogen en vanaf wanneer", vraagt ze verder aan Grapperhaus. Die moet ook laten weten aan welke eisen it-leveranciers aan de overheid moeten voldoen na een veiligheidsincident zoals een inbraak op de systemen. Afsluitend krijgt Grapperhaus de vraag of hij het ermee eens is om Abiom te vragen informatie over de aanval te delen met bijvoorbeeld het Nationaal Cyber Security Centrum of het Digital Trust Centre. "Zo ja, is dit gevraagd en wat gaat er met deze informatie gebeuren? Zo nee, waarom niet?", aldus Rajkowski. De minister heeft drie weken om de vragen te beantwoorden.

Leverancier Van Defensie En Politie Gehackt Losgeld Geeist Voor Vertrouwelijke Informatie
Word – 13,2 KB 170 downloads

Gemeente Hof van Twente haalt systemen offline wegens Log4j-kwetsbaarheid

De Gemeente Hof van Twente, die eind vorig jaar door een zwak wachtwoord slachtoffer van een ransomware-aanval werd, heeft besloten om systemen wegens de Log4j-kwetsbaarheid uit voorzorg offline te halen. Zo is de website van de gemeente op het moment van schrijven onbereikbaar en wijst die door naar de Facebookpagina van de gemeente. "Gemeente Hof van Twente vindt het heel belangrijk dat de gegevens van onze inwoners veilig zijn. Daarom hebben we sinds zondagavond 12 december 2021 uit voorzorg een aantal van onze systemen tijdelijk offline gezet", aldus een verklaring van de gemeente op Facebook. "Hof van Twente kent de impact van een cyberaanval. We willen alles doen om te voorkomen dat zoiets nogmaals gebeurt." De gemeente stelt dat het om een forse maatregel gaat, maar dat die noodzakelijk is om de gegevens van inwoners te kunnen beschermen en verdere problemen te voorkomen. Verschillende gemeentelijke systemen zijn daardoor onbeschikbaar, waaronder de systemen die nodig zijn voor het uitgeven van paspoorten en rijbewijzen. Hof van Twente hoopt de systemen de komende dagen, uiterlijk eind van deze week, weer online te brengen.

Ook gemeente Almere

Omroep Flevoland meldt dat de gemeente Almere naar aanleiding van het Log4j-lek diverse applicaties en websites heeft uitgeschakeld. Het gaat onder meer om Citrix, het systeem waarmee medewerkers van de gemeente kunnen inloggen. Het is nog onbekend of de maatregel gevolgen heeft voor de inwoners van Almere.


Nieuwe White Rabbit ransomware


Hr-dienstverlener UKG verwacht weken downtime door ransomware-aanval

Bedrijven en organisaties wereldwijd kunnen door een ransomware-aanval op de Amerikaanse multinational UKG geen gebruikmaken van hun hr- en hcm-oplossingen en de downtime kan mogelijk nog weken duren. De Ultimate Kronos Group (UKG) biedt cloudoplossingen voor human capital management (hcm), human resources (hr) en personeelsmanagement. Op 11 december werd de Kronos Private Cloud van UKG getroffen door een ransomware-aanval. Daardoor hebben klanten die van de cloudoplossing gebruikmaken geen toegang tot hun online hr- en hcm-oplossingen. "Gegeven dat het weken kan duren om de systeembeschikbaarheid te herstellen, adviseren we je om naar alternatieven voor de getroffen UKG-oplossingen te kijken", aldus het bedrijf in een bericht aan klanten. Het gaat om UKG Workforce Central, UKG TeleStaff, Healthcare Extensions en Banking Scheduling. Voor zover bekend zijn andere UKG-oplossingen niet getroffen. Het onderzoek naar de aard en omvang van de aanval is nog gaande. Tevens heeft UKG de relevante autoriteiten ingeschakeld. Verdere details zijn niet gegeven.


Roemeense politie houdt verdachte aan wegens ransomware-aanvallen

De Roemeense politie heeft in samenwerking met de FBI en Europol een 41-jarige man aangehouden op verdenking van ransomware-aanvallen tegen allerlei "high-profile" organisaties. Volgens Europol zou de man onder andere het netwerk van een groot Roemeens it-bedrijf hebben gecompromitteerd, dat diensten aan retail- en energiesectoren in allerlei landen levert. Via de toegang wist de verdachte de systemen van klanten van het it-bedrijf met ransomware te infecteren. Voordat bestanden werden versleuteld, werden die eerst gestolen. Het ging om financiële informatie van bedrijven, alsmede persoonlijke informatie over medewerkers, klantgegevens en andere belangrijke documenten, aldus Europol. Vervolgens eiste de verdachte losgeld, anders dreigde hij de gestolen data openbaar te maken. Europol ondersteunde de Roemeense autoriteiten met cryptovaluta-onderzoek, malware-analyse en forensische support. Tevens werden twee experts naar Roemenië gestuurd voor verder forensisch onderzoek en het in beslag nemen van cryptovaluta. De verdachte wordt door Europol omschreven als een "ransomware affiliate". Het gaat hierbij niet om de ransomware-ontwikkelaars. Veel ransomware-ontwikkelaars hanteren een ransomware-as-a-service (RaaS)-model. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden


Ransomware-aanval Ierse gezondheidszorg begon met malafide e-mailbijlage

De grootschalige ransomware-aanval waar de Ierse gezondheidszorg in mei van dit jaar mee te maken kreeg, en ervoor zorgde dat duizenden servers en werkstations werden versleuteld en de autoriteiten uit voorzorg alle systemen uitschakelden, begon met een medewerker die een malafide e-mailbijlage opende. Dat blijkt uit onderzoek van PwC (pdf). De medewerker van de Health Service Executive (HSE) opende op 18 maart van dit jaar een Excel-bestand dat via e-mail naar hem was gestuurd. Details of het document een kwetsbaarheid of malafide macro's bevatte zijn niet gegeven. Vijf dagen na de initiële infectie zorgde de aanvaller ervoor dat hij ook bij een reboot of het uitschakelen van het besmette systeem toegang tot de HSE-omgeving zou behouden. Op 31 detecteerde de antivirussoftware van de gezondheidszorg op het besmette werkstation het gebruik van Cobalt Strike en Mimikatz. Twee tools die vaak bij ransomware-aanvallen worden ingezet. De antivirussoftware stond alleen in de monitormode, waardoor de uitgevoerde commando's niet werden geblokkeerd. Tussen 1 april en 6 mei was er vervolgens weinig activiteit van de aanvaller, aldus de onderzoekers naar het incident. Op 7 mei infecteerde de aanvaller verdere systemen binnen de HSE en drie dagen later werden systemen van twee ziekenhuizen aangevallen. De gebruikte antivirussoftware detecteerde de aanwezigheid van Cobalt Strike, maar kon de malafide bestanden niet in quarantaine plaatsen. De daaropvolgende dagen werden systemen van meer ziekenhuizen geïnfecteerd. Op 14 mei werd de ransomware in zes Ierse ziekenhuizen en de HSE zelf uitgerold. Volgens de onderzoekers wist de aanvaller 180 systemen en beheerdersaccounts van acht organisaties en negentien domeinen te compromitteren en werden 2800 servers en 3500 werkstations versleuteld. Het werkelijke aantal ligt waarschijnlijk hoger, omdat sommige systemen al waren hersteld voordat het onderzoek plaatsvond. Volgens de onderzoekers was er een gebrek aan structuren en processen om met het incident om te gaan. Zo was er geen hoofdverantwoordelijke binnen de HSE voor cybersecurity, was er bekend dat bepaalde accounts teveel rechten hadden, was er te weinig cybersecuritypersoneel, was er geen effectieve securitymonitoring, werd er teveel op de antivirussoftware vertrouwd en was er geen gedocumenteerd incident response plan. De HSE zegt dat het naar aanleiding van het rapport maatregelen neemt om de veiligheid te verbeteren. In juni liet de directeur van de HSE weten dat de aanval de Ierse gezondheidszorg al 100 miljoen euro had gekost.

Conti Cyber Attack On The Hse Full Report
PDF – 2,0 MB 193 downloads

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten

Iedere maandag om 15:00 het complete overzicht van de afgelopen week. Wil je deze in de mail ontvangen zodat je geen enkel overzicht mist? Laat het ons dan weten via het volgende e-mailadres aanmelden.cybercrimeinfo.nl@gmail.com onder de vermelding van 'Aanmelding overzicht cyberaanvallen'