Privacy Nieuws
RTL Nederland kampt met een mogelijke ransomware-aanval, meldt de eigen cybercrimejournalist Daniel van der Laan. Het mediabedrijf heeft cybersecuritybedrijf Fox-IT ingeschakeld om de digitale aanval tegen te gaan.
RTL vraagt medewerkers om zo veel mogelijk thuis te werken omdat de aanval op het zakelijke netwerk in Hilversum plaatsvindt.
Het is vooralsnog onduidelijk hoe groot de mogelijke ransomware-aanval is en wat de gevolgen zijn. De uitzendingen op de televisiekanalen van RTL en Videoland ondervinden in ieder geval geen problemen.
Of er geld is geëist, is nog niet bekend. “We zijn het aan het onderzoeken en kunnen daar op dit moment nog niets concreets over zeggen”, zegt een woordvoerder van RTL. RTL en zijn securitypartners doen nog onderzoek.
Privacy Nieuws
Cybercriminelen hebben de privégegevens van U2, Drake, Barbra Streisand, Madonna, Lady Gaga, Elton John en Robert De Niro in handen. Ze hebben advocatenkantoor Grubman Shire Meiselas & Sacks gehackt en eisen nu losgeld, meldt BBC News.
“We hebben onze cliënten en het personeel inmiddels ingelicht”, zegt een woordvoerder van het Amerikaanse advocatenkantoor. Er zijn inmiddels experts ingeschakeld om de juristen bij te staan.
De hackers zouden ruim 750 gigabyte aan data hebben bemachtigd, waaronder contracten en privémails. Online deelden ze enkele screenshots van het contract voor Madonna’s recentste wereldtournee.
Het kantoor Grubman Shire Meiselas & Sacks vertegenwoordigt meer dan tweehonderd beroemdheden.
De website van Grubman Shire Meiselas & Sacks is momenteel niet bereikbaar.
Privacy Nieuws
De Universiteit Maastricht (UM) heeft 197.000 euro losgeld betaald om haar computers te bevrijden van de malafide software die het netwerk van de universiteit vlak voor Kerst had gegijzeld, maakt de UM woensdag bekend tijdens een symposium over de cyberaanval. De universiteit heeft het bedrag in bitcoins betaald.
Daarmee bevestigt de UM eerdere berichtgeving van het universiteitsblad Observant en de Volkskrant, die los van elkaar berichtten dat de universiteit geld had overgemaakt om de problemen op te lossen die ontstonden na de digitale gijzeling.
De universiteit wilde die berichtgeving tot nu toe niet bevestigen, omdat de onderwijsinstelling beloofde tijdens de presentatie van woensdag meer details te delen.
Als gevolg van de aanval met de gijzelsoftware konden studenten, onderzoekers en andere medewerkers dagenlang onder meer niet e-mailen, beperkt gebruikmaken van het internet en hadden zij geen toegang tot bestanden op de servers van de universiteit.
Nick Bos, vicevoorzitter van het College van Bestuur van de UM, vertelt dat de universiteit voor een duivels dilemma stond. Aan de ene kant voelde het volgens hem moreel niet goed om als onderwijsinstelling, die door de overheid gefinancieerd wordt, cybercriminelen te betalen.
Maar de belangen van studenten, medewerkers en onderzoekers van de UM wogen hoger en het was volgens Bos noodzakelijk om hun data veilig te stellen.
De universiteit besloot daarom op 29 december om de twee ton te betalen aan de hackers.
Michiel Borgers, CIO van de UM vertelt dat de universiteit op de getroffen servers ook een aantal back-ups online hadden staan.
De hackers kregen toegang tot deze back-ups en versleutelden deze ook. Borgers laat tijdens het symposium weten dat de universiteit nu ook offline backups heeft gemaakt om dit in de toekomst te voorkomen.
Privacy Nieuws
Volgens de NOS blijkt uit een vertrouwelijk rapport van het Nationaal Cyber Security Centrum (NCSC) dat er meerdere Nederlandse bedrijven zijn getroffen door geavanceerde ransomware.
Een woordvoerder van het NCSC heeft aan NOS bevestigd dat er onderzoek is gedaan naar ransomware-aanvallen in het buitenland.
