Actuele aanvallen en cyberaanvallen nieuws - huidige week

Gepubliceerd op 26 september 2022 om 00:00

First click here and then choose your language with the Google translate bar at the top of this page ↑


Meer dan 6.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes omdat ze weigerden te betalen. Als je betaald wordt er geen data gelekt en kom je niet op deze lijst.. ‘Zo'n 80% van de organisaties betaalt losgeld’ 🤔


LAATSTE WIJZIGING: 29-september-2022 | Aantal slachtoffers: 6.323



Week overzicht

Slachtoffer Cybercriminelen Website Land
bew.co.th LockBit In progress In progress
samyang.com LockBit In progress In progress
Karl Gemünden GmbH & Co. KG Black Basta In progress In progress
Health Care Solutions Group D0N#T (Donut Leaks) In progress USA
Evo exhibits D0N#T (Donut Leaks) evoexhibits.com USA
DLS Motors AvosLocker dlsmotors.com.py Paraguay
Cosmopoint College AvosLocker cosmopointcollege.edu Malaysia
Southwell, Inc. Hive mysouthwell.com USA
hdhopwood.com LockBit hdhopwood.com Jamaica
vitalityhp.net LockBit vitalityhp.net USA
Ministerio de Relaciones Exteriores VSOP (Onyx) www.minex.gob.gt Guatemala
TAKAO-UK Hive www.g-tem.co.uk UK
GFG Hive www.fatbrands.com USA
TSMTU Hive www.meccanotecnica.us.com USA
JANMARINI Hive www.janmarini.com USA
Hendry Regional Medical Center Hive www.hrmc.us USA
Ginspectionservices Cuba www.ginspectionservices.com Spain
Etna GmbH Black Basta www.etna.de Germany
Associated Bag Black Basta www.associatedbag.com USA
melorita.com LockBit melorita.com Malaysia
Nihonsakari Co. , Ltd LockBit nihonsakari.net Japan
yehu.org LockBit yehu.org Kenya
multicareinc.com LockBit multicareinc.com USA
bliss-d.com LockBit bliss-d.com Japan
STADLER Black Basta www.stadlerrail.com Switzerland
AES Clean Technology Black Basta www.aesclean.com USA

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land

In samenwerking met DarkTracer

Top 3 cybercrime groepen met de meeste slachtoffers

Groepering Aantal slachtoffers
1 LockBit 1152 Nog actief
2 Conti 674 Niet meer actief
3 REvil 246 Nog actief

Fast Company haalt website offline na hack op CMS-systeem

Het Amerikaanse zakenmagazine Fast Company heeft de eigen website offline gehaald nadat een aanvaller toegang tot het contentmanagementsysteem (CMS) wist te krijgen en beledigende teksten op de website zelf en onder volgers van Fast Company op Apple News verspreidde. De aanvaller beweert dat hij via een eenvoudig wachtwoord van acht karakters op de CMS-installatie kon inloggen. Het in 1995 gelanceerde Fast Company claimt dat het maandelijks 12,3 miljoen unieke bezoekers heeft. Op Twitter telt het zakenmagazine 2,3 miljoen volgers. In een verklaring op de eigen website stelt Fast Company dat het de aanvaller eerst lukte om zondag toegang tot het CMS-systeem te krijgen, waarna dinsdag de berichten naar volgers op Apple News werden verstuurd. Sindsdien is de website offline. Op een forum claimt de aanvaller dat hij via een "zeer eenvoudig standaardwachtwoord" van acht karakters toegang tot de WordPress-installatie van Fast Company wist te krijgen. De aanvaller merkt op dat hij het ip-adres van de WordPress-installatie vond en zo de "HTTP basic auth" kon omzeilen. Daardoor was alleen het WordPress-wachtwoord voldoende om in te loggen. Dit wachtwoord zou daarnaast voor tientallen accounts zijn gebruikt, waaronder het beheerdersaccount. Vervolgens lukte het de aanvaller om vanuit de WordPress-installatie Auth0-tokens, Apple News API-keys en Amazon Simple Email Service (SES) secrets te stelen. Met deze gegevens kon de aanvaller onder andere berichten via Apple News verspreiden. Verder claimt de aanvaller dat hij duizenden records met informatie over FastCompany-medewerkers in handen heeft gekregen. Fast Company heeft zelf geen informatie gegeven over hoe de inbraak kon plaatsvinden.


