De bibliotheek voor digitale criminaliteit

Ransomware weekoverzicht week 47-2020

Gepubliceerd op 23 november 2020 om 12:00

Ransomware overzicht

Afgelopen week zagen we een grote storing door ransomware bij 'Sportfondsen Nederland'. Zondag heeft Manchester United de systeem uitgezet wegens een cyberaanval en Belgische bedrijven betaalden ransomware criminelen 30 miljoen euro.

In Latijns-Amerikaanse had retail gigant 'Cencosud' te maken met een aanval van de Egregor-ransomware die technische problemen veroorzaakte bij tal van winkels, waaronder supermarkten.

Exploitant van koelopslagplaatsen 'Americold' werd vorig weekend ook getroffen door een ransomware aanval die aanzienlijke problemen met de voedseldistributie veroorzaakte voor tal van supermarkten in de VS en in Canada werd de stad Saint John getroffen door ransomware waardoor allerlei diensten voor burgers onbereikbaar waren.

16 november 2020

Belgische bedrijven betaalden ransomware criminelen 30 miljoen euro

Belgische bedrijven die door ransomware werden getroffen hebben criminelen achter de aanvallen zeker 30 miljoen euro betaald om hun data terug te krijgen. Het werkelijke bedrag bedraagt mogelijk 100 miljoen euro per jaar. Dat liet de ceo van een security bedrijf dat ransomware betalingen faciliteert tijdens een hoorzitting aan de Belgische Kamercommissie Economie weten.

Capcom bevestigt datalek nadat de gegevens van gamers zijn gestolen tijdens een cyberaanval

De Japanse game gigant Capcom heeft een datalek aangekondigd nadat hij had bevestigd dat aanvallers gevoelige klant- en werknemersinformatie hebben gestolen tijdens een recente ransomware-aanval.

Tientallen ransomware bendes werken samen met hackers om slachtoffers af te persen

Ransomware-as-a-service (RaaS) -cybercriminelen zijn actief op zoek naar ondernemingen om de winst die is behaald met uitbestede ransomware aanvallen die gericht zijn op bekende openbare en particuliere organisaties, te verdelen.

Koel opslag gigant Americold getroffen door cyberaanval, services getroffen

Koel opslag gigant Americold heeft momenteel te maken met een cyberaanval die gevolgen heeft voor hun activiteiten, waaronder telefoonsystemen, e-mail, voorraadbeheer en orderverwerking.

Nieuwe STOP Djvu ransomware-variant

Michael Gillespie vond een nieuwe STOP Djvu-ransomware variant die de extensie .epor toevoegt .

Nieuwe Flamingo Ransomware-variant

Michael Gillespie zag een nieuwe Flamingo Ransomware-variant die de .LIZARD- extensie toevoegt  en een losgeldbrief plaatst met de naam #READ ME.TXT .

Nieuwe MXX Ransomware-jacht

Michael Gillespie ontdekte een nieuwe niet-geïdentificeerde ransomware die de .MXX- extensie toevoegt en een losgeldbrief plaatst met de naam How To Recover Your Files !!!!. Txt .

Nieuwe Phobos Ransomware-variant

xXToffeeXx zag een nieuwe Phobos-ransomwarevariant die de .ELDAOLSA- extensie toevoegt .

Nieuwe Joker Ransomware

@ 0x4143  vond de nieuwe Joker's Ransomware die de .joker- extensie toevoegt en een losgeldbrief plaatst met de naam  POWER-JOKER-PASSWORD.txt .

Joker Ransomware

New Dharma Ransomware varianten

Jakub Kroustek  vond een bos van Dharma Ransomware varianten die append de .dex , .sss , .zimba en .help extensies.

17 november 2020

Nibiru ransomware variant decryptor

De Nibiru-ransomware is een .NET-gebaseerde malware familie. Het doorzoekt mappen op de lokale schijven, versleutelt bestanden met Rijndael-256 en geeft ze een .Nibiru extensie. Rijndael-256 is een veilig coderingsalgoritme. Nibiru gebruikt echter een hard gecodeerde string "Nibiru" om de 32-byte-sleutel en 16-byte IV-waarden te berekenen. Het decoderingsprogramma maakt gebruik van deze zwakte om bestanden te decoderen die door deze variant zijn versleuteld.

