EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑

Cybercrimeinfo update: Tot en met 31 maart 2024 publiceren we dagelijks realtime overzichten van slachtoffers van cybercriminaliteit wiens gegevens zijn gelekt op het darkweb. Na deze datum schakelen we over naar een wekelijkse update. Vanaf dan bieden we elke maandag een totaaloverzicht van de gebeurtenissen van de afgelopen week. Lees verder

Cyberaanvallen, datalekken, trends en dreigingen nieuws

Deze pagina wordt voortdurend bijgewerkt. Laatste update: 19-april-2024

FBI en NCSC adviseren: Wijzig wachtwoorden alleen bij veiligheidsincidenten

Het Nationaal Cyber Security Centrum (NCSC) heeft in samenwerking met de Amerikaanse Federal Bureau of Investigation (FBI) nieuwe richtlijnen gepubliceerd betreffende het periodiek wijzigen van wachtwoorden. Uit recent onderzoek blijkt dat het vaak veranderen van wachtwoorden niet noodzakelijkerwijs bijdraagt aan een betere online beveiliging. Deze praktijk kan zelfs contraproductief zijn omdat gebruikers geneigd zijn minder complexe wachtwoorden te kiezen of slechts minimale aanpassingen te maken aan hun bestaande wachtwoorden. De nieuwe aanbeveling is om wachtwoorden alleen te wijzigen bij vermoedens van een datalek of andere compromitterende situaties. Verder wordt het gebruik van sterke, unieke wachtwoorden voor verschillende accounts benadrukt. Het advies omvat ook het belang van aanvullende beveiligingsmaatregelen zoals tweefactorauthenticatie, die een extra laag van bescherming biedt. Door deze aanpak kunnen gebruikers hun energie richten op het creëren van sterkere en unieke wachtwoorden en het verhogen van hun algehele cyberveiligheid, in plaats van zich bezig te houden met de frequentie van wachtwoordwijzigingen.

Valse game cheats verspreiden informatie stelende malware

Cybercriminelen lokken gamers met de belofte van cheats voor populaire games om krachtige malware te verspreiden. Deze valse cheats, die worden aangeboden via online forums en download sites, bevatten verborgen payloads van informatie stelende software. Zodra een nietsvermoedende gamer het bedrieglijke bestand downloadt en opent, wordt de malware geactiveerd die vervolgens persoonlijke gegevens en inloggegevens steelt. De malware werkt door de gegevens te extraheren uit browsers, e-mailclients en andere bronnen die gevoelige informatie bevatten. Slachtoffers kunnen hierdoor te maken krijgen met identiteitsdiefstal, financieel verlies, en andere privacyrisico’s. Cyberveiligheidsexperts waarschuwen voor de gevaren van het downloaden van niet-geverifieerde software en adviseren gamers om alleen cheats of mods van betrouwbare bronnen te gebruiken. Het is belangrijk dat gebruikers waakzaam blijven en investeren in goede antivirussoftware om zich tegen dergelijke aanvallen te beschermen. Ook is het raadzaam om regelmatig wachtwoorden te wijzigen en tweefactorauthenticatie waar mogelijk toe te passen. [mcafee]

Cyberaanval op Frontier Communications leidt tot systeemstillegging

Frontier Communications, een belangrijke Amerikaanse communicatieleverancier, heeft na een cyberaanval door een criminele groep enkele van hun IT-systemen moeten stilleggen. Deze actie was noodzakelijk om te voorkomen dat de aanvallers zich verder door het netwerk konden verplaatsen. De aanval vond plaats op 14 april 2024 en heeft geleid tot operationele verstoringen, hoewel Frontier beweert dat hun residentiële en zakelijke netwerken onaangetast zijn gebleven. Het bedrijf heeft bevestigd dat er toegang is verkregen tot persoonlijk identificeerbare informatie, al is niet gespecificeerd of deze van klanten of medewerkers was. Frontier werkt aan het herstellen van de getroffen systemen en heeft de autoriteiten en cybersecurity experts ingeschakeld om de situatie te onderzoeken. [sec]

Frans ziekenhuis stelt behandelingen uit na cyberaanval

Het Centre Hospitalier de Castres-Mazamet, een ziekenhuis in Frankrijk, heeft recentelijk meerdere medische procedures moeten uitstellen als gevolg van een ernstige cyberaanval. De aanval, die plaatsvond in de vroege uren van een dinsdag, leidde tot aanzienlijke verstoringen in hun IT-systemen. Als directe maatregel isoleerde het ziekenhuis zijn netwerken om verdere verspreiding van de malware te voorkomen.bHoewel kritieke diensten zoals de spoedeisende hulp operationeel bleven, werden sommige minder urgente medische ingrepen uitgesteld. Het ziekenhuispersoneel moest terugvallen op papieren systemen om patiëntenzorg te blijven leveren. Ondertussen werken IT-specialisten en externe experts intensief samen om de systemen te herstellen en de beveiliging te versterken. De impact van de cyberaanval benadrukt de toenemende kwetsbaarheid van gezondheidszorginstellingen voor cybercriminaliteit en het belang van adequate cybersecurity-maatregelen om dergelijke incidenten in de toekomst te voorkomen. Dit incident is onderdeel van een groeiende trend waarbij ziekenhuizen wereldwijd doelwit zijn van cyberaanvallen. [cannes]

