Overzicht cyberaanvallen week 04-2022

Gepubliceerd op 31 januari 2022 om 15:00

Ransomware cybercriminelen verhogen de inspanningen om insiders in te schakelen voor aanvallen, bijna vijfduizend mensen dupe van hack Nederlandse Rode Kruis en de geschiedenis van REvil. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 4.300 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.

Status op 30 januari 2022 : 4.379


Week overzicht

Slachtoffer Cybercriminelen Website Land
lhotellerie-restauration.fr LV lhotellerie-restauration.fr France
themisautomation.com BlackCat (ALPHV) themisautomation.com India
CIG de la Grande Couronne Haron www.cigversailles.fr France
KCA Deutag RansomEXX www.kcadeutag.com UK
Rafael Advanced Defense Systems Moses Staff www.rafael.co.il Israel
elmonterv.com LockBit elmonterv.com USA
Mab Group Snatch mabgroup.com United Arab Emirates
Optionis Vice Society optionis.co.uk UK
Florida lawyer’s Everest Unknown USA
girlguidinglaser.org.uk LockBit girlguidinglaser.org.uk UK
justice.fr LockBit justice.fr France
heubeck.de LockBit heubeck.de Germany
saintcloud.fr LockBit saintcloud.fr France
joda.de LockBit joda.de Germany
ambau-team.de LockBit ambau-team.de Germany
laponte.it LockBit laponte.it Italy
vbhlaw.com LockBit vbhlaw.com USA
isnardi.it LockBit isnardi.it Italy
estpm.fr LockBit estpm.fr France
optimissa.com LockBit optimissa.com Spain
Northern Contours AvosLocker www.northerncontours.com USA
Thomson Broadbent Snatch thomsonbroadbent.co.uk UK
plainviewmn.com LockBit plainviewmn.com USA
Airspan Networks Ragnar_Locker www.airspan.com USA
Mtlcraft Cuba www.mtlcraft.com USA
Creative Liquid Coatings INC Hive www.creativeliquidcoatings.com USA
mfkmakina.com LockBit mfkmakina.com Turkey
kentkonut.com.tr LockBit kentkonut.com.tr Turkey

Ransomware groep BlackCat vraagt steeds meer losgeld

Ransomware-groep ‘BlackCat’ heeft in korte tijd wereldwijd veel slachtoffers gemaakt en behoort daardoor tot de top tien meest gevaarlijke ransomware-groepen ter wereld. Er zijn maar 6 ransomware-groepen die meer slachtoffers maakten. Zo blijkt uit onderzoek van het threat intelligence onderzoeksteam van Palo Alto Networks: Unit 42. BlackCat werd voor het eerst opgemerkt in november 2021 en sindsdien vraagt de groep om steeds hogere losgeldbedragen die uitschieten tot 14 miljoen dollar.

Threat Assessment Black Cat Ransomware
PDF – 2,2 MB 206 downloads

Thanos builder gebruikt om nieuwe ransomware te maken


Britse overheid waarschuwt bedrijven voor cyberaanvallen door situatie Oekraïne

Het Verenigd Koninkrijk waarschuwt bedrijven dat ze vanwege de situatie in Oekraïne rekening moeten houden met cyberaanvallen. Het Britse National Cyber Security Centre (NCSC) roept ondernemingen op de beveiliging van hun computersystemen aan te scherpen. De afgelopen tijd zijn de spanningen tussen Rusland en het Westen over Oekraïne flink opgelopen. Rusland eist garanties dat het Oost-Europese land nooit kan toetreden tot de NAVO, maar heeft die niet gekregen. Moskou heeft een grote legermacht naar de grens met Oekraïne gestuurd en in westerse hoofdsteden wordt gevreesd voor een invasie. De Britse NCSC zegt berichten over recente cyberincidenten in Oekraïne te onderzoeken. Die zouden vergelijkbaar zijn met de manier waarop Rusland in het verleden werkte, zoals bij de aanvallen met gijzelsoftware NotPetya in 2017. De Britten denken dat Russische hackers daar verantwoordelijk voor waren. NotPetya trof destijds ook bedrijven in Nederland. Het kon zich verspreiden via automatische updates van een Oekraïens programma en legde onder meer computersystemen in de haven van Rotterdam plat. Het NCSC zegt geen aanwijzingen te hebben dat hackers het specifiek op Britse bedrijven hebben gemunt. Toch worden organisaties opgeroepen maatregelen te nemen die de kans op grote schade bij een cyberaanval kunnen verkleinen. Het Nederlandse Nationaal Cyber Security Centrum (NCSC) meldde afgelopen week al dat veel organisaties en bedrijven zich zorgen maken "over de situatie die momenteel speelt tussen Oekraïne en Rusland". In het verleden vonden ook al cyberaanvallen plaats als de spanning tussen de landen opliep. "Ook nu worden diverse digitale aanvallen uitgevoerd", meldde de Nederlandse instantie dinsdag. "Het NCSC heeft tot nu toe geen concrete aanwijzingen dat deze aanvallen impact zullen hebben op Nederland, maar sluit eventuele gevolgen in de toekomst ook niet uit."