Nieuwe Matrix ransomware-variant

xiaopao heeft een nieuwe Matrix Ransomware-variant gevonden die de .TG33- extensie toevoegt .

Nieuwe HiddenTear ransomware-variant

xiaopao heeft een nieuwe HiddenTear-ransomwarevariant gevonden die de extensie .r2block toevoegt

New ZIN Dharma ransomware variant

xiaopao heeft een nieuwe Dharma Ransomware-variant gevonden die de .ZIN-  extensie toevoegt .

Nieuwe Preekstoel Ransomware

Siri  heeft een nieuwe ransomware gevonden die de extensie .pulpit toevoegt .

18 november 2020

REvil ransomware treft Managed.com hostingprovider, 500K losgeld

Managed webhosting provider Managed.com heeft hun servers en webhosting systemen offline gehaald omdat ze worstelen om te herstellen van een REvil-ransomware aanval in het weekend.

De Egregor-ransomware bombardeert de printers van de slachtoffers met losgeldbriefjes

De Egregor-ransomware gebruikt een nieuwe benadering om de aandacht van een slachtoffer te trekken na een aanval: maak losgeldbriefjes van alle beschikbare printers.

Nieuwe Lola Ransomware

MalwareHunterTeam heeft een nieuwe ransomware gevonden die zich voordoet als een Blockchain Generator die de .lola- extensie toevoegt en een losgeldbrief plaatst met de naam Please_Read.txt

19 november 2020

Systemen Canadese stad getroffen door ransomware-aanval

Systemen van de Canadese stad Saint John zijn getroffen door een ransomware-aanval waardoor allerlei diensten voor burgers onbereikbaar zijn. Zo is het niet mogelijk om online te betalen en is ook de website van de 70.000 inwoners tellende stad offline. Parkeren is op het moment alleen via contant geld mogelijk.

Mount Locker ransomware richt zich nu op uw TurboTax-belastingaangiften

De Mount Locker ransomware-operatie maakt zich op voor het belastingseizoen door zich specifiek te richten op TurboTax-aangiften voor versleuteling.

Nieuwe STOP Djvu ransomware-variant

Michael Gillespie vond een nieuwe STOP Djvu-ransomwarevariant die de extensie .sglh toevoegt  .

Nieuwe REDROMAN Ransomware

MalwareHunterTeam vond een nieuwe ransomware die de .REDROMAN toevoegt  en losgeldnota's RR_README.html , OPENTHIS.html en README.html laat vallen .

20 november 2020

Ransomware zorgt voor grote storing bij Sportfondsen Nederland

Sportfondsen Nederland, dat honderden voorzieningen zoals zwembaden, sporthallen, ijsbanen en sportcentra in Nederland exploiteert, is slachtoffer van ransomware geworden. Eerder deze week meldde Sportfondsen Nederland dat de systemen met een grote storing te maken hadden, wat gevolgen had voor de bereikbaarheid.

QBot werkt samen met de Egregor-gijzelsoftware bij botaanvallen

De Qbot-banktrojan heeft de ProLock-ransomware laten vallen ten gunste van de Egregor-ransomware die in september in actie kwam.

LightBot: TrickBot's nieuwe verkenningsmalware voor hoogwaardige doelen

De beruchte TrickBot heeft een nieuwe lichtgewicht verkenningstool uitgebracht die wordt gebruikt om het netwerk van een besmet slachtoffer te onderzoeken op waardevolle doelen.

FBI waarschuwt voor toenemende Ragnar Locker-ransomwareactiviteit

De cyberdivisie van het Amerikaanse Federal Bureau of Investigation (FBI) heeft particuliere partners uit de industrie gewaarschuwd voor toegenomen Ragnar Locker-ransomwareactiviteit na een bevestigde aanval vanaf april 2020.

Nieuwe ransomware-jacht

Michael Gillespie zag een nieuwe niet-geïdentificeerde ransomware die de .esexz toevoegt en een losgeldbrief plaatst met de naam readme.txt .

Nieuwe SWP Dharma-ransomwarevariant

xiaopao heeft een nieuwe Dharma Ransomware-variant gevonden die de .SWP- extensie toevoegt  .

De malware die gewoonlijk ransomware installeert en die u meteen moet verwijderen

Dit artikel richt zich op de bekende malware stammen die de afgelopen twee jaar zijn gebruikt om ransomware te installeren.

Ransomware met verborgen bericht

MalwareHunterTeam vond een ransomware met een interessant verborgen bericht.

Ziekenhuis getroffen met aangepaste ransomware

Michael Gillespie ontdekte dat een ziekenhuis werd getroffen door een aangepaste ransomware.

New Dharma Ransomware varianten

Jakub Kroustek  vond een aantal Dharma Ransomware-varianten die de .cvc-  extensie toevoegen.

22 november 2020

Manchester United schakelt systemen uit wegens cyberaanval

De Britse voetbalclub Manchester United is doelwit van een cyberaanval geworden waardoor het zich genoodzaakt zag om meerdere systemen uit te schakelen. Om wat voor aanval het precies gaat en hoeveel systemen er zijn getroffen wordt niet in het persbericht vermeld.

Met dank aan de bijdragers van deze week:

@demonslay335, @malwareforme, @malwrhunterteam, @jorntvdw, @struppigel, @fwosar, @serghei, @PolarToffee, @LawrenceAbrams, @VK_Intel, @Seifreed, @FourOctets, @FourOctets, @BleepinComputer, @DanielGallagher, @Ionut_Ilascu, @GroupIB_GIB, @Intel471Inc, @coveware, @juanbrodersen, @identidadrobada, @Kangxiaopao, @fbgwls245, @TalosSecurity, @0x4143, @JakubKroustek, @campuscodi, @siri_urz

Ransomware

Ransomware cyberaanvallen zijn een big business, zo groot zelfs dat onderzoek verwacht dat een bedrijf elke 11 seconden wordt aangevallen door een cybercrimineel  en dat de schade als gevolg van deze aanvallen tegen 2021 ongeveer 20.000.000.000.000,- (20 biljoen) dollar zal bedragen .

Wat is Ransomware?

Ransomware is software waarmee de computer wordt ‘gegijzeld’. Het slachtoffer kan niet meer bij zijn persoonlijke bestanden. Bij het opstarten van de computer verschijnt een melding dat een bedrag betaald moet worden om weer toegang te krijgen. Wil je meer weten over Ransomware, dan kun je hier verder lezen.

Doxware

Wat is Doxware?

Doxware is een soort ransomware die persoonlijke gegevens aan het publiek dreigt vrij te geven als de gebruiker het losgeld niet betaalt.

De term komt van de hacker-term 'doxing' of het vrijgeven van vertrouwelijke informatie via internet. Doxware-aanvallen infecteren computers vaak via phishing-e-mails. Meer weten over doxware, dan kun je hier verder lezen.

Advies

  1. Installeer een goede virusscanner.
  2. Houd alle software up-to-date, waaronder besturingssysteem, internetbrowser, browser aanvullingen en populaire programma's, zoals Adobe Reader. Met ScanCircle zie je snel hoe je pc ervoor staat. Voor software als Adobe Flash en Java is uitschakelen aan te raden.
  3. Klik niet op bijlagen en links in e-mails, tenzij je zeker weet dat het vertrouwd is. Twijfel je, kijk dan op de Opgelicht website of de e-mail daar voorkomt. Zo niet, wacht dan een dag en controleer nogmaals of stuur hem door naar digitaalgids@consumentenbond.nl voor uitsluitsel. 
  4. Schakel geen macro's bij Office-documenten van derden, zeker niet als daar in het document om wordt gevraagd.
  5. Ransomware is vaak een uitvoerbaar .exe-bestand, vermomd als ander soort bestand, bijvoorbeeld een pdf-document. Schakel  bestandsextensies weergeven, zodat je de vermomming kunt doorzien.
  6. En tenslotte: back-ups maken! Dat is sowieso verstandig, maar bij ransomware-besmetting vaak het enige redmiddel om verlies van al je gegevens te voorkomen.

Wilt u weten hoe uw digitale veiligheid is? Doe dan hier de test en ontvang uw test score. (.../10)

Meer weekoverzichten

Ransomware berichten

Doxware berichten

Cybercrime algemeen


«   »