Impact en Verspreiding van Akira Ransomware

Volgens een gezamenlijk advies van de FBI, CISA, Europol's European Cybercrime Centre en het Nederlandse Nationaal Cyber Security Centrum, heeft de Akira ransomware-netwerkoperatie meer dan 250 organisaties getroffen en ongeveer 42 miljoen dollar aan losgelden verzameld. Akira, die in maart 2023 opdook, heeft zich snel verspreid en is met name gericht op VMware ESXi virtuele machines die veel gebruikt worden in bedrijfsomgevingen. De ransomwaregroep eist losgeld dat varieert van 200.000 dollar tot miljoenen dollars, afhankelijk van de grootte van de getroffen organisatie. Recentelijk heeft Akira aanvallen geclaimd op organisaties als Nissan Oceania en Stanford University, met aanzienlijke datalekken tot gevolg. Om de impact en risico's van deze ransomware-aanvallen te verminderen, benadrukken de instanties het belang van het patchen van kwetsbaarheden, het implementeren van multifactorauthenticatie en regelmatige software-updates. [cisa]

Waakzaamheid Geboden bij Misleidende Google Ads

Een recent voorbeeld van een frauduleuze Google advertentie die de Whales Market, een cryptohandelsplatform, nabootst, heeft aangetoond hoe cybercriminelen advertentienetwerken gebruiken om gebruikers naar phishing-sites te leiden. Deze specifieke advertentie leek legitiem en vermeldde zelfs een correct ogende URL, maar leidde nietsvermoedende gebruikers naar een vervalste website waar kwaadaardige scripts cryptovaluta uit hun wallets stalen. Dit benadrukt het belang van het zorgvuldig controleren van URL's voordat interactie met digitale assets plaatsvindt, vooral in de Web3-omgeving. Ondanks pogingen om dergelijke praktijken tegen te gaan, blijven kwaadwillende advertenties een hardnekkig probleem op platforms zoals Google Ads. [bleepingcomputer]

❗️ Waarschuwing voor Telefonische Phishingaanvallen Gericht op LastPass Gebruikers in Nederland en België

LastPass, een populaire wachtwoordbeheerder, heeft zijn gebruikers gewaarschuwd voor een nieuwe vorm van phishingaanvallen via de telefoon. Deze aanvallen richten zich specifiek op gebruikers door zich voor te doen als LastPass-medewerkers. De aanvallers proberen gebruikers te overtuigen om vertrouwelijke informatie vrij te geven, zoals hun master wachtwoord of beveiligingsgegevens, wat normaal nooit door echte medewerkers wordt gevraagd. De aanval begint vaak met een valse e-mail die een dringende kwestie meldt die telefonisch moet worden opgelost, waarna de gebruiker een telefoonnummer krijgt aangeboden om te bellen. Wanneer de gebruiker dit nummer belt, doen de oplichters zich voor als helpdeskmedewerkers en proberen ze gevoelige informatie te ontfutselen. LastPass benadrukt dat zij nooit om master wachtwoorden of andere cruciale beveiligingsinformatie zullen vragen via de telefoon. Ze adviseren gebruikers om alert te zijn op verdachte e-mails en telefoontjes en direct contact op te nemen met LastPass via hun officiële kanalen bij twijfel. Recentelijk zijn er ook meldingen binnengekomen bij Cybercrimeinfo, wat aangeeft dat de criminelen actief zijn op de Nederlandse en Belgische markt. Dit voorval benadrukt het belang van waakzaamheid en het verifiëren van de identiteit van bellers die om gevoelige informatie vragen. [lastpass]

Cyberaanval op Ready Or Not-ontwikkelaar Void Interactive

In maart werd de gameontwikkelaar Void Interactive het slachtoffer van een cyberaanval, waarbij de broncode van de shooter 'Ready Or Not' werd buitgemaakt. Het Ierse bedrijf heeft bevestigd dat tijdens deze aanval geen persoonsgegevens van werknemers of klanten zijn gelekt. De aanval werd uitgevoerd op cloudserviceprovider TeamCity, waardoor de hackers toegang kregen tot 4TB aan data, inclusief een deel van de broncode van de game. Ondanks de omvang van de inbraak benadrukt Void Interactive dat de buitgemaakte gegevens niet als gevoelig worden beschouwd. Dit incident onderstreept nogmaals de noodzaak voor bedrijven om hun cybersecurity voortdurend te evalueren en te verbeteren om zich tegen dergelijke aanvallen te beschermen. [kotaku]

Cyberaanval treft wetgevingsbureau van de staat New York

Het wetgevingsbureau van de staat New York, verantwoordelijk voor het opstellen van wetsvoorstellen, is getroffen door een cyberaanval. De aanval werd vroeg in de ochtend ontdekt, en sindsdien is het systeem voor het opstellen van wetgeving buiten werking. Dit incident komt op een moment dat de wetgevende macht bezig is met het afronden van de staatsbegroting, hoewel gouverneur Kathy Hochul aangeeft dat dit de procedure niet significant zal vertragen. Gouverneur Hochul meldde in een interview met WNYC radio dat er tijdelijk teruggevallen moet worden op een verouderd systeem uit 1994, wat het proces enigszins zal verlengen. Het is nog onduidelijk of de aanval politiek gemotiveerd was. Mike Murphy, een woordvoerder van de Senaat, verzekerde dat het werk van het bureau doorgang kan vinden en dat het de algemene processen niet zal hinderen. De exacte omvangvan de cyberaanval is momenteel nog niet duidelijk. [abcnews]