In het rapport staat niet om hoeveel bedrijven het gaat. Wel is bekend dat het internationaal meer dan 1800 bedrijven getroffen zijn door ransomware. Volgens het NCSC is een klein deel van deze bedrijven Nederlands.
Wanneer er ransomware op een computersysteem terecht komt worden bestanden versleuteld en moet de eigenaar geld betalen aan de hackers om weer toegang te krijgen.
Op het moment dat bedrijven de hackers achter de ransomware niet betalen kunnen ze alsnog grote verliezen lijden, omdat processen stil komen te liggen.
Het NCSC vermoedt dat de hackers achter de ransomware toegang hadden tot zero-day-kwetsbaarheden. Dit zijn beveiligingslekken in software die niet bekend zijn bij de ontwikkelaar van de software, waardoor kwaadwillende hackers ongestoord hun gang kunnen gaan tot het lek ontdekt wordt.
Wanneer een bedrijf wordt getroffen door ransomware worden er soms miljoenen euro’s betaald om weer toegang te krijgen tot de systemen.
Volgens het rapport komt dit ook voor in Nederland. In sommige gevallen kon het NCSC bedrijven waarschuwen voordat de ransomware werd geactiveerd.
Wie er achter de ransomware zit is niet bekend. Wel verwacht het NCSC dat dit soort aanvallen zullen blijven gebeuren, omdat het zeer winstgevend is.
Het is niet de eerste keer dat bekend wordt dat Nederlandse bedrijven doelwit zijn van ransomware. In 2017 werd de haven van Rotterdam getroffen door ransomware, waardoor de containerterminals stil kwamen te liggen.
Privacy Nieuws
Hackers hebben met behulp van ransomware een computernetwerk platgelegd dat gebruikt wordt door elf ziekenhuizen en vier bejaardentehuizen in de Duitse deelstaten Rijnland-Palts en Saarland. In de getroffen ziekenhuizen moesten artsen uit nood met pen en papier werken om hun medische diagnose vast te leggen en recepten te kunnen schrijven.
De hackers troffen onder meer medische klinieken in Worms, Mainz, Alzey en Bad Kreuznach met de ransomware-aanval.
De aangevallen ziekenhuizen behoren tot het Duitse Rode Kruis (DRK).
De ransomware heeft servers en databases versleuteld. Volgens het magazine Spiegel Online, kon het medisch personeel niet langer toegang krijgen tot de gegevens omdat die versleuteld bleken door de ransomware.
Tijdens de aanval moesten het medisch personeel en de administratie met potlood, balpen en papier opnames van patiënten en laboratoriumbevindingen opschrijven.
De zorg voor de patiënten zou echter niet in gevaar zijn geweest, medische hulpmiddelen niet aangetast en er zijn tot nu toe geen aanwijzingen dat er vertrouwelijke informatie is gestolen.
De hack werd zondagochtend opgemerkt. Het encryptieproces kon pas op zondagmiddag worden gestopt. Het Staatscentrum voor Cybercrime bij het Openbaar Ministerie in Koblenz deed onderzoek.
De zwakke plek in het netwerk waardoor hackers met hun ransomware konden infiltreren is nu geïdentificeerd. Volgens de regionale publieke omroep SWR, worden de betrokken computers inmiddels geleidelijk weer op het netwerk aangesloten.
Privacy Nieuws
De Amerikaanse stad Lake City heeft volgens nieuwszender WCJB ruim 400.000 euro betaald aan hackers om bestanden terug te krijgen die waren versleuteld met ransomware. De stad heeft het hoofd van de IT-afdeling ontslagen.
Eerder betaalde de stad Riviera Beach ook al ruim 530.000 euro losgeld aan cybercriminelen om bestanden terug te krijgen na een ransomware-aanval.
Lake City werd drie weken geleden getroffen door een ransomware-aanval. Verschillende diensten van de stad raakten daardoor buiten werking.
Het stadsbestuur heeft besloten het losgeld te betalen, om de sleutel tot de bestanden te krijgen.
De burgemeester van Lake City, Stephen Witt, zegt in een verklaring dat de decryptie-sleutel werkt en hoopt dat alle systemen binnen twee weken hersteld kunnen worden.
Er is een toename in ransomware-aanvallen, waarbij opvallend vaak overheidsinstellingen getroffen worden. Met name systemen van gemeenten in de Verenigde Staten zijn kwetsbaar.
