Gestolen gegevens personeel afvalverwerker Omrin gepubliceerd op internet
Criminelen hebben persoonlijke gegevens van medewerkers van de Friese afvalverwerker Omrin gepubliceerd op internet, alsmede bedrijfsinformatie. De data werd onlangs bij een ransomware-aanval op het bedrijf gestolen. Het gaat om woonadressen van personeel, salarisgegevens, bedrijfsbudgetten en kopieën van identiteitsbewijzen, zo meldt DVHN.
"Op dit moment onderzoeken wij wat er precies is ontvreemd, naast bepaalde persoonsgegevens van onze medewerkers. Hiervoor hebben we de hulp van een gespecialiseerd bureau ingeroepen. Er is uiteraard in een eerder stadium al melding gedaan bij Autoriteit Personeelsgegevens over een mogelijk datalek door criminelen", schrijft Omrin op de eigen website.
Woordvoerder Jelmar Helmhout laat tegenover Omrop Fryslan weten dat het bedrijf vaker doelwit is geweest van aanvallen. "We hebben al heel veel van dit soort aanvallen gekregen en die hebben we altijd goed weten te pareren. Nu is dat helaas niet gelukt dus dat zegt ook wel wat over het type aanval." Hoe de aanvallers toegang tot de systemen konden krijgen is niet bekendgemaakt.
Helmhout voegt toe dat de afvalverwerker eerder al liet weten dat er een risico is dat er persoonsgegevens naar buiten kunnen komen. "Dat is een onderdeel waar we rekening mee moeten houden helaas", merkt hij op. Welke stappen Omrin nu verder neemt laat de woordvoerder niet weten. "We hebben te maken met een criminele organisatie, die zullen iets proberen. Aan ons is om goed te kijken: wat hebben ze überhaupt en hoe ga je daar de komende tijd mee om?" De aanval is opgeëist door een ransomwaregroep genaamd Qilin, die de naam van Omrin op hun website plaatste.
Omrin meldde op 13 oktober dat het slachtoffer was geworden van een ransomware-aanval. Daardoor zag de afvalverwerker zich genoodzaakt om verschillende kringloopwinkels te sluiten. Ook was de klantenservice telefonisch niet bereikbaar en waren er problemen met de Afvalapp. Inmiddels zijn de kringloopwinkels weer open, is de klantenservice weer telefonisch bereikbaar en werkt ook de Afvalapp weer naar behoren.
Als dat niet zo is, dan staat in feite de deur gewoon open voor jan-crimineel.
"Antivirusbedrijf: Windowscomputers aangevallen met Linux-ransomware"
Criminelen maken gebruik van Linux-ransomware voor het versleutelen van Windowscomputers, zo meldt antivirusbedrijf Trend Micro. De aanvallen zijn het werk van een ransomwaregroep genaamd Qilin, die volgens de virusbestrijder dit jaar al 700 organisaties in 62 landen succesvol heeft aangevallen.
(...)
De aanvallers maken gebruik van drie technieken om toegang tot de systemen van hun slachtoffers te krijgen. Het gaat om spear phishing, geldige inloggegevens, die bijvoorbeeld eerder zijn gestolen of via een bruteforce-aanval zijn achterhaald, en fake captcha's.
De Qilin-groep maakt sinds enige tijd ook gebruik van Linux-ransomware op Windowssystemen.
(...)
Door deze werkwijze weten de aanvallers endpoint detectiesystemen te omzeilen die niet geconfigureerd zijn om het uitvoeren van Linux binaries via remote management tools tegen te gaan, aldus Trend Micro.
Zie ook de link naar onderstaand artikel, met daarin een schema van de "attack chain", en "best practices":
https://www.trendmicro.com/en_us/research/25/j/agenda-ransomware-deploys-linux-variant-on-windows-systems.html
Een "phishing-resistant MFA" (multifactor authorisatie) wordt aangeraden als een "best practice".
En ook wordt aangeraden: "Expand detection rules to cover payloads not native to the system."
Hopelijk worden onderstaande IoC's (indicators of compromise) snel opgenomen in bestaande end-point detectiesystemen IDS/IPS (intrusion detection/preventing systems), in de vorm van Snort/Yara/Suricata detection rules:
https://www.trendmicro.com/content/dam/trendmicro/global/en/research/25/j/agenda-ransomware-deploys-linux-variant/agenda-ransomware-iocs.txt
Iedere systeembeheerder zou deze IoC's vandaag nog kunnen checken op de eigen systemen. En hopelijk komt Omrin met een gedegen eindrapport waar de aanval in beschreven wordt, zodat alle systeembeheerders er hun voordeel mee kunnen doen. Net zoals de Universiteit van Maastricht dat in 2020 heel goed deed met de afhandeling van de Clop-ransomware. Transparantie is een belangrijk wapen tegen malware.
https://www.security.nl/posting/661162/Inspectie%3A+Universiteit+Maastricht+was+niet+goed+voorbereid+op+ransomware-aanval
Het "Rapport Cyberaanval Universiteit Maastricht" is nog steeds te downloaden op https://rijksoverheid.sitearchief.nl/#archive met de trefwoorden "cyber aanval Maastricht".
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technical Consultant (IGA)
Maak impact als Technical Consultant bij SITS | Traxion! Ontwerp en implementeer slimme IGA-oplossingen en vertaal complexe vraagstukken naar veilige systemen. Werk samen met IAM-specialisten uit diverse disciplines en draag bij aan digitale veilig-heid. Van lokale tot internationale projecten: jij krijgt de kans om te groeien én de toe-komst van cybersecurity vorm te geven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?