Cybercriminelen stelen broncode authenticatieplatform Auth0

Een onbekende partij is erin geslaagd om de broncode van authenticatieplatform Auth0 in handen te krijgen, zo heeft het bedrijf, dat sinds vorig jaar eigendom van authenticatieprovider Okta is, bekendgemaakt. In een zeer summiere verklaring maakt Auth0 melding van een beveiligingsincident met code repositories van oktober 2020 en eerder. Het bedrijf werd vorige maand benaderd door iemand die liet weten dat hij over bepaalde Auth0 code repositories beschikte. Softwareontwikkelaars gebruiken repositories voor de opslag van broncode van hun projecten. Na te zijn benaderd stelt Auth0 dat er twee onderzoeken zijn ingesteld. Deze onderzoeken hebben geen bewijs gevonden dat er ongeautoriseerde toegang tot de omgevingen van Auth0 of van klanten hebben plaatsgevonden. Ook is er geen bewijs aangetroffen voor de diefstal van data of permanente toegang tot de repositories. Auth0 spreekt echter wel van een beveiligingsincident en heeft ook justitie gewaarschuwd. Daarnaast zijn er maatregelen genomen om ervoor te zorgen dat de betreffende code niet kan worden gebruikt om toegang tot de omgevingen van het bedrijf of klanten te krijgen. In de verklaring stelt Auth0 dat er geen bewijs is gevonden voor ongeautoriseerde toegang en diefstal van data. Er wordt niet gezegd dat er geen ongeautoriseerde toegang heeft plaatsgevonden, zo laat iemand op Twitter weten. Het authenticatieplatform van Auth0 verwerkt naar eigen zeggen dagelijks tientallen miljoenen inlogpogingen voor tweeduizend bedrijven, waaronder Subaru, Sharp, Siemens, Zalando, Capcom, Securitas, AMD, Generali, Blackboard en Electrolux. Auth0 werd vorig jaar voor 6,5 miljard dollar door Okta overgenomen.


Malafide vacatures voor cryptobeurs Crypto.com bevatten macOS-malware

Aanvallers maken gebruik van malafide vacatures voor cryptobeurs Crypto.com om macOS-gebruikers met malware te infecteren, zo stelt securitybedrijf SentinelOne. Eerder ontdekte antivirusbedrijf ESET een soortgelijke campagne, alleen dan met malafide vacatures voor cryptobeurs Binance. Volgens SentinelOne is de Lazarus-groep verantwoordelijk voor de malware. Deze groep zou vanuit Noord-Korea opereren en wordt verantwoordelijk gehouden voor inbraken bij meerdere cryptobeurzen en cryptobedrijven, waarbij vele miljoenen dollars werden buitgemaakt. Potentiele doelwitten worden zeer waarschijnlijk via LinkedIn benaderd en krijgen vervolgens het malafide bestand toegestuurd. De gebruikte bestanden zijn niet versleuteld of geobfusceerd om detectie of analyse te bemoeilijken. Dat suggereert volgens SentinelOne dat het mogelijk om een kortlopende campagne gaat of de aanvallers niet bang zijn dat hun doelwitten de aanval detecteren. Daarnaast zijn de bestanden "ad hoc" gesigneerd, waardoor ze door de controle van Apples Gatekeeper komen, ook al is het bestand niet gelinkt aan een ontwikkelaar voorzien van een door Apple uitgegeven ontwikkelaarscertificaat. Eenmaal geopend krijgt het slachtoffer als afleiding een pdf-document met een vacature te zien. In de achtergrond wordt echter de malware geïnstalleerd. Deze malware kan aanvullende malware installeren en wacht op verdere instructies van de aanvallers. Eerder dit jaar maakte de Lazarus-groep gebruik van zogenaamde vacatures van Lockheed Martin. Deze tactiek blijkt succesvol. In 2020 werd bekend dat een niet nader genoemd cryptobedrijf het slachtoffer van een aanval was geworden nadat een systeembeheerder een malafide vacature van de Lazarus-groep had geopend.


Golf van Fargo ransomware-aanvallen raakt Microsoft SQL servers

Securityexperts waarschuwen voor een golf van ransomware-aanvallen op Microsoft SQL servers. Hackers misbruiken kwetsbaarheden in internet-facing servers om de Fargo-ransomwarevariant te verspreiden. In februari waarschuwde website BleepingComputer voor een reeks vergelijkbare aanvallen op Microsoft SQL servers. Een tweede golf vond plaats in juli. Beiden incidenten waren gebaseerd op Cobalt Strike. Microsoft SQL servers functioneren doorgaans als databasemanagementsysteem (DBMS). De servers slaan gevoelige gegevens op met betrekking tot tal van internetapps en -diensten. Microsoft SQL Server is een van van de populairste DBM-systemen voor enkelvoudige en grootschalige apps. Aanvallen op SQL-servers kunnen tot kritieke incidenten leiden. Hackers wisten onlangs servers te kapen om bandbreedte te stelen voor proxy-diensten, waardoor een nieuwe golf van aanvallen op gang kwam. De cybercriminelen chanteerden en bedreigden databasebeheerders om geld te verdienen. De databaseservers werden gecompromitteerd met behulp van brute-force aanvallen op zwakke inloggegevens. Ook ongepatchte kwetsbaarheden vergroten de kans op een hack. Slachtoffers worden gechanteerd met gelekte bestanden totdat ze het losgeld betalen. Volgens beveiligingsexperts van securitybedrijf ASEC is Fargo een van de gevaarlijkste en populairste vormen van ransomware onder aanvallers van Microsoft SQL servers. De ransomwarevariant is ook wel bekend als Mallox, aangezien het programma een .mallox-extensie vastmaakt tijdens de bestandsversleuteling. Fargo is een file-encrypting malwarevorm. De infectie begint met Microsoft SQL-processen. De variant kaapt systemen door een .NET bestand te downloaden met powershell.exe- en cmd.exe-extensies. De payload haalt aanvullende malware binnen terwijl het een BAT-bestand genereert en uitvoert dat diensten en processen beëindigt. De ransomware injecteert zichzelf automatisch in AppLaunche.exe, een Windows-proces. Vervolgens probeert het de registry key te wissen die voor ransomwarepreventie wordt gebruikt. Daarnaast voert de ransomware commands uit om database-gerelateerde processen te beëindigen. Kritieke mappen met opstartbestanden, browsers en gebruikersgegevens worden niet aangetast, aangezien de hackers willen voorkomen dat het systeem volledig onbruikbaar wordt. Uiteindelijk hernoemt de ransomware de vergrendelde bestanden als ‘.Fargo3’ terwijl het een losgeldbrief genereert met de naam ‘RECOVERYFILES.txt’. Experts adviseren om sterke en unieke inloggegevens te implementeren, systemen up-to-date te houden en patches voor beveiligingsproblemen toe te passen.


Cybercriminelen eisen 1 miljoen dollar losgeld voor data van miljoenen Optus-klanten

Een aanvaller die claimt verantwoordelijk te zijn voor de inbraak bij de Australische telecomprovider Optus, waarbij de informatie van meer dan negen miljoen klanten werd gestolen, eist 1 miljoen dollar losgeld. De Australische politie is inmiddels samen met internationale opsporingsdiensten een onderzoek gestart. De datadiefstal zou via een onbeveiligd API-endpoint van Optus hebben plaatsgevonden. Daarbij werden namen, geboortedata, telefoonnummers en e-mailadressen en voor een deel van de klanten ook rijbewijsnummers en paspoortnummers gestolen. De aanvaller heeft een deel van de gegevens gepubliceerd en volgens de Australische journalist Jeremy Kirk lijken die echt bij Optus vandaan te komen. "We zijn bekend met berichten dat gestolen data op het darkweb wordt verkocht en daarom monitort de Australische politie door middel van een reeks speciale mogelijkheden het darkweb. Criminelen die pseudoniemen en anonimiseringstechnologieën gebruiken kunnen ons niet zien, maar ik kan je vertellen dat wij hen wel zien", zegt Justine Gough van de Australische politie. Optus heeft een sms en e-mail gestuurd naar klanten van wie de identiteitsdocumenten zijn gecompromitteerd. Daarnaast biedt het bedrijf deze klanten een jaar lang gratis kredietmonitoring. Daarbij herhaalt de telecomprovider dat het in de communicatie richting klanten geen gebruikmaakt van links, omdat criminelen zeer waarschijnlijk het incident voor phishingaanvallen zullen gebruiken.


E-mailaccounts personeel American Airlines gebruikt voor phishingaanvallen

Aanvallers zijn erin geslaagd om e-mailaccounts van American Airlines-medewerkers over te nemen, om daarmee vervolgens phishingmails te versturen. Dat laat de grootste luchtvaartmaatschappij ter wereld weten. Eerder deze maand waarschuwde American Airlines klanten en medewerkers voor een datalek, nadat verschillende medewerkers in een phishingmail waren getrapt. Het bedrijf heeft in een brief aan de procureur-generaal van de Amerikaanse staat New Hampshire iets meer details over de aanval gegeven (pdf). De aanval werd ontdekt nadat verschillende personen lieten weten dat ze phishingmails van een American Airlines-account hadden ontvangen. Verder onderzoek wees uit dat de aanvaller verschillende Microsoft 365-accounts van de luchtvaartmaatschappij had gecompromitteerd en gebruikt voor phishing. Volgens American Airlines maakte de aanvaller gebruik van het IMAP-protocol om de mailboxes te benaderen, waarin ook persoonsgegevens stonden. "Het gebruik van dit protocol maakte het mogelijk voor de aanvaller om de inhoud van de mailboxes naar een ander apparaat te synchroniseren." Dit zou echter niet het doel van de aanval zijn geweest, aldus de brief aan de procureur-generaal. De aanvaller zou het IMAP-protocol hebben gebruikt om toegang tot de accounts te krijgen en zo verdere phishingmails te versturen. Verder zou de aanvaller mogelijk ook toegang tot bepaalde bestanden op een SharePoint-site voor personeel hebben gekregen. American Airlines denkt dat de kans op misbruik van gestolen identiteitsgegevens klein is. Het datalek zou 1700 klanten en medewerkers hebben getroffen. Die krijgen twee jaar lang gratis kredietmonitoring aangeboden. Ook heeft de luchtvaartmaatschappij aangegeven dat het aanvullende beveiligingsmaatregelen gaat nemen.

American Envoy Piedmont 20220919
PDF – 1,3 MB 1 download

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


Januari 2022

Overzicht cyberaanvallen week 02-2022

Russische geheime dienst houdt verdachten achter REvil-ransomware aan, Game Mania waarschuwt klanten na ransomware aanval voor datalek en een nieuwkomer in de ransomware markt benut het kritieke Log4j-gat om binnen te komen in VMware-omgevingen. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.

Lees meer »

Overzicht cyberaanvallen week 01-2022

Night Sky is de nieuwste ransomware gericht op bedrijfsnetwerken, duizenden schoolsites offline door ransomware-aanval op hostingprovider en Portugese mediagigant Impresa offline na aanval door ransomwaregroep. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.

Lees meer »

Overzicht cyberaanvallen week 52-2021

Zorgklinieken VS zonder patiëntgegevens na ransomware-aanval op hoster, ransomwaregroep verstrekt gratis decryptiesleutel na aanval op politiekorps VS en E-mailaccount gemeente Nieuwegein gekaapt via phishingmail. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.

Lees meer »
December 2021

Overzicht cyberaanvallen week 51-2021

Internationale it-dienstverlener Inetum getroffen door ransomware, ransomware aanvallen op onderwijs mogen niet lonen en AvosLocker ransomware herstart in veilige modus om beveiligingstools te omzeilen. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.

Lees meer »

Overzicht cyberaanvallen week 50-2021

Beruchte ransomwaregroep gebruikt Log4j-kwetsbaarheid bij aanvallen, Grapperhaus informeert Tweede Kamer over Log4j-kwetsbaarheid en misbruik Log4j-lek negen minuten na openbaarmaking. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.

Lees meer »

Overzicht cyberaanvallen week 49-2021

Volvo raakt geheime data kwijt bij cyberaanval, 'ALPHV BlackCat' de meest geavanceerde ransomware van dit jaar en SP pleit voor invoering van meldplicht bij ransomware-aanvallen. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.

Lees meer »