Het Sint-Andriesziekenhuis in Belgie is slachtoffer geworden van een cyberaanval

Het Tieltse Sint-Andriesziekenhuis werd donderdag het slachtoffer van een cyberaanval. Tijdens het monitoren van het netwerk ontdekte de externe softwareleverancier van het ziekenhuis dat er malware was geïnstalleerd op het netwerk. “Daarop hebben we meteen de server buiten gebruik gesteld en zo erger voorkomen”, stelt algemeen directeur Peter Lauwyck. “Onze externe softwareleverancier monitort continu iedere beweging op ons netwerk”, vertelt Lauwyck. Donderdag merkte die leverancier echter onregelmatigheden op. “We zagen dat een extern iemand kleine bestandjes op een server geplaatst had”, gaat Lauwyck verder. “Wat de persoon daarmee wilde bereiken, is niet duidelijk, maar die bestanden zijn er niet zomaar geplaatst hé. De kans dat het om iemand met malafide bedoelingen gaat, is erg groot.” Het ziekenhuis twijfelde dan ook geen seconde en stelde de server meteen buiten gebruik. “We konden eventueel nog afwachten, maar dan neem je het risico dat er meerdere van die bestanden op de server geplaatst worden. In de meeste gevallen is het dan zo dat de degene die de aanval uitvoert, bestanden blokkeert en versleutelt om dan grote sommen geld te vragen om ze te deblokkeren.” Het is dan ook vrijwel zeker dat het ziekenhuis aan erger is ontsnapt. “Hadden we die malware niet op tijd ontdekt, was het goed mogelijk geweest dat alle bestanden op onze server op een bepaald moment onbruikbaar waren geworden”, beseft Lauwyck. “In informatica mag je nooit honderd procent gerust zijn, maar we zijn er vrij zeker van dat alles nu oké is. We weten ondertussen welke server geïnfecteerd is en hebben die onmiddellijk buiten gebruik gesteld. Door die server te vervangen zal het probleem hoogstwaarschijnlijk ook opgelost zijn. Al zullen we de servers de komende dagen nog wel extra monitoren. We willen geen enkel risico lopen.” De impact op het ziekenhuis is evenwel miniem. “De enige impact die er al is, hebben we zelf veroorzaakt door de server buiten gebruik te stellen”, duidt Lauwyck. “Daardoor kunnen artsen die privéconsultaties hebben niet meer aan de bestanden van het ziekenhuis en moesten medewerkers die in het kader van de coronamaatregelen thuis werken om diezelfde reden weer naar het ziekenhuis komen werken. Voor het overige zijn alle onderzoeken en behandelingen gewoon doorgegaan. De patiënt heeft van de situatie niets gemerkt, net als de medewerkers die in het ziekenhuis werkten.” Ondertussen legde het ziekenhuis een klacht neer bij de politie en bracht het de Gegevensbeschermingsautoriteit op de hoogte van het incident.


