EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑

De afgelopen week heeft de digitale wereld wederom te maken gehad met een reeks verontrustende cyberaanvallen. Van de Rhysida Ransomware die zich richt op de gezondheidszorg tot de Lapsus$ Hackers die hun dreiging verhogen met geavanceerde SIM-swapping aanvallen. Oude beveiligingslekken worden niet gespaard, zoals blijkt uit de Gafgyt Malware-aanval op Zyxel Routers. Ook Nederland is niet ontkomen aan deze digitale dreigingen, met aanvallen op de Kamer van Koophandel, de website van Gemeente Vlaardingen, diverse banken en zelfs het Maastricht Aachen Airport en OV-NL. Daarnaast zijn er nieuwe bedreigingen ontdekt die specifieke technologieën en platforms viseren, waaronder VPN-gebruikers op iOS en macOS, Microsoft 365-gebruikers en zelfs de AMD Zen-CPU's. Hieronder vindt u een gedetailleerd overzicht van alle cyberaanvallen van de afgelopen week.

Week overzicht slachtoffers

Slachtoffers Belgie en Nederland

In samenwerking met StealthMol

Cyberaanvallen nieuws

Cyberaanval op Nederlands Bedrijf Meaf

Op 13 augustus 2023 werd bekend dat het Nederlandse bedrijf meaf.com, actief in de sector van machines en computerapparatuur, het slachtoffer is geworden van een cyberaanval. De verantwoordelijke cybercriminelen, bekend onder de naam LockBit, hebben hun daad op het darkweb gepubliceerd.

Knight Ransomware Verspreid via Valse TripAdvisor E-mails

De Knight-ransomware wordt momenteel verspreid via een spamcampagne die zich voordoet als klachten van TripAdvisor. Deze ransomware is een recente hernoeming van de Cyclop Ransomware-as-a-Service, die in juli 2023 van naam veranderde. De oorspronkelijke Cyclops-ransomware-operatie werd gelanceerd in mei 2023 en richtte zich op het werven van partners voor hun ransomware-as-a-service op het RAMP-hackforum. Een rapport van Uptycs onthulde dat de operatie begon met het coderen voor verschillende besturingssystemen, waaronder Windows, macOS en Linux/ESXi. Bovendien bood de operatie gelieerde malware aan die informatie steelt, wat ongebruikelijk is voor RaaS-operaties. Recentelijk heeft Sophos-onderzoeker Felix een nieuwe spamcampagne ontdekt die zich voordoet als TripAdvisor-klachten. Deze e-mails bevatten ZIP-bijlagen genaamd 'TripAdvisorComplaint.zip', die een uitvoerbaar bestand bevatten met de naam 'TripAdvisor Complaint - Possible Suspension.exe'. Een recentere versie van deze campagne bevat een HTML-bijlage die, wanneer geopend, een nep TripAdvisor-browser venster toont. Het klikken op de 'Read Complaint' knop resulteert in het downloaden van een kwaadaardig Excel XLL-bestand. Wanneer dit XLL-bestand wordt geopend, kan het de Knight Lite ransomware-encryptor activeren, die vervolgens bestanden op de computer begint te versleutelen. De versleutelde bestanden krijgen de extensie .knight_l toegevoegd. Slachtoffers ontvangen vervolgens een losgeldbrief waarin $5.000 wordt geëist, te betalen aan een specifiek Bitcoin-adres. Het wordt echter sterk afgeraden om het losgeld te betalen, aangezien er geen garantie is dat de slachtoffers een decryptor zullen ontvangen. Bovendien gebruiken alle losgeldbrieven in deze campagne hetzelfde Bitcoin-adres, wat het voor de dreigingsactor onmogelijk maakt om te bepalen welk slachtoffer het losgeld heeft betaald. (bron, bron2, bron3, bron4)

Rhysida Ransomware Viseert Gezondheidszorg

In de afgelopen week hebben verschillende ransomware-operaties wereldwijd plaatsgevonden, waarbij met name de gezondheidssector als een belangrijk doelwit naar voren kwam. Hoewel sommige ransomwaregroepen beweren geen ziekenhuizen aan te vallen, is er een relatief nieuwe bende, Rhysida, die zich onderscheidt door zonder onderscheid ziekenhuizen, ondernemingen en zelfs overheidsinstellingen aan te vallen. Deze groep verwierf voor het eerst bekendheid na een aanval op het Chileense leger en het lekken van gestolen gegevens. De meest opmerkelijke activiteit van Rhysida deze week was het richten op de gezondheidssector. Ze worden verantwoordelijk geacht voor aanvallen op de Prospect Medical Group, waardoor 17 ziekenhuizen en 166 klinieken in de Verenigde Staten zijn getroffen. Dit resulteerde in talrijke rapporten van instanties zoals het Amerikaanse ministerie van Volksgezondheid en Human Services, Trend Micro, Cisco Talos en Check Point Research. Er zijn ook aanvullende rapporten over andere ransomware-incidenten, waaronder die met betrekking tot TargetCompany en nieuwe bedreigingsactoren die aangepaste versies van de Yashma ransomware gebruiken. Bovendien waarschuwde het Department of Social Services in Missouri voor datadiefstal uit IBM's MOVEit-server. Het meest significante externe nieuws was de gezamenlijke actie van Europol en het Amerikaanse ministerie van Justitie om de bulletproof hostingprovider LOLEKHosted neer te halen. Hierbij werden vijf personen gearresteerd, van wie er één werd beschuldigd van het faciliteren van Netwalker ransomware-aanvallen door opslagservers voor de bende te hosten. (bron, bron2, bron3, bron4)

Diepgaande analyse gepland voor hack op Microsoft Exchange door Amerikaanse veiligheidsraad

De Cyber Safety Review Board (CSRB) van het Amerikaanse Ministerie van Binnenlandse Veiligheid heeft plannen aangekondigd om de beveiligingspraktijken van cloud-diensten grondig te onderzoeken. Dit volgt na recente hacks door Chinese hackers op Microsoft Exchange accounts die door Amerikaanse overheidsinstanties werden gebruikt. Het CSRB is een samenwerking tussen de publieke en private sector. Het doel van deze board is het uitvoeren van gedetailleerde onderzoeken naar kritieke gebeurtenissen, het vaststellen van de kernoorzaken en het geven van geïnformeerde aanbevelingen op het gebied van cyberveiligheid. In dit specifieke geval zal de CSRB onderzoeken hoe de overheid, de industrie en cloud service providers hun identiteitsbeheer en authenticatie in de cloud kunnen versterken. Ook zullen ze bruikbare cybersecurity-aanbevelingen ontwikkelen voor alle betrokken partijen. In juli 2023 meldde Microsoft dat een Chinese hackersgroep, aangeduid als 'Storm-0558', de e-mailaccounts van 25 organisaties had gehackt, waaronder Amerikaanse en West-Europese overheidsinstanties. De hackers gebruikten vervalste authenticatietokens van een gestolen Microsoft-tekeningsleutel. Na deze aanvallen kreeg Microsoft kritiek omdat het onvoldoende logging gratis beschikbaar stelde aan klanten. Twee weken na de ontdekking van de inbreuk meldden Wiz-onderzoekers dat de toegang van Storm-0558 veel breder was dan Microsoft eerst rapporteerde. Hierdoor zijn er zorgen dat het incident niet beperkt bleef tot alleen e-mails van Exchange servers. Gezien de ernst van de inbreuk heeft de Amerikaanse overheid de CSRB gevraagd om een uitgebreide review van het incident uit te voeren, in de hoop toekomstige bedreigingen beter te kunnen afwenden. (bron)

