Overzicht cyberaanvallen week 52-2021

Gepubliceerd op 3 januari 2022 om 15:00

Zorgklinieken VS zonder patiëntgegevens na ransomware-aanval op hoster, ransomwaregroep verstrekt gratis decryptiesleutel na aanval op politiekorps VS en E-mailaccount gemeente Nieuwegein gekaapt via phishingmail. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 4.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.

Status op 3 januari 2022 : 4.243


Week overzicht

Slachtoffer Cybercriminelen Website Land
independentprinting.com LockBit independentprinting.com USA
grupomakler.com LockBit grupomakler.com Venezuela
rightsys.com LockBit rightsys.com USA
lee-associates.com LockBit lee-associates.com USA
empireins.com LockBit empireins.com USA
aulss6.veneto.it LockBit aulss6.veneto.it Italy
東京コンピュータサービス Night Sky www.tcs-ipnet.co.jp Japan
AKIJ GROUP Night Sky www.akij.net Bangladesh
CED Group BlackCat (ALPHV) www.ced.group Netherlands
Iwis Group Conti www.iwis.com Germany
NanoFocus BlackCat (ALPHV) nanofocus.com Germany
www.paw.eu Payload.bin www.paw.eu Germany
Serenity Homes SWFL Payload.bin www.serenityhouse.com USA
wagstaff.com LV wagstaff.com USA
Chattanooga Chamber of Commerce Quantum www.chattanoogachamber.com USA
MIM TECH ALFA SL (EXTEN EBER SL.) Entropy www.mimtech-alfa.com Spain
AL-SOOR FUEL MARKETING COMPANY K.S.C.P Entropy www.soor.com.kw Kuwait
American Dream Conti www.americandream.com USA
Douglas Shaw & Associates BlackCat (ALPHV) douglasshaw.com USA
Unified Technologies BlackCat (ALPHV) unified-team.com USA
Mount Franklin Foods, LLC Conti www.mountfranklinfoods.com USA
Metro.Us Hive www.metro.us USA
CANAR OFFICE SYSTEMS COMPANY Grief canar.com.sa Saudi Arabia
THONI ALUTEC Grief www.thoni-alutec.pl Poland
Evalueserve ROOK www.evalueserve.com Switzerland
DENSO ROOK www.denso.com Japan
Texsource, Inc. Entropy www.screenprintingsupply.com USA
Bernd Siegmund GmbH Conti www.siegmund.com Germany
SNOP GROUP BlackCat (ALPHV) www.snop.eu France

Iraanse hackers leggen website Israëlische krant plat

Iraanse hackers hebben maandagochtend lokale tijd de website van The Jerusalem Post enkele uren platgelegd. In plaats van nieuwsberichten kregen bezoekers een foto te zien, met een verwijzing naar de aanslag op de Iraanse generaal Qassem Soleimani. Ook de Twitter account van de Israëlische krant Maariv werd gehackt door de aanvallers. Dat schrijft The Jerusalem Post.


Tientallen Noorse kranten na ransomware-aanval weer beschikbaar

Bijna zeventig verschillende Noorse kranten konden na een grote ransomware-aanval op het Noorse mediabedrijf Amedia vandaag weer worden gedrukt en bij abonnees bezorgd. In de nacht van 28 december werd Amedia. één van de grootste mediabedrijven in Noorwegen, slachtoffer van een ransomware-aanval en moest het verschillende centrale systemen sluiten, waaronder het systeem dat voor de krantenproductie verantwoordelijk is. Hierdoor kon het mediabedrijf woensdag geen papieren kranten drukken. Door een alternatieve productieoplossing was het gisteren mogelijk om dertien kranten uit te geven. Vandaag waren dat er bijna zeventig, aldus een nieuwe verklaring. Amedia beheert meer dan negentig lokale en regionale kranten in Noorwegen, alsmede online kranten en bereikt naar eigen zeggen meer dan 2,5 miljoen Noren. Het mediabedrijf laat weten dat het nog lang kan duren voordat systemen zijn hersteld en de situatie weer terug naar normaal is. Tijdens deze periode zal het op de alternatieve oplossing moeten terugvallen. Daarnaast is Amedia bezig om te kijken welke gegevens van klanten en medewerkers bij de aanval zijn buitgemaakt. Er is inmiddels aangifte bij de Noorse politie gedaan en melding bij de Noorse privacytoezichthouder. De aanvaller heeft een losgeldmelding op de systemen achtergelaten, met instructies om weer toegang tot de vergrendelde systemen te krijgen. Amedia stelde gisteren dat het niet van plan is om het gevraagde losgeld te betalen.