Cyberaanval op Atlantische Visserijcommissie door 8Base Ransomware Groep

De Atlantic States Marine Fisheries Commission (ASMFC), een 80 jaar oude organisatie opgericht door het Amerikaanse Congres en bestaande uit functionarissen van de Atlantische kuststaten, is het doelwit geworden van een cyberincident. Dit werd onthuld nadat de ransomwaregroep 8Base beweerde data te hebben gestolen van de commissie. Als gevolg van de aanval is het e-mailsysteem van de organisatie uitgeschakeld en is een tijdelijk e-mailadres ingesteld voor dringende communicatie. De ASMFC speelt een cruciale rol in het beheer en de conservatie van kustvissen en hun habitats, en zet zich ook in voor wetshandhavingsinitiatieven binnen deze sector. De groep 8Base, die zich recentelijk heeft ontpopt als een actieve cyberdreiging, heeft de commissie een ultimatum gesteld voor het betalen van een niet bekendgemaakte som losgeld, met de dreiging dat gestolen gegevens zoals facturen, persoonlijke informatie en contracten openbaar gemaakt zouden worden.

Onderzoekers linken 8Base aan RansomHouse, een platform gebruikt door cybercriminelen voor het verkopen van gestolen data en het afpersen van slachtoffers. De precieze connectie tussen 8Base en andere ransomwarevarianten blijft onderwerp van speculatie, maar de efficiëntie en snelheid van de groep wijzen op een gevestigde, mature organisatie. [therecord]

Cyberaanval treft Centre hospitalier Simone Veil in Cannes

Sinds dinsdagochtend 16 april wordt het Centre hospitalier Simone Veil in Cannes getroffen door een cyberaanval. Dit markeert de eerste dergelijke aanval op het ziekenhuis. De directie heeft snel een crisisunit geactiveerd en een algemeen cyberconfinement ingevoerd. Hierdoor zijn alle computer- en internettoegangen afgesloten, terwijl de telefoonlijnen operationeel blijven. Belangrijk is dat er geen losgeld is geëist en er tot nu toe geen datadiefstal is vastgesteld.

De aanval heeft aanzienlijke verstoringen veroorzaakt: een derde van de geplande operaties is uitgesteld en de meeste chronische patiënten zijn nog steeds opgevangen, hoewel teruggekeerd naar papieren procedures, wat de verwerkingstijd van tests heeft verlengd. De urgente zorg gaat door, met medische en paramedische teams die sterk gemobiliseerd blijven om de meest kritieke gevallen te behandelen. De respons van het ziekenhuis omvat samenwerking met regionale gezondheidsagentschappen en andere lokale ziekenhuizen om de patiëntenzorg te coördineren, terwijl de normale dienstverlening geleidelijk wordt hervat. Er zijn ook preventieve maatregelen gemeld aan de nationale gegevensbeschermingsautoriteit. Het volledige herstel van de diensten zal afhangen van de voortgang van de technische onderzoeken. [france3]

Datalek bij Franse Ondergoedproducent Treft 1,5 Miljoen Klanten

Franse ondergoedproducent Le Slip Français heeft te maken gekregen met een omvangrijk datalek, waarbij persoonlijke gegevens van 1,5 miljoen klanten zijn uitgelekt. Het lek ontstond door een configuratiefout in een database die op 1 oktober werd ontdekt. Belangrijke klantgegevens zoals namen, adressen, e-mailadressen en gedeeltelijk versleutelde wachtwoorden kwamen hierdoor op straat te liggen. Volgens de eerste analyses zijn de wachtwoorden sterk versleuteld en zou het risico op ongeautoriseerde toegang tot accounts beperkt zijn. Le Slip Français heeft direct na ontdekking van het lek technische maatregelen getroffen om verdere schade te voorkomen en de Franse privacytoezichthouder CNIL geïnformeerd, zoals vereist door de GDPR-regelgeving. Het bedrijf heeft klanten geadviseerd hun wachtwoorden te wijzigen en alert te zijn op mogelijke phishingpogingen. Dit incident benadrukt het belang van strenge beveiligingsmaatregelen en regelmatige controle van systemen om dergelijke lekken te voorkomen. [leslipfrancais, haveibeenpwned]

Omvangrijk Datalek bij Blooms Today: 15 Miljoen Gegevens Te Koop

Een recent onthuld datalek bij Blooms Today, een prominente online bloemist, heeft geleid tot een ernstige beveiligingsbreuk waarbij 15 miljoen klantengegevens op de zwarte markt te koop zijn aangeboden. De gegevens, die voor 5.000 dollar te koop staan, omvatten gevoelige informatie zoals namen, adressen, telefoonnummers en gedeeltelijke creditcardgegevens. Dit incident kwam aan het licht nadat een bekende cybercrimineel, actief op donkere webmarkten, de gegevens te koop aanbood en beweerde dat ze afkomstig waren van een recente hack op het bedrijf. Blooms Today heeft nog niet officieel gereageerd op deze beweringen, maar de ernst en omvang van de gelekte informatie wijzen op een aanzienlijke inbreuk op de privacy van de klanten. Het incident benadrukt de noodzaak voor bedrijven om hun cyberbeveiligingspraktijken voortdurend te evalueren en te verbeteren om dergelijke inbreuken in de toekomst te voorkomen. Dit geval dient als een herinnering aan de voortdurende dreigingen in de digitale wereld en de verantwoordelijkheid van bedrijven om klantgegevens te beschermen. [darkweb]

