Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
In de afgelopen week hebben er verschillende significante cyberaanvallen plaatsgevonden die wereldwijd impact hebben gehad. Een ransomwaregroep heeft de gegevens van duizenden gasten van Landal Greenparks gepubliceerd, terwijl TSMC een hack ontkent nadat een ransomware-bende $70 miljoen eist. Ondertussen is er een nieuwe EarlyRAT-malware ontdekt die gelinkt is aan Noord-Koreaanse cybercriminelen.
In het Verenigd Koninkrijk heeft een grote ransomware-aanval plaatsgevonden op een universiteit, waarbij de data van 1,1 miljoen patiënten is gestolen. Pepsi Bottling Ventures is ook getroffen door een malware-aanval, waarbij 28.000 medewerkers het slachtoffer zijn geworden van een datalek. Ten slotte zijn er persoonsgegevens van apothekers gestolen bij een datalek van KNMP.
Hieronder vindt u een gedetailleerd overzicht van deze cyberaanvallen van de afgelopen week.
Week overzicht slachtoffers
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb ↑ |
|---|---|---|---|---|---|
| Mutuelle LMP | Medusa | In progress | In progress | In progress | 3-jul.-23 |
| Luna Hotels & Resorts | Medusa | In progress | In progress | In progress | 3-jul.-23 |
| Brett Martin | BlackByte | www.brettmartin.com | UK | Rubber, Plastics Products | 2-jul.-23 |
| blowtherm.it | LockBit | blowtherm.it | Italy | Machinery, Computer Equipment | 2-jul.-23 |
| Guatemala Military Intelligence Directorate | Cyclops | mindef.mil.gt | Guatemala | Justice, Public Order, And Safety | 2-jul.-23 |
| ALTARGRUP | Cyclops | www.altargrup.com.tr | Turkey | Machinery, Computer Equipment | 2-jul.-23 |
| Atherfield Medical Service | Cyclops | atherfieldmedicalservice.com.au | Australia | Health Services | 2-jul.-23 |
| Ucamco Belgium | Medusa Locker | www.ucamco.com | Belgium | IT Services | 2-jul.-23 |
| Ashley HomeStore | Mallox | www.ashleyfurniture.com | USA | Home Furniture, Furnishings, And Equipment Stores | 1-jul.-23 |
| Blount Fine Foods | Black Basta | www.blountfinefoods.com | USA | Food Products | 1-jul.-23 |
| DVA - DVision Architecture | RansomEXX | dvisionarchitecture.com | Italy | Construction | 1-jul.-23 |
| **l***** C*********** | BianLian | Unknown | USA | Construction | 1-jul.-23 |
| Undisclosed Staffing Company | BianLian | Unknown | USA | Business Services | 1-jul.-23 |
| barts health nhs trust | BlackCat (ALPHV) | www.bartshealth.nhs.uk | UK | Health Services | 30-jun.-23 |
| ENCORECAPITAL.COM | CL0P | encorecapital.com | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 30-jun.-23 |
| TRELLISWARE.COM | CL0P | trellisware.com | USA | Communications | 30-jun.-23 |
| CLICKSGROUP.CO.ZA | CL0P | clicksgroup.co.za | South Africa | Miscellaneous Retail | 30-jun.-23 |
| HORNBECKOFFSHORE.COM | CL0P | hornbeckoffshore.com | USA | Transportation Services | 30-jun.-23 |
| FISGLOBAL.COM | CL0P | fisglobal.com | USA | IT Services | 30-jun.-23 |
| DIGITALINSIGHT.COM | CL0P | digitalinsight.com | USA | IT Services | 30-jun.-23 |
| IRONBOW.COM | CL0P | ironbow.com | USA | IT Services | 30-jun.-23 |
| VERICAST.COM | CL0P | vericast.com | USA | Business Services | 30-jun.-23 |
| RHENUS.GROUP | CL0P | rhenus.group | Germany | Transportation Services | 30-jun.-23 |
| SOVOS.COM | CL0P | sovos.com | USA | IT Services | 30-jun.-23 |
| HARRINGTONCOMPANY.COM | CL0P | harringtoncompany.com | USA | Membership Organizations | 30-jun.-23 |
| CITYNATIONAL.COM | CL0P | citynational.com | USA | Depository Institutions | 30-jun.-23 |
| tsmc.com | LockBit | tsmc.com | Taiwan | Electronic, Electrical Equipment, Components | 29-jun.-23 |
| amepl.com.au | LockBit | amepl.com.au | Australia | Engineering Services | 29-jun.-23 |
| Enfield Grammar School | Rhysida | www.enfieldgrammar.org | UK | Educational Services | 29-jun.-23 |
| Nycon | Akira | www.nycon.com | USA | Miscellaneous Manufacturing Industries | 29-jun.-23 |
| Hospitality Staffing Solutions | Akira | www.hssstaffing.com | USA | Business Services | 29-jun.-23 |
| KLGATES.COM | CL0P | klgates.com | USA | Legal Services | 29-jun.-23 |
| Alberta Newsprint | Rhysida | www.albertanewsprint.com | Canada | Paper Products | 28-jun.-23 |
| ISPE Connecting Pharmaceutical Knowledge | 8BASE | ispe.org | USA | Chemical Producers | 28-jun.-23 |
| ibafrance.fr | LockBit | ibafrance.fr | France | Engineering Services | 28-jun.-23 |
| CentroMed | Karakurt | centromedsa.com | USA | Health Services | 28-jun.-23 |
| Wilcom | Akira | wilcom.com | Australia | IT Services | 28-jun.-23 |
| Stoughton Trailers | Akira | www.stoughtontrailers.com | USA | Transportation Equipment | 28-jun.-23 |
| Pan Pacific Hotels Group | Karakurt | www.panpacific.com | Singapore | Lodging Places | 28-jun.-23 |
| Thaire | RA GROUP | www.thaire.co.th | Thailand | Insurance Carriers | 28-jun.-23 |
| PORTERROOFING | 8BASE | www.porter-roofing.com | USA | Construction | 28-jun.-23 |
| Coachella Valley Collection Service | BlackCat (ALPHV) | www.cvcollection.com | USA | Non-depository Institutions | 28-jun.-23 |
| CON-STRUCT | 8BASE | constructiowa.com | USA | Construction | 28-jun.-23 |
| GraphTec | Black Basta | www.graphtecinc.com | USA | Miscellaneous Manufacturing Industries | 28-jun.-23 |
| Modern Industries | Black Basta | modernind.com | USA | Aerospace | 28-jun.-23 |
| GIAMBELLI | Black Basta | www.giambelli.it | Italy | Real Estate | 28-jun.-23 |
| JBCC Corp | Mallox | www.jbcc.co.jp | Japan | IT Services | 28-jun.-23 |
| Arab Shipbuilding and Repair Yard | BianLian | asry.net | Bahrain | Transportation Equipment | 28-jun.-23 |
| Misr Life Insurance | BianLian | misrlife.com | Egypt | Insurance Carriers | 28-jun.-23 |
| N** ********* ********** | BianLian | Unknown | USA | Health Services | 28-jun.-23 |
| KIRKLAND & ELLIS LLP | CL0P | kirkland.com | USA | Legal Services | 28-jun.-23 |
| DARLINGCONSULTING.COM | CL0P | darlingconsulting.com | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 28-jun.-23 |
| CPIAI.COM | CL0P | cpiai.com | USA | Insurance Carriers | 28-jun.-23 |
| DELTADENTAL.COM | CL0P | deltadental.com | USA | Insurance Carriers | 28-jun.-23 |
| COGNIZANT.COM | CL0P | cognizant.com | USA | IT Services | 28-jun.-23 |
| ENSTARGROUP.COM | CL0P | enstargroup.com | Bermuda | Insurance Carriers | 28-jun.-23 |
| SAPIENS.COM | CL0P | sapiens.com | Israel | IT Services | 28-jun.-23 |
| CARESOURCE.COM | CL0P | caresource.com | USA | Insurance Carriers | 28-jun.-23 |
| JACKSON.COM | CL0P | jackson.com | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 28-jun.-23 |
| STARMOUNTLIFE.COM | CL0P | starmountlife.com | USA | Insurance Carriers | 28-jun.-23 |
| KOTAKLIFE.COM | CL0P | kotaklife.com | India | Insurance Carriers | 28-jun.-23 |
| KIRKLANDS.COM | CL0P | kirklands.com | USA | Home Furniture, Furnishings, And Equipment Stores | 28-jun.-23 |
| PROSKAUER.COM | CL0P | proskauer.com | USA | Legal Services | 28-jun.-23 |
| Texas Heat Treating | PLAY | www.texasheattreating.com | USA | Machinery, Computer Equipment | 27-jun.-23 |
| Intoximeters | PLAY | www.intox.com | USA | Measuring, Analyzing, Controlling Instruments | 27-jun.-23 |
| Algotech | PLAY | www.algotech.cz | Czech Republic | IT Services | 27-jun.-23 |
| Cambridge Group of Clubs | PLAY | www.cambridgegroupofclubs.com | Canada | Amusement And Recreation Services | 27-jun.-23 |
| iMatica | Rhysida | www.imatica.com | Spain | IT Services | 27-jun.-23 |
| ITW Food Equipment Group | BlackCat (ALPHV) | www.itwfoodequipment.com | USA | Electronic, Electrical Equipment, Components | 27-jun.-23 |
| COMPASS INFRASTRUCTURE GROUP | Mallox | www.compassinf.com | USA | Construction | 27-jun.-23 |
| ABBVIE.COM | CL0P | abbvie.com | USA | Chemical Producers | 27-jun.-23 |
| UCLA.EDU | CL0P | ucla.edu | USA | Educational Services | 27-jun.-23 |
| SIEMENS-ENERGY.COM | CL0P | siemens-energy.com | Germany | Electrical | 27-jun.-23 |
| SE.COM | CL0P | se.com | France | Electronic, Electrical Equipment, Components | 27-jun.-23 |
| WERUM.COM | CL0P | werum.com | Germany | Business Services | 27-jun.-23 |
| Hochschule Kaiserslautern | Rhysida | www.hs-kl.de | Germany | Educational Services | 26-jun.-23 |
| Greenfiber | BlackCat (ALPHV) | www.greenfiber.com | USA | Miscellaneous Manufacturing Industries | 26-jun.-23 |
| Chariton Valley | Akira | www.cvalley.net | USA | IT Services | 26-jun.-23 |
| Knights of Old Group | Akira | www.knightsofoldgroup.com | UK | Transportation Services | 26-jun.-23 |
| London Capital Group (LCG) | Akira | www.lcg.com | UK | Security And Commodity Brokers, Dealers, Exchanges, And Services | 26-jun.-23 |
| Reeds Spring School District | Karakurt | www.rs-wolves.com | USA | Educational Services | 26-jun.-23 |
| Fassi Gru S.p.A. | Rhysida | www.fassi.com | Italy | Transportation Equipment | 26-jun.-23 |
| Hiberus Tecnología | BianLian | hiberus.com | Spain | IT Services | 26-jun.-23 |
| JOB-SA BETON J.O.B SA | 8BASE | job-beton.com | Tunisia | Miscellaneous Manufacturing Industries | 26-jun.-23 |
| CLEAR MEDI HEALTHCARE | 8BASE | clearmedi.in | India | Health Services | 26-jun.-23 |
| Lysander Shipping | 8BASE | www.lysandershipping.com | UK | Transportation Services | 26-jun.-23 |
| LEGALILAVORO | 8BASE | www.legalilavoro.it | Italy | Legal Services | 26-jun.-23 |
| PNEUMAX | 8BASE | pneumaxspa.com | Italy | Transportation Equipment | 26-jun.-23 |
| MSAMLIN.COM | CL0P | msamlin.com | UK | Insurance Carriers | 26-jun.-23 |
Slachtoffers Belgie en Nederland
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum |
|---|---|---|---|---|---|
| Ucamco Belgium | Medusa Locker | www.ucamco.com | Belgium | IT Services | 2-jul.-23 |
In samenwerking met DarkTracer
Cyberaanvallen nieuws
03-juli-2023 om 09:24
Slechts $656 miljoen gestolen in eerste helft 2023
Samenvatting: Volgens een rapport van Web3 beveiligingsbedrijf Beosin is de totale waarde aan gestolen crypto in de eerste zes maanden van 2023 aanzienlijk gedaald ten opzichte van dezelfde periode vorig jaar. In totaal ging er $656 miljoen aan criminele activiteiten verloren, wat driemaal minder is dan de $1,91 miljard die criminelen buitmaakten in de eerste helft van 2022. Het grootste deel van de gestolen crypto, $471,43 miljoen, werd verloren aan hacks, terwijl $108 miljoen verloren ging aan phishing scams. Daarnaast gingen er $75,87 miljoen verloren door zogenaamde 'rug pulls', waarbij oplichters een eigen munt creëren, de waarde ervan laten stijgen en vervolgens het geld meenemen en verdwijnen. Beveiligingsbedrijven kunnen trots zijn op deze gestage daling. Het rapport vermeldt ook dat het herstelpercentage indrukwekkend is gestegen, waarbij $215 miljoen van de gestolen crypto terugkwam bij de oorspronkelijke eigenaars, wat overeenkomt met een herstelpercentage van 45,5%. Dit is een aanzienlijke verbetering ten opzichte van het vorige jaar, waarin slechts 8% van de gestolen crypto werd hersteld. Mixers zoals Tornado Cash bemoeilijkten het herstelproces door $113 miljoen aan gestolen tokens te verbergen, waarvan $45,38 miljoen via Tornado Cash werd doorgesluisd.
2/ The total loss from hacks in Web3 has significantly decreased compared to last year.
— Beosin Alert (@BeosinAlert) June 30, 2023
In H1 2022, the total loss from attacks was ~$1.91 billion, and in H2 2022, it was about $1.69 billion, while in H1 2023, this value dropped to $470 million. pic.twitter.com/1P8m2lOPGG
BlackCat ransomware verspreidt Cobalt Strike via WinSCP-zoekadvertenties
De BlackCat-ransomwaregroep, ook bekend als ALPHV, voert malvertisingcampagnes uit om mensen naar valse pagina's te lokken die de officiële website van de WinSCP-bestandsoverdrachtstoepassing voor Windows nabootsen. In plaats daarvan worden er malware-geïnfecteerde installatieprogramma's verspreid. WinSCP is een populaire gratis en open-source bestandsbeheerder en client voor SFTP, FTP, S3 en SCP met wekelijks 400.000 downloads alleen al op SourceForge. BlackCat gebruikt dit programma als lokaas om de computers van systeembeheerders, webbeheerders en IT-professionals te infecteren en zo toegang te krijgen tot waardevolle bedrijfsnetwerken. De aanval begint wanneer slachtoffers op kwaadaardige zoekadvertenties klikken en een nep-website bezoeken die tutorials over geautomatiseerde bestandsoverdracht met WinSCP biedt. Vervolgens worden ze omgeleid naar een kloon van de officiële WinSCP-website waar ze een schadelijk ISO-bestand downloaden. Dit bestand bevat een malware-druppelaar en een aangepaste versie van Python met een Cobalt Strike-beacon. De aanvallers maken ook gebruik van andere tools, zoals AdFind, PowerShell, AccessChk64 en Python-scripts, om verdere toegang tot het netwerk te verkrijgen en laterale beweging mogelijk te maken. De BlackCat-ransomwaregroep wordt ook geassocieerd met andere ransomware-operaties, zoals Clop.
Cyberaanval verstoort satellietcommunicatie van Russisch leger
Een satellietcommunicatiesysteem dat werd gebruikt door het Russische leger is getroffen door een cyberaanval. De aanval vond plaats op woensdag en had grote gevolgen, vergelijkbaar met een eerdere aanval op een vergelijkbaar systeem dat door Oekraïne werd gebruikt aan het begin van de oorlog tussen de twee landen. Dozor-Teleport, de exploitant van het satellietsysteem, schakelde tijdens de storing sommige gebruikers over naar terrestrische netwerken. Eén netwerk werd overgenomen door het moederbedrijf van Dozor, Amtel-Svyaz, terwijl drie andere netwerken nog steeds niet functioneerden. Ten minste twee groepen hebben de verantwoordelijkheid opgeëist voor de aanval. Een groep noemde zichzelf een "hacktivistische" organisatie, terwijl de andere groep beweerde deel uit te maken van de Wagner Group, een huurlingenorganisatie die vorige week muitte en bijna tot aan Moskou marcheerde. Volgens de hackers hadden ze schadelijke software naar de satellietterminals gestuurd, wat heeft geleid tot een race onder beveiligingsexperts om een terminal te bemachtigen voor testdoeleinden. Hoewel de impact van de storing afhangt van de duur ervan en of de klanten andere betrouwbare en veilige communicatiemiddelen tot hun beschikking hadden, zijn satellietcommunicatiesystemen vaak bedoeld als back-up. Voor militaire eenheden die zich verplaatsen, kan het echter van cruciaal belang zijn. Het is nog onduidelijk wie er precies achter de aanval zit. Eerdere satellietaanvallen zijn zeldzaam en worden nog zeldzamer openbaar gemaakt. De succesvolle aanval op het Viasat-systeem dat door het Oekraïense leger werd gebruikt in februari 2022 wordt gezien als een van de meest effectieve hacks tijdens de oorlog. SpaceX's Starlink-service werd een essentieel alternatief binnen het land en heeft sindsdien meerdere hackingpogingen doorstaan. Deze recente aanval zou kunnen worden toegeschreven aan de Wagner Group, die mogelijk nauw heeft samengewerkt met de Russische militaire inlichtingendienst GRU en zo technieken heeft kunnen overnemen die werden gebruikt bij eerdere hacks. De precieze omstandigheden rondom de aanval blijven echter onduidelijk.
Persoonsgegevens van honderden inwoners Altena mogelijk gestolen door hackers
De persoonsgegevens van 571 inwoners van de gemeente Altena zijn mogelijk in handen gekomen van hackers. Deze gegevens werden verzameld tijdens enquêtes die werden uitgevoerd in opdracht van de Brabantse gemeente. Het datalek vond plaats bij softwareleverancier Nebu B.V. in maart, waarbij hackers toegang kregen tot interne systemen en persoonlijke gegevens van ongeveer twee miljoen Nederlanders hebben gestolen. De hackers konden begin april het computersysteem van de gemeente Altena binnendringen en de persoonsgegevens van de respondenten mogelijk stelen. Het gaat hierbij om informatie zoals namen, adressen, woonplaats, leeftijd en geslacht. De gemeente heeft het beveiligingslek gedicht en heeft maatregelen genomen om herhaling te voorkomen. Het incident is ook gemeld bij de Autoriteit Persoonsgegevens. Gedupeerden worden geadviseerd alert te zijn op phishing en andere vormen van internetoplichting.
Nieuwe proxyjacking-aanvallen genereren inkomsten uit gehackte SSH-servers
Aanvallers voeren momenteel een reeks proxyjacking-aanvallen uit waarbij ze kwetsbare SSH-servers hacken die online worden blootgesteld, om ze te gelde te maken via diensten die betalen voor het delen van ongebruikte internetbandbreedte. Proxyjacking is vergelijkbaar met cryptojacking, waarbij aanvallers gehackte systemen gebruiken om cryptocurrency te delven. Het is een eenvoudige en lucratieve tactiek om gebruik te maken van de bronnen van gecompromitteerde apparaten. Wat proxyjacking moeilijk detecteerbaar maakt, is dat het alleen gebruikmaakt van de ongebruikte bandbreedte van gehackte systemen, zonder de algehele stabiliteit en bruikbaarheid ervan te beïnvloeden. De aanvallers achter deze campagne hebben echter alleen interesse in het verdienen van geld via commerciële proxyware-diensten. Ze maken gebruik van SSH voor externe toegang en draaien kwaadaardige scripts om nietsvermoedende servers in te schakelen in een peer-to-peer-proxy-netwerk, zoals Peer2Proxy of Honeygain. Door ongebruikte bandbreedte van nietsvermoedende slachtoffers te gebruiken, kunnen de aanvallers geld verdienen met een veel kleinere belasting van de middelen dan bij cryptomining het geval zou zijn, met minder kans op ontdekking. Dit soort campagnes is niet uniek en er zijn al vergelijkbare gevallen gerapporteerd. Proxyjacking is een opkomende methode voor cybercriminelen om geld te verdienen aan gecompromitteerde apparaten, zowel in de zakelijke als de consumentenwereld. Het is een sluipend alternatief voor cryptojacking en brengt ernstige gevolgen met zich mee, die de problemen verergeren die gepaard gaan met gelaagde Layer 7-aanvallen. In april werd bijvoorbeeld ontdekt dat proxyjackers de Log4j-kwetsbaarheid gebruikten om toegang te krijgen tot systemen, waarmee ze winst konden maken door elke 100 apparaten toe te voegen aan hun proxyware-botnet.
Gratis Akira-ransomware decryptor helpt bij het herstellen van je bestanden
Cyberbeveiligingsbedrijf Avast heeft een gratis decryptor uitgebracht voor de Akira-ransomware die slachtoffers kan helpen hun gegevens te herstellen zonder geld aan de criminelen te betalen. Akira verscheen voor het eerst in maart 2023 en richtte zich op organisaties wereldwijd in verschillende sectoren. Vanaf juni 2023 begonnen de Akira-operators een Linux-variant van hun encryptor te gebruiken om VMware ESXi virtuele machines aan te vallen, waardoor de blootstelling aan encryptieaanvallen van de groep toenam. Avast's analyse van Akira's encryptiesysteem bevestigt eerdere rapporten en beschrijft dat de malware een symmetrische sleutel gebruikt die wordt gegenereerd door CryptGenRandom. Deze sleutel wordt vervolgens versleuteld door een gebundelde RSA-4096 openbare sleutel en toegevoegd aan het einde van een versleuteld bestand. Doordat alleen de dreigingsactoren de privésleutel voor RSA-ontcijfering bezitten, zou dit moeten voorkomen dat iemand anders de bestanden kan ontcijferen zonder eerst losgeld te betalen. Avast heeft twee versies van de Akira decryptor-software uitgebracht, één voor 64-bit en één voor 32-bit Windows-architecturen. Het beveiligingsbedrijf raadt aan om de 64-bit versie te gebruiken, omdat het kraken van het wachtwoord veel systeemgeheugen vereist. Gebruikers moeten de tool voorzien van een paar bestanden, één versleuteld door Akira en één in de oorspronkelijke plaintext-vorm, zodat de tool de juiste decryptiesleutel kan genereren. Het is belangrijk om een paar bestanden te kiezen die zo groot mogelijk zijn, aangezien de blockgrootteberekening van Akira kan leiden tot aanzienlijke verschillen in de bestandsgrootte, zelfs voor bestanden die slechts één byte verschillen. De grootte van het originele bestand zal ook de bovengrens zijn van een bestand dat door de tool van Avast kan worden ontsleuteld, dus het is cruciaal om het grootst mogelijke bestand te kiezen voor volledig herstel van de gegevens. Avast werkt ook aan een Linux decryptor, maar slachtoffers kunnen voorlopig de Windows-versie gebruiken om bestanden te ontsleutelen die zijn versleuteld in Linux. Dit is een samenvatting van een artikel waarin wordt uitgelegd dat Avast een gratis decryptor heeft uitgebracht voor de Akira-ransomware, waarmee slachtoffers hun gegevens kunnen herstellen zonder losgeld te betalen. Akira is een ransomware-operatie die sinds maart 2023 slachtoffers over de hele wereld heeft getroffen. De decryptor van Avast is beschikbaar voor Windows-gebruikers en er wordt gewerkt aan een versie voor Linux.
CISA waarschuwt voor DDoS-aanvallen na aanvallen op meerdere Amerikaanse organisaties
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft vandaag gewaarschuwd voor aanhoudende distributed denial-of-service (DDoS) aanvallen, nadat Amerikaanse organisaties uit verschillende sectoren werden getroffen. CISA adviseert alle Amerikaanse organisaties om proactieve maatregelen te nemen om de effecten van dergelijke aanvallen te voorkomen of te beperken. Netwerkbeheerders moeten bijvoorbeeld snel firewallregels kunnen toepassen of inkomend kwaadaardig verkeer omleiden via DoS-beschermingsservices om te voorkomen dat aanvallers gerichte online portals of diensten uitschakelen. Internet service providers (ISPs) kunnen ook begeleiding bieden in dergelijke gevallen. CISA werkt samen met de FBI en MS-ISAC om richtlijnen te bieden voor wat organisaties vóór en na een DDoS-aanval moeten doen, inclusief inschrijven bij toegewijde DDoS-beschermingsservices die kwaadaardig verkeer omleiden van de doelwitten. Ze geven ook aanvullende aanbevelingen voor federale civiele uitvoerende tak (FCEB) -instanties en adviseren hen om gebruik te maken van hulpmiddelen van de General Services Administration (GSA), zoals de Managed Security Service (MSS) en de Managed Trusted Internet Protocol Service (MTIPS), om de effecten van DDoS-aanvallen tegen te gaan en de werking van getroffen systemen te herstellen.
🔒 @CISAgov is aware of #DoS & #DDoS attacks on multiple sectors. These disrupt services, drain resources, and damage reputation. Contact your network admin to detect/mitigate attacks. Consult your ISP for guidance. Stay vigilant! #Cybersecurity https://t.co/OdRdxtwjeb
— CISA Cyber (@CISACyber) June 30, 2023
TSMC ontkent hack nadat ransomware-bende $70 miljoen eist
Chipfabrikant TSMC (Taiwan Semiconductor Manufacturing Company) heeft ontkend gehackt te zijn nadat de LockBit-ransomware-bende $70 miljoen eiste om gestolen gegevens niet vrij te geven. TSMC, een van 's werelds grootste halfgeleiderfabrikanten, werd geconfronteerd met bedreigingen van een ransomware-aanval door de LockBit-bende, die beweerde toegang te hebben tot systemen en gevoelige informatie. TSMC verklaarde echter dat niet hun eigen systemen, maar die van een IT-hardwareleverancier genaamd Kinmax Technology, waren gehackt. Het bedrijf benadrukte dat de operationele activiteiten en klantinformatie van TSMC niet zijn aangetast. TSMC heeft de samenwerking met de betrokken leverancier beëindigd en blijft zich inzetten voor de beveiliging van haar leveranciers. Het onderzoek naar het incident is nog gaande en de wetshandhaving is erbij betrokken. De ransomware-bende eist een van de hoogste losgeldbedragen tot nu toe, $70 miljoen, maar het is onwaarschijnlijk dat Kinmax aan deze eis zal voldoen, gezien de grootte van het bedrijf.
Ransomwaregroep publiceert gegevens van duizenden gasten Landal Greenparks
De criminelen achter de Clop-ransomware hebben op hun eigen website de gegevens van duizenden gasten van Landal Greenparks gepubliceerd, zo meldt RTL Nieuws. Begin deze maand waarschuwde het vakantiepark twaalfduizend gasten voor een mogelijk datalek nadat criminelen toegang wisten te krijgen tot het MOVEit Transfer-systeem dat wordt gebruikt voor het uitwisselen van gegevens, zo liet een woordvoerder weten. Bij de aanval zijn mogelijk naam, geboortedatum, geslacht, adresgegevens en e-mailadres buitgemaakt, stelde Landal Greenparks in een e-mail aan gasten destijds. Nu blijkt dat er daadwerkelijk data van gasten is gestolen. Het gaat onder andere om namen, adresgegevens, geboortedata, e-mailadressen en reserveringsinformatie van voornamelijk Belgische, Duitse en Nederlandse klanten, aldus RTL. MOVEit Transfer is een applicatie oor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. Door middel van SQL Injection is het mogelijk voor een aanvaller om ongeautoriseerde toegang tot de database van een MOVEit-server te krijgen, om zo vertrouwelijke data te stelen. Daarnaast blijkt dat de aanvallers een webshell op het systeem installeren om zo toegang te behouden. Misbruik van de kwetsbaarheid vindt al plaats voordat een patch beschikbaar was. De aanvallen zijn het werk van de Clop-ransomwaregroep. De criminelen beheren een eigen website waarop ze de namen van slachtoffers plaatsen en dreigen gestolen gegevens openbaar te maken als er geen losgeld wordt betaald. Inmiddels zouden meer dan honderdvijftig organisaties slachtoffer van de groep zijn geworden en gegevens van 16,3 miljoen personen zijn gestolen, aldus beveiligingsonderzoeker Brett Callow.
Current victim count = 158
— Brett Callow (@BrettCallow) June 29, 2023
Individuals affected = 16,312,552
2/2
Criminelen verkopen bandbreedte van slachtoffers via "proxyjacking"
Het gebruik van besmette systemen door criminelen als proxy vindt al lange tijd plaats, maar nu wordt bandbreedte van slachtoffers actief via commerciële diensten verkocht, zo stelt internetbedrijf Akamai dat deze praktijk "proxyjacking" noemt. Op internet zijn verschillende diensten actief zoals Peer2Profit en Honeygain die gebruikers betalen voor het gebruik van hun bandbreedte. De gebruiker installeert software waarmee het systeem onderdeel van het proxynetwerk van de betreffende dienst wordt. Vervolgens kunnen betalende klanten van Peer2Profit en Honeygain hun verkeer via de systemen van gebruikers laten lopen. Volgens Akamai vragen dergelijke diensten niet waar de nieuwe proxynode vandaan komt. Criminelen installeren nu de proxysoftware van deze diensten op gecompromitteerde servers, om zo aan de bandbreedte van deze systemen te verdienen. Akamai stelt dat proxyjacking veel weg heeft van cryptojacking, waarbij de rekenkracht van gecompromitteerde systemen wordt gebruikt voor het minen van cryptovaluta. In tegenstelling tot cryptojacking kan proxyjacking lastiger te detecteren zijn, aangezien de impact niet direct zichtbaar op het besmette systeem is. Om proxyjacking te voorkomen worden algemene beveiligingstips gegeven, zoals het up-to-date houden van systemen en instellen van multifactorauthenticatie.
Samsung-telefoons blootgesteld aan actieve aanvallen
De Amerikaanse overheid meldt actief misbruik van verschillende kwetsbaarheden in smartphones van fabrikant Samsung. Het gaat in totaal om zes beveiligingslekken waar Samsung in 2021 patches voor uitbracht en die in het ergste geval een aanvaller willekeurige code laten uitvoeren. Details over de aanvallen zijn niet door het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bekendgemaakt. Samsung zelf maakt geen melding van aanvallen. Wel blijkt uit de impactscore van de kwetsbaarheden dat een aanvaller vermoedelijk al toegang tot het toestel moet hebben om er misbruik van te kunnen maken. De enige kwetsbaarheid waarvan de impact als "high" is bestempeld is CVE-2021-25487. Voor dit beveiligingslek, waardoor een aanvaller willekeurige code kan uitvoeren, verscheen in oktober 2021 een update. Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste update van de lijst bevat naast de aangevallen Samsung-kwetsbaarheden ook twee aangevallen kwetsbaarheden in routers van D-Link. Amerikaanse federale overheidsinstanties zijn opgedragen de betreffende updates voor 20 juli te installeren.
Nieuwe EarlyRAT-malware ontdekt, gekoppeld aan Noord-Koreaanse cybercriminelen
Beveiligingsanalisten hebben een nieuwe remote access trojan (RAT) ontdekt genaamd 'EarlyRAT'. Deze malware wordt gebruikt door de Noord-Koreaanse hackgroep Andariel, die deel uitmaakt van de Lazarus-groep. Andariel staat bekend om het verzamelen van informatie van gecompromitteerde systemen, zoals browsegeschiedenis en keylogging. De ontdekking van EarlyRAT helpt verdedigers bij het detecteren en stoppen van aanvallen door deze dreigingsgroep. De onderzoekers merken op dat de activiteiten van EarlyRAT waarschijnlijk zijn uitgevoerd door een onervaren operator, gezien het aantal fouten en typefouten. Deze ontwikkeling benadrukt de voortdurende dreiging van Noord-Koreaanse cybercriminelen en het belang van beveiligingsmaatregelen tegen dergelijke aanvallen.
Grote ransomware-aanval op Britse universiteit: Data van 1,1 miljoen patiënten gestolen
Bij een ransomware-aanval op de Universiteit van Manchester is ook een dataset met de informatie van 1,1 miljoen patiënten van tweehonderd ziekenhuizen buitgemaakt, zo meldt de Britse krant The Independent. De universiteit werd eerder deze maand het slachtoffer van een "cyberincident" waarbij gegevens van studenten en afgestuurde studenten werden gestolen. Laatst ontvingen studenten al een e-mail van de aanvallers dat de gestolen gegevens openbaar gemaakt zouden worden als de universiteit het gevraagde losgeld niet betaalde.
Nu stelt The Independent dat ook informatie van traumapatiënten en mensen behandeld na terreuraanvallen, wat voor onderzoeksdoeleinden door de universiteit was verzameld, is gestolen. Uit documenten waar de Britse krant over zegt te beschikken blijkt dat de aanvallers toegang tot de back-upservers hadden. Bij de aanval zou 250 gigabyte aan data zijn buitgemaakt. Het datalek is inmiddels bij de Britse privacytoezichthouder ICO gemeld. Verdere details zijn niet door de universiteit gegeven, zoals hoe de aanval mogelijk was.
Nice to see the University of Manchester's email filtering service is working well, receieved this email this morning... It's a tad concerning in tandem with the data breach of the 6th June... pic.twitter.com/cC8JbWRizo
— Jake Conlon (@JakeConlon13) June 21, 2023
Malware-aanval treft Pepsi Bottling Ventures: 28.000 medewerkers slachtoffer van datalek
Bij een malware-aanval op Pepsi Bottling Ventures die eind vorig jaar plaatsvond zijn de persoonsgegevens van 28.000 medewerkers gestolen, zo heeft het bedrijf bekendgemaakt. Pepsi Bottling Ventures is de grootste producent van onder andere Pepsi-Cola, Dr. Pepper, Starbucks en Lipton in Noord-Amerika. Op 10 januari ontdekte het bedrijf ongeautoriseerde activiteit op de it-systemen. Verder onderzoek wees uit dat een aanvaller de systemen op of rond 23 december vorig jaar met malware had geïnfecteerd en gegevens had gedownload. Het gaat om naam, adresgegevens, e-mailadres, rekeninggegevens, waaronder een beperkt aantal wachtwoorden, pincodes of andere toegangsgegevens, identificatienummers, zoals die van rijbewijs en identiteitskaart, social-securitynummers, paspoortinformatie, digitale handtekening en informatie die betrekking heeft op het dienstverband, zoals beperkte medische geschiedenis en gezondheidsclaims. Hoe de aanvaller toegang tot de systemen kon krijgen en om wat voor malware het precies ging is niet bekendgemaakt. Naar aanleiding van de aanval zijn verschillende maatregelen getroffen, waaronder het resetten van alle bedrijfswachtwoorden. Getroffen personen kunnen een jaar lang gratis hun krediet laten monitoren. Het datalek werd eerder dit jaar al door Pepsi Bottling Ventures gemeld, maar in een datalekmelding aan de procureur-generaal van de staat Maine laat het bedrijf weten dat het om 28.000 personen gaat. Een aantal dat in eerste instantie nog niet bekend was. Pepsi Bottling Ventures is een joint venture van PepsiCo en de Suntory Group.
Linux-versie van Akira ransomware richt zich op VMware ESXi-servers
De Akira ransomware-operatie maakt gebruik van een Linux-codering om VMware ESXi virtuele machines te versleutelen in dubbele afpersingsaanvallen tegen bedrijven wereldwijd. Akira werd aanvankelijk ontdekt in maart 2023 en richtte zich op Windows-systemen in verschillende industrieën. De bedreigingsactoren stelen gegevens van gecompromitteerde netwerken en versleutelen bestanden om slachtoffers dubbel af te persen, waarbij ze betalingen van miljoenen dollars eisen. De Linux-versie van Akira is speciaal ontworpen om VMware ESXi-servers aan te vallen en maakt gebruik van aangepaste coderingen. Door zich op ESXi-servers te richten, kan een aanvaller meerdere servers versleutelen die als virtuele machines draaien. De ransomware-codering van Akira richt zich op een breed scala aan bestandsextensies. Helaas is het toevoegen van Linux-ondersteuning een groeiende trend onder ransomwaregroepen, waardoor de dreiging voor organisaties wereldwijd ernstiger wordt. Andere ransomware-operaties die Linux-ransomware-coderingen gebruiken en zich richten op VMware ESXi zijn onder andere Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX en Hive.
#Akira #Ransomware for Linuxhttps://t.co/lWVyDpHZQb pic.twitter.com/V5TWb0rcvJ
— rivitna (@rivitna2) June 22, 2023
Microsoft Teams-storing blokkeert toegang tot web- en desktopclients, cybercriminelen profiteren van situatie
Microsoft onderzoekt een doorlopende storing die klanten belet om toegang te krijgen tot het communicatieplatform van Microsoft Teams via web- en desktopclients. Hoewel de storing aanvankelijk werd erkend als een probleem met de webapp, melden gebruikers nu ook problemen met desktopclients op Linux en macOS. De storing heeft wereldwijd invloed op Teams-gebruikers en sommigen ervaren problemen bij het inloggen op hun accounts. Terwijl Microsoft werkt aan het herstellen van de toegang, maken cybercriminelen mogelijk gebruik van de situatie om kwaadaardige activiteiten uit te voeren. Het is belangrijk voor gebruikers om voorzichtig te zijn en verdachte berichten of links te vermijden tijdens deze storing. Microsoft heeft updates gegeven over de verbeterde beschikbaarheid in verschillende regio's en meldt dat de storing is aangepakt en dat de Teams-service nu weer toegankelijk is.
We're investigating an issue where some users may be unable to access Microsoft Teams using web browsers. Further details can be found under TM612617 in the admin center.
— Microsoft 365 Status (@MSFT365Status) June 28, 2023
Cybercriminelen slaan toe bij LetMeSpy
Spywareleverancier LetMeSpy heeft de gegevens van klanten en slachtoffers gelekt, waaronder onderschepte berichten en gespreksgeschiedenis. Het bedrijf biedt een Android-app waarmee het mogelijk is om allerlei informatie te verzamelen van de telefoon waarop de spyware is geïnstalleerd. In een bericht op de eigen website meldt LetMeSpy dat het op 21 juni met een beveiligingsincident te maken heeft gekregen. Daarbij hebben de aanvallers toegang gekregen tot e-mailadressen, telefoonnummers en de inhoud van verzamelde berichten van slachtoffers. LetMeSpy kan de inhoud van sms-berichten onderscheppen en verzamelt de gespreksgeschiedenis van slachtoffers. Gebruikers weten zo met wie het slachtoffer op welke datum heeft gebeld. Vanwege het incident kunnen gebruikers geen gebruik meer van hun account maken. Dit zal pas worden hersteld als de kwetsbaarheid waardoor de aanvallers konden toeslaan is verholpen, aldus de verklaring van de spywareleverancier. Om welk beveiligingslek het gaat is niet bekendgemaakt. Beveiligingsonderzoeker Maia Arson Crimew, die bezig is met onderzoek naar stalkerware, ontving een link naar de gestolen data. Dan blijkt dat het datalek groter is dan de spywareleverancier zelf aangeeft. Naast gespreksgeschiedenis en berichten zijn ook locatiegegevens, ip-adressen, betaalgegevens, gebruikers-ID's en wachtwoordhashes gelekt. De spyware zou op zo'n tienduizend telefoons zijn geïnstalleerd.
Minister blijft hameren op geen losgeld betalen bij ransomware
Organisaties die het slachtoffer worden van ransomware krijgen opnieuw het dringende advies van minister Yesilgöz om geen losgeld te betalen. De minister reageerde op Kamervragen van D66-Kamerlid Dekker-Abdulaziz over cybercrime in Nederland. Het Kamerlid wilde onder andere van de minister weten wat door ransomware getroffen organisaties kunnen doen. Yesilgöz wijst naar het informeren van de Autoriteit Persoonsgegevens en de handelingsperspectieven van het Digital Trust Center en incidentresponseplan van het Nationaal Cyber Security Centrum. "Het dringende advies blijft om geen losgeld te betalen. Het betalen van losgeld biedt geen garantie dat data niet verder zullen worden verhandeld en/of criminelen de systemen weer toegankelijk maken. Bovendien wordt door het betalen van losgeld het criminele verdienmodel in stand gehouden", voegt ze toe. De minister werd ook gevraagd naar een woningcorporatie uit Zwijndrecht die slachtoffer van ransomware werd en losgeld betaalde. "Ik begrijp dat dit slachtoffers in een moeilijke positie plaatst, zeker als cruciale gegevens zijn gestolen. Het advies blijft echter om geen losgeld te betalen. Misdaad mag niet lonen. Het betalen van losgeld houdt het criminele verdienmodel in stand en kan meer criminaliteit stimuleren", laat Yesilgöz daarover weten.
Fonds
Daarnaast vroeg Dekker-Abdulaziz opnieuw naar de mogelijkheid voor het oprichten van een gemeenschappelijk fonds voor ransomwareslachtoffers. Dat fonds zou dan het losgeld betalen voor door ransomware getroffen mkb-bedrijven. De minister had eerder al aangegeven dat ze een dergelijk fonds niet ziet zitten en dat is nog steeds het geval. "Het betalen van losgeld houdt het criminele verdienmodel in stand en kan meer criminaliteit stimuleren. De markt voorziet overigens reeds in cyberverzekeringen voor geleden schade na een ransomware-aanval. Een fonds om losgeld te betalen lijkt niet de juiste weg voorwaarts."
Ransomware-aanvallen stijgen met 40%, vooral zonder encryptie
Uit onderzoek van Zscaler blijkt dat het aantal ransomware-aanvallen in het afgelopen jaar met 40 procent is gestegen. De belangrijkste oorzaak hiervan zijn de vele Ransomware-as-a-service (RaaS) diensten die worden aangeboden. Opvallend is dat bij steeds meer aanvallen geen encryptie meer wordt toegepast. Cybercriminelen passen hun strategie aan omdat systemen steeds beter beveiligd zijn en detectietools kunnen vaststellen wanneer bestanden worden versleuteld. In plaats daarvan sturen ze bestanden naar een locatie waar ze er toegang toe hebben en chanteren ze bedrijven met de gevonden data. Dit resulteert in een vorm van dubbele afpersing. De Verenigde Staten, Canada, het Verenigd Koninkrijk en Duitsland worden het meest getroffen door ransomware-aanvallen. De opkomst van ransomware-as-a-service diensten en het groeiend aantal ransomware-families dragen bij aan de toename van deze dreiging. Organisaties moeten betere beschermingsmaatregelen nemen, zoals het moderniseren van legacy software en het implementeren van een zero-trust infrastructuur.
8Base ransomware-groep intensiveert dubbele afpersingsaanvallen in juni
De 8Base ransomware-groep heeft sinds het begin van juni wereldwijd organisaties aangevallen met dubbele afpersingsaanvallen. Deze groep is sinds maart 2022 actief, maar heeft in juni 2023 een toename in activiteit gezien, waarbij ze veel bedrijven in verschillende sectoren hebben getroffen. Ze hebben een darkweb-extortiesite gelanceerd en hebben tot nu toe 35 slachtoffers vermeld. De tactieken die ze gebruiken, wijzen erop dat 8Base mogelijk een herbenoeming is van een gevestigde ransomware-organisatie genaamd RansomHouse. Ze maken gebruik van aangepaste versies van de Phobos ransomware en gebruiken het .8base-extensie om versleutelde bestanden aan te duiden. De exacte oorsprong en technische details van 8Base blijven grotendeels onbekend, maar VMware heeft indicatoren van compromissen (IoCs) vrijgegeven om systemen te beschermen tegen deze opkomende dreiging.
ThreatLabz has identified a new ransomware data leak site for a group named #8Base with victims dating back to April 2022: https://t.co/inGLMXiLKB
— Zscaler ThreatLabz (@Threatlabz) May 22, 2023
An example 8Base ransom note is available in our GitHub repo here: https://t.co/xYBNxBdpY2 pic.twitter.com/WbS4rJkJBC
Siemens Energy bevestigt datalek na cyberaanval van cybercriminelen
Siemens Energy heeft bevestigd dat er gegevens zijn gestolen tijdens recente ransomware-aanvallen door de cybercriminelen van Clop. De aanvallen maakten gebruik van een zero-day kwetsbaarheid in het MOVEit Transfer-platform. Hoewel er op dit moment nog geen gegevens zijn gelekt, bevestigde Siemens Energy dat ze zijn getroffen door de aanvallen. Het bedrijf beweert echter dat er geen kritieke gegevens zijn gestolen en dat de bedrijfsvoering niet is beïnvloed. Schneider Electric, een andere industriële gigant, wordt ook onderzocht in verband met de aanvallen van Clop. De impact van de aanvallen blijft zich verspreiden, met nieuwe slachtoffers die dagelijks worden onthuld. De aanvallen hebben geleid tot grootschalige gegevenslekken die gevoelige informatie van miljoenen mensen hebben blootgelegd.
Cyberaanval treft federale overheidsdiensten in België: DDoS-aanvallen nemen toe in Europa
Verschillende federale overheidsdiensten in België zijn het doelwit geweest van een cyberaanval, maar deze is inmiddels afgewend, meldt het Centrum voor Cybersecurity België. De aanval, die gericht was op het overbelasten of vertragen van het systeem achter de websites, leidde tot ernstige verstoringen in de online dienstverlening van maandag tot dinsdagmiddag. De aanvallers achter de DDoS-aanval (distributed denial of service) zijn nog niet geïdentificeerd. Volgens Miguel De Bruycker van het Centrum voor Cybersecurity België is de kans dat persoonlijke gegevens zijn gestolen zo goed als onbestaande. Het hoofddoel van de aanval was om de systemen te verstoren. Websites met extensies zoals '.belgie.be', '.belgique.be', '.belgien.be' en '.fgov.be' waren soms moeilijk bereikbaar tijdens de aanval. Deze cyberaanval sluit aan bij een reeks vergelijkbare incidenten in Europa in de afgelopen weken. Er lijkt sprake te zijn van een toename van DDoS-aanvallen. Eerder waren Nederland en Spanje al doelwitten van vergelijkbare aanvallen. Hoewel deze specifieke aanval nog niet is opgeëist, wijst De Bruycker op eerdere aanvallen met een geopolitieke achtergrond, zoals die van de pro-Russische hackersgroep Killnet. Het Centrum voor Cybersecurity België zal een uitgebreide analyse uitvoeren van de aanvallen om te kijken hoe ze in de toekomst kunnen worden voorkomen of op zijn minst de belangrijkste gevolgen ervan kunnen worden vermeden. Gezien de toenemende dreiging van cyberaanvallen is het belangrijk dat overheden en instellingen proactieve maatregelen nemen om hun systemen te beschermen en de veiligheid van gevoelige gegevens te waarborgen.
Persoonsgegevens van apothekers gestolen bij datalek van KNMP
De beroepsvereniging voor apothekers KNMP is getroffen door een datalek, waarbij de persoonsgegevens van apothekers zijn buitgemaakt. Het gaat voornamelijk om het e-mailadres en in beperkte mate naam, adres of geslacht, aldus de KNMP in een e-mail aan getroffen apothekers. Het datalek vond plaats bij een externe partij waar de KNMP gebruik van maakt voor het versturen van nieuwsbrieven. "Wij hebben het beschermen van uw (persoons)gegevens en privacy hoog in het vaandel staan", aldus de datalekmelding. "We betreuren het daarom ten zeerste dat kwaadwillenden er toch in zijn geslaagd toegang te verkrijgen tot de voor de nieuwsbrieven gebruikte (persoons)gegevens." De KNMP heeft het datalek bij de Autoriteit Persoonsgegevens gedaan en zegt aanvullende technische en organisatorische maatregelen te treffen om herhaling te voorkomen. Wat die inhouden is niet bekendgemaakt. Dat geldt ook voor de naam van de gebruikte mailingdienst, alsmede hoe het datalek daar kon plaatsvinden.
Tsjonge, blijft ons dan niets bespaard @Apojaap #datalek @KNMP #KNMP pic.twitter.com/7SeCIzyPH3
— Veerle (@Veertje87) June 24, 2023
Cybercriminelen stelen bankgegevens van gebruikers in de VS, VK met de Anatsa Android-trojan
Sinds maart 2023 heeft een nieuwe mobiele malwarecampagne de Android-banktrojan 'Anatsa' verspreid onder online bankklanten in de Verenigde Staten, het Verenigd Koninkrijk, Duitsland, Oostenrijk en Zwitserland. Onderzoekers van ThreatFabric hebben vastgesteld dat de aanvallers hun kwaadaardige software verspreiden via de officiële Android-appwinkel, de Play Store, en alleen via deze methode al meer dan 30.000 installaties hebben gerealiseerd. De kwaadaardige apps doen zich voor als PDF-viewers, editors en kantoorsuites en worden regelmatig geüpdatet om detectie te voorkomen. Zodra de app is geïnstalleerd op het apparaat van het slachtoffer, verzamelt Anatsa financiële gegevens, zoals bankgegevens en creditcardinformatie, door phishing-pagina's weer te geven wanneer de gebruiker zijn legitieme bank-app opent. Vervolgens voert de trojan frauduleuze transacties uit namens het slachtoffer, waarbij gestolen geld wordt omgezet in cryptocurrency en via een uitgebreid netwerk van "money mules" naar de aanvallers wordt gestuurd. Gebruikers wordt geadviseerd om voorzichtig te zijn bij het installeren van apps, verdachte uitgevers te vermijden en goed de beoordelingen en installaties van apps te controleren. Bovendien wordt aanbevolen om de lijst met pakketnamen en handtekeningen van de kwaadaardige apps in het ThreatFabric-rapport te raadplegen en deze onmiddellijk te verwijderen van Android-apparaten indien geïnstalleerd.
Hackers stelen gegevens van 45.000 studenten in New York City in MOVEit-inbreuk
Het New York City Department of Education (NYC DOE) heeft aangekondigd dat hackers documenten hebben gestolen met gevoelige persoonlijke informatie van maximaal 45.000 studenten van de MOVEit Transfer-server. De beheerde bestandsoverdracht (MFT)-software werd gebruikt om gegevens en documenten veilig over te dragen. De aanvallers maakten misbruik van een beveiligingslek voordat beveiligingsupdates beschikbaar waren. De server is offline gehaald en een intern onderzoek is gaande. Ongeveer 19.000 documenten zijn zonder toestemming geopend, waarbij socialezekerheidsnummers en ID-nummers van werknemers zijn aangetast. De FBI onderzoekt de inbreuk, die ook andere entiteiten heeft getroffen. De Clop ransomware-bende heeft verantwoordelijkheid opgeëist voor de aanvallen op MOVEit Transfer. Andere organisaties zijn ook getroffen door deze datadiefstalcampagne.
Petro-Canada gasstations getroffen door cyberaanval; klanten kunnen niet betalen
Petro-Canada-gasstations in heel Canada ondervinden technische problemen als gevolg van een cyberaanval op het moederbedrijf, Suncor Energy. Klanten kunnen momenteel niet betalen met creditcards of beloningspunten. Suncor Energy heeft maatregelen genomen om de aanval te verzachten en heeft de autoriteiten op de hoogte gesteld. Het is nog niet bekend welk type cyberbeveiligingsincident heeft plaatsgevonden. Petro-Canada heeft ook storingen gemeld bij het inloggen op accounts via de app of website, evenals het onvermogen om punten te verdienen bij tanken. De situatie lijkt ernstiger te zijn dan aanvankelijk gedacht, met meldingen dat betalingen alleen contant worden geaccepteerd. BleepingComputer heeft contact opgenomen met Suncor Energy en Petro-Canada voor meer informatie over het incident en de service-uitval.
Logging into Petro-Points from our app and website is temporarily unavailable. We're working hard to resolve the issue and apologize for the inconvenience. Thanks for your patience!
— Petro-Canada (@petrocanada) June 25, 2023
KNMP waarschuwt voor mogelijk datalek en roept op tot waakzaamheid tegen cybercriminelen
De Koninklijke Nederlandse Maatschappij ter bevordering der Pharmacie (KNMP) heeft duizenden leden gewaarschuwd dat hun privégegevens mogelijk in verkeerde handen zijn beland. Hackers zijn erin geslaagd toegang te krijgen tot het mailingsysteem voor nieuwsbrieven, waardoor ze e-mailadressen van abonnees en in sommige gevallen ook namen, woonadressen en geslacht hebben verkregen. De KNMP benadrukt dat de daders geen toegang hadden tot inlog-, betaal- of gezondheidsgegevens. Desondanks waarschuwt de organisatie voor oplichtingstrucs door cybercriminelen, zoals helpdeskfraude en phishing. Het aantal slachtoffers van het datalek is nog onbekend. De KNMP heeft het datalek gemeld bij de Autoriteit Persoonsgegevens en aangifte gedaan bij de politie. Ze roepen lezers op om alert te zijn en voorzorgsmaatregelen te nemen om zichzelf te beschermen tegen mogelijke oplichtingspraktijken.
Cyberaanvallers maken gebruik van kritiek beveiligingslek in Zyxel NAS-apparaten
De Amerikaanse autoriteiten melden actief misbruik van een kritieke kwetsbaarheid in NAS-apparaten van fabrikant Zyxel. Een beveiligingsupdate verscheen op 20 juni. Nog geen drie dagen later werd het eerste misbruik al waargenomen, aldus het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Dat heeft federale overheidsinstanties die met Zyxel NAS-apparaten werken opgeroepen om de update voor 14 juli te installeren. De kwetsbaarheid in de NAS-apparaten, aangeduid als CVE-2023-27992, maakt "pre-authentication command injection" mogelijk, waardoor een aanvaller systeemcommando's op het NAS-apparaat kan uitvoeren, waarbij inloggegevens niet zijn vereist. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het probleem is aanwezig in de Zyxel NAS326, NAS540 en NAS542. Voor deze modellen is versie 5.21 van de firmware verschenen. De kwetsbaarheid werd door drie verschillende partijen aan Zyxel gerapporteerd. Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste update van de lijst bevat onder andere CVE-2023-27992. Het CISA heeft echter geen details over de aanvallen gegeven.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 16-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 15-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 14-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 13-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 12-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 11-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