Noorse kranten wegens ransomware nog altijd niet verkrijgbaar

Het Noorse mediabedrijf Amedia heeft door een ransomware-aanval nog altijd problemen met het drukken van kranten, waardoor die in papieren vorm niet verkrijgbaar zijn. Amedia beheert meer dan negentig lokale en regionale kranten in Noorwegen, alsmede online kranten en bereikt naar eigen zeggen meer dan 2,5 miljoen Noren. Door de aanval werken de systemen voor het drukken van papieren kranten en beheer van advertenties en abonnementen niet naar behoren. Gisteren konden er helemaal geen papieren kranten worden gedrukt. Door gebruik te maken van een alternatief productieproces kon Amedia vandaag zo'n twintig kranten drukken. Er wordt geprobeerd om deze oplossing morgen ook voor de overige kranten in te zetten. In een nieuwe verklaring over het incident zegt Amedia dat het nog lang kan duren voordat de situatie weer is hersteld, en dat zowel de papieren krantenproductie en andere functionaliteiten via alternatieve oplossingen moeten plaatsvinden. Het mediabedrijf stelt dat de aanvaller een losgeldmelding op de systemen heeft achtergelaten, met instructies om weer toegang tot de vergrendelde systemen te krijgen. Amedia stelt dat het niet van plan is om het gevraagde losgeld te betalen. Het mediabedrijf meldt verder dat er back-ups beschikbaar zijn en er nu wordt gekeken hoe die gebruikt kunnen worden. "Dit zal de nodige tijd kosten, aangezien we zeker moeten zijn dat deze oplossingen ook niet zijn gecompromitteerd of wanneer we ze gebruiken er geen script wordt gestart waarmee de aanval opnieuw begint", aldus de verklaring. Op de aangevallen systemen stonden persoonsgegevens van abonnees en medewerkers, zoals naam, adresgegevens, telefoonnummer, e-mailadres en abonnementsgegevens. Volgens Amedia moeten abonnees en personeel ervan uitgaan dat deze data is gedownload.


E-mailaccount gemeente Nieuwegein gekaapt via phishingmail

Aanvallers zijn erin geslaagd om een e-mailaccount van de gemeente Nieuwegein te kapen en vervolgens te gebruik voor het versturen van spam. Dat laat burgemeester Frans Backhuijs in een brief aan de gemeenteraad weten. Onlangs ontving een gemeentemedewerker een phishingmail en opende de link in het bericht en vulde zijn gegevens in op de phishingsite. Zodoende kon het account worden overgenomen. Vervolgens werd het gekaapte account gebruikt voor het versturen van spam. "Hoewel de gevolgen door snel handelen van onze ict-afdeling beperkt zijn gebleven tot die betreffende mailbox en onze systemen niet verder zijn gecorrumpeerd, heeft een dergelijk incident wel altijd vervelende gevolgen voor het ontvangen van onze mails", stelt Backhuijs. De burgemeester waarschuwt dat door het incident er een kans is dat email van de gemeente eerder als spam wordt beschouwd. "Dit komt omdat spamfilters gedigitaliseerd reageren op dit type incidenten en de gemeente Nieuwegein als afzender na dit incident opnieuw moet stijgen in de betrouwbaarheidsrating", gaat Backhuijs verder. "Dit kan afhankelijk van het type filter tot een maand na dato duren." Er wordt dan ook aangeraden om vaker dan gebruikelijk de spambox te controleren op e-mails afkomstig van het nieuwegein.nl-domein.< /p>

Nieuwegein ziet toename van Log4j-aanvallen en haalt servers offline

De gemeente Nieuwegein ziet sinds de bekendmaking van de Log4j-kwetsbaarheid een toename van aanvallen op de ict-omgeving van de gemeente en heeft een aantal kwetsbare servers offline gehaald. Dat laat burgemeester Frans Backhuijs in een brief aan de gemeenteraad weten. "Wij zijn in staat gebleken om de toename in aanvallen aan de voordeur af te weren. Samen met een externe partij onderzoeken wij op dit moment wat het effect van het defect in Log4J is op de gemeente Nieuwegein", aldus Backhuijs. Naar aanleiding van de kwetsbaarheid is de gemeente een onderzoek gestart naar de aanwezigheid van Log4j binnen de systemen van de gemeente en het nemen van maatregelen. Een aantal kwetsbare servers is offline gehaald en "andere kwetsbaarheden" zijn opgelost, schrijft de burgemeester. Ook wordt op dit moment onderzocht of in de kwetsbare periode aanvallers toegang tot de ict-omgeving van de gemeente hebben gekregen. "De verwachting is dat dit niet is gebeurd, maar we moeten dit zeker te weten. Berichten van de IBD geven de waarschuwing af dat de impact van deze kwetsbaarheid nog lang tot in 2022 zal voortduren", voegt Backhuijs toe.