Emsisoft brengt een decoderingstool uit voor DeadBolt


'Rusland kan Oekraïne digitaal tot stilstand brengen'

Je merkt er niets van als de aanvallers je netwerk binnensluipen, hun virus installeren en stilletjes afwachten. Maar dan, als de knop wordt omgezet en het hele netwerk uitvalt, is het te laat - je energiecentrale, overheidsdepartement of bedrijf is platgelegd. Dit soort aanvallen overkwam Oekraïne meerdere malen. Banken, overheden en energiecentrales vielen een paar jaar geleden uit na hackaanvallen waarvan alom wordt aangenomen dat ze uit Rusland komen. Twee weken geleden kwamen computerbeveiligers weer zo'n aanval op het spoor, waarschijnlijk opnieuw gericht tegen Oekraïne. Zowel onderzoekers van Microsoft als van beveiligingsbedrijf Trellix waarschuwden Oekraïne en de rest van de wereld voor de aanval. Als het virus aanwezig is op computers, wordt het nu door virusscanners opgemerkt en verwijderd. Maar het zal niet de laatste aanval tegen Oekraïne zijn, denken deskundigen. Als het tot een gewapend conflict komt, is de verwachting dat digitale aanvallen een belangrijke rol zullen spelen. Lees verder


Duitse geheime dienst waarschuwt voor cyberspionage via Hyperbro-malware

De Duitse inlichtingendienst BfV heeft bedrijven in Duitsland gewaarschuwd voor cyberspionage door een groep aanvallers genaamd APT27. Deze groep zou vanuit China opereren en gebruikmaken van bekende kwetsbaarheden in Microsoft Exchange Server en Zoho AdSelf Service Plus om toegang tot de netwerken van organisaties te krijgen. Zodra er toegang is verkregen gebruiken de aanvallers de "Hyperbro-malware" voor het stelen van intellectueel eigendom en bedrijfsgeheimen. Hyperbro is een remote access tool (RAT) waarmee het mogelijk is om systemen op afstand te benaderen. Volgens de BfV kan niet worden uitgesloten dat de aanvallers, naast het stelen van informatie, ook netwerken van klanten van de aangevallen organisatie proberen te compromitteren. De Duitse geheime dienst merkt op dat APT27 al tenminste sinds 2010 actief is, maar dat er recentelijk een toename van het aantal aanvallen tegen Duitse doelwitten is waargenomen. Met de waarschuwing, gepubliceerde indicators of compromise en Yara-rules wil de BfV bedrijven tegen deze aanvallen wapenen en helpen bij het vinden van eventueel gecompromitteerde systemen en netwerken.


De geschiedenis van REvil

In ons vorige onderzoek onderzochten we een losgeld-kartel en vervolgens voerden we een onderzoek uit naar ransomware-bendes en hun banden met Russische inlichtingenorganisaties. Nu voeren we een use case uit naar een van 's werelds meest beruchte ransomware-bendes, REvil. Dit specifieke geval is fascinerend omdat de bende al enkele jaren bestaat, veel spraakmakende aanvallen heeft uitgevoerd, verschillende spin-off-bendes heeft geïnspireerd en uiteindelijk grote onrust heeft veroorzaakt onder samenwerkende hackers die hen hebben ondersteund.

History Of R Evil
PDF – 15,1 MB 146 downloads

Taiwanese Apple- en Tesla-aannemer getroffen door Conti-ransomware

Delta Electronics, een Taiwanees elektronicabedrijf en een leverancier voor Apple, Tesla, HP en Dell, onthulde dat het het slachtoffer was van een cyberaanval die vrijdagochtend werd ontdekt. Delta claimt 's werelds grootste leverancier van schakel stroom voorziening te zijn en rapporteerde vorig jaar een omzet van meer dan $ 9 miljard. In een verklaring die op 22 januari 2022 werd gedeeld, zei het bedrijf dat het incident alleen van invloed was op niet-kritieke systemen, die geen significante impact hadden op zijn activiteiten. AdvIntel "Andariel" platform detecteerde de aanval op 18 januari. Delta werkt nu aan het herstellen van systemen die tijdens de aanval zijn neergehaald en zegt dat het de diensten van externe beveiligingsexperts heeft ingehuurd om te helpen bij het onderzoeks- en herstelproces.


De nieuwe tactiek van ransomware cybercriminelen: u rechtstreeks bellen

Hackers hebben in toenemende mate slachtoffers gebeld wiens informatie was opgeslagen in computers die zijn eerder gijzelden. De slachtoffers worden vervolgens lastiggevallen via telefoon en e-mail.

Wayne wist niet dat het schooldistrict van zijn zoon was gehackt (bestanden gestolen en computers gegijzeld) tot afgelopen herfst toen de hackers hem rechtstreeks begonnen te e-mailen met bedreigingen. "we hebben de controle over het netwerk enkele maanden, dus we hadden veel tijd om zorgvuldig te bestuderen, de gegevens te exfiltreren en een aanval voor te bereiden", zei een van de drie e-mails die hij ontving. Als het district van zijn zoon, het Allen Independent School District in de buitenwijken van Dallas, niet zou betalen, zouden al zijn bestanden, inclusief informatie over hem en zijn zoon, "op het darkweb worden gepubliceerd", waarschuwden de e-mails.

Ransomware Hackers
PDF – 1,6 MB 186 downloads

QNAP waarschuwt voor ransomware-aanvallen op NAS-systemen

Hardwarefabrikant QNAP heeft vandaag een waarschuwing gegeven voor aanvallen op NAS-systemen en roept gebruikers op om hun NAS niet direct toegankelijk vanaf het internet te maken. Aanleiding voor de oproep zijn aanvallen met een nieuw ransomware-exemplaar genaamd DeadBolt. Volgens QNAP heeft de Deadbolt-ransomware het voorzien op NAS-systemen die zonder beveiliging vanaf het internet toegankelijk zijn. Bij kwetsbare NAS-systemen versleutelt de ransomware bestanden en eist losgeld voor het ontsleutelen ervan. QNAP roept gebruikers op om te controleren of hun NAS vanaf het internet toegankelijk is. Dit is mogelijk via de Security Counselor op het NAS-systeem. Verder wordt aangeraden om port forwarding op de router en UPnP op de QNAP-NAS uit te schakelen. Hoe de ransomware NAS-systemen weet te infecteren is onbekend. Volgens de boodschap van de aanvallers wordt er gebruik gemaakt van een zerodaylek, maar details ontbreken op dit moment. Op het forum van QNAP hebben zich tientallen slachtoffers gemeld die gegevens op hun NAS zijn verloren. Slachtoffers van de Deadbolt-ransomware kunnen contact met QNAP opnemen.


Linux-versie van LockBit ransomware richt zich op VMware ESXi-servers

LockBit is de nieuwste ransomware-bende waarvan is ontdekt dat de Linux-encryptor zich richt op de codering van virtuele VMware ESXi-machines. De onderneming stapt steeds meer over op virtuele machines om computerbronnen te besparen, servers te consolideren en voor eenvoudigere back-ups. Hierdoor hebben ransomware-bendes het afgelopen jaar hun tactieken ontwikkeld om Linux-encryptors te maken die zich specifiek richten op de populaire VMware vSphere- en ESXi-virtualisatieplatforms. Hoewel ESXi niet strikt Linux is, deelt het veel van zijn kenmerken, waaronder de mogelijkheid om ELF64 Linux-uitvoerbare bestanden uit te voeren.

Analysis And Impact Of Lock Bit Ransomware
PDF – 1,7 MB 197 downloads

Nieuwe ransomware voegt 'exploit' toe


Hacktivistische groep deelt details met betrekking tot Wit-Russische Spoorwegen hack

De Wit-Russische Cyber Partizanen hebben documenten gedeeld met betrekking tot een andere hack en legden uit dat Curated Intel-lid, SttyK, "enkele van de gebruikte methoden zou begrijpen". Op maandag 24 januari 2022 eiste een Wit-Russische hacktivistische groep met de naam Wit-Russische Cyber-Partizanen de verantwoordelijkheid op voor een aanval op de nationale spoorwegmaatschappij. Een primair doel van de aanval was gericht op het belemmeren van Russische troepenbewegingen binnen Wit-Rusland.

Hacktivist Group Shares Details Related To Belarusian Railways Hack
PDF – 3,8 MB 194 downloads

Bijna vijfduizend mensen dupe van hack Nederlandse Rode Kruis

4600 mensen die bij het Nederlandse Rode Kruis om hulp hebben gevraagd, zijn de dupe geworden van een cyberaanval die het internationale Rode Kruis trof. Het gaat om mensen die via de hulporganisatie probeerden weer in contact te komen met uit het oog verloren familieleden. Het Internationale Rode Kruis (ICRC) werd het slachtoffer van een massale cyberaanval, bleek vorige week. Hackers wisten beslag weten leggen op gegevens van meer dan 515.000 'extreem kwetsbare mensen'. Inmiddels is duidelijk dat 4600 van deze hulpvragers bij het Nederlandse Rode Kruis hadden aangeklopt. Het gaat in ieder geval om namen, geboortedata, het land van herkomst en namen van ouders, meldt het Rode Kruis.


Ransomware cybercriminelen verhogen de inspanningen om insiders in te schakelen voor aanvallen

Een recent onderzoek onder 100 grote (meer dan 5.000 werknemers) Noord-Amerikaanse IT-bedrijven toont aan dat ransomware-actoren meer moeite doen om insiders in gerichte bedrijven te werven om te helpen bij aanvallen. Het onderzoek werd uitgevoerd door Hitachi ID, dat in november 2021 een soortgelijk onderzoek uitvoerde. In vergelijking met de vorige enquête is er een stijging van 17% in het aantal werknemers dat geld aangeboden krijgt om te helpen bij ransomware-aanvallen tegen hun werkgever. In het bijzonder zegt 65% van de respondenten dat zij of hun werknemers tussen 7 december 2021 en 4 januari 2022 zijn benaderd om hackers te helpen bij het verkrijgen van eerste toegang.

Infographic The Rising Insider Threat Hackers Have Approached 65 Of Executives Or Their Employees To Assist In Ransomware Attacks
PDF – 501,4 KB 192 downloads

Merck wint rechtszaak over vergoeding van schade NotPetya-malware

De farmaceutische gigant Merck heeft een rechtszaak gewonnen tegen de eigen verzekeringsmaatschappij over het vergoeden van de 1,4 miljard dollar schade die het als gevolg van de NotPetya-malware leed. Bij de aanval met de NotPetya-malware raakten computers via een malafide update van het Oekraïense softwarebedrijf M.E.Doc besmet. NotPetya deed zich voor als ransomware, maar had als enig doel het saboteren van computers. Bij Merck raakten veertigduizend computers met NotPetya besmet, wat voor een schade van 1,4 miljard dollar zorgde. Het bedrijf had ter bescherming tegen dergelijke schade een verzekering van 1,75 miljard dollar afgesloten. De verzekeringsmaatschappij weigerde echter de schade van Merck te vergoeden, omdat het vond dat de NotPetya-aanval een oorlogsdaad van Rusland tegen Oekraïne was. In de verzekeringspolis was een clausule opgenomen dat schade door oorlogsdaden niet wordt vergoed, zo melden Bloomberg Law en Lexology. Merck tekende beroep aan. Volgens de farmaceutische gigant ging het namelijk niet om officiële statelijke actie en maakte de clausule geen melding van cyberaanvallen. De rechter was het hiermee eens, aangezien de omschrijving van de clausule alleen over een gewapend conflict gaat en geen melding maakt dat cyberaanvallen niet worden gedekt. Merck had dan ook alle recht om aan te nemen dat de uitzonderingsclausule alleen opging voor traditionele vormen van oorlogsvoering en niet voor cyberaanvallen zoals NotPetya, aldus de rechter.


Hackers zeggen dat ze Wit-Russische spoorwegservers hebben versleuteld uit protest

Een groep hackers (bekend als Wit-Russische Cyber-Partizanen) beweert dat ze servers van de Belarusian Railway, het nationale staatsspoorwegbedrijf van Wit-Rusland, hebben gehackt en versleuteld. Ze zeggen dat hun aanval werd ingegeven door Rusland dat het spoorvervoersnetwerk van de Wit-Russische spoorwegen gebruikte om militaire eenheden en apparatuur naar het land te verplaatsen. "Op bevel van de terrorist Loekasjenka laat de Wit-Russische spoorwegen de bezettingstroepen toe om ons land binnen te komen", aldus de groep gisteren op Twitter.


Canada's ministerie van Buitenlandse Zaken gehackt, sommige diensten platgelegd

De Canadese overheidsdienst voor buitenlandse en consulaire betrekkingen, Global Affairs Canada, werd vorige week getroffen door een cyberaanval. Hoewel kritieke services toegankelijk blijven, is toegang tot sommige online services momenteel niet beschikbaar, omdat overheidssystemen herstellende zijn van de aanval.


