Overzicht cyberaanvallen week 05-2022

Gepubliceerd op 7 februari 2022 om 15:00

Cyberaanval legt aanvoer van bananen en kiwi’s lam in Antwerpse haven, olieterminal Terneuzen kampt met laad- en losproblemen na cyberaanval en een blik op de nieuwe Sugar ransomware die zich richt op consumenten. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 4.400 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.

Status op 7 februari 2022 : 4.476


Week overzicht

Slachtoffer Cybercriminelen Website Land
Rodonaves Transportes E Encomendas Ltda Hive www.rte.com.br Brazil
Zamil Industrial Conti zamilindustrial.com Saudi Arabia
NZ UNIFORMS Conti www.nzuniforms.com New Zealand
Athens Distributing Company Conti www.adctn.com USA
KP SNACKS Conti www.kpsnacks.com UK
MSH Steuerberatungsgesellschaft Conti www.msh-lohne.de Germany
sapulpaps.com LockBit sapulpaps.com USA
hk-callcentre BlackCat (ALPHV) maketherightcall.com Hong Kong
Consumers Supply Distributing LLC Suncrypt www.consumers-supply.com USA
tyresolesdobrasil.com.br LockBit tyresolesdobrasil.com.br Brazil
kainz-haustechnik.at LockBit kainz-haustechnik.at Austria
Albany Bank and Trust Company BlackCat (ALPHV) albanybank.com USA
dap.gov.tr LockBit dap.gov.tr Turkey
Bud Griffin and Associates BlackByte www.bgasales.com USA
Petrolimex BlackByte www.petrolimex.com.vn Vietnam
Rector Hayden Realtors BlackByte www.rhr.com USA
Taylor and Martin BlackByte www.taylorandmartin.com USA
Argonaut Gold BlackByte www.argonautgold.com USA
Converse Pharma Group Karakurt conversepharmagroup.com UK
A A Zamarro & Associates Karakurt azamarroacpa.com USA
RedGuard Karakurt redguard.com USA
Huvepharma Karakurt huvepharma.com USA
Acorn Media Karakurt acorn.com UK
ARL Bio Pharma Karakurt arlok.com USA
Forterra Karakurt forterra.co.uk UK
Eka Software Solutions Karakurt eka1.com USA
Busch Vacuum Solutions Karakurt buschvacuum.com Germany
Oliff PLC Karakurt oliff.com USA
Acorn Karakurt acorn.com USA
Sanden Karakurt sanden.com USA
Team Realty Karakurt teamrealty.ca Canada
Bob`s Carpet & Flooring Karakurt bobscarpetmart.com USA
Westmount Charter School Karakurt westmountcharter.com Canada
Slepoy Corporation Karakurt slepoycorp.com USA
HighRoads Karakurt highroads.com USA
AMT Corp Karakurt amt-corp.com USA
Spirit ORD Karakurt spirit-ord.com USA
Mediagistic Karakurt mediagistic.com USA
CoreNet Global Karakurt corenetglobal.org USA
Eastern Western Motor Group Karakurt easternwestern.co.uk UK
Assura PLC Karakurt assuraplc.com UK
TVS Supply Chain Solutions Karakurt tvsscs.com India
The Scion Group LLC Karakurt thesciongroup.com USA
Division D Karakurt divisiond.com USA
castro-urdiales.net LockBit castro-urdiales.net Spain
hotelcedres.com LockBit hotelcedres.com France
prefimetal.com LockBit prefimetal.com Spain
COFRAP ESPAÑOLA SA LockBit www.es.maped.com Spain
progereal.com LockBit progereal.com France
Royal Laser BlackCat (ALPHV) www.royallaser.com Canada
bar2.co.uk LockBit bar2.co.uk UK
ametisfacilities.com LockBit ametisfacilities.com France
ukrl.co.uk LockBit ukrl.co.uk UK
dectro.com LockBit dectro.com Canada
savonia.fi LockBit savonia.fi Finland
WinningLife International Limited CoomingProject winlifeinternational.com Nigeria
botafogo.ind.br LockBit botafogo.ind.br Brazil
siamdial.com LockBit siamdial.com Thailand
Edgo Cuba www.edgo.com Jordan
Cmmcpas Cuba www.cmmcpas.com USA
Shoesforcrews Cuba www.shoesforcrews.com USA
nfcaa.org LockBit nfcaa.org USA
udmercy.edu LockBit udmercy.edu USA
fivestarproducts.com LockBit fivestarproducts.com USA
mainland.com.hk BlackCat (ALPHV) mainland.com.hk Hong Kong
paybito.com LockBit paybito.com USA
Altoona Area School District Quantum www.aasdcat.com USA
CGT S.p.A. BlackCat (ALPHV) cgt.it Italy
Overseas Travel Agency Snatch overseas-travel.travel Qatar
ci.hercules.ca.us LockBit ci.hercules.ca.us USA
jockeyclub.org.ar LockBit jockeyclub.org.ar Argentina
paramountme.com LockBit paramountme.com United Arab Emirates
Keuerleber Haron keuerleber-gmbh.de Germany
ibasis.com LockBit ibasis.com USA
SVA Jean Rozé BlackCat (ALPHV) sva-jeanroze.fr France
universalwindow.com LockBit universalwindow.com USA
hancockassociates.com LockBit hancockassociates.com USA
Emil Frey Hive www.emilfrey.ch Switzerland
ibasis.net LockBit ibasis.net USA
mitchellmcnutt.com LockBit mitchellmcnutt.com USA
hammer-poznan.pl LockBit hammer-poznan.pl Poland
Maple Lodge Farms Quantum maplelodgefarms.com Canada
elitemate.com Arvin club elitemate.com USA

In samenwerking met DarkTracer


Havens steeds vaker slachtoffer van cyberaanvallen

Havens moeten op hun hoede zijn voor cyberaanvallen. Daarvoor waarschuwt FERM Rotterdam, dat in Rotterdam de beveiliging helpt te coördineren. Bij verschillende hackaanvallen op olie- en chemieterminals in Europese havens zijn de afgelopen tijd systemen bij bedrijven platgelegd. 'Maar de dreiging is nog niet weg', aldus FERM-directeur Evelien Bras.