Lapsus$ Hackers Verhogen Dreiging met Geavanceerde SIM-swapping Aanvallen

De Amerikaanse overheid heeft een rapport vrijgegeven waarin eenvoudige technieken, zoals SIM-swapping, worden geanalyseerd die door de Lapsus$ afpersingsgroep zijn gebruikt om tientallen organisaties met een sterke beveiligingshouding te infiltreren. De activiteiten van de groep kwamen in december vorig jaar onder de aandacht na een reeks incidenten waarbij Lapsus$ betrokken was en waarbij eigendomsgegevens van vermeende slachtoffers werden gelekt. Bekende bedrijven zoals Microsoft, Cisco, Nvidia en Samsung zijn door Lapsus$ getroffen. De groep wordt omschreven als een losjes georganiseerde groep, voornamelijk bestaande uit tieners uit het VK en Brazilië. Ze opereerden tussen 2021 en 2022 voor bekendheid, financieel gewin of gewoon voor de lol, maar toonden ook "flitsen van creativiteit" in hun technieken. Volgens het rapport van hetDepartment of Homeland Security (DHS) gebruikte Lapsus$ SIM-swapping om toegang te krijgen tot het interne netwerk van een doelbedrijf en vertrouwelijke informatie te stelen. Bij een SIM-swapping aanval wordt het telefoonnummer van het slachtoffer gestolen door het over te zetten naar een SIM-kaart van de aanvaller. Dit gebeurt vaak door middel van social engineering of met hulp van een insider bij de mobiele provider van het slachtoffer. Lapsus$ voerde sommige van de frauduleuze SIM-swaps rechtstreeks uit vanuit de klantbeheertools van de telecomprovider. Ze vertrouwden ook op insiders bij de getroffen bedrijven om toegang te krijgen. Ondanks hun vaardigheden waren ze niet altijd succesvol, vooral niet in omgevingen met robuuste netwerkdetectiesystemen. Het rapport benadrukt dat veel organisaties niet voorbereid waren op dergelijke aanvallen en doet aanbevelingen, waaronder het overstappen naar een wachtwoordloze omgeving en het versterken van authenticatiepraktijken. Na onderzoeken van de wetshandhaving in september 2022 werd het stil rond Lapsus$. In maart van het vorige jaar kondigde de City of London Police de arrestatie aan van zeven personen die gelinkt waren aan Lapsus$. (bron, bron2)

Gafgyt Malware Misbruikt Oud Beveiligingslek in Zyxel Router

Fortinet heeft een waarschuwing uitgegeven over de Gafgyt botnet malware die actief een kwetsbaarheid probeert te misbruiken in de Zyxel P660HN-T1A router, een model dat niet meer wordt ondersteund. Deze router wordt dagelijks duizenden keren aangevallen. De malware richt zich op CVE-2017-18368, een ernstige kwetsbaarheid in de Remote System Log forwarding functie van het apparaat. Zyxel heeft deze kwetsbaarheid in 2017 gepatcht. Desondanks ziet Fortinet sinds begin juli 2023 gemiddeld 7.100 aanvallen per dag op deze kwetsbaarheid. Het is onduidelijk hoeveel van deze aanvalspogingen daadwerkelijk succesvol zijn geweest. CISA, het cybersecurity agentschap, heeft ook gewaarschuwd voor het actieve misbruik van CVE-2017-18368 en heeft federale instanties opgedragen de Zyxel kwetsbaarheid te patchen vóór 28 augustus 2023. Als reactie op de uitbraak heeft Zyxel zijn beveiligingsadvies bijgewerkt. Routers van het type P660HN-T1A die de nieuwste firmwareversie uit 2017 draaien, zijn niet vatbaar voor deze aanvallen. Echter, Zyxel benadrukt dat dit apparaat het einde van zijn levensduur heeft bereikt en raadt gebruikers aan over te stappen naar een nieuwer model voor optimale bescherming. Tekenen van botnet infecties op routers zijn onder andere instabiele connectiviteit, oververhitting van het apparaat, onverwachte configuratiewijzigingen en ongewoon netwerkverkeer. Bij vermoeden van een infectie wordt aangeraden het apparaat naar fabrieksinstellingen te resetten, de firmware bij te werken en de standaard inloggegevens te wijzigen. (bron, bron2, bron3)

Nieuwe 'Whirlpool' Malware Gebruikt in Aanvallen op Barracuda ESG Apparaten

Het Amerikaanse Cybersecurity & Infrastructure Security Agency (CISA) heeft een nieuwe backdoor malware genaamd 'Whirlpool' ontdekt die wordt gebruikt in aanvallen op gecompromitteerde Barracuda Email Security Gateway (ESG) apparaten. In mei onthulde Barracuda dat een vermoedelijke pro-China hacker groep, UNC4841, ESG-apparaten had gehackt in datadiefstal aanvallen met behulp van de CVE-2023-2868 zero-day kwetsbaarheid. Deze kwetsbaarheid, met een kritieke ernstscore van CVSS v3: 9.8, heeft invloed op Barracuda ESG versies van 5.1.3.001 tot 9.2.0.006. Het bleek dat de aanvallen begonnen in oktober 2022 en werden gebruikt om voorheen onbekende malware, genaamd Saltwater en SeaSpy, te installeren. Er werd ook eenkwaadaardig hulpmiddel genaamd SeaSide gebruikt om reverse shells op te zetten voor eenvoudige externe toegang. In plaats van de apparaten te repareren met software-updates, bood Barracuda vervangende apparaten aan alle getroffen klanten gratis aan, wat suggereert dat de aanvallen ernstiger waren dan aanvankelijk werd gedacht. CISA heeft onlangs verdere details gedeeld over een aanvullende malware genaamd Submariner die in de aanvallen werd ingezet. Gisteren onthulde CISA de ontdekking van nog een backdoor malware, 'Whirlpool', die werd gebruikt in de aanvallen op Barracuda ESG apparaten. Dit maakt Whirlpool de derde unieke backdoor die in de aanvallen wordt gebruikt, wat opnieuw aantoont waarom Barracuda ervoor koos om apparaten te vervangen in plaats van ze te repareren met software. Als er verdachte activiteiten worden geïdentificeerd op een Barracuda ESG apparaat, of tekenen van compromis door een van de genoemde backdoors, wordt aangeraden contact op te nemen met CISA's 24/7 Operations Center via "report@cisa.gov" om te helpen met hun onderzoeken. (bron, bron2)

Cybercriminelen en de Evolutie van Stealer Logs in het Cybercrime Ecosysteem

In de eerste zeven maanden van 2023 heeft het cybercriminele ecosysteem een snelle evolutie doorgemaakt. Aanvallen waarbij ransomware data buitmaakt, de distributie van stealer logs en nieuwe exploits gericht op organisaties zijn sterk toegenomen. Stealer logs zijn een cruciaal onderdeel van dit ecosysteem. Infostealer malware, een vorm van remote access trojan (RAT), heeft zich de afgelopen drie jaar opgewerkt als een van de belangrijkste cybercriminele methoden. Deze malware infecteert computers, steelt inloggegevens uit browsers, sessiecookies en andere gevoelige informatie zoals creditcardgegevens en cryptocurrency wallet data. Deze logs worden vervolgens gebruikt of verspreid onder cybercriminelen, waardoor financiële fraude, overname van accounts, ransomware distributie en datalekken bij organisaties mogelijk worden. De distributie van deze malware is veranderd. Waar stealer logs voorheen voornamelijk werden verspreid via dark web winkels, wordt nu meer dan 70% gedistribueerd via Telegram kanalen. Cybercriminelen creëren kanalen waar ze toegang verkopen tot recent verzamelde stealer logs. Daarnaast hebben ze vaak een openbaar kanaal waar ze voorbeelden delen van wat kopers kunnen verwachten. De impact van stealer logs is aanzienlijk. Consumenten lopen het risico slachtoffer te worden van financiële fraude of diefstal van cryptocurrency. Opmerkelijk is dat veel stealer logs ook toegang bieden tot bedrijfsnetwerken en -diensten. Uit een analyse van Flare bleek dat meer dan 350.000 logs inloggegevens bevatten voor veelgebruikte bedrijfstoepassingen. 

Kamer van Koophandel getroffen door DDoS-aanval

Op donderdag 10 augustus 2023 meldde de Kamer van Koophandel (KVK) dat hun website en dienstverlening getroffen zijn door een DDoS-aanval. De organisatie heeft dit bekendgemaakt via hun eigen website. Als gevolg van de aanval kunnen bezoekers en gebruikers hinder ondervinden bij het gebruik van de website en de diensten van de KVK. De organisatie heeft maatregelen getroffen om de impact van de aanval te beperken en biedt haar excuses aan voor het ongemak. Deze aanval op de KVK is niet geïsoleerd. In de afgelopen dagen zijn diverse Nederlandse websites het doelwit geworden van DDoS-aanvallen. Onder de getroffen websites bevinden zich die van Maastricht Aachen Airport, branchevereniging OV-NL en de Bank Nederlandse Gemeenten. Het Nationaal Cyber Security Centrum (NCSC) heeft gereageerd op deze reeks aanvallen door te stellen dat de impact van DDoS-aanvallen vaak beperkt en voornamelijk symbolisch is. Het is opmerkelijk dat de KVK drie jaar geleden ondernemers nog waarschuwde voor de financiële gevolgen van DDoS-aanvallen. In dat artikel gaf de KVK ook tips aan ondernemers over hoe ze zich het beste kunnen beschermen tegen dergelijke aanvallen. Een van de aanbevelingen was om te kiezen voor een internetprovider en webhoster die anti-DDoS-maatregelen hebben geïmplementeerd, zoals de Nationale Wasstraat (NaWas) van de Nationale Beheersorganisatie Internet Providers (NBIP). (bron)

Buitenlandse ambassades in Belarus doelwit van geavanceerde isp-niveau aanvallen

Buitenlandse ambassades in Belarus zijn het doelwit geweest van cyberaanvallen op isp-niveau, waarbij hun netwerkverkeer werd gemanipuleerd door lokale providers. Het doel van deze aanvallen was om de ambassades malafide Windows-updates te laten downloaden. Dit is onthuld door het antivirusbedrijf ESET. Deze spionageaanvallen zijn niet nieuw; ze vinden al jaren plaats. De geïnstalleerde malware heeft als doel documenten te stelen, screenshots te maken en de omgeving af te luisteren. Een specifieke techniek die door de aanvallers wordt gebruikt, is het onderscheppen van netwerkverkeer op isp-niveau. Hierdoor worden Windows-systemen misleid om te denken dat ze zich achter een captive portal bevinden. Dit resulteert in het omleiden van de gebruiker naar een valse Windows Update-pagina, die in werkelijkheid malware bevat. Deze malwaregeeft de aanvallers uitgebreide controle over het systeem van het slachtoffer. Opmerkelijk is dat deze aanvallen al sinds 2017 plaatsvinden tegen ambassades in Belarus. ESET heeft echter niet kunnen bepalen wie er precies achter deze aanvallen zit. Een reactie op het artikel wijst ook op de risico's van publieke WiFi access points en het belang van het gebruik van https-verbindingen voor extra beveiliging. (bron)

Gemeente Vlaardingen's Website Lamgelegd door DDoS-aanval

De gemeente Vlaardingen heeft te maken gehad met een verontrustende cyberaanval. Op woensdag werd de officiële website van de gemeente het doelwit van een DDoS-aanval, waardoor de site voor onbepaalde tijd onbereikbaar werd voor burgers en andere bezoekers. De gemeente heeft dit incident bevestigd via hun officiële communicatiekanaal op het platform 'X', dat voorheen bekend stond als Twitter. DDoS-aanvallen zijn gericht op het overbelasten van servers door een enorme hoeveelheid verkeer te genereren, waardoor legitieme gebruikers geen toegang meer hebben tot de betreffende website. Het is nog onduidelijk wie achter deze aanval zit en wat hun motieven zijn. De timing en de reden voor de aanval zijn nog steeds onderwerp van onderzoek. Het is essentieel voor gemeenten om hun digitale infrastructuur te beschermen, aangezien deze platforms vaak essentiële informatie en diensten bieden aan hun burgers. De gemeente Vlaardingen heeft nog geen verdere details vrijgegeven over de duur van de storing of eventuele maatregelen die zijn genomen om dergelijke incidenten in de toekomst te voorkomen. Het is ook nog onbekend of er gegevens zijn gelekt of gecompromitteerd als gevolg van deze aanval. Burgers en andere belanghebbenden worden geadviseerd om de officiële communicatiekanalen van de gemeente in de gaten te houden voor updates over de situatie en eventuele verdere instructies.

Actief misbruik van kwetsbaarheid in Microsoft .NET en Visual Studio gemeld

Aanvallers benutten deze kwetsbaarheid om dos-aanvallen uit te voeren. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft deze informatie naar buiten gebracht. Microsoft heeft afgelopen dinsdag beveiligingsupdates vrijgegeven om deze kwetsbaarheid aan te pakken. Het betreffende lek is geïdentificeerd in Microsoft Visual Studio 2022, .NET 6.0 en 7.0, en ASP.NET Core 2.1. Met behulp van .NET en Visual Studio kunnen ontwikkelaars webapplicaties en websites creëren. Het beveiligingslek, dat de code CVE-2023-38180 draagt, stelt aanvallers in staat om deze webapplicaties en websites onbereikbaar te maken. Tot op heden hebben zowel CISA als Microsoft geen verdere details over de aard van het lek of het misbruik ervan verstrekt. Echter, als reactie op deze situatie heeft de Amerikaanse overheidsinstantie alle andere overheidsorganisaties opgedragen om voor 30 augustus de updates van Microsoft te installeren. Het is van cruciaal belang voor organisaties en individuele gebruikers om hun systemen up-to-date te houden en de nodige beveiligingsmaatregelen te nemen om zichzelf te beschermen tegen mogelijke cyberaanvallen. (bron, bron2)

Hackers misbruiken open-source Merlin-toolkit voor aanvallen op Oekraïense staatsorganisaties

Oekraïne heeft gewaarschuwd voor een reeks cyberaanvallen op staatsorganisaties, waarbij hackers gebruik maken van 'Merlin'. Merlin is een open-source post-exploitatie- en commando- en controlekader. Deze op Go gebaseerde toolkit is gratis beschikbaar op GitHub en biedt uitgebreide documentatie voor beveiligingsprofessionals, vooral voor rode team-oefeningen. De toolkit heeft diverse functies waarmee zowel rode teams als kwaadwillende aanvallers toegang kunnen krijgen tot gecompromitteerde netwerken. De aanvallen kwamen aan het licht toen CERT-UA, het Oekraïense Computer Emergency Response Team, phishing-e-mails ontdekte die zich voordeden als afkomstig van hun eigen agentschap. Deze e-mails bevatten een bijlage die, wanneer geopend, een kwaadaardig script uitvoert dat een bestand genaamd "ctlhost.exe" downloadt en uitvoert. Zodra dit bestand wordt uitgevoerd, raakt de computer geïnfecteerd met MerlinAgent, waardoor de aanvallers toegang krijgen tot de geïnfecteerde machine en zich verder kunnen verspreiden binnen het netwerk. Het gebruik van open-source tools zoals Merlin maakt het moeilijker om de aanvallers te identificeren, omdat er minder unieke sporen achterblijven die naar specifieke bedreigingsactoren kunnen leiden. Het is van cruciaal belang dat organisaties zich bewust zijn van dergelijke bedreigingen en de nodige voorzorgsmaatregelen nemen om hun netwerken te beschermen. (bron, bron2)

Cybercriminelen Achter Groot Datalek: Gezondheidsinformatie in Missouri Blootgesteld na IBM MOVEit Aanval

Het Department of Social Services in Missouri heeft gewaarschuwd dat beschermde gezondheidsinformatie van Medicaid is blootgesteld na een datalek bij IBM. IBM had te maken met een MOVEit-diefstalaanval, uitgevoerd door de Clop ransomware-bende. Deze bende maakte gebruik van een zero-day kwetsbaarheid, bekend als CVE-2023-34362, om MOVEit Transfer-servers te hacken vanaf 27 mei. Als gevolg hiervan konden de aanvallers gegevens stelen van meer dan 600 bedrijven wereldwijd, variërend van bedrijven en educatieve organisaties tot federale en lokale overheidsinstanties. Het wordt geschat dat de bende tussen de $75 en $100 miljoen zal verdienen aan deze aanvallen. IBM heeft bevestigd dat hun MOVEit Transfer-server tijdens deze aanvallen werd gecompromitteerd. Hoewel de directe systemen van DSS niet werden beïnvloed, waren de gegevens van DSS wel in gevaar. Uit een analyse van de gestolen gegevens bleek dat het beschermde gezondheidsinformatie bevatte voor Medicaid-deelnemers in Missouri, waaronder namen, klantnummers, geboortedata en informatie over medische claims. DSS heeft aangegeven dat het enige tijd kan duren om de volledige omvang van het datalek te bepalen vanwege de grootte en het formaat van de gestolen bestanden. Als voorzorgsmaatregel stuurt DSS echter meldingen naar alle Missouri Medicaid-deelnemers die in mei 2023 waren ingeschreven. Ze adviseren ook individuen om hun krediet te bevriezen en hun kredietrapporten te controleren op ongebruikelijke activiteiten. (bron, bron2)

Rhysida-ransomware: Een groeiende dreiging voor de gezondheidszorg

De Rhysida-ransomware, een Ransomware as a Service (RaaS) die in mei 2023 opdook, trekt steeds meer de aandacht na een reeks aanvallen op gezondheidsorganisaties. Deze aanvallen hebben overheidsinstanties en cyberbeveiligingsbedrijven ertoe aangezet nauwlettender toe te zien op de activiteiten van Rhysida. Na een beveiligingsbulletin van het Amerikaanse Department of Health and Human Services (HHS) hebben diverse grote cybersecuritybedrijven zoals CheckPoint, Cisco Talos en Trend Micro rapporten gepubliceerd over Rhysida. In juni vestigde Rhysida de aandacht op zich door documenten van het Chileense leger te lekken. Een analyse toonde aan dat de ransomware nog in ontwikkeling was en enkele standaardfuncties miste. Rhysida lijkt zich specifiek te richten op zorgorganisaties, in tegenstelling tot sommige andere ransomware-operaties die beweren dit niet te doen. Het HHS waarschuwde onlangs dat Rhysida, ondanks het gebruik van een basisslot, zijn activiteiten op gevaarlijke schaal heeft uitgebreid. De slachtoffers bevinden zich in verschillende landen en sectoren, maar recentelijk is er een focus op de gezondheids- en publieke sector waargenomen. Rhysida wordt ook in verband gebracht met een cyberaanval op Prospect Medical Holdings in de VS. Uit rapporten blijkt dat Rhysida phishing e-mails gebruikt voor initiële toegang, waarna Cobalt Strike en PowerShell-scripts worden ingezet. Interessant is dat Rhysida externe scripts gebruikt voor taken die normaal gesproken door een ransomware-encryptor worden afgehandeld. Rhysida heeft zich snel gevestigd in de ransomware-wereld en toont geen terughoudendheid bij het aanvallen van ziekenhuizen. (bron, bron2, bron3, bron4)

TunnelCrack-aanval bedreigt VPN-gebruikers, vooral op iOS en macOS

De Belgische beveiligingsonderzoeker Mathy Vanhoef, eerder bekend van de KRACK-aanval tegen WPA en WPA2, heeft een nieuwe aanval genaamd TunnelCrack onthuld. Deze aanval kan het verkeer van VPN-gebruikers buiten de VPN-tunnel omleiden en blootstellen. De kwetsbaarheid treft voornamelijk VPN's op iOS en macOS, gevolgd door Windows, terwijl VPN-apps voor Android relatief veiliger zijn. TunnelCrack maakt gebruik van twee technieken: de LocalNet- en ServerIP-aanvallen, die beide het meest effectief zijn wanneer een gebruiker verbonden is met een onbetrouwbaar wifi-netwerk. Om zichzelf te beschermen, wordt VPN-gebruikers geadviseerd lokaal verkeer uit te schakelen en alleen HTTPS-websites te bezoeken. Verschillende VPN-providers, waaronder Mozilla VPN en Surfshark, hebben al patches uitgebracht in reactie op deze ontdekking. (bron)

EvilProxy Phishing-aanval bedreigt Microsoft 365-gebruikers

EvilProxy is snel uitgegroeid tot een van de meest populaire phishing-platforms, gericht op MFA-beschermde accounts. Onderzoekers van Proofpoint hebben ontdekt dat er 120.000 phishing-e-mails zijn verzonden naar meer dan honderd organisaties met als doel Microsoft 365-accounts te kapen. In de afgelopen vijf maanden heeft Proofpoint een aanzienlijke toename waargenomen van succesvolle overnames van cloudaccounts, vooral onder hooggeplaatste leidinggevenden. De door EvilProxy ondersteunde campagne maakt gebruik van merkimitatie, botdetectie-ontduiking en open omleidingen. EvilProxy fungeert als een phishing-as-a-service-platform dat reverse-proxy's inzet om authenticatieverzoeken en gebruikersgegevens te routeren tussen het doelwit en de legitieme service. Hierdoor kan de phishing-server authenticatiecookies stelen zodra een gebruiker inlogt. Met deze gestolen cookies kunnen aanvallers MFA-authenticatie omzeilen. In september 2022 werd gemeld dat EvilProxy aan cybercriminelen werd verkocht voor $400 per maand. Het beloofde de mogelijkheid om accounts van grote technologiebedrijven zoals Apple, Google en Microsoft te targeten. Sinds maart 2023 heeft Proofpoint een nieuwe phishing-campagne waargenomen die gebruik maakt van de EvilProxy-service om e-mails te verzenden die zich voordoen als bekende merken zoals Adobe en DocuSign. Wanneer slachtoffers op de link in deze e-mails klikken, worden ze omgeleid via platforms zoals YouTube, waarna ze landen op een EvilProxy phishing-pagina die de Microsoft 365-loginpagina nabootst. Deze pagina is zelfs aangepast aan het thema van de organisatie van het slachtoffer om authentiek te lijken. Opvallend is dat de campagne gebruikers met een Turks IP-adres omleidt naar een legitieme site, wat suggereert dat de operatie mogelijk in Turkije is gevestigd. De aanvallers lijken ook selectief te zijn in hun doelwitten, waarbij ze prioriteit geven aan "VIP"-doelen en lagere medewerkers negeren. Als laatste waarschuwing benadrukt het rapport dat organisaties zich kunnen verdedigen tegen dergelijke dreigingen door een hoger beveiligingsbewustzijn, strengere e-mailfilterregels en het aannemen van FIDO-gebaseerde fysieke sleutels. (bron)

Pro-Russische Hackers slaan weer toe in Nederland met aanvallen op de banken

De website van de Bank Nederlandse Gemeenten (BNG Bank) is recentelijk onbereikbaar geworden, en hoewel het nog niet bevestigd is of het om een DDoS-aanval gaat, hebben pro-Russische hackers de verantwoordelijkheid opgeëist. Klanten kunnen echter nog steeds veilig betalen via de bank, aldus een woordvoerster van BNG Bank. Deze aanval komt kort nadat hackersgroep 'NoName05716' beweerde meerdere Nederlandse bankwebsites te hebben aangevallen, waaronder die van BNG Bank. Een andere genoemde bank, CACEIS, is ook onbereikbaar, maar het is onduidelijk of deze onder dezelfde aanval valt. De hackersgroep stelt dat deze DDoS-aanvallen een reactie zijn op de Nederlandse steun aan Oekraïne in hun conflict met Rusland. Ondanks deze aanvallen zijn de websites van andere banken nog steeds bereikbaar. Het Nationaal Cyber Security Centrum, verantwoordelijk voor de cyberveiligheid van de overheid en vitale sectoren, heeft nog geen meldingen ontvangen van de getroffen banken. Eerder deze week waren de websites van Maastricht Aachen Airport en OV-NL ook onbereikbaar, vermoedelijk door dezelfde hackersgroep. Ondanks de aanvallen bleven vliegtuigen en openbaar vervoer normaal functioneren. Deze groep zou ook eerder websites van de Rechtspraak, de Eerste Kamer en diverse Nederlandse havens hebben aangevallen, hoewel deze aanvallen geen directe impact hadden op hun operaties. Bij een DDoS-aanval wordt een server overspoeld met verkeer, meestal van gekaapte apparaten, waardoor de site onbereikbaar wordt.

Beveiligingslek in Microsoft Visual Studio Code laat extensies authenticatietokens stelen

Microsoft's Visual Studio Code (VS Code), een populaire code-editor en ontwikkelomgeving, heeft een beveiligingsfout waardoor kwaadaardige extensies authenticatietokens kunnen stelen die zijn opgeslagen in de referentiemanagers van Windows, Linux en macOS. Deze tokens zijn essentieel voor integratie met diverse diensten en API's, zoals Git en GitHub. Het stelen van deze tokens kan leiden tot ongeoorloofde toegang tot systemen, datalekken en andere beveiligingsproblemen. Deze kwetsbaarheid werd ontdekt door onderzoekers van Cycode. Zij rapporteerden de fout aan Microsoft en leverden zelfs een Proof of Concept (PoC) om het probleem te demonstreren. Ondanks de ernst van de ontdekking, koos Microsoft ervoor om het probleem niet aan te pakken. De reden hiervoor was dat ze niet verwachtten dat extensies geïsoleerd zouden worden van de rest van de omgeving. Het beveiligingsprobleem ontstaat door een gebrek aan isolatie van de tokens in VS Code's 'Secret Storage'. Hierdoor kunnen alle extensies, zelfs de kwaadaardige, toegang krijgen tot deze geheime opslag. Bovendien kunnen ze de Keytar-functie van VS Code misbruiken om de opgeslagen tokens te verkrijgen. Cycode's onderzoekers gingen verder en creëerden een kwaadaardige extensie om tokens te stelen van CircleCI, een populair coderingsplatform met VS Code-extensies. Ze ontdekten ook dat elke VS Code-extensie toegang heeft tot de sleutelhanger omdat het vanuit de applicatie draait die al toegang heeft tot de sleutelhanger van het besturingssysteem. Een ander probleem dat door Cycode werd ontdekt, was dat de 'getFullKey'-functie geheimen ophaalt op basis van een 'extensionId'. Dit maakt het mogelijk voor kwaadwillenden om deze velden te wijzigen en zo toegang te krijgen tot de tokens van een andere extensie. (bron)

Nieuwe Kwetsbaarheid in Intel-CPU's Maakt Diefstal van Gevoelige Gegevens Mogelijk

Op 8 augustus 2023 onthulde een senior onderzoekswetenschapper van Google een nieuwe kwetsbaarheid in Intel-CPU's, genaamd "Downfall". Deze kwetsbaarheid treft meerdere Intel-microprocessorfamilies en stelt aanvallers in staat om wachtwoorden, coderingssleutels en andere privégegevens zoals e-mails en bankinformatie te stelen van gebruikers die dezelfde computer delen.De kwetsbaarheid, geregistreerd als CVE-2022-40982, is een zijdelingse aanval en beïnvloedt alle processors van de Intel-microarchitectuur Skylake tot Ice Lake. Aanvallers die deze kwetsbaarheid uitbuiten, kunnen gegevens extraheren die beschermd zijn door Intel's Software Guard eXtensions (SGX), een hardware-gebaseerde geheugencodering.Daniel Moghimi, de Google-onderzoeker die deze kwetsbaarheidontdekte, heeft technieken ontwikkeld om de kwetsbaarheid te misbruiken. Met behulp van de Gather Data Sampling (GDS) techniek kon hij AES 128-bit en 256-bit cryptografische sleutels stelen in minder dan 10 seconden.Intel werd vorig jaar augustus op de hoogte gebracht van deze kwetsbaarheid en heeft sindsdien samengewerkt met Moghimi om het probleem aan te pakken. Er is nu een microcode-update beschikbaar om het probleem te mitigeren. Intel heeft bevestigd dat bepaalde processorfamilies zoals Alder Lake, Raptor Lake en Sapphire Rapids niet door deze kwetsbaarheid worden getroffen.Softwarematige oplossingen zijn beschikbaar, maar deze zijn slechts tijdelijk en kunnen prestatieproblemen veroorzaken. Moghimi waarschuwt dat zonder het aanpakken van de kern van het probleem, nieuwe kwetsbaarheden in CPU's kunnen worden ontdekt. Deze bevindingen zullen verder worden besproken tijdens de Black Hat USA-beveiligingsconferentie.(bron, bron2, bron3, bron4, bron5)

Nieuwe 'Inception'-aanval bedreigt AMD Zen-CPU's

Onderzoekers hebben een geavanceerde tijdelijke executie-aanval, genaamd 'Inception', ontdekt die gevoelige informatie kan lekken van alle AMD Zen CPU's, inclusief de meest recente modellen. Deze aanval maakt gebruik van de speculatieve uitvoeringsfunctie in moderne processors, waardoor CPU's taken kunnen voorspellen en sneller kunnen uitvoeren. Als deze voorspelling onjuist is, wordt de actie teruggedraaid. Echter, deze speculatieve uitvoering kan sporen achterlaten die kwaadwillenden kunnen gebruiken om beschermde gegevens te verkrijgen. De 'Inception'-aanval combineert een oudere techniek, 'Phantom speculation', met een nieuwe methode genaamd 'Training in Transient Execution' (TTE). Hiermee kunnen aanvallers de CPU misleiden om te denken dat een eenvoudige binaire operatie een complexere instructie is, waardoor ze gegevens kunnen lekken van processen die op een AMD Zen CPU draaien. Ondanks bestaande beveiligingsmaatregelen kunnen gegevens nog steeds worden gelekt met een snelheid van 39 bytes/sec. Dit betekent dat een 16-teken wachtwoord in een halve seconde kan worden gestolen en een RSA-sleutel in 6,5 seconden. Alle AMD Zen-gebaseerde Ryzen en EPYC CPU's, van Zen 1 tot Zen 4, zijn kwetsbaar voor deze aanval. Hoewel de aanval voornamelijk is getest op Linux, zou het op elk besturingssysteem met kwetsbare AMD CPU's moeten werken, aangezien het probleem hardwarematig is. AMD heeft microcode-updates uitgebracht om deze kwetsbaarheid aan te pakken en raadt gebruikers aan deze updates te installeren voor extra bescherming. (bron, bron2, bron3, bron4)

Cybercriminelen Exposeren Privégegevens van Miljoenen Britse Kiezers via Kiescommissie

Op 8 augustus 2023 werd bekendgemaakt dat de Britse kiescommissie, de Electoral Commission, de privégegevens van miljoenen Britse kiezers heeft gelekt. Uit onderzoek bleek dat aanvallers al sinds augustus 2021 toegang hadden tot de systemen van de commissie, hoewel de aanval pas in oktober van het daaropvolgende jaar werd ontdekt. Deze aanvallers hadden ook toegang tot kopieën van de kiesregisters die de kiescommissie voor onderzoeksdoeleinden bewaarde. De betreffende kiesregisters bevatten gegevens van iedereen die tussen 2014 en 2022 als kiezer in het Verenigd Koninkrijk was geregistreerd. Hierbij gaat het niet alleen om namen en adresgegevens van lokale kiezers, maar ook om gegevens van overzeese kiezers. Naar aanleiding van dit incident heeft de Electoral Commission de Britse privacytoezichthouder, de ICO, op de hoogte gebracht. De ICO heeft aangegeven dat er met spoed een onderzoek wordt gestart naar het datalek. Hoewel de exacte oorzaak van de aanval nog niet bekend is, heeft de directeur van de kiescommissie toegegeven dat de beveiliging ontoereikend was. In een verklaring aan The Guardian gaf hij aan: "We betreuren dat er geen voldoende beveiliging was om deze cyberaanval te voorkomen." Sinds de ontdekking van het lek heeft de commissie maatregelen genomen en specialisten ingeschakeld om de veiligheid en betrouwbaarheid van hun IT-systemen te versterken. (bron, bron2)

DDoS-aanvallen op Nederlandse websites: NCSC benadrukt beperkte impact

De afgelopen dagen hebben diverse Nederlandse websites te maken gehad met DDoS-aanvallen. Onder de getroffen sites bevonden zich die van Maastricht Aachen Airport, branchevereniging OV-NL en de Bank Nederlandse Gemeenten. Ondanks deze aanvallen benadrukt het Nationaal Cyber Security Centrum (NCSC) dat de gevolgen vaak beperkt en voornamelijk symbolisch zijn. Groeperingen die deze aanvallen uitvoeren, gebruiken vaak krachtige retoriek om aandacht te vestigen op hun digitale acties en hun politieke agenda. Ze kiezen er vaak voor om hun boodschappen via sociale media te verspreiden. Het NCSC voegt hieraan toe dat in veel gevallen de bedrijfsvoering van een organisatie slechts in beperkte mate, of zelfs helemaal niet, afhankelijk is van hun website. Dit betekent dat de daadwerkelijke impact van een DDoS-aanval vaak beperkt blijft. Om organisaties te ondersteunen, houdt het NCSC de situatie nauwlettend in de gaten en heeft het verschillende kennisproducten uitgebracht. Deze producten zijn bedoeld om organisaties te helpen zich te verdedigen tegen DDoS-aanvallen. Een van deze producten biedt een handelingsperspectief voor het omgaan met DDoS-aanvallen afkomstig van hacktivistische groeperingen. (bron)

Datalek bij Amsterdamse woningcorporatie Stadgenoot: Gegevens van 33.000 mensen online

Op dinsdag 8 augustus 2023 werd bekend dat gegevens van 33.000 mensen, die in 2021 bij de Amsterdamse woningcorporatie Stadgenoot werden gestolen, nu op het internet zijn gepubliceerd. Deze onthulling kwam naar voren via een tweet van RTL-journalist Daniel Verlaan. Het datalek omvatte persoonlijke informatie zoals namen, adresgegevens, e-mailadressen en in sommige gevallen zelfs kentekennummers en indicaties van jaarsalarissen. Deze informatie was eerder door de organisatie via e-mail gecommuniceerd aan de getroffen slachtoffers. De aanval op Stadgenoot vond plaats via hun website, waardoor de aanvaller toegang kreeg tot deze persoonsgegevens. Het exacte moment van de inbraak en de methode die de aanvaller gebruikte om toegang te krijgen, zijn door de woningcorporatie niet openbaar gemaakt. Verlaan voegde eraan toe dat naast de eerder genoemde gegevens ook geboortedata en met base64 gecodeerde wachtwoorden zijn gestolen. Door deze codering zijn de wachtwoorden gemakkelijk te ontcijferen, wat een groot risico vormt voor de betrokkenen. Stadgenoot is een prominente woningcorporatie in Amsterdam, verantwoordelijk voor het verhuren van ongeveer dertigduizend huurwoningen. Het merendeel van deze woningen zijn sociale huurwoningen, maar ze hebben ook meer dan duizend woningen in de vrije sector. Bovendien houdt de organisatie zich bezig met de verkoop en verhuur van bedrijfsruimten en parkeerplaatsen. Eerder dit jaar had Stadgenoot al 15.000 huurders gewaarschuwd voor een ander datalek, dat plaatsvond bij marktonderzoeksbureau USP Marketing Consultancy.

Chinese cyberaanval op Japan leidt tot bezorgdheid in de VS

In 2020 hebben Chinese hackers een cyberaanval uitgevoerd op Japanse militaire netwerken, wat tot grote bezorgdheid heeft geleid bij militaire leiders in de Verenigde Staten, Japan's voornaamste bondgenoot. Volgens een rapport van 'The Washington Post' is er angst binnen de Amerikaanse overheid dat China door deze hacks toegang heeft verkregen tot gevoelige militaire informatie. Ondanks inspanningen om de netwerkveiligheid te versterken, blijven deze maatregelen volgens bronnen onvoldoende. De Chinese cyberaanvallen zijn nu drie jaar oud, maar de zorgen blijven. China ontwikkelt niet alleen spionageprogramma's maar ook capaciteiten voor cyberaanvallen die kritieke diensten in de VS en bij Aziatische bondgenoten kunnen verstoren. Na de aanval in 2020, waarbij Chinese militaire hackers toegang kregen tot streng beveiligde Japanse computersystemen, hebben zowel Amerikaanse als Japanse bronnen het incident bevestigd. Dit incident was tot nu toe niet publiekelijk bekend. De ernst van de situatie werd onderstreept toen generaal Paul Nakasone, het hoofd van het Amerikaanse Cybercommando, en Matthew Pottinger, de adjunct nationale veiligheidsadviseur, naar Japan reisden om de Japanse regering te informeren over de hack. Ondanks beloftes van Japan om hun cyberveiligheid te verbeteren, hadden Chinese hackers een jaar later nog steeds toegang tot Japanse netwerken. De spanningen in Oost-Azië nemen toe, met China dat steeds assertiever wordt, vooral met betrekking tot Taiwan. (bron)

Aristocrat getroffen door cyberaanval: Persoonsgegevens van medewerkers gestolen

Op 1 juni werd het Australische gokbedrijf Aristocrat Leisure het slachtoffer van een cyberaanval. Tijdens deze aanval wisten hackers toegang te krijgen tot de servers van het bedrijf door een fout in de gebruikte software, genaamd MOVEit. Hierbij zijn persoonlijke gegevens van medewerkers van Aristocrat gestolen. Kort na de aanval publiceerde de hacker een overzicht van de gestolen gegevens online. Aristocrat heeft snel gereageerd op de cyberaanval. De fout in de MOVEit-software is inmiddels geïdentificeerd en gecorrigeerd. Bovendien heeft het bedrijf alle relevante autoriteiten geïnformeerd over het incident. Om de getroffen medewerkers te ondersteunen, biedt Aristocrat hen gratis kredietbewaking aan en neemt maatregelen om hen te beschermen tegen identiteitsdiefstal. Dit is een poging van het bedrijf om te voorkomen datde medewerkers financieel worden benadeeld door de cyberaanval. Desondanks verwacht Aristocrat dat de impact van de aanval op het bedrijf minimaal zal zijn. Ze hebben een risicoanalyse uitgevoerd en zullen de situatie blijven monitoren. Het bedrijf benadrukte hun toewijding aan de privacy en veiligheid van persoonlijke gegevens: “Aristocrat hanteert hoge betrouwbaarheidsnormen en neemt de privacy en veiligheid van alle persoonlijke gegevens serieus. We zullen dit incident proactief en uitgebreid blijven beheren, in het belang van onze mensen, ons bedrijf en andere belanghebbenden.” Aristocrat is een prominente speler in de gokindustrie, actief op diverse gebieden zoals social casino games en het aanbieden van gokspellen. Het bedrijf heeft onlangs ook licenties verworven voor online gokkasten, waaronder een overeenkomst met de F1 Grand Prix van Las Vegas. (bron)

Hackers Exploiteren Cloudflare Tunnels voor Heimelijke Verbindingen

Hackers maken in toenemende mate misbruik van de legitieme functie van Cloudflare Tunnels om heimelijke HTTPS-verbindingen op te zetten vanaf gecompromitteerde apparaten. Deze techniek stelt hen in staat om firewalls te omzeilen en een langdurige aanwezigheid op het netwerk te behouden. Hoewel deze methode niet nieuw is, zoals eerder in 2023 gemeld door Phylum, is er een opmerkelijke toename in het gebruik ervan. Cloudflare Tunnels is een functie waarmee gebruikers veilige uitgaande verbindingen kunnen opzetten met het Cloudflare-netwerk. Dit kan eenvoudig worden geïmplementeerd met behulp van specifieke clients voor diverse besturingssystemen. Eenmaal opgezet, kunnen gebruikers deze tunnels gebruiken voor legitieme doeleinden, zoals het delen van bronnen. Echter, kwaadwillende actoren hebben manieren gevonden om deze tunnels te misbruiken voor minder nobele doeleinden. Volgens een rapport van GuidePoint maken steeds meer cybercriminelen gebruik van deze tunnels om stiekem toegang te krijgen tot netwerken, detectie te vermijden en gegevens van gecompromitteerde apparaten te exfiltreren. Met slechts één commando, dat alleen het unieke tunneltoken van de aanvaller onthult, kan een discrete communicatiekanaal worden opgezet. Bovendien kunnen aanvallers de configuratie van een tunnel in realtime wijzigen, uitschakelen of inschakelen. Een extra zorg is dat de HTTPS-verbinding en gegevensuitwisseling plaatsvinden via QUIC op poort 7844, waardoor het onwaarschijnlijk is dat firewalls dit proces markeren, tenzij ze specifiek zo zijn geconfigureerd. Bovendien kunnen aanvallers, voor extra heimelijkheid, gebruik maken van Cloudflare's 'TryCloudflare'-functie, waarmee ze eenmalige tunnels kunnen opzetten zonder een account aan te maken. Ter bescherming adviseert GuidePoint organisaties om specifieke DNS-query's te monitoren en niet-standaard poorten zoals 7844 te gebruiken. Daarnaast kan het gebruik van Cloudflare Tunnel worden gedetecteerd door het monitoren van bestandshashes geassocieerd met client-releases. (bron, bron2, bron3)

Kwaadaardige Apps in Google Play Store Misbruiken Batterij door Advertenties op Uitgeschakeld Scherm

De Google Play Store is recentelijk het doelwit geworden van cybercriminelen. Er zijn 43 Android-applicaties ontdekt die in totaal 2,5 miljoen keer zijn geïnstalleerd. Deze apps vertoonden heimelijk advertenties terwijl het scherm van de telefoon uitgeschakeld was, wat resulteerde in een snelle batterijontlading. Het Mobile Research Team van McAfee was het eerste dat deze kwaadaardige apps opmerkte en rapporteerde ze aan Google vanwege schending van het beleid van de Play Store. Als reactie hierop heeft Google deze apps uit hun officiële winkel verwijderd. De meeste van deze apps waren mediastreaming-apps en nieuwsaggregators, gericht op een voornamelijk Koreaans publiek. Echter, de gebruikte tactiek kan gemakkelijk worden toegepast op andere app-categorieën en een breder publiek. Hoewel deze apps technisch gezien als 'adware' worden geclassificeerd, brengen ze gebruikers in gevaar. Ze kunnen leiden tot potentiële gebruikersprofileringsrisico's, verminderde batterijduur, verhoogd dataverbruik en fraude tegen adverteerders. Eenmaal geïnstalleerd op een apparaat, wachten deze adware-apps enkele weken voordat ze hun frauduleuze activiteiten starten. Dit doen ze om detectie door zowel gebruikers als Google-recensenten te vermijden. Bovendien kunnen de instellingen van de adware op afstand worden aangepast, waardoor de cybercriminelen achter deze operatie hun tactieken kunnen wijzigen. Een van de meest opvallende kenmerken van deze apps is hun vermogen om advertenties te laden, zelfs wanneer het scherm van het apparaat is uitgeschakeld. Dit leidt tot onverklaarbaar hoog batterijverbruik. McAfee adviseert Android-gebruikers om altijd recensies te lezen voordat ze apps installeren en om de gevraagde machtigingen zorgvuldig te bekijken voordat ze nieuwe apps toestemming geven om te installeren. (bron, bron2)

Noord-Koreaanse Hackers Vallen Russische Raketfabrikant Aan

De Noord-Koreaanse door de staat gesponsorde hackergroep ScarCruft wordt in verband gebracht met een cyberaanval op de IT-infrastructuur en e-mailserver van NPO Mashinostroyeniya, een Russische ontwerper van ruimteraketten en intercontinentale ballistische raketten. NPO Mashinostroyeniya, dat door de Amerikaanse schatkist is gesanctioneerd vanwege zijn rol in de Russisch-Oekraïense oorlog, ontwerpt en produceert orbitale voertuigen en tactische verdedigings- en aanvalsraketten voor de Russische en Indiase legers. SentinelLabs rapporteerde dat ScarCruft verantwoordelijk is voor de hack, waarbij de aanvallers een Windows-backdoor genaamd 'OpenCarrot' installeerden voor externe toegang tot het netwerk. Hoewel het primaire doel van de aanval onbekend blijft, staat ScarCruft bekend om het monitoren en stelen van gegevens van organisaties als onderdeel van hun cyberoperaties. De inbraak werd ontdekt na analyse van gelekte e-mails van NPO Mashinostroyeniya, die waarschuwden voor een mogelijk cyberbeveiligingsincident. Uit verder onderzoek bleek dat de inbreuk veel groter was dan aanvankelijk werd gedacht. De 'OpenCarrot' malware, eerder gelinkt aan een andere Noord-Koreaanse hackergroep genaamd Lazarus Group, werd geïdentificeerd op de systemen van het bedrijf. Deze malware heeft uitgebreide mogelijkheden, waaronder het scannen van netwerken en het manipuleren van bestandssystemen. SentinelLabs suggereert dat de betrokkenheid van twee door de staat gesteunde hackergroepen kan wijzen op een gecoördineerde strategie van Noord-Korea. Door meerdere actoren in te zetten om NPO Mashinostroyeniya te infiltreren, een waarschijnlijk belangrijk doelwit voor spionage, heeft de staat mogelijk de kans op een succesvolle inbreuk willen vergroten. (bron, bron2, bron3)

Amerikaanse zorginstellingen gewaarschuwd voor Rhysida-ransomware

Het Amerikaanse ministerie van Volksgezondheid heeft een waarschuwing uitgegeven aan zorginstellingen in de Verenigde Staten over aanvallen met de Rhysida-ransomware. Deze specifieke ransomware heeft al vele slachtoffers gemaakt in de VS, en er zijn ook meldingen van getroffenen in Nederland. Rhysida is niet zomaar een ransomware; het wordt aangeboden als een Ransomware-as-a-Service (RaaS). Dit betekent dat criminelen de ransomware kunnen 'huren' en een deel van hun winst afstaan aan de ontwikkelaar van de ransomware. De verspreiding van deze ransomware vindt voornamelijk plaats via phishingmails. Hoewel de meeste slachtoffers van Rhysida tot nu toe onderwijs- en onderwijsinstellingen, productie- en techniekbedrijven en managed serviceproviders waren, zijn recentelijk ook zorginstellingen getarget. Als reactie hierop heeft het Amerikaanse ministerie van Volksgezondheid enkele aanbevelingen gedaan aan instellingen. Ze adviseren onder andere om awareness trainingen voor personeel te organiseren, netwerksegmentatie toe te passen, en te zorgen dat applicaties en gebruikers zo min mogelijk rechten hebben. Ook wordt het maken van 'immutable' back-ups aangeraden om te voorkomen dat belangrijke gegevens verloren gaan bij een ransomware-aanval. (bron)

DDoS-aanval op Maastricht Aachen Airport en OV-NL door Russische groep 'NoName057(16)'

De website van Maastricht Aachen Airport en de site van OV-NL, de vereniging van openbaarvervoerbedrijven, waren maandag moeilijk bereikbaar. De oorzaak hiervan was een DDoS-aanval gericht op een externe server. Woordvoerders van beide organisaties hebben dit bevestigd. Het meest opvallende aan deze cyberaanval is dat deze is opgeëist door een Russische hackersgroep genaamd 'NOName057(16)'. Deze groep is pro-Russisch en heeft in het verleden andere cyberaanvallen uitgevoerd. DDoS-aanvallen zijn ontworpen om websites te overbelasten met verkeer, waardoor ze tijdelijk onbereikbaar worden voor reguliere gebruikers. Het is een veelgebruikte tactiek door hackers om diensten te verstoren en soms losgeld te eisen of andere politieke of financiële doelen na te streven. Het is van cruciaal belang voor organisaties om zich voor te bereiden op dergelijke dreigingen en om robuuste cyberbeveiligingsmaatregelen te implementeren. De aanval op Maastricht Aachen Airport en OV-NL benadrukt het belang van voortdurende waakzaamheid en de noodzaak om te investeren in geavanceerde beveiligingssystemen en -protocollen.

Update: Ook de website van Rijkswaterstaat.nl is getroffen. (zie hieronder)

Oorlog tussen Rusland en Oekraïne - Cyber groepen

Potentieel schadelijke apps massaal gedownload uit Play Store

In 2022 hebben Androidgebruikers potentieel schadelijke apps (PHA's) honderden miljoenen keren gedownload via de Play Store, volgens een bekendmaking van Google. Uit de gegevens blijkt dat minder dan één procent van alle downloads uit de Play Store als PHA werd gecategoriseerd. Met in totaal 110 miljard apps die vorig jaar via de Play Store zijn gedownload, zou dit neerkomen op minder dan 1,1 miljard PHA-downloads. Een uitdaging voor Google is dat veel van deze malafide apps in eerste instantie geen schadelijk gedrag vertonen. Pas na installatie beginnen deze apps vanaf een andere locatie malware te downloaden. Een veelvoorkomende truc is dat gebruikers binnen de app een melding krijgen dat ze een update moeten installeren, die in werkelijkheid malware is. Als reactie hierop adviseert Google gebruikers om enkel apps te downloaden van betrouwbare bronnen, zoals de Play Store zelf. In de reacties op het artikel wordt verder ingegaan op het fenomeen van dynamic code loading (DCL). DCL is een methode waarbij een app codebestanden downloadt en laadt van onbetrouwbare bronnen. Hoewel Google strenge controles uitvoert op apps en hun updates in de Play Store, kan DCL sommige van deze controles omzeilen. Dit benadrukt het belang voor gebruikers om voorzichtig te zijn met welke apps ze downloaden en installeren. (bron)

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Meer weekoverzichten