Dit komt meestal omdat de instellingen met verouderde systemen werken die niet de laatste updates hebben. Hierdoor zijn de systemen kwetsbaar voor malware en hier maken hackers gebruik van.
Privacy Nieuws
De Amerikaanse stad Rivera Beach betaalt hackers 600.000 dollar losgeld om verlost te worden van gijzelsoftware. De hackers hadden met ransomware de gemeentelijke ICT-systemen platgelegd.
In Riviera Beach werd er malware geïnstalleerd op een pc van een ambtenaar, nadat deze op een onveilige link klikte in een e-mail.
Volgens CBS News heeft het stadsbestuur van Rivera Beach unaniem besloten om de cybercriminelen te betalen. De ransomware heeft bestanden versleuteld, waardoor ze niet meer toegankelijk zijn tot er losgeld betaald wordt.
De stad moet het losgeld in bitcoin betalen aan de hackers. Het besluit kwam nadat computersystemen van overheidsinstellingen door ransomware getroffen werden drie weken geleden.
Door de aanval konden ambtenaren niet meer bij hun bestanden en konden medewerkers van de alarmcentrale geen gesprekken registeren als er naar 911 gebeld werd.
Het bestuur van Riviera Beach had al besloten om een miljoen dollar (887.784 euro) uit te trekken voor nieuwe computersystemen, maar dit blijkt niet voldoende om alle processen weer op te starten.
Meerdere ransomware-aanvallen in de VS
Riviera Beach is niet de enige stad die getroffen is door ransomware. Ook de stad Baltimore kampt al weken lang met een ransomware-aanval. Daar werd besloten om niet te betalen.
Veel computers bij Amerikaanse overheden blijken vatbaar voor cyberaanvallen, omdat ze verouderd zijn en niet de laatste updates niet zijn geïnstalleerd. Hierdoor kunnen hackers gebruikmaken van oude kwetsbaarheden in software, die nog aanwezig zijn op deze oude systemen.
AVG Awareness, Privacy Nieuws
SamSam ransomware vormt een steeds grotere bedreiging voor veel organisaties. Het betreft ingenieuze software waarmee cybercriminelen binnendringen in systemen en dan maandenlang stilletjes hun grote slag voorbereiden.
Tientallen Nederlandse bedrijven zijn volgens het cyberbeveiligingsbedrijf Fox-IT inmiddels getroffen door deze gijzelsoftware die sinds 2015 operatief is. Het aantal slachtoffers neemt de laatste tijd toe.
De SamSam ransomware is volgens Amerika ontwikkeld door twee Iraanse ingenieurs. Beiden zijn bekend.
De cybercriminelen die met SamSam werken eisen soms tot honderduizenden Euro’s losgeld (ransom) om de blokkade van computers en netwerken weer vrij te geven. Het losgeld moet betaald worden in Bitcoin.
Hoe werkt SamSam?
SamSam werkt anders dan eerdere gijzelsoftware, zoals WannaCry en GandCrab. Die sloegen meteen na besmetting toe, vergrendelden bestanden en eisten losgeld.
De makers van SamSam wachten en loeren eerst. Ze kijken waar ze zijn binnengekomen en of ze dieper in de systemen kunnen doordringen, om zo meer schade aan te richten. Daarna verwijdert of saboteert SamSam in alle stilte de back-ups, om te voorkomen dat een bedrijf de besmetting ongedaan kan maken.
Pas als dat is gebeurd, slaat SamSam toe en worden de bestanden vergrendeld.
“Dit is een nieuwe trend. Ze gaan echt geraffineerd en zorgvuldig te werk, om de kans zo groot mogelijk te maken dat een slachtoffer geen andere optie heeft dan te betalen”, zegt onderzoeker Frank Groenewegen van Fox-IT.
Doordat computersystemen gericht worden gegijzeld, kunnen de makers een hoger losgeld eisen dan bij andere besmettingen.
“Soms weten ze zelfs hoeveel geld een bedrijf op de rekening heeft staan”, zegt Groenewegen. “Die informatie kunnen ze gebruiken om de hoogte van het losgeld te bepalen. Bedrijven die niet genoeg geld hebben, gaan ze niet lastigvallen. Die zijn de moeite niet waard, dan gaan ze weg.”
In 2017 werden tienduizenden computers in bijna honderd landen getroffen door de gijzelsoftware WannaCry.
Privacy Nieuws
37 procent van de ransomware-aanvallen is gericht op de zorgsector, meldt de cybersecurity verzekeringsmaatschappij Beazley Breach Response (BBR). De hoogste losgeldeis bedroeg maar liefst 2,8 miljoen dollar.
De extreem hoge losgeld eisen zijn volgens BBR gelukkig nog zeldzaam. De gemiddelde eis van cybercriminelen ligt momenteel rond de 10.000 dollar. Dit is beduidend hoger dan het gemiddelde van 1000 dollar dat in oktober 2016 werd gerapporteerd in de Breach Insights.
Volgens BBR is het aantal ransomware meldingen in september bijna verdubbeld ten opzichte van augustus.
In de eerste drie kwartalen van 2018 was 71% van de ransomware-incidenten die door BBR Services werden afgehandeld, bestemd voor het midden- en kleinbedrijf.
Er is volgens BBR momenteel ook een enorme groei van ransomaanvallen in de financiele en administratieve sector zichtbaar.
Een aantal ransomware-aanvallen in het derde kwartaal werden in verband gebracht met de campagnes van Ryuk en BitPaymer.
Er wordt veel BitPaymer ransomware gedetecteerd op netwerken die ook geïnfecteerd waren met banktrojans. Deze computer virussen worden gebruikt om gegevens te stelen van online platforms van banken.
BitPaymer ransomware besmette Schotse ziekenhuizen, verlamde de infrastructuur van een kleine stad in Alaska en sloot computers bij de Professional Golfers’ Association of America.
Ryuk, een variant van Hermes ransomware die werkt via speer phishing, besmette gezondheidszorgorganisaties in Canada en een watervoorziening in North Carolina.
Zo’n 71 procent van de ransomware-aanvallen was gericht op kleine en middelgrote bedrijven, wat aantoont hoe belangrijk het is voor alle bedrijven, ongeacht hun omvang, om meerdere, bijgewerkte back-ups bij te houden en serieus te investeren in IT.
De speer phishing aanvallen maken duidelijk hoe belangrijk het is om medewerkers te trainen in cybersecurity in een kantooromgeving.
AVG Awareness, Privacy Nieuws
Het is een rampscenario voor ieder bedrijf. Cybercriminelen leggen met malware – een virus waarmee afpersers losgeld afdwingen – het hele computernetwerk plat. De hele productie valt stil. Niemand kan nog inloggen. Geen omzet meer. Wat nu? Betalen?
In dit artikel leggen we aan de hand van een actueel praktijkvoorbeeld uit dat het niet verstandig is te betalen.
Grotere bedrijven hebben meestal nog wel financiele middelen en gekwalificeerde mensen om de ransomware te verwijderen en het probleem zelf op te lossen. Vaak hebben zij een goed backupsysteem. Zij kunnen omzetverlies nog opvangen. Zij kunnen het zich veroorloven om aangifte te doen bij justitie.
Ransomaanval kan katostrofaal zijn voor kleinere bedrijven
Maar dat ligt anders bij veel kleine en middelgrote bedrijven. Daar kan een ransomaanval katastrofaal uitpakken. Het voortbestaan van het bedrijf staat op het spel.
Juist veel van deze kleinere bedrijven denken dat het risico dat zij worden aangevallen door cybercriminelen wel meevalt. Je leest immers ook vrijwel alleen over grote datalekken bij grote organisaties.
Verplichtingen Algemene Verordening Gegevensbescherming niet op orde
Het zijn dezelfde bedrijven die nog nauwelijks aandacht hebben besteed aan de verplichtingen die de Algemene Verordening Gegevensbescherming (AVG) hen oplegt. Ze denken dat de Autoriteit Persoonsgegevens (AP) wegens personeelsgebrek zich voorlopig alleen op grote bedrijven richt.
Noord-Koreaanse cybercriminelen opereren als hyena’s
Kortom: juist deze bedrijven zijn kwetsbaar. Ooit een natuurfilm gezien waarbij een horde hyena’s jacht maakt op een zwakke gnoe in een kudde? Die beesten jagen bewust op een kwetsbare prooi. Kost minder energie. De kans op succes is groot.
Dezelfde strategie passen Noord-Koreaanse cybercriminelen momenteel toe. De arme communistische staat zit krap bij kas en heeft cybercrime omarmd als lucratief en eenvoudig verdienmodel. De Noord-Koreaanse staatshackers richten zich met hun malware opvallend vaak bij voorkeur op kleine en middelgrote bedrijven.
‘Relatief’ lage losgeld eisen
En er is nog iets wat opvalt. De Noord-Koreanen eisen opvallend vaak relatief weinig losgeld dat betaald moet worden in Bitcoin. Bedrijven zijn dan geneigd om sneller te betalen om van de ellende af te zijn. Om wanhopig het bedrijf te redden.
De Duitse geheime dienst (Verfassungsschutz) en de Duitse landelijke recherche (Landes Kriminal Ambt – LKA) doen sinds woensdag 31 oktober 2018 onderzoek naar een Noord-Koreaanse aanval op een middelgroot bouwbedrijf in Kaiserslautern.
Woensdag ontdekten ICT-medewerkers van het bouwbedrijf IGR AG een lek in het beveiligingssysteem. Er verscheen een blauwe chantagebrief op de computerschermen.
De Noord-Koreaanse hackers hadden de volledige controle over de computers van IGR AG (ongeveer 100 werknemers) overgenomen.
Betrokken bij bouw militaire vliegvelden
In het bedrijf, dat onder andere betrokken is bij de planning en de bouw van de NATO vliegvelden Ramstein, Bitburg en Hahn, functioneerde niets meer.
20 Bitcoin losgeld
De cybercriminelen boden aan om voor ‘slechts’ 20 Bitcoin losgeld de blokkade van het computersysteem op te heffen. Omgerekend in Euro gaat het dan tegen de huidige Bitcoinkoers om ongeveer 111.250 Euro.
IGR AG was echter niet van plan om zich digitaal te laten chanteren. Het bedrijf besloot aangifte te doen.
Duitse geheime dienst
“De gegevens van het bedrijf werden geblokkeerd door een Trojaans computervirus”, vertelt openbaar aanklager Udo Gehring uit Kaiserslautern. De ICT-specialisten van IGR en onderzoekers van de Duitse geheime dienst gaan er van uit dat er Noord-Koreaanse hackers achter de aanval zitten.
De pakkans van de Noord-Koreaanse daders is vrijwel nihil. Het heeft mede om die reden voor ondernemers nauwelijks zin om aangifte te doen. En uit angst voor hoge boetes die de Autoriteit Persoonsgegevens (AP) vanwege de Algemene Verordening Gegevensbescherming (AVG) kan opleggen als blijkt dat een bedrijf niet voldoet aan de wet, besluiten veel bedrijven daarom maar het losgeld te betalen.
Ideaal scenario Noord-Korea
Dat weten de Noord-Koreanen maar al te goed. Een ideaal scenario voor de arme Noord-Koreaanse staat. Een rampscenario voor bedrijven.
IGR deed het enige juiste. Het bedrijf deed aangifte en besloot niet te betalen. De ICT afdeling heeft de grootste problemen die de ransomware heeft aangericht inmiddels opgelost. Er kan weer gewerkt worden.
Krijgt ICG nu nog een boete van de Duitse Autoriteit Persoonsgegevens?
De vraag is nu wat de Duitse Autoriteit Persoonsgegevens gaat doen. Moet IGC een boete betalen? Als het bedrijf volgens de regels van de Algemene Verordening Gegevensbescherming werkt is die kans klein. Geen systeem is waterdicht. Je wordt niet bestraft als je kunt aantonen dat je vooraf technische en organisatorische maatregelen hebt genomen.
Vrijwel ieder bedrijf denkt bij de AVG aan bureaucratische administratieve rompslomp. Vaak uit onwetendheid. De procedures vallen achteraf meestal wel mee. En ze zijn er niet voor niets. Een bedrijf belandt pas echt in een rampscenario als het gechanteerd wordt via ransomware en de AVG verplichtingen niet op orde heeft. Juist dan ben je vanwege de potentiele hoge boetes van de Autoriteit Persoonsgegevens echt chantabel.
Voorkom het malware risico
Voorkom het malware risico. PrivacyZone kan helpen. Bel: +06-31995740 of mail naar info@privacyzone.nl.
Privacy Nieuws
KnowBe4 heeft de top 10 van phishing e-mail onderwerpregels bekend gemaakt waar in het derde kwartaal van 2018 het meest op is geklikt. KnowBe4 is een Amerikaans bedrijf dat wereldwijd privacy awareness trainingen verzorgt en trainingstools aanbiedt.
Een van de tools die KnowBe4 aanbiedt is een phishingtest waarbij bedrijven een fake phishingmail naar hun medewerkers kunnen laten sturen. Zo kunnen ze in de praktijk testen of medewerkers iets hebben opgestoken van een AVG privacy awareness training.
Social engineering
Cybercriminelen maken gebruik van social engineering. Ze passen psychologische manipulatieve trucs toe om hun slachtoffers in een phishingval te laten trappen.
Volgens Kwow2Be spelen cybercriminelen de laatste tijd bij phishingmail overduidelijk in op de angst bij gebruikers om gehackt te worden. Mensen zijn sneller geneigd te reageren op een oproep om een wachtwoord te wijzigen.
Nieuwsgierigheid is een risico
Daarnaast wordt ook ingespeeld op nieuwsgierigheid naar een nieuwe voicemail of online bestelling.
“Cybercriminelen profiteren van de wens van een individu om bewust of goed geïnformeerd te blijven op het gebied van veiligheid door met zijn psyche te spelen”, zegt Perry Carpenter, Chief Evangelist en strategisch medewerker bij KnowBe4.
“Ze doen dit door iemand te laten geloven dat hij of zij risico’s loopt of dat iets onmiddellijk aandacht nodig heeft. Dit type aanval is effectief omdat het ervoor zorgt dat een persoon snel reageert voordat hij of zij logischerwijs nadenkt over de legitimiteit van de e-mail. Het wordt steeds moeilijker om het voortdurende probleem van social engineering te overwinnen, omdat aanvallers menselijke emoties zoals angst en nieuwsgierigheid opwekken.”
Gesimuleerde phishingtests
In het derde kwartaal van 2018 onderzocht KnowBe4 tienduizenden e-mailonderwerpen uit gesimuleerde phishingtests om uit te vinden wat een gebruiker erop doet klikken.
Het bedrijf heeft ook onderzoek gedaan naar de werkelijke onderwerpregels die aantonen dat de e-mails die gebruikers ontvangen en aan hun IT-afdelingen melden verdacht zijn.
Top 10 meest geklikte phishing e-mail onderwerp regels wereldwijd voor Q3 2018:
- Controleer uw wachtwoord – 34%.
- Je hebt een spraakbericht – 13%
- Uw bestelling is onderweg – 11%.
- Wijzig uw wachtwoord onmiddellijk – 9%.
- Deactivering van uw e-mailbox – 8%.
- UPS-levering 1ZBE312TNY00015011 – 6% – UPS-levering
- Herziene reis- en ziekterichtlijnen – 6%.
- U heeft een document ontvangen om te ondertekenen – 5%.
- Spam hint: 1 nieuw bericht – 4%
- {Actie vereist} – Mogelijke schending van de Gebruiksvoorwaarden 4%.
Onderstaande E-mailonderwerpen zijn een combinatie van gesimuleerde phishingberichten die door KnowBe4 voor klanten zijn gemaakt.
- U heeft een nieuw versleuteld bericht
- IT: Synchronisatiefout – geretourneerde berichten
- HR: Contactgegevens
- FedEx: We hebben u gemist.
- Microsoft: Meerdere aanmeldingspogingen
- IT: Belangrijk – Nieuwe server back-up
- Wells Fargo: Onregelmatige activiteiten op uw creditcard rekening
- LinkedIN: Uw account is in gevaar!
- Microsoft/Office 365: {herinnering}: Uw gecodeerd bericht
- Coinbase: uw Crypto Valuta portemonnee: het veranderen van Two-Factor Authenticatie
Tijd voor professioneel privacybeleid?
PrivacyZone is gespecialiseerd in privacymanagement en privacymarketing. Wij ondersteunen bij DPIA’s, algemene voorwaarden, verwerkersovereenkomsten, privacy- en cookiebeleid, actieplannen en praktijkgerichte awareness trainingen. Meer weten? Neem contact met ons op via info@privacyzone.nl of bel 06-31995740.