Luchtvaartmaatschappij Efrat Airlines Gehackt door R00tk1t Groep

De R00tk1t-groep wordt ervan verdacht een cyberaanval te hebben uitgevoerd op Efrat Airlines, waarbij ze toegang hebben verkregen tot gevoelige financiële informatie. Deze hack heeft geleid tot een lek van bankgegevens en creditcardinformatie van talrijke klanten. De aanvallers maakten gebruik van geavanceerde technieken om de beveiligingssystemen van de luchtvaartmaatschappij te omzeilen, wat wijst op hun hoge mate van technische bekwaamheid en planning. Na de ontdekking van de inbreuk, heeft Efrat Airlines direct actie ondernomen om hun klanten te informeren en te adviseren over hoe zij hun financiële gegevens kunnen beschermen. De luchtvaartmaatschappij werkt nauw samen met cybersecurity experts om het lek te dichten en toekomstige aanvallen te voorkomen. Deze situatie onderstreept het belang van robuuste cyberbeveiligingsmaatregelen voor bedrijven in alle sectoren, vooral in industrieën waarbij klantgegevens regelmatig worden verwerkt. [darkweb]

Cactus Ransomware Treft DRM, Arby's Datalek Legt Gevoelige Informatie Bloot

Onlangs is een nieuw type ransomware, genaamd Cactus, opgedoken dat specifiek Digital Rights Management (DRM) systemen heeft getroffen. Deze aanval heeft geleid tot aanzienlijke verstoringen bij verschillende bedrijven die afhankelijk zijn van DRM-beveiliging voor hun digitale content. Naast de ransomware-aanval is fastfoodketen Arby's ook slachtoffer geworden van een groot datalek, waarbij gevoelige informatie van klanten is blootgesteld. Dit datalek heeft gegevens zoals creditcardnummers en persoonlijke identificatiegegevens van klanten op straat gelegd, waardoor de privacy en financiële veiligheid van vele betrokkenen in gevaar is gekomen. Deze incidenten benadrukken de aanhoudende bedreigingen in de cyberveiligheidswereld en de noodzaak voor bedrijven om hun beveiligingsprotocollen voortdurend te evalueren en te verbeteren. [darkweb]

Cybercriminelen Bieden Microsoft Office Exploit Te Koop Aan voor $100.000

Een recent ontdekt beveiligingslek in Microsoft Office zou cybercriminelen in staat kunnen stellen om kwaadaardige code op afstand uit te voeren. De kwetsbaarheid, die nog niet is opgelost, is op de zwarte markt aangeboden voor een bedrag van $100,000. Volgens de verkoper van deze 'zero-day' exploit, die nog geen officiële patch van Microsoft heeft ontvangen, kan het beveiligingslek worden misbruikt zonder dat gebruikers interactie nodig hebben, zoals het klikken op een link of het openen van een bestand. De exploit betreft voornamelijk versies van Microsoft Office die nog veel gebruikt worden in zakelijke omgevingen, waardoor talrijke organisaties potentieel risico lopen. Experts waarschuwen dat de impact van een aanval groot kan zijn, gezien de mogelijkheid voor cybercriminelen om toegang te krijgen tot bedrijfsnetwerken en gevoelige gegevens. Het is aanbevolen dat bedrijven waakzaam blijven en de nodige voorzorgsmaatregelen treffen, zoals het regelmatig updaten van hun software en het trainen van medewerkers op het gebied van cyberveiligheid, totdat een officiële patch beschikbaar is. [darkweb]

Cloudflare Weert Miljoenen DDoS-aanvallen in Laatste Kwartaal

In het recente kwartaal heeft Cloudflare succesvol meer dan 4,5 miljoen Distributed Denial of Service (DDoS) aanvallen afgeweerd. Deze aanvallen, die bedoeld zijn om websites en online diensten onbereikbaar te maken door hen te overladen met verkeer, zijn een voortdurende bedreiging voor de online veiligheid en bedrijfscontinuïteit. Volgens het rapport van Cloudflare ziet men een opmerkelijke stijging in het aantal en de intensiteit van deze aanvallen vergeleken met voorgaande periodes. Deze toename wordt toegeschreven aan de steeds makkelijker verkrijgbare DDoS-hulpmiddelen en het groeiende aantal kwetsbare apparaten die aangesloten zijn op het internet. Bovendien vermeldt het rapport dat een groot deel van de aanvallen klein van schaal is, maar kort en hevig, wat wijst op een tactiek waarbij aanvallers snel toeslaan en zich weer terugtrekken. Cloudflare’s succes in het afweren van deze aanvallen benadrukt het belang van geavanceerde beschermingstechnologieën en de noodzaak voor bedrijven om hun cybersecurity infrastructuur voortdurend te evalueren en te verbeteren om zo potentiële bedreigingen voor te blijven. [cloudflare]
Cybercrimeinfo zal hier deze week een uitgebreid artikel over schrijven

SoumniBot: Nieuwe Malware Ontwijkt Detectie via Android Bugs

In recent onderzoek is gebleken dat een nieuwe vorm van malware, genaamd SoumniBot, Android-apparaten bedreigt door gebruik te maken van kwetsbaarheden in het besturingssysteem om detectie te ontwijken. Deze malware verspreidt zich via frauduleuze apps die buiten de officiële Google Play Store worden aangeboden. Eenmaal geïnstalleerd, maakt SoumniBot gebruik van bugs in Android om zich diep in het systeem te nestelen, waardoor het moeilijk te verwijderen is zonder grondige technische kennis. De malware heeft als doel om gevoelige informatie te stelen, waaronder inloggegevens en financiële data. Dit gebeurt door het opnemen van toetsaanslagen, het tracken van locaties en het onderscheppen van communicatie. Beveiligingsexperts adviseren Android-gebruikers om uiterst voorzichtig te zijn bij het downloaden van apps en altijd te kiezen voor applicaties uit de officiële appwinkel. Daarnaast is het updaten van het Android-besturingssysteem essentieel om bescherming tegen dergelijke kwetsbaarheden te bieden. [securelist]

Fin7 richt zich met phishingaanvallen op IT-personeel van Amerikaanse autofabrikanten

Het beruchte cybercriminele groep Fin7 heeft recentelijk gerichte phishingaanvallen uitgevoerd op het IT-personeel van Amerikaanse autofabrikanten. Deze aanvallen zijn specifiek ontworpen om toegang te verkrijgen tot netwerken en gevoelige informatie te stelen. Fin7, bekend om hun financieel gemotiveerde activiteiten, maakt gebruik van geraffineerde phishingtechnieken waarbij legitiem ogende e-mails worden verstuurd die malware bevatten. Eenmaal geactiveerd, kan deze malware wachtwoorden stelen en toegang verschaffen tot beschermde systemen. De aanvallen zijn bijzonder gevaarlijk omdat ze zich richten op medewerkers met toegang tot kritieke systemen. De e-mails lijken afkomstig van betrouwbare bronnen en bevatten vaak links naar schadelijke websites of directe downloads van malware. Het is belangrijk dat bedrijven hun beveiligingsprotocollen aanscherpen en medewerkers trainen om dergelijke aanvallen te herkennen. Het verhogen van het bewustzijn en het implementeren van geavanceerde beveiligingstools zijn cruciale stappen om dergelijke bedreigingen te counteren. [mandiant]

❗️Grootschalige Routerinbraken via TP-Link Beveiligingslek, Ook in België en Nederland

Een jaar na de ontdekking en reparatie van een beveiligingslek in TP-Link Archer AX21 routers blijven cybercriminelen dit kwetsbaarheid misbruiken om routers te hacken. Dit lek, geïdentificeerd als CVE-2023-1389, maakt ongeautoriseerde commando-injecties mogelijk via de webinterface van de router. Ondanks de beschikbaarheid van een firmware-update sinds maart 2023, blijven veel gebruikers met verouderde firmware werken, waardoor hun apparaten doelwitten blijven voor hackers. Minstens zes botnetwerken, waaronder varianten van Mirai en Gafgyt, hebben hierdoor al tienduizenden aanvalspogingen per dag uitgevoerd, inclusief meldingen van slachtoffers uit België en Nederland. Gebruikers worden aangemoedigd om hun firmware te updaten en standaard wachtwoorden te wijzigen om hun routers te beveiligen. [fortinet]

❗️Toename in Misbruik van Zerodaylek in Firewalls

Palo Alto Networks heeft een rapport uitgebracht waarin wordt gewaarschuwd voor een toename in het misbruik van een zerodaylek in hun firewallproducten. Dit lek maakt het mogelijk voor aanvallers om potentieel toegang te verkrijgen tot netwerkdata en systeeminstellingen te manipuleren. Het beveiligingsbedrijf heeft ontdekt dat vooral gerichte aanvallen toeneemt, waarbij aanvallers specifiek zoeken naar kwetsbare systemen binnen bepaalde organisaties of sectoren. In reactie op deze dreiging heeft Palo Alto Networks een beveiligingsupdate uitgebracht die het lek adresseert en extra beveiligingsmaatregelen introduceert om soortgelijke aanvallen in de toekomst te voorkomen. Het bedrijf benadrukt het belang van het snel implementeren van deze updates om de beveiliging van de netwerken te waarborgen. Verder roept Palo Alto Networks organisaties op om regelmatig hun systemen te controleren op tekenen van inbreuk en om hun beveiligingsprotocollen te herzien. Het is essentieel dat beveiligingsteams alert blijven op aanwijzingen van misbruik en adequaat reageren op beveiligingswaarschuwingen en -updates. [attackerkb]