 

2021 533 Br College Aan Raad Dd 22 12 21 Over Recente Informatieveiligheidsincidenten
PDF – 97,0 KB 147 downloads

Zorgklinieken VS zonder patiëntgegevens na ransomware-aanval op hoster

Verschillende Amerikaanse zorgklinieken kunnen door een ransomware-aanval op hostingbedrijf VPN Solutions niet beschikken over patiëntgegevens en andere informatie. Op 31 oktober waarschuwde het hostingbedrijf zijn klanten dat het slachtoffer was geworden van een ransomware-aanval. Sindsdien is het hostingplatform offline, waar verschillende zorgklinieken hun patiëntgegevens en klinische, demografische en financiële informatie hebben opgeslagen. Ondanks herhaaldelijke verzoeken van de zorgklinieken is het hostingplatform nog altijd offline en heeft VPN Solutions geen datum gegeven wanneer de dienst weer is hersteld en volledig operationeel is. Het hostingbedrijf denkt dat patiëntgegevens niet door de aanvallers zijn bekeken of gestolen. Doordat patiëntgegevens onbeschikbaar zijn kunnen de zorgklinieken hun cliënten niet over het incident informeren. Wel hebben de klinieken op hun eigen website een melding geplaatst.


Ransomwaregroep verstrekt gratis decryptiesleutel na aanval op politiekorps VS

Criminelen achter de AvosLocker-ransomware hebben een gratis decryptiesleutel verstrekt nadat ze ontdekten dat het doelwit een Amerikaanse politiekorps was. De aanval vond vorige maand plaats waarbij er allerlei gegevens op het netwerk van het politiekorps werden versleuteld. De AvosLocker hanteert een ransomware-as-a-service (RaaS)-model. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Vorige maand infecteerde de "affiliate" van AvosLocker een politienetwerk. Nadat dit was ontdekt besloten de AvosLocker-ontwikkelaars een gratis decryptiesleutel ter beschikking te stellen, zo blijkt uit informatie die een beveiligingsonderzoeker met het alias Pancak3 via Twitter deelde. De criminelen achter de AvosLocker laten weten dat het soms voorkomt dat een affiliate een netwerk vergrendelt voordat ze dit hebben gecontroleerd. Wat betreft de reden voor het vrijgeven van de decryptiesleutel stellen de AvosLocker-ontwikkelaars dat het lastiger is belastinggeld te krijgen.


Noors mediabedrijf kan door cyberaanval geen papieren kranten drukken

Amedia, één van de grootste mediabedrijven in Noorwegen, kan door een cyberaanval vandaag geen papieren kranten drukken. Door de aanval werken de systemen voor het publiceren van papieren kranten en beheer van advertenties en abonnementen niet naar behoren, aldus Amedia in een verklaring op de eigen website. Het Noorse mediabedrijf beheert meer dan negentig lokale en regionale kranten in Noorwegen, alsmede online kranten en bereikt naar eigen zeggen meer dan 2,5 miljoen Noren. De situatie is volgens Amedia op dit moment onduidelijk, alsmede de volledige omvang van de schade. Ook is nog niet bekend of er gegevens van abonnees of medewerkers bij de aanval zijn buitgemaakt. Eén van de aangevallen systemen bevat onder andere namen, adresgegevens en telefoonnummers van abonnees. Door de aanval kunnen adverteerders geen advertenties bestellen en is het voor abonnees niet mogelijk om abonnementen af te sluiten of op te zeggen. Daarnaast zal er zoals gezegd vandaag geen papieren krant verschijnen. De online krant is wel beschikbaar. Mochten er toch gegevens van abonnees of medewerkers zijn buitgemaakt zal het mediabedrijf dit naar eigen zeggen laten weten.


LastPass-gebruikers doelwit van credential stuffing-aanvallen

Gebruikers van online wachtwoordmanager LastPass zijn het doelwit geworden van credential stuffing-aanvallen, zo laat het bedrijf weten. Op Hacker News maakten verschillende gebruikers melding dat ze van LastPass een e-mail hadden ontvangen dat er was geprobeerd om op hun account in te loggen. LastPass, dat gebruikers hun wachtwoorden in de cloud laat opslaan, verstuurt e-mails wanneer er een inlogpoging vanaf een andere locatie of apparaat is ondernomen. In een reactie op de meldingen van gebruikers stelt LastPass dat het om credential stuffing gaat. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. Er werd op Twitter ook gesuggereerd dat inloggegevens mogelijk via malware of phishing waren bemachtigd, maar dat is volgens LastPass ook niet het geval. Daarnaast zijn er voor zover bekend geen accounts bij de credential stuffing-aanval gecompromitteerd. Wat betreft de beveiligingswaarschuwingen die gebruikers ontvingen zijn die waarschijnlijk ten onrechte verstuurd. LastPass zegt dat het de waarschuwingssystemen heeft aangepast en het probleem nu is verholpen. Daarnaast waarschuwt LastPass gebruikers om geen wachtwoorden te hergebruiken en voor het master password, waarmee er toegang tot opgeslagen wachtwoorden wordt verkregen, een passphrase te kiezen.


Ransomware zorgt voor verstoringen bij fotoboekenbedrijf Shutterfly

Een ransomware-aanval heeft voor verstoringen bij fotoboekenbedrijf Shutterfly gezorgd. De aanval raakte verschillende diensten van de albumprinter, alsmede productie- en bedrijfssystemen. Shutterfly biedt allerlei foto- en printgerelateerde diensten, waaronder fotoboeken, uitnodigingen en posters. Ook biedt het bedrijf een eigen online opslagdienst voor foto's genaamd Lifetouch, een verhuurservice voor fotoapparatuur genaamd BorrowLenses en een abonnementsdienst voor fotoboeken genaamd Groovebook. Deze drie diensten werden door de ransomware-aanval geraakt, aldus Shutterfly in een verklaring tegenover The Daily Beast. Het onderzoek naar de aanval is nog gaande. De aanval zou het werk zijn van de Conti-ransomwaregroep. De groep dreigt via de eigen website om bij Shutterfly gestolen data over vijf dagen openbaar te maken tenzij het bedrijf losgeld betaalt. Shutterfly telt meer dan tienduizend medewerkers en had in 2018 een omzet van bijna twee miljard dollar.


Toename van ransomware-aanvallen op QNAP NAS-systemen

De afgelopen dagen is er een toename van ransomware-aanvallen op NAS-systemen van fabrikant QNAP. Dat laat ID Ransomware weten. ID Ransomware is een dienst waar mensen door ransomware versleutelde bestanden of losgeldmeldingen kunnen uploaden om te te zien door welke ransomware ze zijn getroffen en of er een gratis decryptietool beschikbaar is. In een maand tijd ontving ID Ransomware 411 inzendingen van NAS-eigenaren die slachtoffer waren geworden van de eCh0raix-ransomware. Daarbij nam het aantal inzendingen vanaf 19 december toe, met op 21 december een piek van negentig slachtoffers die bij ID Ransomware aanklopten. In 2019 waarschuwde QNAP voor het eerst voor de eCh0raix-ransomware, die allerlei bestanden op het NAS-systeem versleutelt. In augustus van dit jaar werd er een nieuwe variant van eCh0raix ontdekt die naast QNAP-apparaten ook NAS-systemen van Synology kan infecteren. Wat de oorzaak van de laatste infectiepiek is, is onbekend. Sommige slachtoffers stellen dat de aanvallers toegang kregen via een kwetsbare versie van Photo Station. Daarnaast is bekend dat eCh0raix ook gebruikmaakt van beveiligingslekken in Hybrid Backup Sync (HBS 3). Eerder bracht QNAP updates voor deze kwetsbaarheden uit. Slachtoffers van de ransomware die hun bestanden terug willen moeten losgeld betalen, wat varieert van 1200 tot 3000 dollar. In mei van dit jaar werd duidelijk dat honderden eigenaren van een QNAP-apparaat die door ransomware waren getroffen het gevraagde losgeld betaalden, wat de criminelen achter de aanvallen destijds zo'n 350.000 dollar opleverde.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten