🇳🇱 🇬🇧

Cybercrimeinfo update: Tot en met 31 maart 2024 publiceren we dagelijks realtime overzichten van slachtoffers van cybercriminaliteit wiens gegevens zijn gelekt op het darkweb. Na deze datum schakelen we over naar een wekelijkse update. Vanaf dan bieden we elke maandag een totaaloverzicht van de gebeurtenissen van de afgelopen week. Lees verder

Cyberaanvallen, datalekken, trends en dreigingen nieuws

🇳🇱 🇬🇧

Deze pagina wordt voortdurend bijgewerkt. Laatste update: 08-mei-2024

Waarschuwing van FBI over Cadeaukaartfraude door Hackgroep

De FBI heeft Amerikaanse detailhandelsbedrijven gewaarschuwd voor een hackgroep, bekend als Storm-0539, die sinds januari 2024 medewerkers van cadeaukaartafdelingen doelwit maakt met phishingaanvallen. Deze groep, die financieel gemotiveerd is, richt zich op zowel persoonlijke als zakelijke mobiele apparaten van personeel met behulp van een geavanceerd phishingpakket dat meerfactorauthenticatie kan omzeilen. Na toegang te hebben verkregen tot een werknemersaccount, verspreiden de aanvallers zich door het netwerk om het cadeaukaartproces te lokaliseren en over te nemen. De aanvallers stelen inloggegevens en SSH-sleutels van personeel, die vervolgens kunnen worden verkocht of gebruikt voor verdere aanvallen. In een geval detecteerde een bedrijf frauduleuze activiteiten van Storm-0539 en nam maatregelen om de aanmaak van valse cadeaukaarten te stoppen. Ondanks deze tegenmaatregelen slaagde Storm-0539 erin om weer toegang te krijgen en ongebruikte cadeaukaarten te exploiteren door de gekoppelde e-mailadressen te wijzigen. De FBI adviseert bedrijven om hun incidentresponsplannen te herzien, werknemers te trainen in het herkennen van phishing, en strenge authenticatie en minimale toegangsrechten te hanteren om de impact van dergelijke aanvallen te verminderen.

Ransomware-aanval leidt tot openbaarmaking van gevoelige kindergegevens in Schotland

Een Schotse gezondheidsdienst, NHS Dumfries and Galloway, heeft te maken gehad met een ernstige ransomware-aanval begin maart, waarbij gevoelige gegevens, inclusief die van kinderen, gestolen werden. De aanvallers, een bekende ransomwaregroep, dreigden deze informatie te publiceren tenzij er losgeld betaald werd. Na het niet ontvangen van het gevraagde losgeld hebben de criminelen een grote hoeveelheid personeels- en patiëntgegevens vrijgegeven, waaronder geestelijke gezondheidsgegevens van kinderen. Het exacte aantal getroffen patiënten is nog niet vastgesteld, maar de schattingen lopen op tot mogelijk duizenden slachtoffers. De gezondheidsdienst is een uitgebreid onderzoek gestart om te identificeren welke personen het meeste risico lopen als gevolg van dit datalek. Details over hoe de aanvallers toegang hebben verkregen tot de gegevens zijn nog niet vrijgegeven. [nhsdg, bbc]

Grootschalige fraude met nepwebshops ontmaskerd

Een omvangrijk netwerk genaamd 'BogusBazaar' heeft ongeveer 850.000 mensen in de VS en Europa misleid door ze te lokken naar 75.000 neppe online winkels. Deze operatie stelde de criminelen in staat om creditcardgegevens te stelen en te proberen voor ongeveer $50 miljoen aan nepbestellingen te verwerken. De slachtoffers, voornamelijk uit de Verenigde Staten en West-Europa, werden aangetrokken door deze frauduleuze websites die schoenen en kleding tegen schijnbaar lage prijzen verkochten. De sites waren opgezet op domeinen die eerder verlopen waren maar nog wel een goede reputatie hadden bij Google, waardoor ze een vals gevoel van legitimiteit opwekten. De betalingspagina's van deze webshops verzamelden niet alleen contact- en creditcardgegevens van de slachtoffers, maar leidden ook tot betalingen voor niet-bestaande bestellingen. Het netwerk werd beheerd vanuit China, terwijl de meeste servers in de Verenigde Staten stonden. De operatie is sterk georganiseerd met een kerngroep die de infrastructuur beheert en een uitgebreid netwerk van franchisenemers die de dagelijkse operaties van de nepwinkels beheren. De slachtoffers zijn aangemoedigd om de authenticiteit van online winkels te controleren door onder meer het beleid voor retourneren en sociale media aanwezigheid te beoordelen. [srlabs, verbraucherzentrale]

Cyberaanval treft Medische Beeldvormingssites in Pyrénées-Orientales in Frankrijk

Op dinsdag 7 mei 2024 werd de medische radiologiegroep Coradix-Magnescan, actief in de Pyrénées-Orientales, getroffen door een cyberaanval. Deze aanval, die voor het eerst werd opgemerkt bij het opstarten van hun systemen afgelopen vrijdag, heeft meerdere medische beeldvormingslocaties beïnvloed, waaronder die in Saint-Pierre, de Méditerranée polikliniek, Argelès-sur-Mer en Vallespir in Céret. Direct na het ontdekken van de inbreuk, werden er maatregelen genomen om verdere schade te voorkomen. Audrey Pla, hoofd Kwaliteit en Risicobeheer, bevestigde dat er snel werd gehandeld om de schade in te perken. Ondanks het incident is er tot op heden geen diefstal van gegevens gemeld. De medische teams werken onder verhoogde druk om alle geplande onderzoeken voort te zetten, al is het maken van nieuwe afspraken momenteel problematisch. De groep heeft een klacht ingediend en er loopt een onderzoek om de oorsprong van de aanval vast te stellen. In de tussentijd wordt er een beroep gedaan op het geduld en begrip van de patiënten, terwijl de situatie hopelijk snel normaliseert. [lindependant]

DocGo Getroffen door Cyberaanval en Diefstal van Patiëntgegevens

DocGo, een bedrijf gespecialiseerd in mobiele medische zorg, heeft bevestigd dat het slachtoffer is geworden van een cyberaanval waarbij gezondheidsgegevens van patiënten zijn gestolen. Het bedrijf, dat gezondheidsdiensten, ambulancevervoer en op afstand bewaken van patiënten biedt in dertig Amerikaanse staten en het Verenigd Koninkrijk, ontdekte ongeautoriseerde activiteit in hun systemen. Onmiddellijk na de ontdekking heeft DocGo maatregelen genomen om de inbreuk te beperken, waaronder het inschakelen van externe cybersecurity-experts en het informeren van de relevante autoriteiten. De aanvallers hebben toegang gekregen tot een beperkt aantal gezondheidsdossiers gerelateerd aan de ambulancevervoerdiensten van het bedrijf in de VS. DocGo heeft de betrokken individuen geïnformeerd over de diefstal van hun gegevens. Het bedrijf benadrukt dat andere bedrijfsonderdelen niet zijn getroffen en er geen bewijs is van voortdurende ongeautoriseerde toegang. Volgens DocGo zal de aanval waarschijnlijk geen materiële impact hebben op de bedrijfsvoering en financiën. Er is nog geen verantwoordelijkheid voor de inbreuk geclaimd, maar het bedrijf blijft waakzaam voor mogelijke toekomstige bedreigingen of chantagepogingen met de gestolen gegevens. [sec]

❗️Beveiligingslekken in WordPress-plugins leiden tot ongeautoriseerde beheerdersaccounts

Hackers richten zich op WordPress-websites met een verouderde versie van de LiteSpeed Cache-plugin om beheerdersaccounts aan te maken en controle over de websites te verkrijgen. Deze plugin, die op meer dan vijf miljoen sites wordt gebruikt, versnelt het laden van pagina's en verbetert de Google-zoekranking. Volgens het beveiligingsteam van Automattic, WPScan, maken aanvallers gebruik van een ernstige cross-site scripting kwetsbaarheid in versies ouder dan 5.7.0.1. Deze kwetsbaarheid, bekend als CVE-2023-40000, stelt hackers in staat kwaadaardige JavaScript-code in te voegen, wat resulteert in het creëren van nep-beheerdersaccounts. Bijna 1,835,000 sites gebruiken nog steeds deze kwetsbare versies. Een vergelijkbare aanval heeft plaatsgevonden op het "Email Subscribers" plugin, waar hackers een ernstige SQL-injectie kwetsbaarheid misbruiken om beheerdersaccounts te creëren. Dit plugin is minder populair, met 90,000 actieve installaties, maar toont aan dat geen enkel plugin veilig is voor aanvallen. WordPress sitebeheerders wordt geadviseerd om plugins regelmatig bij te werken en onnodige componenten te verwijderen of uit te schakelen. Na een bevestigde inbraak is een volledige opschoning van de site noodzakelijk, inclusief het verwijderen van alle valse accounts, het resetten van wachtwoorden, en het herstellen van de database en sitebestanden vanuit schone back-ups. [wpscan, patchstack, wordpress, wallarm, wordpress]

Datalek bij Britse Ministerie van Defensie treft 270.000 betaalgegevens

De Britse overheid heeft bevestigd dat een cyberaanval het Ministerie van Defensie (MoD) heeft getroffen, waarbij een deel van het betaalnetwerk van de strijdkrachten is gecompromitteerd. De indringers verkregen toegang tot persoonlijke gegevens van actief en reservistisch personeel en enkele recent gepensioneerde veteranen. Ondanks de isolatie van het systeem door het MoD om verdere verspreiding van de inbreuk te voorkomen en het stopzetten van alle betalingen, beïnvloedde dit incident de salarissen en uitgaven van april niet. Minister van Defensie, Grant Shapps, informeerde dat de geïsoleerde aanval zich richtte op een extern systeem dat beheerd wordt door een aannemer en niet verbonden is met het kernnetwerk van MoD. Er zijn nog geen aanwijzingen dat er daadwerkelijk gegevens zijn gestolen, maar alle betrokken personeelsleden zijn ingelicht over de mogelijke risico's. Shapps gaf ook aan dat buitenlandse staatsbetrokkenheid niet wordt uitgesloten en dat onderzoek naar het lek nog loopt, waarbij er aanwijzingen zijn van tekortkomingen aan de zijde van de aannemer die mogelijk het ongeautoriseerde toegang hebben gefaciliteerd. [gov]

Illegale VPN-toegang aangeboden tot groot Japans autoconcern

Een cybercrimineel beweert ongeautoriseerde VPN-toegang te verkopen tot het netwerk van een vooraanstaande Japanse autofabrikant. Dit netwerk, met hoofdzetel in Japan, omvat meer dan 60 fabrieken en kantoren wereldwijd, waaronder in Europa, Azië en de VS, en genereert jaarlijks ongeveer 15 miljard dollar. De aangeboden toegang betreft VPN-rechten voor meer dan 20 gebruikers en domeintoegang van een gebruiker met lokale beheerdersrechten op diverse servers, waaronder back-up- en databaseservers. Verder omvat het aanbod toegang tot 54 domeincontrollers in verschillende landen, met name in het VK, de VS en Mexico. De cybercrimineel zegt deze toegang te verkopen vanwege beperkte middelen en vraagt een startprijs van 40.000 dollar, die met stappen van 5.000 dollar verhoogd kan worden, tot een "Flash" optie van 111.000 dollar. Er is geen gedetailleerde netwerkanalyse uitgevoerd om detectie te voorkomen, maar de crimineel biedt wel bewijzen van netwerktoegang, waaronder een netwerkscan en gebruikersinformatie. Dit benadrukt het voortdurende risico van cyberaanvallen op grote ondernemingen en het belang van krachtige cybersecuritymaatregelen om gevoelige netwerken en gegevens te beschermen.

🇧🇪 Datalek bij Belgisch Bedrijf Daoust door High Society Group

Het Belgische bedrijf Daoust is recentelijk het doelwit geworden van een cyberaanval door de High Society Group. Deze groep claimt succesvol toegang te hebben verkregen tot de systemen van het bedrijf, waaronder werknemersmailboxen en gevoelige documenten. Volgens de verklaringen van de hackers hebben ze diverse belangrijke documenten gedownload die cruciaal zijn voor de bedrijfsvoering van Daoust. Daarnaast beweren ze controle te hebben overgenomen van meerdere Belgische servers, wat wijst op een mogelijk risico voor verdere onthullingen van data. Dit incident benadrukt het aanhoudende gevaar van cyberdreigingen waarmee organisaties geconfronteerd worden en onderstreept het belang van sterke cyberbeveiligingsmaatregelen om gevoelige informatie te beschermen.

Vermeende Datalek van UK Overheidssysteem Door USDoD

Een recent cyberincident heeft geleid tot de onthulling van een datalek in het systeem van de Britse overheid, waarbij een dreigingsactor die zichzelf de USDoD noemt betrokken is. Door een verkeerd geconfigureerd CDN (Content Delivery Network) zijn persoonlijke gegevens van gebruikers blootgesteld. De dreigingsactor claimt meer dan een miljoen gebruikersrecords en aanvullende gegevens uit het gecompromitteerde systeem te hebben gehaald. Er is een deel van de database openbaar gemaakt, met bijna 80.000 gebruikersgegevens, waaronder gebruikersnamen en wachtwoorden. Dit datalek benadrukt het belang van het nauwlettend monitoren van wereldwijde activiteiten om soortgelijke incidenten te voorkomen. De dreigingsactor heeft aangekondigd de volledige gegevens later vrij te geven, wat dient als een waarschuwing voor mogelijke verdere blootstelling van gevoelige informatie.

BlackBasta Ransomwaregroep valt Ayesa aan en compromitteert 4,5TB aan data

Op 4 mei 2024 heeft de BlackBasta ransomwaregroep het bedrijf Ayesa, een aanbieder van CRM/ERP-diensten, toegevoegd aan hun lijst van slachtoffers. De cyberaanval resulteerde in een aanzienlijk datalek, waarbij meer dan 4,5 terabyte aan gegevens werd buitgemaakt. Onder de gestolen data bevinden zich gevoelige informatie zoals bedrijfsgegevens, persoonlijke gegevens van werknemers, projectbestanden en CAD-bestanden, waarbij ook klantendatasets waarschijnlijk zijn betrokken. Het incident roept vragen op over hoe een dergelijke hoeveelheid data onopgemerkt kon blijven en gelekt worden, wat zorgen baart over de beveiliging bij Ayesa. Dit incident benadrukt het voortdurende risico van ransomware-aanvallen op wereldwijde bedrijven en organisaties, waarbij cruciale gegevens vaak het doelwit zijn.

Ransomware-aanval treft NRS Healthcare

Op 30 maart 2024 werd NRS Healthcare, een Britse leverancier van hulpmiddelen voor mobiliteit en gehandicaptenzorg, het slachtoffer van een gerichte ransomware-aanval door de RansomHub-groep. Deze aanval resulteerde in de compromittering van 578 gigabyte aan gevoelige data, waaronder meer dan 600.000 documenten. De buitgemaakte gegevens omvatten kritische bestanden zoals boekhoudkundige gegevens, HR-documenten, financiële rapporten, ontvangstlogboeken, contracten en andere essentiële documenten. NRS Healthcare is bekend om zijn brede aanbod van producten die persoonlijke zorg, mobiliteit, thuiszorg, infectiepreventie, en hulpmiddelen voor o.a. kinderen, dementiezorg en bariatrie omvatten. Deze inbreuk onderstreept het voortdurende risico van cyberaanvallen binnen de gezondheidszorgsector en de noodzaak voor robuuste cybersecuritymaatregelen.

Kritieke Datalek bij Scigames Na Cyberaanval

In 2024 werd de website van Scigames getroffen door een ernstige cyberaanval, uitgevoerd door Chucky van Leakbase. Dit incident leidde tot de onthulling van gevoelige informatie door fouten in het beheerpaneel. De gelekte gegevens omvatten een volledige export van alle projectbijlagen in HTML-formaat, vergezeld van screenshots. Bovendien zijn er belangrijke administratieve gegevens gecompromitteerd, inclusief toegangscodes voor FTP, inloggegevens van administratieve panelen en serverlogbestanden. Deze inbreuk onthult de kwetsbaarheid van Scigames in hun cyberbeveiligingspraktijken en benadrukt het groeiende probleem van datalekken en cyberaanvallen die wereldwijd bedrijven en organisaties beïnvloeden. De gevolgen van dergelijke datalekken kunnen verreikend zijn, waarbij vertrouwelijke en operationele informatie risico loopt, wat de noodzaak van versterkte beveiligingsmaatregelen onderstreept.

Datalek Bankklanten China Aangeboden op het Darkweb voor $12.000

Een onbekende dreigingsactor beweert een database te koop aan te bieden die informatie bevat van klanten van verschillende banken in China. De database, die dateert van december 2023, zou ruim 2,3 miljoen records omvatten, waaronder mobiele nummers, volledige namen, identificatienummers, rekeningnummers, bankgegevens, en demografische informatie zoals provincie, stad, mobiele provider, geslacht en geboortedatum. De verkoop van deze gegevens zou plaatsvinden voor $12.000 voor de volledige database, of in kleinere batches van 100.000 regels voor $1.000 per stuk. Betalingen kunnen gedaan worden via diverse cryptocurrencies, en er is de optie om gebruik te maken van een escrow service of tussenpersoon voor de transactie. De dreigingsactor benadrukt dat de database in zijn geheel aan slechts één koper verkocht zal worden. Voor geïnteresseerden die de authenticiteit van de database willen verifiëren, wordt een kleiner dataset van 10.000 regels aangeboden voor $200. De legitimiteit van de aanbieding is echter niet geverifieerd, wat zorgen oproept over de mogelijke blootstelling van gevoelige financiële informatie. Autoriteiten en financiële instellingen worden aangemoedigd waakzaam te blijven en hun cybersecuritymaatregelen te versterken om klantgegevens te beschermen tegen dergelijke bedreigingen.

Groot Datalek Treft Miljoenen Spaanse Burgers door Ongeautoriseerde RDP-toegang

Een cyberaanvaller beweert administratieve toegang te hebben verkregen tot het Remote Desktop Protocol (RDP) van een Spaans bedrijf, wat jaarlijks meer dan 6 miljoen euro genereert. Dit datalek heeft gevoelige informatie blootgesteld van miljoenen individuen en entiteiten, waaronder verschillende gemeenten, particuliere bedrijven en personen. De gelekte gegevens omvatten bankinformatie, straatadressen, identiteitsdocumenten, verzekeringspolissen en werkgegevens. Bijzonder zorgwekkend is de impact op de Spaanse tak van BMW BANK, waar uitgebreide databases met klant- en verzekeringsinformatie zijn opgeslagen. De cybercriminelen beschikken nu over de mogelijkheid om deze databases te benaderen en manipuleren. Ze hebben aangetoond in staat te zijn financiële ontvangstbewijzen op te halen, retourzendingen te faciliteren en gegevens naar Excel-spreadsheets te exporteren via de administratieve accounts van het bedrijf. Dit incident onderstreept de ernstige risico's van ongeautoriseerde toegang tot bedrijfssystemen en de potentieel enorme impact op persoonsgegevens.

Nieuwe 'TunnelVision' aanval bedreigt VPN-gebruikers

Onderzoekers hebben een nieuwe techniek onthuld, genaamd 'TunnelVision', die het mogelijk maakt om IP-adressen en verkeer van VPN-gebruikers te onderscheppen. Deze aanval maakt misbruik van het feit dat traditioneel VPN-verkeer via een beveiligde tunnel verloopt, maar 'TunnelVision' zorgt ervoor dat dit verkeer buiten de tunnel wordt geleid en dus kan worden afgeluisterd. De kwetsbaarheid, bekend als CVE-2024-3661, benut een zwakke plek in het Dynamic Host Configuration Protocol (DHCP). Door het manipuleren van 'optie 121' in de DHCP-instellingen, kan een kwaadwillende DHCP-server de routeregels van het netwerkapparaat wijzigen, waardoor het verkeer niet door de veilige VPN-tunnel gaat. Dit geldt niet voor Android-apparaten, omdat deze 'optie 121' negeren, waardoor de aanval daarop niet effectief is. Linux-gebruikers kunnen zich ook beschermen door gebruik te maken van network namespaces. Hoewel deze aanval al sinds 2002 mogelijk is, wordt nu pas ingezien hoe ernstig de implicaties kunnen zijn. [leviathansecurity, datatracker]

Criminelen stelen creditcardgegevens via nepsite Van Gogh Museum

Oplichters hebben creditcardgegevens van bezoekers weten te bemachtigen via een nepwebsite die de officiële website van het Van Gogh Museum nabootste. Deze frauduleuze site stond bovenaan in de Google-zoekresultaten, waardoor bezoekers werden misleid. Slachtoffers merkten dat ze voor toegang tot het museum gevraagd werden om hun creditcardgegevens in te voeren, wat normaal gesproken niet nodig is. Het museum ontving tot nu toe ongeveer vijftig meldingen over de nepsite en heeft deze incidenten gemeld bij de politie. Bovendien heeft het museum Google op de hoogte gesteld van het probleem. De site, die begin april voor het eerst opdook, is inmiddels offline gehaald. De Museumvereniging is direct op de hoogte gebracht, terwijl de politie de zaak onderzoekt als een vorm van verkoopfraude. Universitair docent strafrecht Jan-Jaap Oerlemans noemt dit een voorbeeld van aan- en verkoopfraude. [parool]

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Week overzicht slachtoffers

Cybercrimeinfo update: Tot en met 31 maart 2024 publiceren we dagelijks realtime overzichten van slachtoffers van cybercriminaliteit wiens gegevens zijn gelekt op het darkweb. Na deze datum schakelen we over naar een wekelijkse update. Vanaf dan bieden we elke maandag een totaaloverzicht van de gebeurtenissen van de afgelopen week. Lees verder

Slachtoffers België en Nederland

In samenwerking met StealthMole

Sponsor Cybercrimeinfo

Meer weekoverzichten