Dark Souls-servers uit de lucht gehaald om hacks met behulp van kritieke bug te voorkomen

Bandai Namco heeft de online PvP-modus voor de game 'Dark Souls' gedeactiveerd en zijn servers offline gehaald om rapporten te onderzoeken over een ernstig beveiligingsprobleem dat een risico voor spelers kan vormen. Volgens de  community op Reddit is de kwetsbaarheid een externe code-uitvoering (RCE) waarmee aanvallers de controle over het systeem kunnen overnemen, waardoor ze toegang krijgen tot gevoelige informatie, malware kunnen planten of bronnen kunnen gebruiken voor cryptocurrency-mining. Dezelfde rapporten beweren dat de exploit actief wordt verspreid en het kan ook werken voor de game 'Elden Ring', een aankomende titel van Bandai Namco.


DDoS-aanval op Belnet in Belgie

Belnet kampt voor de tweede keer deze maand met een DDoS-aanval. Daardoor ondervinden ook klanten van de operator, zoals de VRT of hogescholen, problemen. De aanval begon maandagnamiddag. Belnet zelf spreekt van twee korte aanvallen van tien minuten op een specifiek doelwit. Daardoor raakte de transit link verzadigd. Zelf spreekt de organisatie van verminderde connectiviteit voor sommige klanten. Het is al de tweede DDoS-aanval deze maand voor Belnet. Ook op 13 januari werd het slachtoffer van zo'n aanval. Ook in mei vorig jaar raakte het netwerk verzadigd door zo'n aanval. Belnet is het Belgisch computernetwerk voor onderzoeksdoeleinden. Het is daarbij ook de internetprovider voor talloze overheidsdiensten, zoals het platform voor vaccinatieboekingen, de Federale Overheidsdiensten (FOD's), de openbare omroep en de universiteiten en hogescholen. Dat maakt dat een aanval op Belnet meteen een stevige impact kan hebben op heel wat toepassingen en organisaties.

Update 16 uur 24 jan:

Belnet bevestigt dat de aanval rond 14 uur begon. De eerste aanval duurde ongeveer vijf minuten, de tweede een kwartier. De aanval was gericht tegen één (niet nader genoemde) klant, maar door de saturatie van de transit link konden alle gebruikers problemen ondervinden. Sindsdien zijn de problemen weer van de baan. Na de zware DDoS aanval vorig jaar heeft Belnet geïnvesteerd in extra maatregelen om dergelijke aanvallen te weren of zo goed mogelijk te beperken. Dat lijkt nu vruchten af te werpen.


Netwerken Oekraïense organisaties al maanden gecompromitteerd

De aanvallers achter de malware-aanval op Oekraïense organisaties, waarbij tal van systemen werden gesaboteerd, hadden zeer waarschijnlijk al maanden toegang tot de netwerken van hun slachtoffers, zo stelt Cisco in een analyse. Het bedrijf is betrokken bij het onderzoek naar de aanval. Aanvallers gebruikten bij de aanval een zogeheten "wiper" genaamd WhisperGate. De malware doet zich voor als ransomware, maar is ontwikkeld voor het wissen van de master boot record (MBR) en andere bestanden op het systeem. Hierdoor kan de computer niet meer het besturingssysteem opstarten. In tegenstelling tot de NotPetya-malware die in 2017 werd ingezet is WhisperGate schadelijker, aldus Cisco. Zo probeert de malware ook de C-partitie te overschrijven. Iets dat NotPetya niet deed. Hoe de aanvallers toegang tot de systemen en netwerken van hun slachtoffers kregen is nog niet duidelijk, maar mogelijk is dit met gestolen inloggegevens gedaan. Cisco stelt met hoge zekerheid dat de aanvallers al maanden of langer toegang tot de netwerken van hun slachtoffers hadden. "Dit is een kenmerk van een geraffineerde APT-aanval", zegt onderzoeker Chris Neal. Net als de Amerikaanse overheid adviseert ook Cisco dat organisaties systemen met verbindingen naar Oekraïne isoleren en monitoren.

One Source To Rule Them All
PDF – 3,8 MB 150 downloads

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten