image

RTL Nieuws: KNVB raakte via phishingmail besmet met ransomware

woensdag 19 april 2023, 13:37 door Redactie, 12 reacties

De KNVB raakte via een phishingmail waar een medewerker in trapte besmet met ransomware, zo stelt RTL Nieuws op basis van bronnen. De aanvallers wisten bij de aanval driehonderd gigabyte aan data buit te maken, waaronder interne en deels vertrouwelijke informatie. Het gaat onder andere om kopieën van identiteitsbewijzen en contracten van bekende (oud-)voetballers, trainers en directieleden.

De aanvallers eisen meer dan een miljoen euro losgeld voor het ontsleutelen van de data en het niet publiceren van de gestolen gegevens. De aanval is opgeëist door de criminelen achter de LockBit-ransomware. Deze groep heeft, net als andere ransomwaregroepen, een eigen website waarop het de namen van slachtoffers bekendmaakt. Ook publiceert het via de eigen website gestolen data wanneer slachtoffers niet betalen.

Op dinsdag 4 april meldde de KNVB dat criminelen erin waren geslaagd om in te breken op het netwerk van de voetbalbond en daarbij persoonlijke gegevens van medewerkers hebben buitgemaakt. "Er wordt nader uitgezocht om welke gegevens dit gaat. De cyberinbraak is gemeld bij de Autoriteit Persoonsgegevens", aldus de KNVB. De voetbalbond heeft sindsdien geen verdere updates over het incident gegeven. De voetbalbond wil gedurende het onderzoek geen mededelingen doen.

De LockBit-ransomware wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Vaak wordt daarbij gebruikgemaakt van malafide e-mailbijlagen. De KNVB waarschuwde voetbalclubs een aantal jaren geleden zelf nog voor phishing.

Reacties (12)
19-04-2023, 13:45 door Anoniem
Ze hebben dus hun eigen website...
Waarom word die dan niet vermeld?
19-04-2023, 14:31 door Anoniem
Ah, de alwelombekenede phishing mail...

Nu is de vraag: Hoe kunnen ze vanaf een medewerker laptop het hele netwerk overnemen?
Was de beveiliging niet op orde?

Of had die medewerker zelf toegang tot de 300 gigabyte aa buit?
Dat laatste hoop ik toch niet...
19-04-2023, 14:43 door Bitje-scheef
Was dat percentage niet ongeveer 80% veroorzaakt via email, is me even ontschoten...
19-04-2023, 15:03 door Anoniem
"Het gaat onder andere om kopieën van identiteitsbewijzen en contracten van bekende (oud-)voetballers, trainers en directieleden."
Mooie is dat veel van deze mensen wel prima een advocaat kunnen bekostigen. Hoop dat zij dit massaal doen.
Zodat het een uitermate wijze les wordt voor bedrijven, instellingen en overheid dat het massaal compleet onnodig opslaan van data aan banden gelegd wordt. Tenslotte wat je niet bezit...
19-04-2023, 15:08 door Anoniem
Door Bitje-scheef: Was dat percentage niet ongeveer 80% veroorzaakt via email, is me even ontschoten...
In het artikel zie ik geen percentage genoemd worden, dus: welk percentage bedoel je?
19-04-2023, 15:18 door Anoniem
Emails van niet intern, moeten gewoon in een sanbox omgeving gedraait worden en extensies zoals bijvoorbeeld: .exe en .src standaard geblokkeerd worden. Of te wel de email omgeving gewoon dicht timmeren.

Sure dit is vervelend en irritant, maar dat beter dan deze ellende.
19-04-2023, 15:34 door _R0N_
Door Anoniem: Ah, de alwelombekenede phishing mail...

Nu is de vraag: Hoe kunnen ze vanaf een medewerker laptop het hele netwerk overnemen?
Was de beveiliging niet op orde?

Of had die medewerker zelf toegang tot de 300 gigabyte aa buit?
Dat laatste hoop ik toch niet...

Als het iemand van de ledenadministratie is...
Of, wat ik zeker niet mag hopen, een admin.
.
19-04-2023, 16:54 door Anoniem
Door _R0N_:
Of, wat ik zeker niet mag hopen, een admin.
.
Ze hebben daar vast geen admin... zal vast allemaal outsourced zijn.

Voor degenen die nog wel beheer doen:
- maak de office gebruikers geen admin van hun werkstation (gooi software die dat "nodig heeft" weg - het is troep)
- gebruik een AppLocker policy om te regelen dat executables alleen in C:\Windows en C:\Program Files* mogen staan
20-04-2023, 08:40 door Anoniem
Kap gewoon met HTML mail ... plain tekst only en strip overal http:// en https:// af

Dikke vinger voor de marketing afdeling en je fancy nieuwsbrief shit
20-04-2023, 11:14 door Anoniem
Door Anoniem: Kap gewoon met HTML mail ... plain tekst only en strip overal http:// en https:// af

Dikke vinger voor de marketing afdeling en je fancy nieuwsbrief shit

Het probleem is niet HTML maar MIME.
20-04-2023, 14:33 door Anoniem
Door Anoniem:
Door Anoniem: Kap gewoon met HTML mail ... plain tekst only en strip overal http:// en https:// af

Dikke vinger voor de marketing afdeling en je fancy nieuwsbrief shit

Het probleem is niet HTML maar MIME.
Mee het probleem is windows! Afgerond alle ransomware versleutelingen vinden daar plaats.
Mijn Fedora 37 Linux met firefox werkt niet eens met knvb.nl.
Een troep maken ze er van. Melding:

Er is iets mis gegaan.

Het lukt niet om de pagina die je zocht op KNVB.nl te laden.

Op dit moment is de website in onderhoudsmodus. Probeer het later nog eens.

Gebruik je een adblocker? Probeer deze uit te zetten en laad de pagina opnieuw.
20-04-2023, 15:59 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Kap gewoon met HTML mail ... plain tekst only en strip overal http:// en https:// af

Dikke vinger voor de marketing afdeling en je fancy nieuwsbrief shit

Het probleem is niet HTML maar MIME.
Mee het probleem is windows! Afgerond alle ransomware versleutelingen vinden daar plaats.
Mijn Fedora 37 Linux met firefox werkt niet eens met knvb.nl.
Een troep maken ze er van. Melding:

Er is iets mis gegaan.

Het lukt niet om de pagina die je zocht op KNVB.nl te laden.

Op dit moment is de website in onderhoudsmodus. Probeer het later nog eens.

Gebruik je een adblocker? Probeer deze uit te zetten en laad de pagina opnieuw.
Bij mij werkt firefox niet maar chrome weer wel met alleen KeePassXC plugin
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.