Vertrouwensschade en Gevaar door Datalek bij Europol

In maart kwam aan het licht dat er gevoelige documenten uit een kluis bij het hoofdkantoor van Europol in Den Haag waren verdwenen, wat leidde tot een vertrouwenscrisis binnen de Europese opsporingsdienst. Dit datalek kwam in september aan het licht toen documenten, die persoonlijke informatie van Europol-topfunctionarissen bevatten, publiekelijk werden gevonden. Demissionair minister Yesilgöz van Justitie en Veiligheid benadrukte de ernst van het lek, daar het niet alleen het vertrouwen in Europol schaadt, maar ook de veiligheid van betrokken medewerkers in gevaar brengt. Momenteel wordt er een onderzoek uitgevoerd naar de oorzaak van het lek en de naleving van de toegangsprotocollen. Europol heeft verbetermaatregelen in gang gezet, waaronder het herzien van HR-processen en het management van personeelsdossiers. [politico]

Telecomwerknemers benaderd voor SIM-swap fraude

Recent zijn medewerkers van T-Mobile en Verizon in de VS doelwit geworden van cybercriminelen die hen benaderen via sms. De daders bieden werknemers tot $300 aan om mee te werken aan SIM-swap aanvallen, een vorm van fraude waarbij de telefoonnummer van een slachtoffer wordt overgezet op een andere SIM-kaart die de aanvaller controleert. Dit maakt het mogelijk voor de aanvaller om toegang te krijgen tot persoonlijke accounts en gevoelige informatie van het slachtoffer. De aanval is bijzonder zorgwekkend omdat het impliceert dat zelfs interne medewerkers van grote telecombedrijven het doelwit kunnen zijn van dergelijke frauduleuze praktijken. Bedrijven zoals T-Mobile en Verizon hebben reeds stappen ondernomen om hun personeel te waarschuwen en te instrueren hoe te handelen bij dergelijke pogingen. Ze benadrukken het belang van het melden van verdachte activiteiten en versterken de interne veiligheidsprotocollen om zulke aanvallen te voorkomen. [tmo]

🇳🇱 Nederlandse Tuin- en Dierenwinkelketen Ranzijn Doelwit van Cyberaanval

De bekende Nederlandse keten Ranzijn, gespecialiseerd in tuin- en dierenbenodigdheden, is recentelijk het slachtoffer geworden van een cyberaanval uitgevoerd door de groep RA World. De aanval werd op 18 maart 2024 openbaar gemaakt op het darkweb. Ranzijn is actief bezig met het onderzoeken van het incident en neemt maatregelen om verdere schade te voorkomen.

Aanzienlijke financiële impact door cyberaanval op UnitedHealth Group

UnitedHealth Group heeft een verlies van $872 miljoen gerapporteerd als gevolg van een ransomware-aanval op zijn dochteronderneming Change Healthcare. Deze aanval heeft sinds februari ernstige verstoringen veroorzaakt in de Amerikaanse gezondheidszorg. Ondanks deze financiële tegenslag steeg de omzet van het bedrijf jaar op jaar met bijna $8 miljard naar $99,8 miljard. De directe kosten voor het reageren op de cyberaanval bedroegen $593 miljoen, met additionele verliezen door bedrijfsonderbrekingen van $279 miljoen. Bovendien werkt UnitedHealth nog steeds aan het mitigeren van de gevolgen van de cyberaanval voor consumenten en zorgaanbieders, terwijl het financiële hulp biedt aan getroffen aanbieders. [sec, unitedhealthgroup]

Hacking van belastinggegevens in South Carolina gekoppeld aan Russische cybercriminelen

In 2012 werden belasting- en bankgegevens van 3,6 miljoen mensen in South Carolina gestolen door een hack op het ministerie van Financiën van de staat. Dit incident, een van de grootste datalekken in de VS, werd onlangs gelinkt aan een Russische hackgroep bekend van andere grote diefstallen bij bedrijven zoals Home Depot en Target. De aanval begon toen een IT-contractor op een kwaadaardige link klikte. Opvallend genoeg, voor het lek bekend werd gemaakt, bood een cybercrimineel onder de naam 'Rescator' de gegevens te koop aan op verschillende fora. De staat betaalde $12 miljoen aan Experian voor identiteitsbescherming van de getroffen inwoners. Hoewel de hackers veel gegevens hebben buitgemaakt, blijft de officiële betrokkenheid van de vermoedelijke dader, Mikhail Borisovich Shefel, onbevestigd. [krebsonsecurity]

Toename van Bruteforce-aanvallen op VPN- en SSH-Servers

Volgens Cisco is er een significante toename van bruteforce-aanvallen op VPN- en SSH-servers. Deze aanvallen richten zich op verschillende netwerkoplossingen van merken als Cisco, Checkpoint, Fortinet en SonicWall, alsook op RD Web Services en apparatuur van Mikrotik, Draytek en Ubiquiti. Aanvallers gebruiken generieke en specifieke geldige gebruikersnamen voor bepaalde organisaties. De aanvallen, die afkomstig zijn van diverse proxy-diensten en het Tor-netwerk, zijn niet gericht op een specifieke regio of industrie. Cisco waarschuwt dat succesvolle aanvallen kunnen leiden tot ongeautoriseerde netwerktoegang, account lockouts of denial-of-service situaties. Ze verwachten dat het verkeer van deze aanvallen zal blijven toenemen. [talosintelligence]

SteganoAmor-campagne zet steganografie in voor wereldwijde malware-aanvallen

Een nieuwe wereldwijde cyberaanvalscampagne, genaamd "SteganoAmor", uitgevoerd door de hackinggroep TA558, gebruikt steganografie om kwaadaardige codes te verbergen in afbeeldingen. Deze techniek maakt het mogelijk om data onopgemerkt binnen normaal ogende bestanden te verstoppen, waardoor ze niet worden gedetecteerd door gebruikers en beveiligingsproducten. De groep, actief sinds 2018 en vooral gericht op de gastvrijheids- en toerismesector in Latijns-Amerika, heeft meer dan 320 organisaties aangevallen door middel van malafide e-mails met documenten die een bekende kwetsbaarheid in Microsoft Office misbruiken (CVE-2017-11882). De aanval begint met het openen van een document dat een script downloadt, welke op zijn beurt een afbeelding ophaalt met een verborgen kwaadaardige payload. Deze payload wordt vervolgens uitgevoerd om verschillende soorten malware te installeren, waaronder AgentTesla, FormBook, Remcos, LokiBot, Guloader, Snake Keylogger en XWorm. Deze malware varieert van spyware en keyloggers tot trojans die uitgebreide toegang tot de geïnfecteerde systemen mogelijk maken. De schadelijke bestanden worden vaak gehost op legitieme cloudservices zoals Google Drive, waardoor ze minder snel worden gemarkeerd door antivirusprogramma's. De gestolen gegevens worden vervolgens via gecompromitteerde legitieme FTP-servers verstuurd, waardoor het netwerkverkeer normaal lijkt. Door Microsoft Office te updaten kan men zich tegen dergelijke aanvallen beschermen, gezien de gebruikte kwetsbaarheid al jaren bekend en gepatcht is. [ptsecurity]

Datalek bij Cisco Duo door inbreuk op telecommunicatieleverancier

In april 2024 waarschuwde Cisco Duo, een dienst voor multi-factor authenticatie (MFA) en Single Sign-On, voor een datalek veroorzaakt door een cyberaanval op een van hun telecommunicatieleveranciers. Deze aanval resulteerde in de diefstal van SMS en VoIP logbestanden van MFA-berichten, die betrekking hebben op de periode van 1 tot en met 31 maart 2024. De indringer, die toegang verkreeg via gestolen werknemersgegevens uit een phishingaanval, kon hiermee gevoelige informatie downloaden. Hoewel de inhoud van de berichten zelf niet werd gecompromitteerd, bevatten de logbestanden gegevens zoals telefoonnummers, aanbieders, locatiegegevens, en tijdstippen die kunnen worden gebruikt voor gerichte phishingaanvallen. Na de ontdekking van de inbreuk, trof de leverancier onmiddellijk maatregelen door de gecompromitteerde inloggegevens te deactiveren, activiteitenlogboeken te analyseren en extra beveiligingsmaatregelen te implementeren. Cisco Duo heeft de getroffen klanten gewaarschuwd en geadviseerd waakzaam te zijn voor mogelijke phishing of sociale engineering aanvallen met behulp van de gestolen informatie. [securitymsp, duo, google]

Belangrijke inbreuk op Space-Eyes database legt gevoelige Amerikaanse overheidsdocumenten bloot

In april 2024 heeft een dreigingsactor genaamd IntelBroker vermoedelijk de database van Space-Eyes gehackt. Space-Eyes levert diensten die gerelateerd zijn aan de Synthetic Aperture Radar-satelliet en is voornamelijk gericht op het analyseren van bedreigingen in maritieme gebieden. De gelekte database bevatte uiterst gevoelige documenten die cruciaal zijn voor de nationale veiligheid van de Verenigde Staten. Onder de getroffen klanten bevinden zich grote Amerikaanse overheidsinstanties zoals het Ministerie van Justitie, het Ministerie van Binnenlandse Veiligheid, diverse takken van het Amerikaanse leger, het Defense Science and Technology Agency, de US Space Force en het National Geospatial-Intelligence Agency. Als bewijs van de inbreuk heeft IntelBroker stalen van twee CSV-bestanden gedeeld, met daarin gevoelige gegevens zoals persoonsgegevens van geweigerde personen en gebruikersinformatie zoals ID's, namen, titels, contactgegevens, wachtwoorden en organisatorische affiliaties. [darkweb]

Gevaarlijke Zero-Click RCE Exploit Te Koop Voor Android en iOS Apparaten

Een dreigingsactor beweert een zeer ernstige beveiligingskwetsbaarheid te verkopen die Android- en iOS-apparaten kan aanvallen, wat een ernstige bedreiging vormt voor de privacy en veiligheid van gebruikers. Deze kwetsbaarheid maakt externe code-uitvoering (Remote Code Execution, RCE) mogelijk, waardoor aanvallers volledige controle over de getroffen apparaten kunnen krijgen. De verkoper van de exploit heeft echter geen bewijs of concept geleverd, wat twijfels oproept over de echtheid van het aanbod. De exploit maakt gebruik van zowel zero-click als one-click aanvalsscenario's. In het zero-click scenario kan kwaadaardige code worden uitgevoerd zonder enige interactie van de gebruiker, mogelijk getriggerd door eenvoudige acties zoals het ontvangen van een bericht of het bekijken van een afbeelding. Zelfs wanneer enige interactie van de gebruiker noodzakelijk is in het one-click scenario, blijft de exploit effectief door veelvoorkomende vectoren zoals SMS-berichten of afbeeldingsbestanden te misbruiken. Eenmaal uitgebuit, kunnen aanvallers een reeks kwaadaardige activiteiten uitvoeren, van het exfiltreren van gegevens tot het installeren van extra malware. Bovendien kunnen aanvallers gecompromitteerde apparaten gebruiken om verdere aanvallen te lanceren, wat een aanzienlijk risico vormt voor zowel individuele gebruikers als de bredere netwerkveiligheid. [darkweb]

Ongeautoriseerde Toegang tot Snapchat's OKTA Portal Aangeboden

Een cybercrimineel biedt ongeautoriseerde toegang aan tot de OKTA Portal van Snapchat. Deze portal is essentieel voor medewerkers om verschillende functies van SNAP te beheren, inclusief Spotlight. Volgens berichten heeft de aanvaller volledige toegang verkregen tot het Okta-systeem, de bedrijfsemail en het twee-stapsverificatieproces, dat momenteel gebruik maakt van Duo Mobile zonder een gekoppelde telefoon. Deze toegang zou de aanvaller in staat stellen om gebruikersauthenticatie voor applicaties te beheren en beveiligen, en stelt ontwikkelaars in staat om identiteitscontroles in te bouwen in applicaties, webdiensten en apparaten. Okta Inc., gevestigd in San Francisco, is een Amerikaans bedrijf gespecialiseerd in identiteits- en toegangsbeheer en biedt cloudsoftware die helpt bij het beheren van gebruikersauthenticatie en het beveiligen van toegang tot applicaties. [Darkweb]

🇳🇱 Groot Datalek bij Nexperia: 1TB Gevoelige Informatie Op Darkweb

Op 10 april 2024 onthulden cybercriminelen van Dunghill Leak een massief datalek bij Nexperia, een Nederlandse fabrikant van elektronische componenten. Het lek omvat 1 terabyte aan gevoelige data, waaronder kwaliteitscontrolegegevens, klantendossiers van grote merken zoals SpaceX en Apple, en gedetailleerde projectdata. Ook bevat het industriële productie-instructies en vertrouwelijke informatie over halfgeleidertechnologieën. Persoonlijke gegevens van medewerkers en uiterst geheime ontwerptekeningen van halfgeleiders werden eveneens blootgesteld. Gelukkig hebben nog maar weinig hackers de data ontdekt; toen ik het ontdekte, stond de teller slechts op één. [ccinfo]

Mijn gegevens staan op darkweb, wat nu?

Het is belangrijk om snel en zorgvuldig te handelen als je persoonlijke gegevens gestolen zijn door een hack. Hier zijn enkele stappen die je kunt nemen:

1. Informeer je werkgever: Zorg ervoor dat je werkgever op de hoogte is van het feit dat jouw gegevens gestolen zijn, ook al is de hack bij hen bekend. Vraag naar de maatregelen die zij nemen en welke hulp zij bieden, zoals identiteitsbescherming of juridische bijstand.

2. Contact opnemen met de bank: Als financiële informatie of identiteitsgegevens zijn gestolen, informeer dan je bank of financiële instellingen. Zij kunnen je account monitoren op verdachte activiteiten en waar nodig preventieve maatregelen nemen.

3. Waarschuw de autoriteiten: Doe aangifte bij de politie. Dit is belangrijk voor het officiële onderzoek en kan ook van belang zijn voor eventuele verzekeringsclaims of schadevergoedingen.

4. Fraude alert plaatsen: Overweeg om een fraude alert te plaatsen op je naam bij kredietregistratiebureaus. Dit waarschuwt kredietverstrekkers om extra controles uit te voeren voordat ze krediet verlenen in jouw naam.

5. Paspoort en identiteitsfraude: Meld het verlies van je paspoort bij de gemeente en vraag een nieuw paspoort aan. Het is ook verstandig om een melding te maken bij het Centraal Meldpunt Identiteitsfraude en -fouten (CMI) van de Rijksoverheid.

6. Monitoring en bescherming: Blijf waakzaam op tekenen van identiteitsdiefstal. Overweeg je aan te melden voor een dienst die je identiteit en kredietstatus monitort. Controleer regelmatig je bankrekeningen en volg je credit score.

7. Verander wachtwoorden en beveiligingsinstellingen: Als inloggegevens zijn gecompromitteerd, wijzig dan onmiddellijk je wachtwoorden voor alle relevante accounts, met name je e-mailaccounts en accounts die linken naar financiële informatie.

8. Blijf geïnformeerd: Blijf op de hoogte van het laatste nieuws over de hack van je werkgever, en volg alle aanbevolen stappen van zowel je werkgever als de autoriteiten.

Het is cruciaal om actie te ondernemen om verdere schade te voorkomen en je rechten te beschermen.

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Week overzicht slachtoffers

Cybercrimeinfo update: Tot en met 31 maart 2024 publiceren we dagelijks realtime overzichten van slachtoffers van cybercriminaliteit wiens gegevens zijn gelekt op het darkweb. Na deze datum schakelen we over naar een wekelijkse update. Vanaf dan bieden we elke maandag een totaaloverzicht van de gebeurtenissen van de afgelopen week. Lees verder

Slachtoffers België en Nederland

In samenwerking met StealthMole

Sponsor Cybercrimeinfo

Meer weekoverzichten