De bibliotheek voor digitale criminaliteit

Ransomware weekoverzicht week 44 - 2020

Gepubliceerd op 2 november 2020 om 13:28

Ransomware weekoverzicht 44-2020

Afgelopen week hebben we een gezamenlijke aanval gezien op de gezondheidszorg. We zagen ook dat enkele grote bekende bedrijven werden getroffen door ransomware die hun bedrijfsactiviteiten beïnvloedden.

Maar het grootste nieuws afgelopen week was toch dat de Amerikaanse regering de gezondheidszorg waarschuwde dat er "geloofwaardige informatie was over een toenemende en op handen zijnde cybercriminaliteitsdreiging voor Amerikaanse ziekenhuizen en zorgverleners". Als resultaat van deze aanvallen hebben we afgelopen week zes ziekenhuizen gezien die het doelwit waren van aanvallen, waaronder 'Wyckoff Hospital', 'University of Vermont Health Systems' , 'Sky Lakes Medical Center' en 'St. Lawrence Health System'.

We hoorden ook van ransomware aanvallen op bekende bedrijven, zoals meubelfabrikant 'SteelCase', het Franse IT-adviesbureau 'Sopra Steria' en het Italiaanse energiebedrijf  'Enel Group'.

Ten slotte verklaarde een vertegenwoordiger van REvil, bekend als UNKN, dat ze in een jaar tijd $ 100 miljoen verdienden, en de beruchte Maze-bende is begonnen met het stopzetten van hun ransomware-operatie .

24 oktober 2020

Nieuwe Russische Ransomware

dnwls0719 vond een nieuwe ransomware gericht op Rusland die de .pizhon- (Random) extensie toevoegt aan gecodeerde bestanden.

26 oktober 2020

Sopra Steria bevestigt te zijn getroffen door een Ryuk-ransomwareaanval

Het Franse IT-dienstverlener Sopra Steria heeft vrijdag bevestigd dat ze op 20 oktober 2020 werden getroffen door een Ryuk-ransomware-aanval.

Nieuwe STOP Djvu-ransomware variant

Michael Gillespie  vond een nieuwe STOP-ransomwarevariant die de .iiss- extensie toevoegt  aan gecodeerde bestanden.

Nieuwe Xorist-ransomware variant

Michael Gillespie vond een nieuwe Xorist-ransomware variant die de  .ZaLtOn-  extensie toevoegt aan gecodeerde bestanden.

Nieuwe variant van TheDMR ransomware

Amigo-A  vond een nieuwe variant van TheDMR Ransomware die zichzelf 'Alvin Ransomware' noemt en de .ALVIN- extensie toevoegt en een losgeldbrief plaatst met de naam HOE VERSLEUTELDE BESTANDEN.txt TE HERSTELLEN .

Nieuwe Ransomware32 ransomware

Karsten Hahn  vond ransomware geschreven in Rust genaamd Ransomware32 die de .encrypted extensie toevoegt en een losgeldbrief plaatst met de naam README_encrypted.txt .

27 oktober 2020

Enel Group opnieuw getroffen door ransomware, eist Netwalker $ 14 miljoen

Netwerken van het gigantische energiebedrijf Enel zijn dit jaar voor de tweede keer getroffen door een ransomwareaanval. Deze keer vraagt ​​Netwalker $ 14 miljoen losgeld voor de decoderingssleutel.

Meubelgigant Steelcase getroffen door Ryuk ransomware-aanval

Kantoor meubelgigant Steelcase heeft te maken gehad met een ransomware-aanval waardoor ze hun netwerk moesten afsluiten om de verspreiding van de aanval tegen te gaan.

Nieuwe Mars-ransomware

Michael Gillespie vond een nieuwe ransomware die de .mars- extensie toevoegt aan gecodeerde bestanden en een losgeldbrief plaatst met de naam! MARS_DECRYPT.TXT .

Nieuwe Ransomware COVID

MalwareHunterTeam  vond 'Ransomware COVID' dat de .crypt- extensie toevoegt aan gecodeerde bestanden.

Nieuwe SnapDragon-ransomware

0x4143 vond een nieuwe ransomware genaamd SnapDragon die de  extensie .SNPDRGN toevoegt aan gecodeerde bestanden.

Nieuwe variant Wanna Scream

0x4143 vond een nieuwe Wanna Scream-variant die de .H @ RM @  -extensie toevoegt en losgeldnotities verwijdert met de naam info.hta en  ReadMe.txt .

28 oktober 2020

Valse COVID-19-enquête verbergt ransomware in Canadese universiteitsaanvallen

In de afgelopen weken hebben we een aantal phishing-aanvallen op universiteiten over de hele wereld waargenomen die we toeschrijven aan de Silent Librarian APT-groep. Op 19 oktober hebben we met een nep COVID-19-onderzoek een nieuw phishing document geïdentificeerd dat gericht was op personeel van de University of British Columbia (UBC).

New Ragnar Locker ransomware variant

GrujaRS  vond een nieuwe Ragnar Locker ransomwarevariant die de .__ r4gN4r__XXXXXXX  extensie toevoegt en een losgeldnota laat vallen met de naam! _ READ_ME_XXXXXXX _ !!!. Txt .

Nieuwe RegretLocker ransomware

MalwareHunterTeam  vond de RegretLocker-gijzelsoftware die de .mouse- extensie toevoegt en laat een losgeldbriefje vallen met de naam HOW TO RESTORE FILES.TXT .

29 oktober 2020

Maze ransomware stopt zijn cybercriminaliteitsoperatie

De cybercrime-bende Maze legt zijn activiteiten stil nadat hij is uitgegroeid tot een van de meest prominente spelers die ransomware-aanvallen uitvoert.

De REvil-ransomwarebende claimt in een jaar tijd meer dan $ 100 miljoen winst

De ontwikkelaars van REvil ransomware zeggen dat ze in één jaar tijd meer dan $ 100 miljoen hebben verdiend aan het afpersen van grote bedrijven over de hele wereld uit verschillende sectoren.

De hackgroep richt zich op Amerikaanse ziekenhuizen met Ryuk-ransomware

In een gezamenlijke verklaring waarschuwt de Amerikaanse regering de gezondheidszorg dat een hackgroep zich actief richt op ziekenhuizen en zorgverleners bij Ryuk-ransomwareaanvallen.

Ziekenhuizen in Brooklyn en Vermont zijn de laatste slachtoffers van Ryuk-ransomware

Wyckoff Heights Medical Center in Brooklyn en het University of Vermont Health Network zijn de laatste slachtoffers van de Ryuk-ransomware-aanval die de gezondheidszorg in de VS bestrijkt

Kiezersinformatie in Georgia County gelekt door ransomwarebende

De DoppelPaymer-ransomwarebende heeft niet-versleutelde gegevens vrijgegeven die zijn gestolen uit Hall County, Georgia, tijdens een cyberaanval eerder deze maand.

Nieuwe MyRansom-ransomware

GrujaRS vond een nieuwe ransomware genaamd MyRansom die geen extensie toevoegt, maar een losgeldbrief met de naam README.TXT laat vallen .

Nieuwe Bondy-ransomware

Siri  vond de Bondy Ransomware die de .bondy- extensie toevoegt en laat een losgeldbriefje achter met de naam HELP_DECRYPT_YOUR_FILES.txt .

Nieuwe STOP-ransomwarevariant

Michael Gillespie vond een nieuwe STOP-ransomwarevariant die de .jdyi- extensie toevoegt  aan gecodeerde bestanden.

Nieuwe variant Wanna Scream

Michael Gillespie vond een nieuwe Wanna Scream-variant die de .Bang- extensie toevoegt  aan gecodeerde bestanden.

New CCE ransomware variant

Siri vond een variant van de CCE-ransomware die de extensie .aieou toevoegt aan versleutelde bestanden.

Nieuwe RansomKart ransomware

0x4143 vond een nieuwe ransomware in ontwikkeling genaamd Ransomkart die de extensie .ransomkart toevoegt .

Nieuwe Hentai OniChan Version King Engine-ransomware

Siri vond een nieuwe ransomware die zichzelf 'Hentai OniChan Version King Engine' noemt en de .docm- extensie toevoegt aan gecodeerde bestanden.

30 oktober 2020

New Bondy variant

Siri vond een andere Bondy Ransomware-variant die de .Connect- extensie toevoegt .

UHS herstelt ziekenhuissystemen na Ryuk-ransomware-aanval

Universal Health Services (UHS), een Fortune 500-ziekenhuis en zorgverlener, zegt dat het erin is geslaagd om systemen te herstellen na een  Ryuk-ransomwareaanval in september.

 

Met dank aan de bijdragers van deze week:

@PolarToffee, @VK_Intel, @struppigel, @BleepinComputer, @malwrhunterteam, @malwareforme, @ demonslay335, @jorntvdw, @Seifreed, @FourOctets, @sergheb, @sLawrence, @Ionut_Ilascu, @DanielGallagher, @fwosa , @MarceloRivero, @Malwarebytes, @Amigo_A_, @GrujaRS, @ 0x4143, @ fbgwls245, @siri_urz, @Mandiant en @IntelAdvanced.

Ransomware

Ransomware cyberaanvallen zijn een big business, zo groot zelfs dat onderzoek verwacht dat een bedrijf elke 11 seconden wordt aangevallen door een cybercrimineel  en dat de schade als gevolg van deze aanvallen tegen 2021 ongeveer 20.000.000.000.000,- (20 biljoen) dollar zal bedragen .

Wat is Ransomware?

Ransomware is software waarmee de computer wordt ‘gegijzeld’. Het slachtoffer kan niet meer bij zijn persoonlijke bestanden. Bij het opstarten van de computer verschijnt een melding dat een bedrag betaald moet worden om weer toegang te krijgen. Wil je meer weten over Ransomware, dan kun je hier verder lezen.

Doxware

Wat is Doxware?

Doxware is een soort ransomware die persoonlijke gegevens aan het publiek dreigt vrij te geven als de gebruiker het losgeld niet betaalt.

De term komt van de hacker-term 'doxing' of het vrijgeven van vertrouwelijke informatie via internet. Doxware-aanvallen infecteren computers vaak via phishing-e-mails. Meer weten over doxware, dan kun je hier verder lezen.

Advies

  1. Installeer een goede virusscanner.
  2. Houd alle software up-to-date, waaronder besturingssysteem, internetbrowser, browser aanvullingen en populaire programma's, zoals Adobe Reader. Met ScanCircle zie je snel hoe je pc ervoor staat. Voor software als Adobe Flash en Java is uitschakelen aan te raden.
  3. Klik niet op bijlagen en links in e-mails, tenzij je zeker weet dat het vertrouwd is. Twijfel je, kijk dan op de Opgelicht website of de e-mail daar voorkomt. Zo niet, wacht dan een dag en controleer nogmaals of stuur hem door naar digitaalgids@consumentenbond.nl voor uitsluitsel. 
  4. Schakel geen macro's bij Office-documenten van derden, zeker niet als daar in het document om wordt gevraagd.
  5. Ransomware is vaak een uitvoerbaar .exe-bestand, vermomd als ander soort bestand, bijvoorbeeld een pdf-document. Schakel  bestandsextensies weergeven, zodat je de vermomming kunt doorzien.
  6. En tenslotte: back-ups maken! Dat is sowieso verstandig, maar bij ransomware-besmetting vaak het enige redmiddel om verlies van al je gegevens te voorkomen.

Wilt u weten hoe uw digitale veiligheid is? Doe dan hier de test en ontvang uw test score. (.../10)

Meer weekoverzichten

Ransomware berichten

Doxware berichten


«   »