Breaking News

•••  All important news related to new attacks and see the solutions we can offer you  •••

30/11/2022

Hof van Twente wil schade ransomware-aanval verhalen op it-leverancier

Read the original article here
Cyber Defense

De gemeente Hof van Twente wil de schade van de ransomware-aanval waar het eind 2020 door werd getroffen verhalen op de it-leverancier die de systemen beheerde. Het gaat om een bedrag van vier miljoen euro. Criminelen wisten dankzij het wachtwoord "Welkom2020" binnen te dringen en konden uiteindelijk de ransomware uitrollen.

Uit onderzoek naar de aanval bleek dat door een aanpassing van de gemeentelijk firewall sinds oktober 2019 de RDP-poort van een ftp-server naar het internet toe openstond. Zo kon er op afstand op de server worden ingelogd. Een gemeentemedewerker had op 15 oktober 2020 het wachtwoord van een beheerdersaccount naar het wachtwoord "Welkom2020" gewijzigd. De tweefactorauthenticatie was voor dit account uitgeschakeld.

Aanvallers wisten het wachtwoord via een bruteforce-aanval te achterhalen. Vanaf oktober 2019 ging het om tienduizenden inlogpogingen per dag op de servers van de gemeente die niet door de it-leverancier werden opgemerkt. Volgens de gemeente heeft het bedrijf een wanprestatie geleverd, zo meldt RTV Oost.

De advocaat van de it-leverancier stelde vandaag tegenover de rechter dat de aanvallers door het handelen van de gemeente, namelijk de aanpassing van het wachtwoord en firewall, toegang tot de systemen kregen. De gemeente zou deze aanpassingen ook niet hebben gemeld bij de leverancier. "De gemeente was bovendien zelf verantwoordelijk voor de beheerdersrechten en de veiligheid van de systemen", aldus de advocaat van de it-leverancier.

Security.NL meldde vorige maand dat de gemeente Hof van Twente al voor de ransomware-aanval was gewaarschuwd voor het wachtwoordbeleid. Ook de rechter had zijn twijfels over het beleid. "Als ik aan mijn neefje uitleg dat het wachtwoord 'Welkom2020' is, wat zou hij dan denken?", zei de rechter. De gemeente stelde dat de it-leverancier had moeten waarschuwen voor de wachtwoordwijziging. "Helemaal bij zo'n belangrijk account." De rechter heeft beide partijen gevraagd om tot een schikking te komen. Komt die er niet, dan behandelt de rechter de zaak op 27 december verder.

Weet u hoe goed uw omgeving beveiligd is? U kunt uw controls automatisch laten valideren met Cymulate. En mocht er onverhoopt dan toch iemand cryptoware via een "legitiem account" de omgeving in weten te krijgen kunt u de aanvallen automatisch laten blokkeren met behulp van onze XDR oplossing van Cynet.

 

Neem contact op voor meer informatie

Contact
23/11/2022

Criminelen stelen 675.000 wachtwoorden van Nederlandse computers

Read the original article here
Cyber Defense

Criminelen zijn er in geslaagd om in de eerste zeven maanden van dit jaar elfduizend Nederlandse computers met malware te infecteren en zo 675.000 wachtwoorden te stelen. Wereldwijd raakten in totaal 890.000 computers besmet en werden meer dan vijftig miljoen wachtwoorden buitgemaakt. Dat stelt securitybedrijf Group-IB op basis van eigen onderzoek. Onderzoekers van het bedrijf identificeerden 34 bendes die achter de aanvallen zitten en gebruikmaken van bekende malware zoals RedLine en Raccoon Infostealer.

Deze malware is in staat om inloggegevens uit Google Chrome, Mozilla Firefox en Opera te stelen, waaronder opgeslagen wachtwoorden en creditcardgegevens, browsercookies en auto-fill content. Verder kan de malware data van cryptowallet-extensies stelen, inloggegevens en chatlogs van Telegram en Discord, inloggegevens voor het Steam-platform en Amazon, vpn-wachtwoorden voor NordVPN, OpenVPN en ProtonVPN, FTP-inloggegevens die in FileZilla zijn opgeslagen en tekst uit specifieke bestanden.

Naast 675.000 wachtwoorden werden ook gegevens voor 4500 cryptowallets van Nederlandse computers buitgemaakt. De gestolen gegevens worden door de criminelen vervolgens doorverkocht of zelf gebruikt om mee te frauderen. De RedLine-malware is volgens Group-IB het populairst en wordt door 23 van de 34 groepen ingezet. Voor de verspreiding van de wachtwoordstelers maken de aanvallers gebruik van links die ze onder andere plaatsen in reacties op YouTube. Ook wordt de malware toegevoegd aan software of op forums geplaatst.

Group-IB adviseert gebruikers om geen software van verdachte bronnen te downloaden, voor de installatie van aparte virtual machines of alternatieve besturingssystemen gebruik te maken, geen wachtwoorden in browsers op te slaan en geregeld cookies uit de browser te verwijderen.

Eerder dit jaar wist de Nederlandse politie een Oekraïense man aan te houden die door de Verenigde Staten wordt gezocht en een sleutelrol zou hebben gespeeld bij de verspreiding en ontwikkeling van de Raccoon Infostealer. De malware werd van 2018 tot begin van dit jaar aangeboden als malware-as-a-service of "MaaS". Voor het gebruik van de malware werd zo'n tweehonderd dollar per maand betaald.

Cert2Connect bied oplossingen om te controleren hoe veilig uw organisatie is, waarbij we geautomatiseerd de menselijke, technische en organisatorische factoren kunnen testen.

Daarnaast bieden we een state-of-the-art XDR oplossing welke dit soort aanvallen stopt voordat de gegevens gelekt zijn

Neem contact met ons op
14/11/2022

Canadese supermarktketen Sobeys getroffen door ransomware-aanval

Read the original article here
Cyber Defense

De Canadese supermarktketen Sobeys is getroffen door een ransomware-aanval, wat gevolgen heeft voor de dienstverlening aan klanten. Deze week meldde Sobeys dat het met een "it-probleem" te maken had waardoor verschillende diensten binnen de supermarkten niet meer werkten of met een vertraging. Daarnaast hadden sommige apotheken van Sobeys problemen met het uitleveren van medicijnen.

Het bedrijf gaf echter geen verdere details of aanvullende verklaringen en wilde ook niet met de pers spreken, zo meldt CBC. Twee Canadese privacytoezichthouders hebben inmiddels een melding van Sobeys ontvangen dat het bedrijf met een datalek te maken heeft. Volgens onbevestigde berichten zouden alle systemen vergrendeld zijn, waaronder de salarisadministratie.

Medewerkers hebben inmiddels foto's van versleutelde systemen gedeeld waarop een door ransomware geplaatste losgeldboodschap is te zien. Verder meldt ook website Bleeping Computer op basis van bronnen dat het om een ransomware-aanval gaat die eind vrijdag of begin zaterdagochtend plaatsvond. Of en wat voor soort gegevens er precies zijn gestolen en hoe de aanvallers toegang konden krijgen is nog onbekend.

Cert2connect heeft oplossingen om te kijken of u kwetsbaar (over de gehele keten) bent en als u dan kwetsbaar bent hebben we de best mogelijke XDR oplossing in ons portfolio. Neem contact met ons op voor meer informatie

Contact
Load more