Microsoft meldt phishingaanvallen op Oekraïense organisaties

Oekraïense organisaties, overheidsinstanties, ngo's, het leger en opsporingsdiensten zijn de afgelopen zes maanden het doelwit geworden van phishingaanvallen door een groep die vanuit de Krim opereert, zo stelt Microsoft. Volgens de Oekraïense overheid gaat het om de Russische geheime dienst FSB. Microsoft noemt de groep Actinium, die ook bekendstaat als Gamaredon, en stelt dat die al bijna tien jaar actief is. De groep heeft het vooral voorzien op Oekraïense organisaties of entiteiten die zich met Oekraïense zaken bezighouden. Sinds oktober vorig jaar voert de groep phishingaanvallen uit op accounts van organisaties die een kritieke rol spelen bij noodsituaties op en de veiligheid van het Oekraïense grondgebied, alsmede organisaties die in het geval van een crisis internationale en humanitaire hulp aan Oekraïne komen verlenen. Bij de aanvallen verstuurt de groep e-mails die van betrouwbare organisaties afkomstig lijken, zoals de Wereldgezondheidsorganisatie. Als bijlage is een Microsoft Office-document toegevoegd dat een kwaadaardige macro bevat. Wanneer de ontvanger van het bericht de macro inschakelt wordt er malware op het systeem gedownload. Eenmaal besmet proberen de aanvallers zich via het gecompromitteerde systeem lateraal door de organisatie te bewegen, toegang tot systemen te behouden en vertrouwelijke gegevens te stelen. Microsoft zegt dat het informatie over de groep en waargenomen aanvallen met de Oekraïense autoriteiten heeft gedeeld. Naast een beschrijving van de werkwijze van de groep geeft het techbedrijf in deze analyse ook verschillende indicators of compromise gedeeld, zoals hashes en domeinnamen, waarmee organisaties kunnen kijken of ze mogelijk doelwit zijn geworden.


Hacker neemt wraak: internet in Noord-Korea platgelegd

Een Amerikaanse hacker die eerder het slachtoffer werd van een Noord-Koreaanse hackcampagne heeft wraak genomen door een groot deel van het internet in het land offline te halen. Een hacker die bekend staat onder het pseudoniem ‘P4x’ heeft de afgelopen twee weken het Noord-Koreaanse internet grotendeels platgelegd. Hij voerde DDoS-aanvallen uit waardoor systemen in het land overbelast raakten. P4x zegt tegen Wired dat hij dat doet omdat het regime van het totalitaire land hem vorig jaar heeft proberen te hacken. Hij zegt dat hij daarbij misbruik maakte van ongepatchte kwetsbaarheden op Noord-Koreaanse servers. Op meerdere dagen waren daardoor veel websites van het land offline, waaronder de sites van de luchtvaartmaatschappij Koryo en die van de Noord-Koreaanse regering. De cyberaanval begon zo’n twee weken terug, toen Noord-Korea-watchers merkten dat het internet in zowat het hele land problemen ondervond. Volgens NK News, een onafhankelijke website die nieuws over het land publiceert, is de aanval nog aan de gang. NK News kon dat bevestigen door naar serverlogs van het land te kijken. Niet iedereen is blij met de aanval van P4x. Cyberconflict-expert Jenny Hun zei tegen NK News dat dergelijke aanvallen de indruk kunnen wekken dat de VS erachter zit. Dat zou volgens Hun kunnen leiden tot vergeldingsacties tegen Amerikaanse doelwitten. Ze legt bovendien ook uit dat de VS, Zuid-Korea en andere bondgenoten veel meer te verliezen hebben dan Noord-Korea bij tegenaanvallen. Zij zegt dat de hackers die vorig jaar onder andere P4x aanvielen bovendien waarschijnlijk niet eens van binnen Noord-Korea optraden. “Het raakt de staatshackers niet. Dit is het soort onnodige escalatie die we juist willen vermijden,” aldus Hun. Wat de impact van de aanval zal zijn, is onduidelijk. De meeste Noord-Koreanen hebben helemaal geen internet. Tegen Wired zei P4x verder te gaan met de aanval. “Ik wil het volk zo weinig mogelijk raken en de regering zo hard mogelijk,” stelt hij. Hoewel P4x toegeeft dat de impact van zijn actie niet zo groot zal zijn, telt het irriteren van het regime voor hem als een succes. De volgende stap die P4x wil ondernemen is om informatie van de Noord-Koreaanse regering te stelen en die vervolgens met inlichtingendiensten te delen. 


Vertraagde vluchten door ransomware-aanval op vrachtafhandelaar Swissport

Een ransomware-aanval op bagage- en vrachtafhandelaar Swissport heeft op allerlei luchthavens voor vertraagde vluchten gezorgd, zo meldt het Zwitserse Blick. Swissport laat via Twitter weten dat een deel van de it-infrastructuur door de aanval is getroffen. Hierdoor waren verschillende systemen voor onder andere het inplannen van personeel, vliegtuigen en vracht onbeschikbaar. "We kunnen onze gronddiensten aan luchtvaartmaatschappijen blijven leveren, maar er kunnen wat vertragingen voordoen", aldus een woordvoerder. Hoelang de vertragingen zullen aanhouden is onbekend. "We doen alles om de problemen zo snel mogelijk te verhelpen", laat de woordvoerder verder weten. Volgens Blick hebben zich onder andere op de luchthavens van Moskou en Zurich vertragingen voorgedaan. Een woordvoerder van Zurich Airport laat tegenover Der Spiegel weten dat in totaal 22 vluchten vertraging tot wel twintig minuten opliepen. Swissport is één van de grootste bedrijven op het gebied van luchtvrachtafhandeling en grondafhandelingsdiensten. Het telt meer dan 55.000 medewerkers wereldwijd en levert diensten aan ongeveer zevenhonderd luchtvaartmaatschappijen. Swissport is actief op 285 luchthavens in 45 landen. Verdere details over de aanval zijn niet gegeven.


Nieuwe SG1995 Ransomware


FBI: Ruim tweeduizenden onderzoeken naar cyberincidenten gekoppeld aan China

Er is geen enkel ander land dat een dusdanig brede dreiging oplevert voor de Amerikaanse ideeën, innovatie en economische veiligheid dan China. Dit stelt Christopher Wray, directeur van de Amerikaanse FBI, in een toespraak. Wray wijst erop dat de FBI momenteel ruim 2.000 onderzoeken naar incidenten uitvoert die gekoppeld worden aan de Chinese overheid.  "De Chinese overheid steelt een ongekende hoeveelheid informatie en veroorzaakt diepe, banen-vernietigende schade in een brede reeks industrieën", aldus Wray. De directeur van de FBI stelt dat de dienst continu nieuwe zaken opent in reactie op Chinese inlichtingenactiviteiten. Iedere 12 uur wordt ongeveer een nieuwe zaak geopend.

Director Wray Discusses Threats Posed By Government Of China
PDF – 2,9 MB 143 downloads

Mediagigant News Corp slachtoffer van cyberaanval

News Corp, het bedrijf van mediagigant Rupert Murdoch, is vorige maand het slachtoffer geweest van een cyberaanval. Mandiant, het consultancybedrijf dat de aanval voor News Corp onderzoekt, vermoedt dat de cyberaanval het werk is van Chinese hackers. De hackers waren vooral verlekkerd op persoonlijke gegevens van journalisten. De hackers zouden in januari een cloudnetwerk van News Corp regelmatig aangevallen hebben. Zo kregen ze toegang tot de mails en contactgegevens van verschillende medewerkers van het mediabedrijf, waaronder enkele journalisten van The New York Post en The Washington Post. News Corp schakelde Mandiant in, een bedrijf gespecialiseerd in cyberbeveiliging, om de aanval te onderzoeken. Zij zeggen dat de aanval vermoedelijk georkestreerd werd door hackers die een link hebben met de Chinese overheid. Zo zouden de hackers op informatie uit geweest zijn die “in het belang van China” was. Volgens News Corp werd geen financiële informatie ontvreemd, louter de gegevens van hun medewerkers. Daarom vermoedt het mediabedrijf dat de hackers uit waren op journalisten omwille van hun berichtgeving. Wel maakt het bedrijf zich naar eigen zeggen enorme zorgen over de veiligheid van hun personeel. Het is niet de eerste keer dat media het slachtoffer worden van Chinese hackers omwille van hun verslaggeving. In 2013 vielen The New York Times en Wall Street Journal– die laatste is eveneens onderdeel van News Corp – ook al ten prooi aan hackers die gelinkt werden aan de Chinese overheid.


Ook Antwerps crematorium slachtoffer van cyberaanval: "Waarom is ons een raadsel"

Het crematorium van Antwerpen is het slachtoffer geworden van een cyberaanval. Dat vernam onze ATV-redactie. Hackers hebben vannacht toegeslagen en de servers van Pontes, de intercommunale die het crematorium beheert, tot doelwit gemaakt. De uitvaartplechtigheden konden vandaag wel door gaan, maar de aanval heeft serieuze impact op de werking. Eerder deze week waren verschillende Antwerpse havenbedrijven al getroffen door cyberterroristen.


NCSC: cyberaanvallen op bedrijven in oliesector lijken niet gecoördineerd

Zeker zes olieterminals in de zeehavens van Antwerpen, Gent, Terneuzen en Amsterdam zijn volgens beurswebsite MarketScreener.com getroffen door een grootschalige cyberaanval. Daarnaast werden de Duitse tankopslaggroep Oiltanking en oliehandelaar Mabanaft slachtoffer van een ransomware-aanval, en kreeg ook havenreus Sea-Invest met een aanval te maken. Volgens het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid lijkt het geen gecoördineerde aanval te zijn. De olieterminals waarover MarketScreener bericht worden beheerd door Sea-Tan, Oiltanking en Evos. De impact verschilt per terminal. "We hebben het bericht gekregen dat schepen er enkele dagen niet geladen en gelost kunnen worden", zegt Jelle Vreeman van de scheepsbroker Riverlake tegenover De Tijd. Volgens de Belgische krant kan de aanvoer van tropisch fruit als ananas of bananen worden verstoord, maar zijn ook de olietankactiviteiten in Antwerpen en Gent gehinderd. De gevolgen voor Sea-Invest zijn groot want alle administratieve systemen liggen plat, meldt VRT NWS. Zo is mail- en telefoonverkeer niet mogelijk en kunnen medewerkers geen informatie ophalen uit de planningssystemen om schepen te laden en te lossen. Om enkele operaties weer te kunnen starten wordt onder andere naar tijdelijke oplossingen met pen en papier gekeken. "Alles wordt momenteel in kaart gebracht”, zegt Kristof Aerts van het Antwerpse parket tegenover De Morgen. "Er is een onderzoek gestart met de hulp van de Computer Crime Unit van de Federale Politie. Verder kunnen we er nog geen uitspraken over doen." Deze Belgische krant meldt dat meerdere schepen door de aanval op de wachtrij zijn gekomen. De ontstane vertragingen hebben nog geen gevolgen voor de olieprijs, maar als de problemen aanhouden zal dat wel zo zijn, waarschuwt de krant. "Het beeld van het NCSC is dat er op dit moment vooralsnog geen sprake lijkt te zijn van een gecoördineerde aanval en dat de aanvallen waarschijnlijk zijn gepleegd vanuit een crimineel motief", aldus het NCSC. De Nederlandse overheidsinstantie zegt de ontwikkelingen nauwlettend in de gaten te houden en indien nodig verdere actie te ondernemen.


Inspectie: 112-meldkamers onvoldoende voorbereid op ransomware

De 112-meldkamers in Nederland zijn onvoldoende voorbereid op ransomware wat tot verstoringen kan leiden, zo stelt de Inspectie Justitie en Veiligheid in een vandaag verschenen rapport. Voor mensen die 112 bellen is de meldkamer het eerste contact met de hulpdiensten van de brandweer, ambulance, politie en de Koninklijke Marechaussee. Andersom krijgen de hulpdiensten via de meldkamers informatie over een incident waarbij hun hulp wordt gevraagd. Meldkamers spelen ook een cruciale rol bij rampenbestrijding, crisisbeheersing, opsporing en handhaving van de openbare orde. "Het is dan ook van belang dat zij onverminderd bereikbaar blijven en dat ze goed beschermd blijven tegen toenemende digitale aanvallen", aldus de Inspectie. Vanwege het toenemende aantal ransomware-aanvallen wilde de Inspectie weten of de meldkamers hier voldoende weerbaar tegen zijn. Hiervoor werd onderzocht hoe het risicomanagement op de informatiebeveiliging van de meldkamersystemen is ingericht en wordt toegepast. De Inspectie oordeelt dat het Strategisch Meldkamer Beraad (SMB) nog onvoldoende in staat is om digitale risico's te signaleren en tot een aanvaardbaar niveau te reduceren. "De Landelijke meldkamersamenwerking (LMS) is hierdoor onvoldoende weerbaar tegen de toenemende dreiging van verstoring. Dit is een risico voor de veiligheid van de meldkamersystemen en daarmee voor de continuïteit van de meldkamers als onderdeel van de vitale infrastructuur van Nederland." Vanwege de ernst van de situatie is volgens de Inspectie een strakke aansturing nodig. Zo moet het bestuur van de meldkamers de beveiliging van de meldkamersystemen gaan aansturen. Ook vraagt de Inspectie het ministerie van Justitie en Veiligheid om samen met de meldkamers goed te kijken naar de verantwoordelijkheden voor de meldkamersystemen, zodat de beveiliging in de praktijk beter uitvoerbaar wordt.

Rapport Beveiliging Van Meldkamersystemen
PDF – 428,7 KB 156 downloads
Wederhoortabellen Bij Rapport Beveiliging Meldkamersystemen Vastgesteld
PDF – 281,3 KB 155 downloads

Systeem Arnhemse dierenkliniek al twee weken offline door ransomware

Het systeem van een Arnhemse dierenkliniek is als gevolg van een ransomware-aanval al twee weken offline. Daardoor zijn klantgegevens, administratie en boekhouding grotendeels onbereikbaar. De back-upschijf was onlangs gecrasht en is niet op tijd vervangen, waardoor de dierenkliniek niet over een reservekopie beschikt. Hoeveel losgeld de aanvallers eisen wil de dierenkliniek niet tegenover de Gelderlander laten weten. Wel is het bedrijf bereid een deel te betalen. Vanwege het versleutelen van de bestanden moet de kliniek terugvallen op papieren uitdraaien met klantinformatie. "We hebben de klok wat dat betreft noodgedwongen dertig jaar teruggezet", aldus de eigenaar van de kliniek. De aanvallers hebben gedreigd met het publiceren van klantgegevens. Volgens de eigenaar hoeven klanten zich geen zorgen te maken. "Uiteraard hebben de hackers daarmee gedreigd, maar ik heb dat weten te voorkomen." Hoe ze de publicatie van de gegevens heeft weten te voorkomen is niet duidelijk. Wel stelt de eigenaar dat ze veel van het incident heeft geleerd en het haar geen tweede keer zal overkomen dat er geen back-ups beschikbaar zijn.


Nieuwe ransomware vereist YouTube-abonnementen


Bij een aanval op cryptoplatform Wormhole is omgerekend 320 miljoen dollar aan cryptovaluta buitgemaakt

Het platform biedt de aanvaller 10 miljoen dollar als hij uitlegt hoe het geld kon worden gestolen en het buitgemaakte bedrag teruggeeft. Wormhole is een zogeheten "blockchain bridge" die gebruikers cryptovaluta over verschillende blockchains laat uitwisselen. Zo kan de ene cryptovaluta naar de andere worden omgezet. Wanneer een gebruiker cryptovaluta van de ene naar de andere blockchain wil versturen maakt de bridge hiervan een wrapped token, bijvoorbeeld wrapped ether (wETH), en stuurt die naar de gewenste blockchain. Wormhole ondersteunt verschillende blockchains, namelijk Avalanche, Oasis, Binance Smart Chain, Ethereum, Polygon, Solana en Terra. Bij de aanval lukte het de aanvaller om op de Solona-blockchain 120.000 wrapped ether te minten. Die verdeelde de aanvaller vervolgens over zijn Solana- en ETH-wallets. Dit was mogelijk doordat Wormhole de invoeraccounts niet goed controleerde, waardoor de aanvaller de vereiste digitale handtekeningen kon spoofen, aldus onderzoekers in een analyse van de aanval. Ook Wormhole erkent dat de aanvaller de verificatie aan de Solana-kant heeft weten te misbruiken. De Wormhole-portal is op het moment van schrijven offline. Inmiddels is een beveiligingsupdate uitgerold om de kwetsbaarheid te verhelpen. Wormhole looft daarnaast 10 miljoen dollar uit aan de aanvaller als hij details over de aanval verstrekt en het buitgemaakte geld teruggeeft.


Een vertegenwoordiger van ALPHV (BlackCat) bespreekt de plannen van de groep voor een ransomware 'meta-universum'

Eind vorig jaar begonnen cybersecurity-onderzoekers een ransomware-stam op te merken, ALPHV genaamd, die opviel omdat deze bijzonder geavanceerd en gecodeerd was in de programmeertaal Rust - een primeur voor ransomware die wordt gebruikt in echte aanvallen. De groep heeft sindsdien een reputatie opgebouwd voor het agressief openbaar plaatsen van details over zijn slachtoffers - ongeveer 24 bedrijven zijn de afgelopen twee maanden op de afpersingssite van de groep geplaatst. Eerder deze week kwamen er berichten naar buiten dat Duitse cybersecurity-functionarissen geloven dat de groep verantwoordelijk is voor de recente aanval op twee Duitse logistieke bedrijven, die leidde tot verstoringen van de olietoevoer in honderden tankstations. Lees verder


Een blik op de nieuwe Sugar ransomware die weinig losgeld eist

Een nieuwe Sugar Ransomware-operatie richt zich actief op individuele computers, in plaats van bedrijfsnetwerken, met lage losgeld eisen. Voor het eerst ontdekt door het Walmart Security Team, is 'Sugar' een nieuwe Ransomware-as-a-Service (RaaS) -operatie die in november 2021 werd gelanceerd. De naam van de ransomware is gebaseerd op de gelieerde site van de operatie ontdekt door Walmart op 'sugarpanel[.]space'. Sugar lijkt zich niet te richten op bedrijfsnetwerken, maar eerder op individuele apparaten, waarschijnlijk van consumenten of kleine bedrijven. Als zodanig is het niet duidelijk hoe de ransomware wordt verspreid of slachtoffers infecteert.

Sugar Ransomware
PDF – 2,5 MB 157 downloads

Zakelijke dienstverlener Morley onthult ransomware-incident

Morley is een Amerikaans bedrijf dat zakelijke diensten aanbiedt aan Fortune 500- en Global 100-bedrijven, waaronder vergaderbeheer, backofficeverwerking, contactcenters, het creëren van beurstentoonstellingen en meer. In meldingen die vandaag en gisteren zijn vrijgegeven, stelt Morley Companies dat ze op 1 augustus 2021 een ransomware-aanval hebben gehad die ertoe heeft geleid dat hun gegevens niet meer beschikbaar waren. Na onderzoek van de aanval stelde het bedrijf vast dat de bedreigingsactoren tijdens de aanval de persoonlijke informatie van 521.046 personen hebben gestolen, inclusief gegevens van de werknemers, aannemers en klanten van Morley. "Als gevolg hiervan heeft Morley geleerd dat er mogelijk aanvullende gegevens zijn verkregen uit zijn digitale omgeving", legt Morley's melding van beveiligingsincidenten uit.. "Morley begon daarna met het verzamelen van contactgegevens die nodig waren om mogelijk getroffen personen op de hoogte te stellen, wat begin 2022 werd voltooid."


Cyberaanval legt aanvoer van bananen en kiwi’s lam in Antwerpse haven

Enkele bedrijven in de Antwerpse haven zijn sinds dit weekend het slachtoffer van een cyberaanval. Een van de getroffen bedrijven is Sea-Invest, dat in Antwerpen de fruitkaaien van Belgian New Fruit Wharf uitbaat. Dat maakt de lokale tv-zender ATV bekend. Sinds zondag verlopen de laad-en losactiviteiten bijzonder moeizaam op de kaaien van BNFW. De computersystemen zijn aangetast door een cyberaanval, waardoor de activiteiten op de kaai zo goed als stilvielen. BNFW voert veel exotisch fruit zoals bananen, ananassen en kiwi’s in vanuit Zuid-Amerika en/of Australië. Sea-Invest is een Gents bedrijf en één van de grootste havenbedrijven ter wereld met 5.500 werknemers en jaarlijks 150 miljoen ton goederen. Ook andere bedrijven zijn volgens specialisten geviseerd. Zo wordt door specialisten op Twitter melding gemaakt van olieraffinaderijen en opslagplaatsen van Sea-Tank, Oiltanking en Evos in Antwerpen, Gent en Terneuzen. Ook in Duitsland zouden al elf sites van Oiltanking zijn getroffen. Het persagentschap Bloomberg weet dat de cyberaanval is gestart bij een Duits oliebedrijf waar de installaties voor distributie naar het binnenland werden getroffen. De aanval breidde zich dan uit naar oliebedrijven in de regio Antwerpen-Rotterdam-Amsterdam (ARA), zowat het zenuwcentrum van de oliedistributie in Noord-Europa. Verladers liggen met hun schepen in de haven te wachten om vracht aan boord te nemen. 


Olieterminal Terneuzen kampt met laad- en losproblemen na cyberaanval

Opslagbedrijf EVOS kampt met problemen in de haven van Terneuzen na een cyberaanval. Het laden en lossen van olie loopt vertraging op, zegt een woordvoerder van het bedrijf donderdag. De IT-systemen van verschillende havenbedrijven werden afgelopen weekend aangevallen. Onder meer de oliegiganten Oiltanking en Mabanaft in Duitsland zijn getroffen. Meerdere Duitse tankstations zijn overgestapt op alternatieve leveranciers omdat systemen platliggen waardoor leveringen niet mogelijk zijn. De cyberaanval heeft ook gevolgen in Nederland. De woordvoerder van EVOS meldt een "onderbreking in de IT-systemen" in Terneuzen, waardoor vertraging ontstaat bij het laden en lossen van olie. Volgens EVOS zijn alle Nederlandse olieterminals nog wel in gebruik en kunnen de werkzaamheden veilig worden uitgevoerd.


'Vitale sectoren moeten weerbaarder worden tegen cyberaanvallen'

De Duitse tak van Shell is de dupe geworden van een cyberaanval. Daarbij zijn twee Duitse tankopslagbedrijven geraakt, waardoor Shell zijn olietoevoer heeft moeten omleiden. Cybersecuritydeskundige Dave Maasland van E-set Nederland zegt dat cruciale bedrijven in Nederland deze aanval als waarschuwing moeten zien. Door de cyberaanval zijn alle laad- en lossystemen van twee tankopslagbedrijven buiten gebruik. Hierdoor is het niet mogelijk om tankwagens te laden en benzine aan tankstations te leveren. ‘Dat zorgde ervoor dat Shell Duitsland zijn hele logistieke operatie moest omgooien en z’n olie ergens anders moest opslaan’, vertelt Maasland. Over de aanval zelf wordt heel weinig losgelaten, zegt Maasland. ‘Het uitvallen van IT-systemen op grote schaal, zoals in dit geval de laad- en lossystemen, is een kenmerk van ransomware. Dan is ook de vraag: zijn er ook gegevens gestolen? En zo ja, welke gegevens? Want hoewel Shell de logistiek weer op orde kan hebben, kunnen de gevolgen van deze aanval nog wel even gevoeld worden.’ Volgens Maasland is deze aanval een waarschuwing voor Nederlandse bedrijven binnen de vitale infrastructuur en hun hele toeleveringsketen. ‘Of het nou gaat om de post, de voedselproductie, de afvalverwerking, de energie- en zorgsector; die essentiële diensten zijn kwetsbaar. We moeten in Nederland niet naïef zijn dat het hier veel beter geregeld is. Wat je ook vaak bij Nederlandse bedrijven ziet, dat als een hacker eenmaal binnen is, ze bij alle systemen kunnen. Daar moeten eigenlijk meerdere beveiligingslagen tussen zitten, maar in de praktijk is dat vaak niet zo. Die bedrijven moeten echt weerbaarder worden tegen dit soort aanvallen.’


QNAP bestempelt ransomware-aanval op NAS-systemen als "opgelost"

QNAP heeft vandaag een advisory gepubliceerd over de aanval met de Deadbolt-ransomware op NAS-systemen en heeft het incident als "opgelost" bestempeld. Alle details rond de aanval en oplossing zijn duidelijk geworden. Volgens de NAS-fabrikant begon de aanval op 25 januari, waarbij de ransomware allerlei bestanden op duizenden kwetsbare NAS-systemen versleutelde. Uit onderzoek bleek dat de aanvallers een kwetsbaarheid in de QTS-firmware gebruikten waarvoor QNAP op 13 januari had gewaarschuwd. De update voor dit beveiligingslek was op 23 december vorig jaar beschikbaar gemaakt. Op 27 januari besloot QNAP om deze update als "aanbevolen versie" te bestempelen, waardoor die automatisch op NAS-systemen werd geïnstalleerd waar automatisch updaten stond ingeschakeld. Vorig jaar juni kwam QNAP met QTS 4.5.3 waarin de optie voor de installatie van "aanbevolen versies" standaard staat ingeschakeld. Sinds heeft QNAP bij veel NAS-systemen de mogelijkheid om updates te installeren. Het komt echter zelden voor dat het bedrijf een update als aanbevolen versie bestempelt. Daarnaast kan het updateproces de werking van de NAS verstoren. Gebruikers worden door QNAP aangeraden naar de laatste versie van QTS of QuTS Hero te upgraden mocht dat nog niet zijn gebeurd. Daarmee wordt de Deadbolt-ransomware in quarantaine geplaatst. Dit zorgt er echter ook voor dat de pagina wordt verwijderd waarmee gebruikers die losgeld hebben betaald hun bestanden kunnen ontsleutelen. QNAP roept deze gebruikers op om contact op te nemen met de helpdesk. Eerder kwam antivirusbedrijf Emsisoft met een gratis decryptietool om deze gebruikers te helpen.


Britse snackproducent getroffen door ransomware Conti-groep

De Britse snoepfabrikant KP Snacks is het doelwit van een ransomware-aanval. Ingewijden zeggen dat vertrouwelijke gegevens zijn versleuteld door gijzelsoftware van de hackersgroep Conti. Door de aanval loopt het in het honderd in de gehele distributieketen. KP Snacks is een bedrijf dat zoete tussendoortjes maakt en verkoopt, waaroder PopChips, Skips, Hula, Wheat Crunchies, en ga zo maar door. De fabrikant is actief in het Verenigd Koninkrijk, waar meer dan 2.000 medewerkers werken en het jaarlijks een omzet van ruim 900 miljoen dollar boekt. Al met al een aantrekkelijk doelwit voor hackers en cybercriminelen om met cyberaanvallen te bestoken. Dat is dan ook precies wat er eind vorige maand gebeurde. In een brief aan zakenpartners schrijft KP Snacks dat ze op vrijdag 28 januari ontdekte dat de computersystemen waren geïnfecteerd met ransomware. IT-medewerkers en werknemers van een extern cybersecuritybedrijf probeerden afgelopen weekend een inschatting te maken van de omvang van de aanval. Deze is nog steeds niet volledig in kaart gebracht. De aanval met gijzelsoftware heeft grote gevolgen, niet alleen voor het bedrijf zelf, maar ook voor zijn zakenpartners. Zij ontvingen de afgelopen dagen een brief waarin ze op de hoogte werden gebracht van de laatste ontwikkelingen. Vanwege de aanval zijn bestellingen vertraagd, komen orders niet aan of worden ze geannuleerd. Mogelijk houden de bevoorradingsproblemen nog tot eind maart aan.


Nederland wil Oekraïne helpen bij cyberveiligheid

Nederlandse specialisten gaan Oekraïne helpen in de strijd tegen cyberaanvallen. Dat zei Rutte vandaag tijdens een persconferentie in Kiev met de Oekraïense president Zelensky. Over andere hulp aan het land zoals kogelvrije vesten of wapens is nog geen duidelijkheid. Rutte benadrukte nog eens dat Nederland bereid is om 'een robuust sanctiepakket' in te zetten tegen Rusland als de dreiging richting Oekraïne niet afneemt. "Verdere agressie vanuit Rusland richting Oekraïne zal serieuze consequenties hebben", verklaarde de premier. Verder stond Rutte stil bij de langslepende zaak rondom MH17. Hij prees de samenwerking met Oekraïne na de ramp.


Broshuis slachtoffer van ransomware-aanval

Opleggerfabrikant Broshuis is afgelopen weekend slachtoffer geworden van een ransonware-aanval. Daarbij is er data versleuteld en mogelijk ook gestolen. “In de ochtend van zaterdag 29 januari jongstleden is onze onderneming geconfronteerd met een ransomware aanval op onze systemen. Deze werd onmiddellijk gedetecteerd door onze IT afdeling. Een ongeautoriseerde derde partij heeft toegang geforceerd tot de systemen van Broshuis, waarbij de dader(s) data hebben versleuteld en mogelijk ook data hebben gestolen”, meldt Broshuis. “Direct na de ontdekking hebben we de nodige maatregelen getroffen om te zorgen dat de aanval zoveel mogelijk geïsoleerd werd en de mogelijke negatieve impact zoveel mogelijk beperkt. Op dit moment is nog onbekend wat de aard en omvang van de geraakte data is. We doen daartoe momenteel samen met externe specialisten onderzoek naar, evenals naar de oorzaak en gevolgen van de aanval voor de medewerkers, klanten, leveranciers en bedrijfsvoering. We zijn in contact met de autoriteiten en er is een melding gedaan bij De Autoriteit Persoonsgegevens.”  Veiligheid en openheid staat bij Broshuis voorop. “We realiseren ons dat de huidige situatie onzekerheid met zich meebrengt en dat raakt ons zeer. We werken daarom continu aan het behouden en versterken van onze veiligheid, ook op digitaal gebied. We gebruiken deze gebeurtenis om te leren en verder te verbeteren. We brengen u vanzelfsprekend direct op de hoogte zodra nieuwe informatie daar aanleiding toe geeft”, aldus Broshuis.


Duitse tankopslaggroep Oiltanking platgelegd door cyberaanval

De Duitse tankopslaggroep Oiltanking is platgelegd door een cyberaanval, waardoor alle laad- en lossystemen van het bedrijf buiten gebruik zijn. Hierdoor is het niet mogelijk om tankwagens te laden en benzine aan tankstations te leveren. Oiltanking is één van de grootste onafhankelijke aanbieders van tankruimte voor olie, chemicaliën en gassen wereldwijd. In 2019 bedroeg de totale overslag zo'n 155 miljoen ton. De aanval heeft niet alleen gevolgen voor tankstations in Duitsland, maar ook voor bedrijven zoals Shell. In Duitsland exploiteert Oiltanking in totaal dertien tankparken. Voor zover bekend is er geen risico op een volledige uitval van de tankbevoorrading in Duitsland. Shell stelt dat de gevolgen worden opgevangen door gebruik te maken van alternatieve oplaadpunten. De aanval, die dit weekend werd ontdekt, heeft ook it-systemen van oliehandelaar Mabanaft geraakt. De volledige omvang van het incident is nog onduidelijk, zo melden Handelsblatt en WirtschaftsWoche. Mabanaft behoort net als Oiltanking tot de Marquard & Bahls Group, die in 2020 een omzet van ongeveer 9,2 miljard euro had. Verdere details over de aanval zijn niet openbaar gemaakt, maar sommige experts vermoeden dat het om een ransomware-aanval gaat.


'Werk ligt stil bij Belgische terminaluitbater Sea-Invest na cyberaanval'

Volgens de Belgische krant De Tijd liggen de werkzaamheden bij Sea-Invest sinds vrijdag stil. Het bedrijf beheert wereldwijd haventerminals voor het doorvoeren van bulkgoederen. Ingewijden melden dat het bedrijf slachtoffer is van een cyberaanval. De Tijd sprak met ingewijden die claimen dat alle activiteiten van Sea-Invest sinds vrijdag zo goed als stil liggen. Sea-Invest wilde tegenover de krant niet reageren. Een woordvoerder meldt dat ze geen commentaar geven. Toch lijken er wel degelijk problemen met de doorvoer van goederen. De supermarktketen Colruyt verwacht dat door de problemen bij Sea-Invest hinder bij leveringen van levensmiddelen, waaronder ananas en bananen. Al verwacht de supermarkt niet dat klanten dit zullen merken. Sea-Invest verwerkt goederen in Belgische havens en is ook actief in Zuid-Afrika, Duitsland, Frankrijk, Polen, Ivoorkust, Luxemburg en Senegal. Bij het bedrijf werken 5500 mensen en volgens eigen cijfers verwerkt het bedrijf jaarlijks meer dan 150 miljoen ton aan goederen. Het zou niet de eerste keer zijn dat haventerminals doelwit zijn van een ransomware-infectie. In 2017 was ook Rotterdam doelwit van hackers en kwamen twee terminals stil te liggen. De haven is daarom in 2020 begonnen met het opzetten van een digitale brandweer, om dit soort aanvallen te voorkomen.


Cyberspies gekoppeld aan Memento ransomware gebruiken nieuwe PowerShell malware

Een door de Iraanse staat gesteunde hackgroep die wordt gevolgd als 'APT35' (ook bekend als Phosphorus of Charming Kitten) implementeert nu een nieuwe achterdeur genaamd PowerLess en ontwikkeld met behulp van PowerShell. De dreigingsgroep gebruikte de voorheen onbekende malware ook om extra modules in te zetten, waaronder infodiefstallen en keyloggers, volgens een rapport dat vandaag is gepubliceerd door het Cybereason Nocturnus Team. De PowerLess-backdoor beschikt over gecodeerde command-and-control-communicatiekanalen en maakt het mogelijk om opdrachten uit te voeren en lopende processen op gecompromitteerde systemen te doden. Het ontwijkt ook detectie door het uit te voeren in de context van een .NET-toepassing waarmee het zich kan verbergen voor beveiligingsoplossingen door geen nieuwe PowerShell-instantie te starten. "De geanalyseerde toolset bevat extreem modulaire, meertraps malware die extra payloads in verschillende fasen decodeert en implementeert omwille van zowel stealth als effectiviteit. Op het moment van schrijven van dit rapport bleven sommige IOC's actief met het leveren van nieuwe payloads," aldus de Cybereason-onderzoekers..

Power Less Trojan
PDF – 1,8 MB 154 downloads

Patchlijst Amerikaanse overheid passeert 350 aangevallen kwetsbaarheden

Een lijst van de Amerikaanse overheid met actief aangevallen kwetsbaarheden die federale overheidsinstanties verplicht binnen een bepaalde tijd moeten patchen is inmiddels de 350 beveiligingslekken gepasseerd. Eén van de kwetsbaarheden dateert van 2006. Organisaties kunnen de lijst gebruiken om hun blootstelling aan cyberaanvallen te verkleinen, aldus het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security en opsteller van de lijst. Het CISA lanceerde de lijst afgelopen november. Het gaat hier om kwetsbaarheden waar actief misbruik van is of wordt gemaakt om systemen te compromitteren. Door het afgeven van een "Binding Operational Directive" kan het CISA federale Amerikaanse overheidsinstanties verplichten om beveiligingslekken op de lijst binnen een bepaalde tijd te patchen. Het overzicht is echter ook handige voor organisaties en bedrijven, aldus het CISA. Op de lijst staan nu 351 actief aangevallen kwetsbaarheden. Daarvan dateren er 134 van 2021 en 103 van 2020. Er staat inmiddels ook een beveiligingslek uit 2022 op, namelijk een kwetsbaarheid in iOS en macOS. Het oudste lek in het overzicht stamt uit 2006 en bevindt zich in Apache Struts. Sinds de lijst werd gelanceerd zijn er zestig beveiligingslekken aan de lijst toegevoegd, met de laatste update afgelopen vrijdag.


Decryptietool beschikbaar voor ransomware die QNAP-systemen versleutelt

Securitybedrijf Emsisoft heeft een gratis tool uitgebracht die slachtoffers van de Deadbolt-ransomware moet helpen bij het ontsleutelen van hun QNAP-systeem. De tool werkt alleen als slachtoffers het losgeld hebben betaald. Vorige week raakte naar schatting zo'n vijfduizend NAS-systemen van fabrikant QNAP besmet met de Deadbolt-ransomware. Deze ransomware maakt misbruik van een kwetsbaarheid in de QTS-firmware om bestanden op het NAS-apparaat te versleutelen. Slachtoffers moeten zo'n duizend euro losgeld betalen voor het ontsleutelen van hun bestanden. Afgelopen donderdag installeerde QNAP op tal van kwetsbare NAS-systemen de meest recente firmware-update waarmee de gebruikte kwetsbaarheid wordt verholpen. Daarnaast plaatst deze firmware-update de Deadbolt-ransomware in quarantaine. Dit heeft gevolgen voor gebruikers, aangezien daarmee ook de Deadbolt-pagina van het NAS-systeem verdwijnt die nodig is voor de decryptie van bestanden. QNAP liet weten dat het gebruikers kan helpen bij het terugplaatsen van deze pagina. Emsisoft heeft echter een gratis decryptietool uitgebracht die versleutelde bestanden ook zonder de Deadbolt-pagina kan ontsleutelen. Gebruikers moeten echter wel over de decryptiesleutel beschikken om de tool te kunnen gebruiken.


QNAP achterhaalt hoe Deadbolt-ransomware NAS-systemen infecteert

QNAP heeft naar eigen zeggen achterhaald hoe de Deadbolt-ransomware wereldwijd NAS-systemen infecteert, maar details zijn nog niet openbaar gemaakt, behalve dat de laatste firmware-update deze vectoren verhelpt. Volgens Censys zijn nog vierduizend door Deadbolt versleutelde NAS-systemen vanaf het internet toegankelijk. Op het hoogtepunt waren dat er vijfduizend. Vorige week woensdag kwam QNAP met een waarschuwing voor de Deadbolt-ransomware en adviseerde NAS-gebruikers om hun systeem niet direct vanaf het internet toegankelijk te maken. Deadbolt versleutelt bestanden op NAS-systemen en eist zo'n duizend euro losgeld voor het ontsleutelen. De aanvallers achter de ransomware claimen dat ze van een zerodaylek gebruikmaken voor het infecteren van QNAP-systemen. Na de waarschuwing lieten gebruikers weten dat QNAP zonder hun toestemming een firmware-update had geïnstalleerd. De communicatie vanuit QNAP hierover is nogal gebrekkig te noemen. Zo vindt die plaats via Reddit en is op z'n minst onduidelijk. In een eerste verklaring vier dagen geleden liet een QNAP-medewerker weten dat bij NAS-systemen waar het installeren van "recommended updates" was ingeschakeld, er een update automatisch was geïnstalleerd om gebruikers tegen de ransomware te beschermen. QNAP heeft vorig jaar april een update uitgebracht die er vanaf dan voor zorgt dat "recommended firmware-updates" automatisch worden geïnstalleerd. Gebruikers wezen dan ook naar deze optie als verklaring voor de installatie van de firmware-update. Verschillende gebruikers stelden dat ze de automatische installatie van updates hadden uitgeschakeld. In een andere verklaring lijkt QNAP toch te stellen dat het om een geforceerde update gaat. Volgens de QNAP-medewerker is erin het configuratiescherm van het NAS-systeem een melding getoond dat de installatie van aanbevolen updates binnenkort zou worden ingeschakeld om gebruikers tegen de Deadbolt-ransomware te beschermen. Veel gebruikers zouden deze boodschap echter hebben gemist. Gebruikers zijn niet blij over deze werkwijze en spreken van een backdoor. "Ik weet zeker dat ik auto-updates had uitgeschakeld. Maar klaarblijkelijk is er een backdoor aanwezig waardoor ze updates kunnen doorvoeren", zegt een ontevreden gebruiker. Andere gebruikers melden dat de geforceerde update bij hen voor problemen zorgt. De betreffende firmware-update verhelpt meerdere kwetsbaarheden in onder andere Samba, de opensourcesoftware die van het smb-protocol gebruikmaakt en bijvoorbeeld Windows-machines met Unix-machines via zowel lokale netwerken als het internet laat communiceren. Of en welke van deze beveiligingslekken Deadbolt misbruik maakt is op dit moment nog onduidelijk. Daarnaast plaatst de vorige week uitgerolde update de Deadbolt-ransomware in quarantaine. Dit heeft gevolgen voor gebruikers, aangezien daarmee ook de Deadbolt-pagina van het NAS-systeem verdwijnt die nodig is voor de decryptie van bestanden. QNAP laat weten dat de helpdesk deze pagina kan terugplaatsen, zodat gebruikers die het losgeld betalen en over een decryptiesleutel beschikken hun bestanden kunnen ontsleutelen.

The Q Napping Of QNAP Devices
PDF – 712,9 KB 144 downloads

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten