EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑

Cybercrimeinfo.nl (ccinfo.nl) is geen onderdeel van de Nederlandse Politie. Lees hier meer over wie wij zijn.

De afgelopen week was een tumultueuze periode op het gebied van cyberveiligheid, gekenmerkt door een reeks verontrustende incidenten die wereldwijd impact hebben gehad. Johnson Controls, een grote speler in gebouwautomatisering, werd getroffen door een grootschalige ransomware-aanval. In het Verenigd Koninkrijk leidde een ransomware-aanval tot het faillissement van het logistieke bedrijf KNP, wat resulteerde in het ontslag van 730 medewerkers.

Ook in Noord-Amerika waren er significante incidenten. De Amerikaanse stad Fort Lauderdale verloor maar liefst 1,2 miljoen dollar door CEO-fraude, terwijl een cyberaanval op het Canadese Geboorteregister leidde tot de diefstal van 3,4 miljoen persoonsgegevens. Nieuwe spelers zoals de ransomwaregroep Ransomed.vc maakten hun entree met een grootschalige hack op Sony.

De gezondheidssector was eveneens een doelwit; een datalek bij BORN Ontario trof 3,4 miljoen mensen door een Clop-ransomware aanval. In Nederland werd ZZ Coldstores getroffen door een BlackCat (ALPHV) cyberaanval, waarbij gevoelige data werd gelekt.

De financiële sector bleef ook niet gespaard. Mixin Network verloor 200 miljoen dollar na een cyberaanval op hun cloudservice, en het HTX Blockchain-Platform leed een verlies van 7,9 miljoen dollar. Het cryptocasino Stake werd eveneens getroffen met een verlies van bijna €40 miljoen.

Op internationaal niveau zagen we een geraffineerde LinkedIn-aanval van de Lazarus Groep, die een Spaans luchtvaartbedrijf infecteerde met malware. Het Amerikaanse Department of State bevestigde de diefstal van 60.000 e-mails in een Exchange Online-aanval.

Hieronder vindt u het volledige overzicht van de cyberaanvallen van de afgelopen week, inclusief gedetailleerde analyses en mogelijke oplossingen voor elk incident.

Week overzicht slachtoffers

Slachtoffers Belgie en Nederland

In samenwerking met StealthMol

Cyberaanvallen nieuws

Cyberaanval op Website Britse Koningshuis: Veiligheidsmaatregelen Opgeschroefd

Op zondag was de officiële website van het Britse koningshuis het doelwit van een cyberaanval, zo meldt Sky News. Gedurende een deel van de dag was de site niet toegankelijk voor het publiek. Bezoekers die de website royal.uk probeerden te bereiken, werden geconfronteerd met foutmeldingen en konden de homepage niet laden. Sinds de aanval zijn er extra beveiligingsmaatregelen ingevoerd. Mensen die nu de website bezoeken, moeten een reeks extra beveiligingschecks doorlopen voordat zij toegang krijgen tot de inhoud. De verantwoordelijkheid voor de aanval is nog niet officieel bevestigd. Een Russische hackergroep genaamd Killnet heeft de aanval opgeëist via hun Telegramkanaal, maar deze claim is niet geverifieerd. Volgens insiders bij Sky News hebben de aanvallers geen toegang gekregen tot de interne systemen of de inhoudvan de website. Het incident werpt vragen op over de cyberveiligheid van websites die zijn verbonden met hooggeplaatste individuen en instellingen. Het is van cruciaal belang voor dergelijke entiteiten om hun cyberbeveiligingsmaatregelen te evalueren en indien nodig aan te scherpen, vooral gezien de gevoelige aard van de informatie die ze kunnen bevatten. (bron)

LostTrust Ransomware - Vermoedelijke Rebrand van MetaEncryptor

De LostTrust ransomware-aanval lijkt een rebrand te zijn van MetaEncryptor, aangezien beide groepen bijna identieke datalek-sites en encryptors gebruiken. LostTrust kwam in maart 2023 op de radar en werd in september breder bekend toen het een datalek-site lanceerde. Op dit moment zijn er 53 slachtoffers wereldwijd geregistreerd op deze site. Het is onduidelijk of de aanvallen alleen gericht zijn op Windows-apparaten of ook op Linux-systemen. MetaEncryptor, de vermeende voorganger van LostTrust, was actief sinds augustus 2022 en had twaalf slachtoffers geregistreerd op hun datalek-site tot juli 2023. Cyberbeveiligingsonderzoeker Stefano Favarato merkte op dat LostTrust dezelfde template en bio gebruikt als MetaEncryptor. Bovendien zijn de encryptors van beide groepen bijna identiek, met slechts enkele kleine wijzigingen in losgeldnotities en bestandsextensies. Uit onderzoek blijkt verder dat zowel LostTrust als MetaEncryptor gebaseerd zijn op de SFile2 ransomware-encryptor, wat suggereert dat LostTrust waarschijnlijk een rebrand is van MetaEncryptor. LostTrust gebruikt een encryptor die verschillende Windows-diensten kan uitschakelen om bestandsencryptie mogelijk te maken. De encryptor voegt een '.losttrustencoded' extensie toe aan de gecodeerde bestanden. De losgeldnotitie introduceert de groep als voormalige "white hat" hackers die overstapten naar cybercriminaliteit wegens slechte betaling. LostTrust eist losgelden variërend van $100.000 tot miljoenen dollars en gebruikt een Tor-site voor onderhandelingen met de slachtoffers. Het is onbekend of betaling van het losgeld leidt tot het verwijderen van de data en een werkende decryptor. (bron, bron2, bron3)

Marvin Aanval: Herleving van 25 Jaar Oude RSA Decryptie Kwetsbaarheid

De zogenaamde Marvin Aanval heeft een 25 jaar oude decryptiefout in RSA weer onder de aandacht gebracht. De fout, oorspronkelijk ontdekt in 1998 en gekoppeld aan de PKCS #1 v1.5 padding in SSL-servers, werd geacht te zijn opgelost maar blijkt nog steeds invloed te hebben op diverse veelgebruikte projecten. Uitgebreid onderzoek door Red Hat-wetenschappers heeft aangetoond dat de Marvin Aanval in staat is om bestaande oplossingen en mitigerende maatregelen te omzeilen. De kwetsbaarheid maakt het voor aanvallers mogelijk om RSA-tekst te ontcijferen, handtekeningen te vervalsen en zelfs sessies die zijn opgenomen op een kwetsbare TLS-server te ontcijferen. Deze aanval kan binnen enkele uren worden uitgevoerd met standaard hardware, wat de praktische haalbaarheid ervan bewijst. Het probleem is niet beperkt tot RSA. Het strekt zich uit tot de meeste asymmetrische cryptografische algoritmen, waardoor ze vatbaar zijn voor zijdelingse aanvallen. Onder de kwetsbare implementaties bevinden zich bekende namen zoals OpenSSL, GnuTLS en NSS. Het unieke aan de Marvin Aanval is dat er geen universele oplossing of patch is, vanwege de variëteit en complexiteit van individuele implementaties. Experts raden daarom aan om RSA PKCS#1 v1.5-encryptie niet meer te gebruiken en in plaats daarvan te zoeken naar alternatieve achterwaartse compatibiliteitsopties. Ondanks het feit dat er nog geen bewijs is dat de Marvin Aanval in de praktijk is gebruikt door hackers, waarschuwt Red Hat dat het openbaar maken van de details het risico op toekomstige aanvallen vergroot. FIPS-certificering biedt geen garantie tegen de Marvin Aanval, met uitzondering van Level 4-certificering, die goede weerstand biedt tegen zijdelingse aanvallen. (bron, bron2)

Geraffineerde LinkedIn-aanval van Lazarus Groep Infecteert Spaans Luchtvaartbedrijf met Malware

Een Spaans luchtvaartbedrijf is onlangs het slachtoffer geworden van een geslaagde malware-aanval via LinkedIn. De aanval werd uitgevoerd door de Lazarus Groep, die bekend staat om zijn banden met Noord-Korea. Het unieke aan deze aanval was de modus operandi: de cybercriminelen deden zich voor als recruiters van Meta, het bedrijf achter Facebook. De zogenaamde 'recruiters' benaderden medewerkers van het luchtvaartbedrijf op LinkedIn en stelden hen programmeervragen als onderdeel van een sollicitatieproces. De medewerkers kregen bestanden genaamd Quiz1.exe en Quiz2.exe om te downloaden en uit te voeren, die in werkelijkheid malware bevatten. Beveiligingsbedrijf ESET heeft deze aanval onderzocht en benadrukt dat dergelijke tactieken nog steeds verrassend effectief zijn, ondanks een algemeen bewustzijn van dit soort aanvalsvectoren. Het succespercentage van deze aanvallen is niet gedaald, en daarom blijft het risico bestaan. Reacties op het artikel wijzen op het voortdurende gebrek aan bewustzijn onder eindgebruikers. Sommigen hebben een 'het zal mij niet overkomen'-mentaliteit, terwijl anderen pleiten voor meer waakzaamheid, vooral als het gaat om het ontvangen van onbekende bestanden via platforms als LinkedIn. Dit incident dient als een dringende herinnering aan organisaties om hun personeel beter op te leiden en striktere beveiligingsprotocollen te implementeren, zoals het beperken van het uitvoeren van niet-geverifieerde executables. Het laat ook zien dat cybercriminelen voortdurend nieuwe manieren vinden om hun doelen te bereiken, waarbij ze sociale engineering technieken gebruiken om vertrouwen te winnen en systemen te infiltreren. (bron)

Ironische Kwetsbaarheid: Cloudflare's DDoS-Bescherming Omzeild Met Eigen Diensten

Een recent onderzoek heeft aangetoond dat de Firewall en DDoS-beschermingsmechanismen van Cloudflare kunnen worden omzeild door gebruik te maken van enkele logische fouten in hun cross-tenant beveiligingscontroles. Onderzoeker Stefan Proksch van Certitude ontdekte dat de kwetsbaarheid te maken heeft met Cloudflare's strategie om gedeelde infrastructuur te gebruiken die verbindingen accepteert van alle huurders (tenants). Specifiek zijn er twee kwetsbaarheden geïdentificeerd die van invloed zijn op Cloudflare's "Authenticated Origin Pulls" en "Allowlist Cloudflare IP Addresses." De eerste zorgt ervoor dat HTTP(s)-verzoeken naar een oorspronkelijke server alleen via Cloudflare gaan. De aanvaller kan deze beveiligingsfunctie echter omzeilen door een gratis Cloudflare-account aan te maken en het verkeer via deze account te routeren. Het probleem is dat Cloudflare een gedeeld certificaat gebruikt voor alle klanten, in plaats van een tenant-specifiek certificaat. Dit maakt het mogelijk voor aanvallers om verkeer te routeren via Cloudflare's infrastructuur en zo de beschermingsmechanismen van het doelwit te omzeilen. De tweede kwetsbaarheid maakt gebruik van een vergelijkbare logische fout, waarbij het verkeer van de aanvaller als "vertrouwd" wordt gezien omdat het afkomstig is van Cloudflare's IP-bereik. Om deze zwakke plekken te mitigeren, raadt Proksch aan om een aangepast certificaat te gebruiken voor de "Authenticated Origin Pulls" en Cloudflare Aegis te gebruiken om een specifiek egress IP-adresbereik voor elke klant in te stellen. Het probleem werd in maart 2023 gemeld aan Cloudflare via het HackerOne-platform, maar werd afgesloten als "informatief." Er is nog geen reactie van Cloudflare over mogelijke aanvullende beschermingsmaatregelen. (bron)

Noord-Koreaanse Lazarus Groep breekt in bij Spaanse luchtvaartfirma met nieuwe LightlessCan Malware

De Noord-Koreaanse hacker groep, bekend als 'Lazarus,' heeft een cyberaanval uitgevoerd op een Spaans luchtvaartbedrijf met behulp van een tot nu toe onbekende malware, genaamd 'LightlessCan.' De aanval is onderdeel van hun voortdurende "Operation Dreamjob"-campagne, waarbij de hackers neppe banenaanbiedingen versturen via LinkedIn om binnen te dringen in het bedrijfsnetwerk van het doelwit. De aanval begon met een bericht op LinkedIn van een hacker die zich voordeed als een recruiter van Meta (Facebook), genaamd Steve Dawson. In latere stadia van het gesprek werd aan het slachtoffer gevraagd om hun vaardigheden in C++-programmering te bewijzen door het downloaden van quizzen, die als uitvoerbare bestanden in ISO-bestanden werden gedeeld. Eenmaal geopend, installeerde een aanvullende payload zich op de computer van het slachtoffer via DLL side-loading, waardoor het netwerk van het bedrijf werd gecompromitteerd.Het beveiligingsbedrijf ESET heeft het incident onderzocht en kon de aanval reconstrueren. LightlessCan bleek een geavanceerde versie te zijn van een eerdere Lazarus-malware, BlindingCan. De malware kan vele native Windows-commando's repliceren voor een betere heimelijkheid en heeft ook functies die specifiek gericht zijn op het versleutelen van de payload afhankelijk van de omgeving van het doelwit. Dit laatste maakt het moeilijker voor beveiligingsonderzoekers om de malware te analyseren.Deze aanval toont aan dat Lazarus zich niet alleen richt op financiële doelen zoals het stelen van cryptocurrency, maar ook op spionageactiviteiten. De introductie van de nieuwe, geavanceerde LightlessCan-malware is een zorgwekkende ontwikkeling voor organisaties die mogelijk het doelwit kunnen zijn van deze Noord-Koreaanse dreigingsgroep.  (bron)

Bevestigd door Department of State: Diefstal van 60.000 E-mails in Exchange Online-Aanval

In een recente cyberaanval op Exchange Online, die mogelijk werd gemaakt door een gestolen ondertekeningscode bij Microsoft, zijn maar liefst zestigduizend e-mails van het Amerikaanse ministerie van Buitenlandse Zaken buitgemaakt. Dit schokkende nieuws werd bevestigd door een woordvoerder van de Amerikaanse regering. De aanval vond plaats in juli, waarbij Microsoft rapporteerde dat de aanvallers toegang hadden gekregen tot e-mailaccounts van ongeveer 25 organisaties, waaronder overheden in West-Europa en de Verenigde Staten, evenals een niet nader genoemd aantal individuele eindgebruikers. Deze slachtoffers maakten gebruik van Outlook.com en Outlook Web Access (OWA) in Exchange Online voor hun e-mailcommunicatie. De aanvallers gebruikten vervalste tokens, gemaakt met behulp van een Microsoft-account (MSA) consumentenondertekeningssleutel, om toegang te krijgen tot de accounts van klanten. Recente berichten van persbureau Reuters suggereerden dat tienduizenden e-mails van het ministerie van Buitenlandse Zaken waren bemachtigd. De woordvoerder van het ministerie heeft dit bevestigd en verduidelijkt dat het om ongeclassificeerde e-mails gaat. Het ministerie ontkent echter dat geclassificeerde systemen zijn gecompromitteerd en betwist de bewering van Microsoft dat China achter de aanval zit. Deze aanval wierp ook licht op een eerdere gebeurtenis waarbij in april 2021 een crash in een geïsoleerd productienetwerk plaatsvond. De crashdump bevatte de ondertekeningscode en werd verplaatst van het geïsoleerde netwerk naar de debuggingomgeving op het met internet verbonden bedrijfsnetwerk van Microsoft. De aanvallers slaagden erin het bedrijfsaccount van een Microsoft-engineer te compromitteren, wat toegang gaf tot de debuggingomgeving waar de crashdump met de code werd bewaard. Microsoft heeft geen bewijs van diefstal door de aanvaller, maar beschouwt dit als de meest plausibele verklaring voor de diefstal van de code. Deze aanval benadrukt opnieuw de ernstige dreiging van cybercriminaliteit en het belang van beveiligingsmaatregelen op alle niveaus, vooral bij organisaties met gevoelige gegevens in de cloud. (bron)

Massale Cyberaanvallen Plaatsen Australische Cyberbeveiliging in de Schijnwerpers

Sinds september 2022 is Australië getroffen door een golf van cyberaanvallen die het land op zijn grondvesten heeft doen schudden. Deze incidenten hebben duidelijk gemaakt dat de Australische cyberbeveiligingsindustrie ontoereikend is uitgerust om de complexiteit en omvang van deze dreigingen het hoofd te bieden. Een verscheidenheid aan sectoren is geraakt. Zo kreeg Optus, de op één na grootste mobiele operator, te maken met een datalek waarbij 10 miljoen klanten werden getroffen. Gegevens zoals huisadressen en paspoortnummers kwamen op straat te liggen. Woolworths, de grootste kruidenier van het land, rapporteerde een inbreuk die 2,2 miljoen klanten trof. In de defensiesector werd een communicatieplatform gebruikt door militair personeel aangevallen met ransomware, al werden hierbij geen gegevens gecompromitteerd. Gezondheidszorg en financiële instellingen zijn ook niet gespaard gebleven. Medibank, een grote zorgverzekeraar, rapporteerde een aanzienlijk datalek, en Commonwealth Bank of Australia's Indonesische afdeling werd getroffen door onbevoegde toegang tot hun projectbeheersoftware. De aanvallen zijn divers: van datalekken en ransomware tot ongeautoriseerde toegang en kwaadaardige codes. Hierbij zijn miljoenen klantgegevens en gevoelige informatie gecompromitteerd. Bedrijven zoals Latitude en TechnologyOne hebben besloten geen losgeld te betalen, uit principe en uit onzekerheid over de effectiviteit van zo'n betaling. Deze reeks incidenten toont de kwetsbaarheid van de Australische cyberbeveiligingsinfrastructuur en benadrukt de noodzaak voor verbeterde beveiligingsmaatregelen, zowel op het niveau van individuele bedrijven als op nationaal niveau. (bron)

Cyberaanval treft cryptocasino Stake: verlies van bijna €40 Miljoen

Op maandagavond werd Stake, een vooraanstaand cryptogokplatform, het slachtoffer van een verwoestende cyberinbraak. Hackers slaagden erin om maar liefst €38 miljoen aan cryptovaluta uit de wallets van het platform te stelen. Opvallend was dat de ontvangende accounts tot dat moment inactief waren. Het toonaangevende blockchain-beveiligingsbureau PeckShield identificeerde de betrokken accounts als de "Stake Hacker." De digitale overval begon om 12:48 uur met een overdracht van ongeveer €3,6 miljoen aan Tether, gevolgd door €9,1 miljoen in Ether. Daarna werden ook aanzienlijke bedragen van USDC, DAI en Stake Classic snel overgemaakt. Initiële rapporten suggereerden dat de schade voor Stake beperkt was tot €14,8 miljoen, maar verder onderzoek onthulde dat de hackers ook andere blockchain-netwerken hadden getroffen, met verliezen van €7,2 miljoen op het Polygon-netwerk en €16,5 miljoen op het Binance-netwerk. Het totale verlies voor Stake bedroeg meer dan €38 miljoen. Gelukkig bleven gebruikersfondsen onaangetast, aangezien de aanval zich richtte op de 'hot wallets' van het platform, die voornamelijk voor actieve transacties worden gebruikt. Het belang van robuuste beveiliging in de wereld van digitale valuta wordt hiermee opnieuw benadrukt. Stake is een online casino met licenties in verschillende landen en een uitbreiding via hun .com-domein. Ze hebben echter geen licentie van de Nederlandse Kansspelautoriteit en sommige van hun domeinen staan op zwarte lijsten in verschillende landen. Deze gebeurtenis onderstreept het cruciale belang van solide beveiligingsmaatregelen in de snel evoluerende cryptowereld. Cybercriminelen blijven innovatief en het is aan platforms zoals Stake om zich adequaat te beschermen tegen dergelijke aanvallen. Gebruikers moeten er ook voor zorgen dat ze hun crypto-activa op een veilige manier beheren om hun tegoeden te beschermen tegen dergelijke bedreigingen. (bron)

Cybercriminelen Exploiteren Bing Chat met Malafide Advertenties en Malware

Malafide advertenties zijn nu geïnjecteerd in de door Microsoft aangedreven Bing Chat-reacties, waarbij nep-downloadsites worden gepromoot die malware verspreiden. Bing Chat, aangedreven door OpenAI's GPT-4-engine, werd in februari 2023 geïntroduceerd door Microsoft om de dominantie van Google in de zoekindustrie uit te dagen. Door gebruikers een interactieve chat-gebaseerde ervaring te bieden in plaats van de traditionele zoekopdracht- en resultatenindeling, wilde Bing Chat online zoekopdrachten intuïtiever en gebruiksvriendelijker maken. In maart begon Microsoft advertenties in Bing Chat-gesprekken te injecteren om inkomsten te genereren via dit nieuwe platform. Het incorporeren van advertenties in Bing Chat heeft echter de deur geopend voor bedreigingsactoren, die steeds vaker zoekadvertenties plaatsen om malware te verspreiden. Bovendien kan het converseren met op AI gebaseerde chattools ongerechtvaardigd vertrouwen opwekken, waardoor gebruikers worden overgehaald om op advertenties te klikken, wat niet het geval is bij het snel doorzoeken van onpersoonlijke zoekresultaten. Deze conversatie-achtige interactie kan AI-geleverde URL's een verkeerd gevoel van autoriteit en betrouwbaarheid geven, waardoor het bestaande probleem van malafide advertenties op zoekplatforms wordt verergerd door de introductie van AI-assistenten. Het feit dat deze advertenties worden aangeduid als gepromote resultaten wanneer de gebruiker over een link zweeft in Bing Chat-gesprekken, is waarschijnlijk te zwak om het risico te verminderen. Kwaadwillige advertenties, ontdekt door Malwarebytes, doen zich voor als downloadsites voor de populaire 'Advanced IP Scanner'-tool, die eerder is gebruikt door RomCom RAT- en Somnia-ransomware-operators. Wanneer u Bing Chat vraagt hoe u Advanced IP Scanner kunt downloaden, wordt er een link weergegeven om deze te downloaden in de chat. Echter, wanneer u over een onderstreepte link in een chat zweeft, kan Bing Chat eerst een advertentie weergeven, gevolgd door delegitieme downloadlink. In dit geval was de gesponsorde link een malafide advertentie die malware verspreidt. Het risicovolle URL dat in een Bing Chat-gesprek wordt geserveerd, toont de groeiende dreiging van cyberaanvallen en benadrukt hoe belangrijk het is dat gebruikers voorzichtig zijn met chatbot-resultaten en altijd URL's dubbel controleren voordat ze iets downloaden. (bron)

FBI Waarschuwt: Slachtoffers van dubbele ransomware-aanvallen nu binnen 48 uur getroffen

Het Federal Bureau of Investigation (FBI) heeft recent gewaarschuwd voor een nieuwe trend in ransomware-aanvallen, waarbij meerdere soorten ransomware binnen 48 uur op de netwerken van slachtoffers worden ingezet om systemen te versleutelen. Deze waarschuwing komt in de vorm van een Private Industry Notification op basis van trends die zijn waargenomen sinds juli 2023. De FBI legt uit dat ransomware-affiliates en -operators twee verschillende varianten gebruiken bij het aanvallen van organisaties. De gebruikte varianten in deze dubbele ransomware-aanvallen zijn onder andere AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum en Royal. Deze nieuwe aanpak van dubbele ransomware-varianten heeft geleid tot een combinatie van gegevensversleuteling, datadiefstal en financiële verliezen door losgeldbetalingen. Dit brengt aanzienlijke schade toe aan de getroffen organisaties. Wat opvalt, is dat deze aanvallen veel sneller plaatsvinden dan voorheen. Terwijl ransomwaregroepen eerder minimaal 10 dagen nodig hadden om dergelijke aanvallen uit te voeren, gebeurt het nu meestal binnen 48 uur na elkaar. Het is belangrijk op te merken dat sommige dreigingsactoren bewust twee verschillende varianten tegelijk gebruiken. Dit vergroot de impact en complexiteit van de aanvallen. Bedrijven moeten zich bewust zijn van deze nieuwe ontwikkeling en hun beveiligingsmaatregelen aanpassen. De FBI adviseert organisaties om nauwe contacten te onderhouden met FBI-kantoren in hun regio en maatregelen te nemen om de kwetsbaarheden te identificeren en de potentiële dreigingsactiviteiten te beperken. Het up-to-date houden van systemen, het beperken van toegang tot externe bronnen en het uitvoeren van uitgebreide scans en audits zijn enkele van de aanbevolen praktijken om ransomware-aanvallen te voorkomen. Deze nieuwe trend benadrukt de voortdurende evolutie van ransomware-aanvallen en onderstreept het belang van een proactieve benadering van cyberbeveiliging. Organisaties moeten zich voortdurend aanpassen aan de veranderende tactieken van cybercriminelen om hun gegevens en systemen te beschermen tegen ransomware.

IT-Storing legt Volkswagen-productie lam: Een wake-up call voor digitale veiligheid in de industrie

Op woensdag 28 september 2023 werd het VW-concern getroffen door een omvangrijke IT-storing die de productie bijna volledig stillegde. Pas op donderdagavond kon het probleem worden opgelost en de productie worden hervat. De precieze financiële impact is nog niet bekend, maar experts verwachten dat de schade beperkt zal blijven vanwege de korte duur van de storing. Politici en industrie-experts roepen nu op tot meer veiligheid in de digitale wereld, aangezien IT-storingen snel kunnen escaleren tot driecijferige miljoenenschade. Wie uiteindelijk de kosten zal dragen, is een vraag die nu door technici, juristen en verzekeraars wordt onderzocht. "Onderbreking van de bedrijfsvoering" is volgens de risicobarometer van industriële verzekeraar Allianz Corporate een van de meest gevreesde risico's, na aanvallen door hackers. Grote bedrijven zoals VW zijn vaak verzekerd door consortia vanwege de omvang van mogelijke schade. Wat betreft de oorzaken van de storing, heeft VW geen details vrijgegeven. Er zijn tot nu toe geen aanwijzingen voor een externe cyberaanval. Desalniettemin waarschuwen experts dat de mogelijkheid van een cyberaanval nooit volledig kan worden uitgesloten. Deze storing legt de kwetsbaarheden bloot van sterk genetwerkte en gecentraliseerde productiesystemen. Eén storing kan een domino-effect veroorzaken dat een heel bedrijf kan platleggen. Ondanks deze risico's is terugtrekken uit netwerkvorming geen optie; centrale computertechnologie is essentieel voor efficiënte wereldwijde productie. Minister van Verkeer Volker Wissing riep op tot betere netwerkbeveiliging, aangezien digitale infrastructuren als kritieke infrastructuren moeten worden beschouwd. Het incident bij VW dient als een wake-up call voor bedrijven om hun digitale beveiliging te versterken, niet alleen intern maar ook in hun netwerk van leveranciers en retailers. (bron)

Grootschalige Cyberaanval Treft Russisch Vliegtuigreserveringssysteem Leonardo

Op 28 september 2023 heeft het Russische staatsbedrijf Rostec bekendgemaakt dat zijn vliegtuigreserveringssysteem Leonardo het slachtoffer is geworden van een grootschalige cyberaanval. Het systeem, dat verantwoordelijk is voor het boeken van vluchten, ligt onder vuur van hackers. De aard en omvang van de schade zijn op dit moment nog niet volledig bekend, maar het bedrijf werkt intensief aan maatregelen om de aanval af te weren en het systeem te stabiliseren. Rostec heeft in een officiële verklaring laten weten dat het actief werkt aan het neutraliseren van de aanval en verwacht dat het systeem in de nabije toekomst weer normaal zal functioneren. Het nieuws over deze cyberaanval werd verspreid door Reuters en gepubliceerd op het financiële nieuwsplatform MarketScreener. Deze aanval op Leonardo heeft potentieel verstrekkende gevolgen, niet alleen voor de luchtvaartindustrie maar ook voor de economische en nationale veiligheid van Rusland. De identiteit van de aanvallers is tot dusver onbekend, en het is onduidelijk of dit een geïsoleerde aanval is of onderdeel van een gecoördineerde campagne tegen Russische staatsbedrijven of kritieke infrastructuur. Het is van cruciaal belang dat het bedrijf en de betrokken autoriteiten alle nodige stappen ondernemen om de integriteit en functionaliteit van het systeem te herstellen en toekomstige aanvallen te voorkomen. "We werken eraan om de aanval af te slaan. In de nabije toekomst zal het systeem weer normaal werken," zei Rostec in een verklaring. (bron)

Budworm Hackers Richten Zich op Telecombedrijven en Overheidsinstanties met Aangepaste Malware

Het Chinese cyber-espionage hackingteam Budworm is onlangs in het nieuws gekomen voor het richten op een telecombedrijf in het Midden-Oosten en een overheidsentiteit in Azië. Ze gebruiken een nieuwe variant van hun aangepaste 'SysUpdate' achterdeur. Deze malware is een Remote Access Trojan (RAT), die sinds 2020 aan Budworm is gekoppeld en meerdere functionaliteiten ondersteunt, waaronder bestandsbeheer, commando-uitvoering en dataretrieval. In maart 2023 rapporteerde Trend Micro over een Linux-variant van SysUpdate, die sinds oktober 2022 breed verspreid was. De meest recente variant van deze malware is ontdekt door Symantec's Threat Hunter-team in een campagne die plaatsvond in augustus 2023. De malware maakt gebruik van DLL sideloading en 'INISafeWebSSO.exe' om onopgemerkt te blijven en ontwijkt zo detectie door beveiligingshulpmiddelen. Publiek beschikbare tools zoals AdFind, Curl, SecretsDump en PasswordDumper worden ook gebruikt in de recente aanvallen van Budworm. Deze tools ondersteunen de aanvallers bij het dumpen van inloggegevens, netwerktoewijzing, laterale beweging binnen een netwerk en datadiefstal. Telecombedrijven zijn een steeds populairder doelwit geworden voor door de staat gesponsorde en APT-hackgroepen. Eerder werd melding gemaakt van andere hackgroepen die telecombedrijven hebben geschonden om aangepaste malware zoals HTTPSnoop en LuaDream te installeren, wat achterdeurtoegang tot de netwerken biedt. Budworm is al actief sinds 2013 en heeft zich eerder gericht op overheid, technologie, defensie en andere belangrijke sectoren. Ze hebben ook experimenten uitgevoerd met het misbruiken van Windows BitLocker om de ware bedoelingen van hun spionageactiviteiten te verbergen. (bron)

Datalekbedrijf DarkBeam compromitteert miljarden records van slachtoffers

DarkBeam, een bedrijf gespecialiseerd in het monitoren van datalekken op het internet en het darkweb, heeft ironisch genoeg zelf een groot datalek veroorzaakt. Beveiligingsonderzoeker Bob Diachenko ontdekte dat het bedrijf miljarden records met wachtwoorden en e-mailadressen van slachtoffers van zowel bekende als onbekende datalekken heeft gelekt. DarkBeam bood deze diensten aan bedrijven aan als onderdeel van hun 'digital risk protection platform' en waarschuwde hen bij eventuele betrokkenheid bij datalekken. Het lek is ontstaan door onvoldoende beveiligingsmaatregelen. DarkBeam had hun Elasticsearch- en Kibana-instances, twee tools gebruikt voor data-analyse en visualisatie, niet adequaat beveiligd. Hierdoor konden deze instances zonder inloggegevens worden benaderd. Diachenko vond in totaal 3,8 miljard records met e-mailadressen en wachtwoorden. Volgens CyberNews, waarmee Diachenko zijn bevindingen deelde, vormt deze omvangrijke en georganiseerde dataverzameling een aanzienlijk risico voor de personen van wie de gegevens zijn gelekt. Hoewel veel van de data afkomstig is van bekende bronnen, maakt de compilatie de gelekte informatie extra riskant. Het incident roept vragen op over de betrouwbaarheid en competentie van beveiligingsbedrijven die zelf niet in staat zijn hun eigen systemen te beschermen. DarkBeam had volgens de AVG de verplichting om de betrokkenen te informeren over de opslag en verwerking van hun gegevens, wat het lek extra pijnlijk maakt. De installaties zijn inmiddels weer beveiligd, maar het vertrouwen is geschaad. (bron)

Chinese Hackers Stelen Tienduizenden E-mails van Amerikaanse Ministerie van Buitenlandse Zaken via Microsoft-lek

Chinese hackers hebben dit jaar een grootschalige cyberaanval uitgevoerd op het e-mailplatform van Microsoft, waarbij tienduizenden e-mails van het Amerikaanse Ministerie van Buitenlandse Zaken zijn buitgemaakt, volgens een medewerker van de Amerikaanse Senaat. De informatie kwam naar buiten tijdens een briefing door IT-functionarissen van het ministerie, die aangaven dat in totaal 60.000 e-mails van 10 verschillende accounts waren gestolen. Interessant is dat negen van deze accounts voornamelijk gericht waren op Oost-Azië en de Stille Oceaan, terwijl één zich richtte op Europa. De Amerikaanse regering en Microsoft hadden eerder in juli aangekondigd dat Chinese staat-gekoppelde hackers sinds mei e-mailaccounts hadden gecompromitteerd van ongeveer 25 organisaties, waaronder de Amerikaanse ministeries van Handel en Buitenlandse Zaken. De omvang van de schade is echter nog niet volledig bekend. Deze beschuldigingen hebben de toch al gespannen relatie tussen de VS en China verder onder druk gezet, met name omdat Beijing de aantijgingen heeft ontkend. De aanval heeft geleid tot hernieuwde aandacht voor de belangrijke rol van Microsoft in het leveren van IT-diensten aan de Amerikaanse overheid. Als reactie heeft het Ministerie van Buitenlandse Zaken aangekondigd over te stappen naar 'hybride' omgevingen met meerdere leveranciers en een verbeterde toepassing van multi-factor authenticatie. De oorsprong van het lek ligt volgens de briefing bij een gecompromitteerd apparaat van een Microsoft-ingenieur, wat de hackers toegang gaf tot de e-mailaccounts van het ministerie. Dit incident toont aan hoe belangrijk het is om cyberdefensies te versterken, met name als het gaat om de afhankelijkheid van één leverancier, zoals Microsoft. Het bedrijf zelf heeft aangegeven dat de hackinggroep achter de aanval, bekend als Storm-0558, inbrak op webmailaccounts die draaiden op Microsoft's Outlook-service. (bron)

Grootschalige Aanval via Malafide npm en PyPI Pakketten Steelt Gevoelige Ontwikkelaarsdata

Sinds 12 september 2023 is er een golf van malafide npm en PyPI pakketten actief die zich richt op het stelen van gevoelige informatie van softwareontwikkelaars. De aanvalscampagne werd voor het eerst ontdekt door Sonatype, die in totaal 14 kwaadaardige pakketten op npm vond. Phylum meldt dat na een korte pauze op 16 en 17 september de aanval weer is hervat en nu ook het PyPI-ecosysteem omvat. In totaal zijn er 45 malafide pakketten geüpload: 40 op npm en 5 op PyPI. De aanvallers hebben verschillende methoden gebruikt om ontwikkelaars te misleiden, zoals 'typosquatting' waarbij de namen van legitieme, populaire pakketten worden nagebootst. Onder de kwaadaardige pakketten zijn bijvoorbeeld vervalsingen van populaire React-bibliotheken en ESLint-plugins. De aanval heeft zeven duidelijke golven gekend, met telkens nieuwe sets van pakketten en verfijningen in de aanvalstechnieken. Aanvankelijk bevatten de pakketten hardgecodeerde dataverzamelings- en exfiltratieroutines, maar latere versies introduceerden complexere mechanismen zoals het ophalen en uitvoeren van bash-scripts van een externe domein. De gestolen informatie omvat onder meer hostnamen, gebruikersnamen, besturingssysteemversies, IP-adressen en zelfs SSH-private sleutels. Deze sleutels bieden ongeautoriseerde toegang tot systemen, servers of infrastructuren. Als de aanvallers ook toegang krijgen tot Kubernetes-configuraties, kunnen ze zelfs deployments wijzigen, malafide containers toevoegen en ransomware-aanvallen lanceren.

Gebruikers van PyPI en npm wordt aangeraden voorzichtig te zijn met het downloaden en installeren van pakketten om het risico op malware-infectie te minimaliseren. (bron, bron2)

Valse Bitwarden Websites Verspreiden Nieuwe ZenRAT Malware

Cybersecurity-onderzoekers waarschuwen voor valse websites die zich voordoen als legitieme sites van Bitwarden, de open-source wachtwoordbeheerder. Deze nepwebsites verspreiden een nieuwe soort malware genaamd ZenRAT, gericht op Windows-gebruikers. De malware is ontworpen om browsergegevens en inloggegevens te verzamelen en gedetailleerde informatie over het geïnfecteerde systeem te verstrekken. ZenRAT werd ontdekt door cybersecuritybedrijf Proofpoint, na het ontvangen van een malwaremonster van Jérôme Segura, Senior Director of Threat Intelligence bij Malwarebytes. De malware wordt gedistribueerd via websites die sprekend lijken op de legitieme Bitwarden-website en gebruik maken van typosquatting om gebruikers te misleiden. Zo werd er een domeinnaam gebruikt die bijna identiek is aan het originele, namelijk bitwariden[.]com. Interessant is dat de valse Bitwarden-installatiepakketten alleen aan Windows-gebruikers worden aangeboden; Linux- of Mac-gebruikers worden omgeleid naar de officiële downloadpagina van Bitwarden. De malware wordt gehost op een andere valse URL, crazygameis[.]com, die zich voordoet als de legitieme browsergameplatform CrazyGames. Eenmaal actief op een Windows-systeem verzamelt ZenRAT verschillende soorten informatie, waaronder de naam van de CPU, het type GPU, de OS-versie, geïnstalleerde RAM, IP-adres en meer. Deze informatie wordt vervolgens naar een Command & Control-server gestuurd in een ZIP-archief, samen met verzamelde data en inloggegevens uit de webbrowser. Voordat de malware begint met het communiceren met de C2-server, controleert deze of het systeem zich in een van de zes beperkte regio's bevindt en of het wordt uitgevoerd op een virtuele machine. Hoewel ZenRAT primair functioneert als een informatie-stealer, heeft Proofpoint aanwijzingen gevonden dat de malware modulair is ontworpen, wat betekent dat de mogelijkheden in de toekomst kunnen worden uitgebreid. (bron, bron2)

Verdachte Chinese Hackers Gebruiken Zero-Day Kwetsbaarheid in Fortinet voor Cyberaanvallen

Een vermoedelijke Chinese hackersgroep wordt in verband gebracht met een reeks gerichte aanvallen op overheidsorganisaties. Deze aanvallen maken gebruik van een zero-day kwetsbaarheid in Fortinet's FortiGate firewalls (CVE-2022-41328) om malware te implementeren. De kwetsbaarheid stelt aanvallers in staat om ongeautoriseerde code uit te voeren op niet-gepatchte FortiGate apparaten, waardoor malware kan worden geïnstalleerd. Uit nadere analyse is gebleken dat de malware kan worden gebruikt voor cyber-spionage activiteiten, zoals het exfiltreren van data en het openen van remote shells. Een van de incidenten kwam aan het licht toen de FortiGate-apparaten van een klant werden uitgeschakeld door firmware-integriteitsfouten. Dit leidde ertoe dat Fortinet vermoedde dat de aanval afkomstig was van een FortiManager-apparaat. De aanvallen zijn volgens Fortinet zeer gericht en laten geavanceerde mogelijkheden zien, waaronder het reverse-engineeren van het besturingssysteem van FortiGate-apparaten. Mandiant, een cybersecuritybedrijf, heeft het incident gezamenlijk onderzocht met Fortinet en ontdekte dat na het compromitteren van de Fortinet-apparaten, de groep, die zij als UNC3886 volgen, twee nieuwe typen malware gebruikte voor langdurige toegang tot de netwerken van slachtoffers. De aanvallers wisten ook toegang te krijgen tot ESXi- en vCenter-machines en installeerden daarop aanvullende backdoors. Het rapport van Mandiant suggereert dat dergelijke technieken in de toekomst vaker gebruikt zullen worden voor cyber-espionage, gezien deze apparaten vaak direct vanaf het internet toegankelijk zijn. Hierdoor kunnen aanvallers gemakkelijker onopgemerkt blijven. (bron, bron2)

Grote speler in gebouwautomatisering Johnson Controls getroffen door grootschalige ransomware-aanval

Johnson Controls International, een multinational gespecialiseerd in industriële controle systemen en beveiligingsapparatuur, heeft een grootschalige ransomware-aanval ondergaan die een ernstige impact heeft op de bedrijfsvoering en die van haar dochterondernemingen. Het bedrijf, dat wereldwijd ongeveer 100.000 mensen in dienst heeft, werd oorspronkelijk geïnfiltreerd via haar kantoren in Azië. Het incident heeft geleid tot het gedeeltelijk stilleggen van hun IT-systemen en heeft ook de online diensten van dochterondernemingen zoals York, Simplex en Ruskin verstoord. Het nieuws over de aanval werd voor het eerst gemeld door BleepingComputer. De ransomware is afkomstig van de Dark Angels-groep, een cybercriminele organisatie die sinds mei 2022 actief is. Volgens een tweet van dreigingsonderzoeker Gameel Ali bevatte de ransomware een losgeldbriefje waarin $51 miljoen werd geëist voor een decryptor en de belofte om de gestolen data te verwijderen. De aanvallers beweren meer dan 27 terabyte aan bedrijfsdata te hebben gestolen en hebben de VMware ESXi virtuele machines van het bedrijf versleuteld. Johnson Controls heeft na publicatie van het nieuws de cyberbeveiligingsincident bevestigd in een Form 8-K indiening bij de Amerikaanse Securities and Exchange Commission (SEC). Het bedrijf heeft externe cyberbeveiligingsexperts ingeschakeld voor het onderzoek en is bezig met het implementeren van maatregelen om de schade te beperken. Het incident heeft niet alleen geleid tot operationele verstoringen, maar het bedrijf beoordeelt ook de mogelijke impact op de tijdige publicatie van haar kwartaal- en jaarcijfers. (bron)

VS en Japan waarschuwen voor Chinese 'BlackTech' hackers die Cisco-routers manipuleren

In een gezamenlijke cyberbeveiligingsadvies waarschuwen de FBI, NSA, CISA en de Japanse NISC en NPA voor Chinese hackers die bekendstaan als 'BlackTech'. Deze door de staat gesponsorde groep valt netwerkapparaten aan om aangepaste achterdeuren te installeren, met als doel toegang te krijgen tot bedrijfsnetwerken in de VS en Japan. BlackTech richt zich al sinds 2010 op verschillende sectoren zoals overheid, industrie, technologie, media, telecommunicatie en defensie in Japan, Taiwan en Hongkong. De hackers gebruiken aangepaste malware die regelmatig wordt bijgewerkt. Dit wordt gebruikt voor persistentie, initiële netwerktoegang en datadiefstal door het verkeer om te leiden naar servers die onder controle staan van de aanvallers. De malware wordt soms ondertekend met gestolen code-signing certificaten, wat detectie door beveiligingssoftware bemoeilijkt. Met behulp van gestolen beheerdersgegevens compromitteren de aanvallers een breed scala aan routermerken en -modellen. Specifiek maken zij firmwarewijzigingen om hun activiteiten te verbergen. Ze richten zich ook op 'branch routers' bij internationale dochterondernemingen om zo toegang te krijgen tot het netwerk van het hoofdkantoor van een bedrijf. Ze gebruiken deze gecompromitteerde routers om verkeer te proxyen, zich te mengen in bedrijfsnetwerkverkeer en om lateraal in het netwerk te bewegen. Voor Cisco-routers in het bijzonder hebben onderzoekers waargenomen dat de aanvallers een SSH-achterdeur inschakelen en uitschakelen met behulp van speciaal vervaardigde TCP- of UDP-pakketten. Het advies aan systeembeheerders is om scherp te zijn op ongeautoriseerde downloads van bootloader- en firmwarebeelden en ongebruikelijke apparaat-herstarts. Mitigatiepraktijken zoals het updaten van verouderde apparatuur, het veranderen van alle wachtwoorden en sleutels bij vermoedens van een inbreuk, en het nauwkeurig controleren van logs worden sterk aanbevolen. (bron, bron2)

GPU.zip Aanval Bedreigt Moderne Grafische Kaarten met Gegevenslekken

Onderzoekers van vier Amerikaanse universiteiten hebben een nieuwe side-channel aanval ontwikkeld genaamd "GPU.zip", die gevoelige visuele gegevens kan lekken van moderne grafische kaarten (GPUs) bij het bezoeken van webpagina's. Deze aanval maakt gebruik van datacompressie om deze gegevens te lekken en is gedemonstreerd via cross-origin SVG filter pixel-stealing aanvallen in de Chrome-browser. Hoewel de kwetsbaarheid al in maart 2023 werd gerapporteerd aan de betrokken GPU-fabrikanten, waaronder AMD, Apple, Arm, NVIDIA en Qualcomm, alsook aan Google (Chrome), zijn er tot nu toe geen patches uitgebracht om het probleem aan te pakken. De nieuwe kwetsbaarheid is uitvoerig beschreven in een academische paper en zal worden gepresenteerd op de 45e IEEE Symposium on Security and Privacy. De aanval is mogelijk omdat moderne GPUs software-zichtbare datacompressie uitvoeren, zelfs als dit niet expliciet is gevraagd, als onderdeel van een optimalisatiestrategie. Deze compressie is vaak niet gedocumenteerd en specifiek voor elke fabrikant. Onderzoekers hebben een manier gevonden om dit te misbruiken en visuele gegevens van GPUs te lekken. Een proof-of-concept aanval heeft aangetoond dat het mogelijk is om binnen 30 minuten op Ryzen en binnen 215 minuten op Intel GPUs een gebruikersnaam te stelen met een nauwkeurigheid van respectievelijk 97% en 98,3%. Websites die het inbedden van cross-origin iframes weigeren, zijn niet kwetsbaar voor deze of vergelijkbare aanvallen. Firefox en Safari zijn ook minder vatbaar voor de GPU.zip-aanval, omdat ze niet voldoen aan alle benodigde criteria. Deze nieuwe kwetsbaarheid vormt een risico voor een groot aantal apparaten wereldwijd, hoewel de onmiddellijke impact op gebruikers wordt gematigd door de complexiteit en tijd die nodig zijn om de aanval uit te voeren. (bron, bron2)

Misbruik van GitHub Accounts via Vervalste Dependabot Bijdragen

In juli 2023 ontdekten onderzoekers een gecoördineerde cyberaanval gericht op GitHub repositories. De aanvallers maakten misbruik van vervalste bijdragen die zich voordeden als Dependabot, een automatiseringstool van GitHub die projecten scant op kwetsbare afhankelijkheden. Deze vervalste bijdragen waren ontworpen om inloggegevens en andere gevoelige informatie te stelen van ontwikkelaars. De aanval werd mogelijk gemaakt door het verkrijgen van persoonlijke GitHub-toegangstokens van doelwitten. Checkmarx, het cybersecuritybedrijf dat de aanval rapporteerde, kon niet verklaren hoe deze tokens werden verkregen. Met behulp van deze tokens en geautomatiseerde scripts creëerden de aanvallers valse 'commit'-berichten in zowel publieke als private repositories. De ingevoegde kwaadaardige code voerde twee specifieke acties uit: het extraheren van geheimen uit het getroffen GitHub-project en het doorsturen daarvan naar een commando- en controleserver, en het wijzigen van bestaande JavaScript-bestanden om wachtwoorden te stelen van webformulierinzendingen. Checkmarx analyseerde logbestanden van enkele slachtoffers en ontdekte dat hun accounts werden gecompromitteerd door gestolen persoonlijke toegangstokens (PATs). Deze tokens zijn lokaal opgeslagen op de computers van de ontwikkelaars en kunnen worden gebruikt om in te loggen zonder tweefactorauthenticatie. Een bijkomend risico is dat de toegangslogboeken van deze tokens niet zichtbaar zijn in de account-auditlog, waardoor het moeilijk is om een compromis vast te stellen. Als verdedigingsmaatregel suggereert Checkmarx het gebruik van GitHub's fijnmazige persoonlijke toegangstokens, die elk gebruik beperken tot specifieke machtigingen, waardoor de risico's bij een compromis verminderen. (bron, bron2)

Cisco Waarschuwt: Zwakke en Gestolen Adminwachtwoorden Faciliteren Router-Aanvallen

Cisco, de toonaangevende fabrikant van netwerkapparatuur, heeft onlangs verklaard dat aanvallen op hun routers voornamelijk mogelijk zijn door het gebruik van zwakke en gestolen administratieve wachtwoorden. De aanvallers vervangen de legitieme firmware van de routers met een malafide versie. Hierdoor kunnen ze hun activiteiten verbergen en blijven ze toegang houden tot het netwerk. Volgens Cisco richten deze aanvallen zich vooral op verouderde apparatuur en zijn de voornaamste slachtoffers te vinden in de Verenigde Staten en Japan. Het bedrijf benadrukt dat er geen aanwijzingen zijn dat er misbruik wordt gemaakt van kwetsbaarheden in de routers. In plaats daarvan krijgen de aanvallers toegang tot de routers door gebruik te maken van gecompromitteerde adminwachtwoorden. Met deze toegang kunnen ze diverse configuratie- en software-aanpassingen uitvoeren op beheerdersniveau. Hierbij gaat het ook om het uitschakelen van logging en het downloaden van de malafide firmware. Deze waarschuwing is in lijn met eerdere berichten van de Amerikaanse geheime dienst NSA, de FBI, het Cybersecurity and Infrastructure Security Agency en de Japanse politie. Zij waarschuwen voor de aanvallen van een groep die bekend staat als BlackTech. Een anonieme reactie op Security.NL suggereerde dat het effectiever zou kunnen zijn om de beheerinterface van de routers niet vanaf het internet toegankelijk te maken, als mogelijke oplossing voor dit beveiligingsrisico. Cisco zelf raadt aan om adminwachtwoorden te versterken en benadrukt dat de aanvallen voornamelijk effectief zijn tegen oudere, legacy apparaten. (bron)

Britse Privacytoezichthouder Berispt Zeven Organisaties voor Datalekken Betreffende Geweldslachtoffers

De Britse privacywaakhond, de Information Commissioner's Office (ICO), heeft in het afgelopen jaar zeven verschillende organisaties berispt voor het onzorgvuldig omgaan met de persoonlijke gegevens van slachtoffers van huiselijk geweld. Door deze datalekken kwamen gevoelige informatie, waaronder de adressen van de slachtoffers, in de handen van de daders terecht. De getroffen organisaties omvatten onder andere een advocatenkantoor, woningcorporatie, zorginstelling, overheidsinstantie, lokale gemeentes en zelfs een politiedienst. Volgens de ICO zijn de datalekken te wijten aan diverse factoren, maar twee terugkerende thema's zijn duidelijk: het gebrek aan adequate training van het personeel en het ontbreken van gestandaardiseerde procedures voor het veilig omgaan met persoonlijke informatie. Deze incidenten stellen de slachtoffers aan verder risico bloot en ondermijnen het vertrouwen in organisaties die geacht worden hen te beschermen en te ondersteunen. De Britse Informatiecommissaris, John Edwards, bekritiseert deze praktijken scherp, en stelt dat de mensen die hulp zochten om te ontsnappen aan gewelddadige situaties juist aan verder risico werden blootgesteld door degenen die ze vertrouwden. Naast de berisping heeft de ICO ook adviezen gegeven aan organisaties over hoe zij de persoonlijke gegevens beter kunnen beschermen. Hieronder vallen het dubbelchecken van gedeelde data, het tegengaan van ongepaste toegang en het verbeteren van de training van het personeel. (bron)

Waarschuwing voor Firmware-Manipulatie in Cisco-Routers door BlackTech-groep

De Amerikaanse overheid heeft een dringende waarschuwing uitgegeven over een cyberaanvalsgroep genaamd BlackTech. Deze groep wordt verdacht van het vervangen van de firmware in Cisco-routers door een gemanipuleerde (gebackdoorde) versie. De aanvallers zijn vermoedelijk gelieerd aan de Chinese overheid en hebben primair doelwitten in de Verenigde Staten en Japan. BlackTech verkrijgt beheerderstoegang tot de routers en uploadt dan aangepaste firmware. Om detectie te omzeilen, installeren ze eerst een oudere, legitieme firmware-versie en passen deze in het geheugen aan. Hierdoor is het mogelijk een aangepaste, niet-gesigneerde bootloader en daarmee niet-gesigneerde firmware te installeren. De aanvallers maken ook gebruik van Embedded Event Manager (EEM) policies, waardoor ze de uitkomsten van commandline commando's kunnen manipuleren en zodoende onopgemerkt kunnen blijven. Volgens de Amerikaanse en Japanse autoriteiten zijn de technieken die worden gebruikt niet exclusief toepasbaar op Cisco-routers; ook andere routers kunnen kwetsbaar zijn. Ter preventie en detectie adviseren ze onder meer om firmware-aanpassingen regelmatig te monitoren, bestands- en geheugenverificaties uit te voeren en logs te controleren op ongeautoriseerde herstarts of versie-aanpassingen. Ook wordt aangeraden om in- en uitgaande verbindingen naar de routers te monitoren en ongewenste uitgaande verbindingen uit te schakelen. Deze waarschuwing onderstreept het belang van een robuuste cyberbeveiligingsstrategie om netwerkapparatuur te beschermen tegen geavanceerde aanvalstechnieken. (bron)

Aardappelbedrijf Royal HZPC Slaagt erin Gestolen Geld Veilig te Stellen na Cyberaanval

Het Friese aardappelpootbedrijf Royal HZPC heeft recentelijk een belangrijke overwinning behaald tegen cybercriminelen. Twee weken geleden werd het bedrijf het slachtoffer van een cyberaanval waarbij een aanzienlijk geldbedrag werd overgeboekt naar een externe bankrekening. Hoewel details over het exacte bedrag niet werden vrijgegeven, heeft het bedrijf nu aangekondigd dat het geld is veiliggesteld op geblokkeerde bankrekeningen en buiten het bereik van de criminelen is. HZPC werkte intensief samen met banken en de politie om de schade te beperken en de fondsen veilig te stellen. Het bedrijf is momenteel bezig met juridische procedures om het geld definitief terug te krijgen. Hoewel er een redelijk niveau van zekerheid is dat dit zal lukken, wordt er gewaarschuwd dat het volledige juridische proces maanden in beslag kan nemen. Ondertussen gaan de interne en externe forensische onderzoeken onverminderd door. Dit zal het bedrijf helpen inzicht te krijgen in de manier waarop de aanvallers toegang kregen tot hun systemen en welke maatregelen moeten worden genomen om toekomstige incidenten te voorkomen. De aanpak lijkt dus een combinatie te zijn van juridische stappen en voortgezet onderzoek om de organisatorische veiligheid te waarborgen. Dit incident benadrukt het toenemende belang van cybersecurity binnen de agrarische sector en de noodzaak voor bedrijven om preventieve maatregelen te nemen. Het is een waarschuwende les voor andere bedrijven over het belang van een proactieve aanpak om dergelijke cyberaanvallen te mitigeren. (bron, bron2)

Ethische Hacker Ontdekt Datalek bij Arriva: 195.000 Klanten Getroffen

Het Nederlandse vervoersbedrijf Arriva heeft een significant datalek gemeld dat betrekking heeft op 195.000 klanten. Het datalek werd op 19 september 2023 geconstateerd en betrof persoonsgegevens zoals namen, e-mailadressen, telefoonnummers en geboortedata. Deze gegevens waren verzameld via een contactformulier op de website van het bedrijf. Een anonieme ethische hacker bracht het bedrijf via e-mail op de hoogte van het lek. Volgens de verklaring van Arriva waren er geen eisen of dreigementen van de kant van de hacker. Het bedrijf geeft echter toe dat het niet weet wat de hacker met deze gegevens heeft gedaan. In reactie op de ontdekking heeft Arriva alle getroffen klanten persoonlijk ingelicht en een nader onderzoek ingesteld naar de aard en omvang van het datalek. Het contactformulier op de website is tijdelijk offline gehaald en de beveiliging is hersteld. Het lek heeft discussies op gang gebracht over de hoeveelheid persoonlijke informatie die bedrijven verzamelen. Veel mensen vragen zich af waarom Arriva om zo veel persoonsgegevens vroeg, terwijl dit voor contact via een contactformulier niet noodzakelijk lijkt te zijn. Critici betogen dat bedrijven vaak meer gegevens verzamelen dan strikt nodig is, wat het risico op dergelijke incidenten vergroot. In het kader van verantwoording merkt Arriva op dat er in de geschiedenis nog nooit een geval is geweest waarin iemand daadwerkelijk schade heeft ondervonden door een specifiek datalek. Dit lijkt echter meer een poging om potentiële aansprakelijkheid te minimaliseren dan een geruststellende boodschap voor getroffen klanten. Het bedrijf verwijst voor meer informatie en eventuele klachten naar de Autoriteit Persoonsgegevens. (bron)

HTX Blockchain-Platform Lijdt Verlies van $7,9 Miljoen na Cyberaanval; Zoekt Actief naar Oplossingen

Het blockchain-platform HTX (Huobi) heeft bekendgemaakt dat het een verlies heeft geleden van $7,9 miljoen aan Ether (ETH) als gevolg van een cyberaanval. Het beveiligingsteam van het platform ontdekte de aanval nadat er ongeautoriseerde transacties in hun systeem werden waargenomen. De aanvaller had toegang verkregen tot de fondsen van HTX en deze overgemaakt naar externe wallets. In reactie hierop identificeerde HTX de kwetsbaarheden en nam het onmiddellijk beveiligingsmaatregelen om verdere schade te voorkomen. Onderzoekers van PeckShield identificeerden voorafgaand aan de hack een verdachte uitgaande transactie van 4.999 ETH. HTX beschouwt het verlies als een 'relatief klein bedrag' in vergelijking met de $3 miljard aan activa die het momenteel aanhoudt voor gebruikers. De directie gaf aan dat het slechts om twee weken omzet voor het platform gaat. Ondanks het relatief kleine aandeel van verloren fondsen, streeft HTX ernaar om het geld terug te krijgen. Ze hebben al gedreigd de wetshandhaving in te schakelen als de fondsen niet binnen een week worden teruggegeven. Daarnaast biedt HTX een "white-hat beloning" van 5% van het gestolen bedrag ($400.000) om de hacker aan te moedigen het geld terug te geven. Ze hebben zelfs aangeboden om de hacker in te huren als beveiligingsadviseur indien de fondsen worden teruggegeven. Deze gebeurtenis benadrukt het continue kat-en-muisspel tussen cybercriminelen en degenen die streven naar een veilige blockchain-omgeving. Het incident onderstreept de noodzaak voor zowel individuele als collectieve inspanningen om de veiligheid en integriteit van cryptocurrency-platforms te waarborgen. (bron)

Ransomware-aanval leidt tot faillissement Brits logistiek bedrijf KNP en ontslag van 730 medewerkers

Het Britse logistieke bedrijf KNP heeft faillissement aangevraagd, een beslissing die deels te wijten is aan een ransomware-aanval eerder dit jaar. Door het faillissement verliezen 730 medewerkers hun baan. De cyberaanval veroorzaakte een ernstige verstoring in vitale systemen, operationele processen en financiële informatie van het bedrijf. Rajnesh Mittal, de aangewezen bewindvoerder, verklaarde dat naast de aanval, het bedrijf ook worstelde met 'uitdagende marktomstandigheden' en het onvermogen om voldoende investeringen te verkrijgen als direct gevolg van de cyberincident. KNP, een van de grootste particuliere logistieke bedrijven in het VK, was het moederbedrijf van de 158 jaar oude vervoerder Knights of Old. Ondanks een indrukwekkende omzet van omgerekend 115 miljoen euro vorig jaar, kon het bedrijf niet herstellen van de gecombineerde impact van marktuitdagingen en de ransomware-aanval. Reacties op het nieuws wijzen op de complexiteit van operationele kosten in de logistieke sector en stellen vragen over de robuustheid van de cybersecuritymaatregelen van het bedrijf. Het faillissement belicht de ernstige gevolgen van cyberaanvallen op bedrijven en hun werknemers, en roept op tot grotere aandacht voor cybersecurity in de logistieke sector. (bron, bron2, bron3)

ZeroFont Phishing Techniek Misleidt Outlook Gebruikers met Valse Antivirus Scans

Hackers maken gebruik van een vernuftige phishing-techniek, genaamd ZeroFont, om e-mails te laten lijken alsof ze veilig zijn gescand door beveiligingstools in Microsoft Outlook. Deze nieuwe toepassing van ZeroFont is voor het eerst gedocumenteerd en kan een grote impact hebben op de effectiviteit van phishing-aanvallen. ZeroFont is niet nieuw; het is eerst ontdekt door Avanan in 2018. Deze techniek maakt gebruik van zwakheden in AI- en Natural Language Processing (NLP)-systemen die teksten in e-mails analyseren. Door de lettergrootte op nul te zetten, worden verborgen woorden of tekens in de e-mail geplaatst die voor mensen niet zichtbaar zijn, maar wel door NLP-algoritmes kunnen worden gelezen. Hiermee kunnen aanvallers de uitkomst van veiligheidscontroles beïnvloeden. In dit nieuwe geval heeft een dreigingsactor ZeroFont gebruikt om voorbeeldweergaven van e-mailberichten in veelgebruikte e-mailclients zoals Outlook te manipuleren. De e-mail wekte de indruk alsof het veilig was gescand, terwijl het eigenlijke bericht iets heel anders toonde, zoals een "Job Offer". Deze discrepantie ontstaat omdat ZeroFont de valse veiligheidsscan aan het begin van de phishing-e-mail verbergt. Outlook pikt dit toch op en toont het als een voorbeeld in de e-maillijst, waardoor een vals gevoel van legitimiteit en veiligheid bij de ontvanger wordt gecreëerd. Gebruikers van niet alleen Outlook, maar ook andere e-mailclients, worden geadviseerd om waakzaam te zijn, aangezien het mogelijk is dat andere software op een vergelijkbare manier kan worden misleid. (bron, bron2)

Sony Onderzoekt Cyberaanval terwijl Hackers Ruziën over Verantwoordelijkheid

Sony is momenteel bezig met een onderzoek naar beschuldigingen van een cyberaanval die eerder deze week zou zijn gepleegd. Verschillende hackersgroepen beweren verantwoordelijk te zijn voor de vermeende inbraak. Aanvankelijk claimde de groep RansomedVC de aanval te hebben uitgevoerd en stelde dat ze de toegang en gegevens van Sony te koop zouden aanbieden. Deze groep beweert 260 GB aan data te hebben gestolen en vraagt een bedrag van 2,5 miljoen dollar voor de verkoop van deze informatie. Echter, een andere dreigingsactor genaamd 'MajorNelson' betwist deze bewering en claimt zelf verantwoordelijk te zijn voor de aanval. MajorNelson heeft 2,4 GB aan gecomprimeerde data gelekt, wat overeenkomt met 3,14 GB aan ongecomprimeerde data. Volgens deze dreigingsactor bevat de data veel inloggegevens voor interne systemen van Sony en bestanden gerelateerd aan verschillende interne processen en beleid. Beide partijen hebben samples van de data vrijgegeven, maar definitieve toewijzing blijft uitdagend. BleepingComputer, die het oorspronkelijke artikel schreef, merkte op dat de steekproef van MajorNelson alle bestanden bevatte die aanwezig waren in RansomedVC's kleine steekproef. Hoewel de gelekte data inderdaad lijkt te behoren tot Sony, kon geen onafhankelijke verificatie worden uitgevoerd om de beweringen van een van beide dreigingsactoren te ondersteunen. Sony heeft bevestigd dat het een onderzoek uitvoert naar de situatie maar heeft verder geen commentaar gegeven. De situatie is complex en roept vragen op over de verantwoordelijkheid en motieven van de betrokken hackersgroepen. 

Nieuwe APT-hackersgroep 'AtlasCross' gebruikt Amerikaans Rode Kruis als Lokaas voor Phishingaanvallen

Een recent ontdekte APT-hackersgroep genaamd 'AtlasCross' richt zich op organisaties door phishingmails te sturen die zich voordoen als het Amerikaanse Rode Kruis. Het uiteindelijke doel is het afleveren van backdoor-malware op de getroffen systemen. Cybersecuritybedrijf NSFocus heeft de groep geïdentificeerd en twee voorheen ongedocumenteerde trojans - DangerAds en AtlasAgent - aan hen gekoppeld. De aanvalsmethode van AtlasCross begint met een phishingmail die de ontvanger uitnodigt deel te nemen aan een 'September 2023 Blood Drive'. De e-mail bevat een macro-geactiveerd Word-document. Als het slachtoffer op 'Inhoud inschakelen' klikt, worden er kwaadaardige macro's uitgevoerd die het Windows-apparaat infecteren met de malware DangerAds en AtlasAgent. DangerAds fungeert als een systeemprofiler en malware-loader. Het beoordeelt de hostomgeving en voert ingebouwde shellcode uit als er specifieke tekenreeksen in de gebruikersnaam of domeinnaam worden gevonden. Uiteindelijk wordt de AtlasAgent-trojan geladen als de uiteindelijke payload. AtlasAgent is een op maat gemaakte C++ trojan met kernfuncties als het extraheren van host- en procesdetails en het downloaden van bestanden van de aanvaller zijn Command & Control-servers. De malware kan ook nieuwe threads uitvoeren of zich binnen een van de bestaande processen nestelen, waardoor het moeilijk wordt voor beveiligingstools om de aanval te detecteren en te stoppen. Ondanks het gedetailleerde rapport van NSFocus blijft AtlasCross een grotendeels onbekende dreiging met onduidelijke motieven en een obscure doelgroepkeuze. Wat opvalt, is hun selectieve targeting en voorkeur voor discrete infectiemethoden boven efficiëntie, wat hen heeft toegestaan om gedurende een ongedefinieerde periode onopgemerkt te blijven. (bron)

Actieve Exploitatie van Openfire-kwetsbaarheid voor Versleuteling en Cryptomining

Een recent beveiligingslek in de XMPP-serversoftware Openfire is actief uitgebuit om servers te versleutelen en cryptominers te installeren. Dit is bekendgemaakt door het antivirusbedrijf Doctor Web. Het lek, aangeduid als CVE-2023-32315, stelt aanvallers in staat om via een 'path traversal'-methode toegang te krijgen tot de beheerdersinterface. Eenmaal toegang verkregen, kunnen ze een nieuwe gebruiker met beheerdersrechten toevoegen. Doctor Web heeft waargenomen dat de aanvallers hun nieuw verkregen toegang gebruiken om bestanden te versleutelen. Daarnaast installeren ze cryptominers om de rekenkracht van de getroffen servers te gebruiken voor het delven van cryptovaluta. Deze specifieke kwetsbaarheid is verholpen in Openfire-versies 4.6.8 en 4.7.5. Desondanks bleek eind augustus dat er nog steeds duizenden kwetsbare servers ophet internet te vinden waren. Gezien de ernst van het lek, wordt dringend aangeraden voor beheerders om de nieuwste beveiligingsupdates te installeren. Ook wordt geadviseerd om de toegang tot poorten 9090 en 9091 te blokkeren als extra veiligheidsmaatregel. Het is van cruciaal belang om deze stappen te ondernemen om verdere uitbuiting van servers te voorkomen en de integriteit van bedrijfsgegevens te waarborgen. (bron, bron2)

SchaduwSyndicaat Hackers Koppelen aan Meerdere Ransomware Aanvallen en 85 Servers

Onderzoekers op het gebied van cybersecurity hebben een dreigingsactor geïdentificeerd, nu bekend als ShadowSyndicate, die naar alle waarschijnlijkheid betrokken is geweest bij aanvallen met zeven verschillende soorten ransomware in het afgelopen jaar. Deze bevindingen zijn het resultaat van een samenwerking tussen Group-IB, Bridewell en onafhankelijk onderzoeker Michael Koczwara. De groep heeft met verschillende mate van zekerheid ShadowSyndicate's gebruik van Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus, en Play ransomware in meerdere inbreuken vastgesteld. De onderzoekers hebben hun conclusies gebaseerd op een unieke SSH-vingerafdruk die ze ontdekt hebben op 85 IP-servers. De meeste van deze servers zijn geïdentificeerd als Cobalt Strike command-and-control machines. Deze SSH-vingerafdruk is voor het eerst waargenomen op 16 juli 2022 en was nog steeds in gebruik in augustus 2023. Verder vermoeden de experts dat ShadowSyndicate een zogenaamde initiële toegangsmakelaar (Initial Access Broker, IAB) kan zijn, hoewel er ook aanwijzingen zijn dat ze een affiliate zijn voor meerdere ransomware-operaties. In hun onderzoek gebruikten ze tools zoals Shodan en Censys, en diverse OSINT-technieken. Dit leidde tot de ontdekking van een uitgebreide activiteitsvoetafdruk van ShadowSyndicate. De onderzoekers hebben ook aanvullend bewijs gevonden dat ShadowSyndicate met minder zekerheid koppelt aan Ryuk, Conti, Trickbot, Royal, Clop, en Play malware-operaties. Ondanks de vele bevindingen die wijzen op een mogelijke verbinding, blijft een hoogvertrouwelijke directe link tussen ShadowSyndicate en Clop onduidelijk. Group-IB roept externe onderzoekers op om openlijk samen te werken en te helpen de nog onbekende delen te onthullen. (bron)

Amerikaanse stad Fort Lauderdale Verliest 1,2 miljoen dollar door CEO-fraude

De Amerikaanse stad Fort Lauderdale in Florida is recent het slachtoffer geworden van een doortrapte vorm van CEO-fraude, waarbij maar liefst 1,2 miljoen dollar werd overgemaakt naar de bankrekening van cybercriminelen. Dit incident volgt op een vergelijkbaar voorval in de Nederlandse gemeente Alkmaar, die werd opgelicht voor een bedrag van 236.000 euro. In het geval van Fort Lauderdale ontving de crediteurenadministratie van de stad een frauduleuze factuur van een persoon die zich voordeed als een legitiem bouwbedrijf, betrokken bij de constructie van een nieuw politiebureau. Opmerkelijk genoeg was de vervalsing zo overtuigend dat het de reguliere checks van de gemeente doorstond. De criminelen hadden toegang tot authentiek ogend papierwerk, waardoor de factuur niet als frauduleus werd geïdentificeerd. Volgens stadsbestuurder Greg Chavarria verifieerde de administratie de bedrijfsgegevens en alles leek in orde. Het echte bouwbedrijf heeft in een verklaring aangegeven dat de gebruikte informatie gemakkelijk online te vinden was. Dit incident is onderdeel van een groter probleem. De FBI meldde eerder dit jaar dat CEO-fraude en vergelijkbare varianten de afgelopen jaren hebben geleid tot het verlies van ongeveer 50 miljard dollar, waarmee deze vorm van cybercriminaliteit financieel schadelijker is dan andere varianten zoals ransomware en phishing. Het incident onderstreept het belang van grondige verificatieprocedures en bewustzijnstrainingen om dergelijke aanvallen te voorkomen. (bron)

Cyberaanval op Canadees Geboorteregister: 3,4 Miljoen Persoonsgegevens Gestolen

Een ernstig datalek heeft de gegevens van 3,4 miljoen mensen blootgelegd die zijn geregistreerd bij de Canadese overheidsinstantie Better Outcomes Registry & Network (BORN) Ontario. Deze instantie beheert informatie omtrent zwangerschappen en pasgeborenen. De inbreuk vond plaats via een zeroday-lek in MOVEit Transfer, een applicatie voor het uitwisselen van bestanden die veelal wordt gebruikt voor het delen van vertrouwelijke informatie binnen organisaties. De aanval werd uitgevoerd door de cybercriminelen achter de Clop-ransomware, die toegang kregen tot de MOVEit-servers van in totaal bijna 2100 organisaties wereldwijd. Deze aanval resulteerde in het stelen van gegevens van ongeveer 62 miljoen mensen. De Clop-groep heeft gedreigd de gestolen informatie te publiceren indien het gevraagde losgeld niet wordt betaald. Deze groep is berucht voor het publiceren van de namen van getroffen organisaties op hun website. Volgens een persbericht van BORN Ontario gaat het om gegevens die dateren van 2010 tot en met mei 2023. De meeste getroffenen zijn personen die zwangerschapszorg zochten en pasgeborenen. Als reactie op dit datalek heeft BORN Ontario het gebruik van MOVEit Transfer stopgezet. Het securitybedrijf Emsisoft bevestigde dat bijna 2100 organisaties en bedrijven het slachtoffer zijn geworden van deze gecompromitteerde software. De kwestie benadrukt het groeiende belang van robuuste cyberbeveiligingsmaatregelen, vooral voor overheidsinstanties die gevoelige informatie beheren. (bron)

HZPC in Joure Herstelt van Cyberaanval: Gestolen Geld Hoogstwaarschijnlijk Veiliggesteld

Aardappelveredelaar HZPC uit Joure is opgelucht te melden dat het geld dat vorige week bij een cyberaanval werd buitgemaakt, waarschijnlijk niet meer in handen is van cybercriminelen. Het bedrijf gaf een update over de situatie en meldt met "een redelijk niveau van zekerheid" dat het gestolen geld op geblokkeerde bankrekeningen staat. Dit betekent dat de criminelen geen toegang meer hebben tot deze fondsen. Directeur Gerard Backx benadrukte dat uitgebreid onderzoek door de politie in samenwerking met meerdere landen en banken heeft bijgedragen aan het traceren van de rekeningen. Hoewel het geld is veiliggesteld, zijn er nog juridische procedures vereist om het geld daadwerkelijk terug te krijgen. HZPC is optimistisch dat dit zal lukken, maar het kan tot zes maanden duren. Het exacte bedrag dat is gestolen, is niet bekendgemaakt, maar volgens Backx is het een substantieel bedrag, ook in het perspectief van HZPC. Terwijl het geld voorlopig als veilig wordt beschouwd, is het onderzoek naar de cyberaanval nog in volle gang. Hoe de aanval heeft kunnen plaatsvinden, is iets wat het bedrijf niet wil onthullen om het lopende onderzoek niet te hinderen. Deze ontwikkelingen wijzen op het belang van voortdurende waakzaamheid tegen cyberaanvallen, en hoe snel handelen in combinatie met samenwerking tussen verschillende instanties kan bijdragen aan het beperken van de schade. (bron)

Nieuwe Ransomwaregroep Ransomed.vc Claimt Grootschalige Hack op Sony

Een relatief nieuwe ransomwaregroep, genaamd Ransomed.vc, beweert een verwoestende ransomware-aanval te hebben uitgevoerd op het wereldwijde entertainmentbedrijf Sony. Ondanks dat de groep pas sinds september actief is, claimen ze een indrukwekkend aantal slachtoffers te hebben gemaakt, waaronder nu ook Sony. Op zowel het openbare internet als het darkweb heeft Ransomed.vc aangekondigd alle systemen van Sony succesvol te hebben gecompromitteerd. Opmerkelijk genoeg hebben ze ook aangegeven de verzamelde data niet te zullen losgelden, maar deze te koop aan te bieden omdat Sony niet bereid zou zijn te betalen. Hoewel enig bewijsmateriaal zoals screenshots van interne logins en Java-bestanden zijn vrijgegeven, lijkt het bewijs op het eerste gezicht niet heel overtuigend. De groep heeft een bestandsstructuur gepubliceerd van de gehele lek, die minder dan 6.000 bestanden lijkt te bevatten, wat relatief weinig lijkt voor een aanval op "alle systemen van Sony". Veel van de voorbeeldbestanden bevatten opvallend veel Japanse tekens. Ransomed.vc heeft contactgegevens achtergelaten via de Tox-berichtenservice, Telegram en e-mail, maar heeft geen prijs vermeld voor de data. Tot op heden heeft Sony geen melding gemaakt van een mogelijke hack op hun websites. Ransomed.vc is uniek in zijn aanpak en beweert niet alleen een "veilige oplossing voor het aanpakken van gegevensbeveiligingsproblemen binnen bedrijven" te zijn, maar ook "strikt in overeenstemming met GDPR en gegevensbeschermingswetten" te werken. Als niemand de data koopt, zal de groep deze waarschijnlijk op 28 september 2023 in zijn geheel publiceren. (bron)

Datalek bij BORN Ontario treft 3,4 miljoen mensen door Clop-ransomware aanval

De Better Outcomes Registry & Network (BORN), een door de overheid van Ontario gefinancierde zorgorganisatie, heeft onthuld slachtoffer te zijn geworden van een cyberaanval uitgevoerd door Clop ransomware. Deze aanval maakte deel uit van een grotere reeks hacks gericht op MOVEit Transfer-software, waarbij gebruik werd gemaakt van een zero-day kwetsbaarheid (CVE-2023-34362). BORN, een perinataal en kinderregister, verzamelt en beschermt cruciale gegevens over zwangerschap, geboorte en kindertijd in de provincie Ontario. Het bedrijf kwam op 31 mei voor het eerst achter de inbreuk en heeft sindsdien direct de relevante autoriteiten ingeschakeld, waaronder de Privacy Commissioner van Ontario. Cybersecurity-experts zijn ingeschakeld om de getroffen servers te isoleren en de dreiging in te dammen, waardoor de operaties konden worden voortgezet. Uit het onderzoek is gebleken dat de aanvallers bestanden hebben gekopieerd die gevoelige informatie bevatten van ongeveer 3,4 miljoen mensen. Deze mensen zijn voornamelijk pasgeborenen en patiënten die zwangerschapszorg hebben ontvangen tussen januari 2010 en mei 2023. De blootgestelde data omvatten volledige namen, huisadressen, postcodes, geboortedata en gezondheidskaartnummers. Afhankelijk van het type zorg dat via BORN is ontvangen, kunnen ook aanvullende gegevens zoals laboratoriumuitslagen en risicofactoren voor zwangerschap zijn blootgesteld. Hoewel BORN bevestigt dat er een datalek is geweest, is er op dit moment geen bewijs dat de gestolen data circuleert op het darkweb of voor frauduleuze doeleinden is gebruikt. Mensen die mogelijk zijn getroffen door dit incident worden geadviseerd waakzaam te zijn, vooral ten opzichte van ongevraagde berichten die om gevoelige informatie vragen. (bron, bron2, bron3)

Nieuwe Versie van Xenomorph Malware Viseert Nu Amerikaanse Banken en Crypto Wallets

Cyberbeveiligingsanalisten hebben een nieuwe variant van de Xenomorph malware ontdekt, die zich nu richt op Android-gebruikers in landen als de Verenigde Staten, Canada en enkele Europese landen. Oorspronkelijk ontwikkeld door "Hadoken Security," richtte Xenomorph zich aanvankelijk op Europese banken met meer dan 50.000 installaties via Google Play. Het nieuwe Xenomorph heeft echter zijn bereik uitgebreid naar Amerikaanse financiële instellingen en verschillende cryptocurrency-apps. De malware is sinds februari 2022 in beeld bij ThreatFabric, die meldde dat de nieuwste campagne medio augustus is gelanceerd. Xenomorph wordt gedistribueerd via een dropper genaamd "BugDrop" en een distributieplatform "Zombinder," die de malware inbedden in legitieme Android-apps. In maart 2023 werd een geüpdatete versie uitgebrachtdie nieuwe functies introduceerde, zoals een geautomatiseerd overdrachtssysteem (ATS) en MFA-bypass, waarmee het meer dan 400 banken kan targeten. De huidige campagne maakt gebruik van phishing-pagina's die bezoekers verleiden tot het bijwerken van hun Chrome-browser, waarna een kwaadaardige APK wordt gedownload. Elke Xenomorph-sample bevat ongeveer honderd overlays die specifiek zijn gericht op verschillende banken en crypto-apps. De nieuwe features omvatten een "mimic"-functie die de malware in staat stelt zich voor te doen als een andere app en een "ClickOnPoint"-systeem dat taps op specifieke schermcoördinaten simuleert. De malware werkt naast andere schadelijke payloads zoals Medusa en Cabassous en toont aanwijzingen van samenwerking tussen bedreigingsactoren of de mogelijkheid van Malware-as-a-Service (MaaS). Gebruikers worden gewaarschuwd voorzichtig te zijn bij het bijwerken van hun browsers op mobiele apparaten, aangezien deze waarschijnlijk deel uitmaken van malware-distributiecampagnes. (bron)

ZZColdstores Getroffen door BlackCat (ALPHV) Cyberaanval; Gevoelige Data Gelekt

Op 25 september 2023 heeft de cybercriminele groep BlackCat (ook bekend als ALPHV) aangekondigd dat ze een succesvolle aanval hebben uitgevoerd op ZZColdstores, een Nederlands transportbedrijf. De website www.zzcoldstores.com is gecompromitteerd en gevoelige informatie is mogelijk gelekt. Gebruikers en partners van ZZColdstores wordt aangeraden om extra waakzaam te zijn.

Malafide Android-app Steelt 30.000 Euro via Vervalste Visverkoop

Een kwaadaardige Android-app, bedoeld voor het kopen van verse vis, heeft een slachtoffer in Singapore maar liefst 30.000 euro gekost. De Singaporese politie waarschuwde afgelopen week voor deze malware die, naast het stelen van geld, ook een fabrieksreset van het slachtoffer's telefoon uitvoert. Er zijn inmiddels meer dan 750 mensen slachtoffer geworden, met een totaal gestolen bedrag van bijna 7 miljoen euro. Het slachtoffer, dat haar ervaring deelde met The Straits Times, kwam in contact met de criminelen via een Facebookadvertentie van een vermeende visverkoper. Deze 'verkoper' instrueerde haar om een third-party app te installeren om vis te kunnen bestellen. Ze moest eerst vijf dollar overmaken alvorens ze een bestelling kon plaatsen. Niet lang na de installatie herstartte haar telefoon tweemaal uit zichzelf, waarna ze de app verwijderde. Drie dagen later merkte ze dat haar bankrekeningen geleegd waren. Opmerkelijk is dat de criminelen haar creditcardlimiet hadden verhoogd naar 50.000 Singaporese dollar en geld hadden overgeboekt van drie verschillende spaarrekeningen. Het slachtoffer ontving geen one-time passwords (OTPs) via sms, wat normaal gesproken noodzakelijk is voor het goedkeuren van dergelijke transacties. Een ander slachtoffer werd deze maand ook bestolen voor een bedrag van omgerekend 52.000 euro na het installeren van een soortgelijke third-party app voor het bestellen van mooncakes. Deze zaak benadrukt de noodzaak om voorzichtig te zijn bij het installeren van third-party apps en het reageren op onbekende online advertenties. Het is cruciaal om extra waakzaam te zijn en gebruik te maken van meerdere lagen van beveiliging, zoals OTPs en het regelmatig controleren van bankrekeningen, om dergelijke cybercriminele activiteiten te voorkomen. (bron, bron2)

Mixin Network Verliest $200 Miljoen na Cyberaanval op Cloudservice

Op 25 september 2023 bevestigde het gedecentraliseerde Peer-to-Peer-netwerk Mixin Network dat het slachtoffer is geworden van een cyberaanval die twee dagen eerder plaatsvond. Bij deze aanval is ongeveer $200 miljoen aan cryptocurrency-activa ontvreemd uit het mainnet van het bedrijf. Als directe reactie op deze inbreuk heeft Mixin Network alle stortings- en opnamediensten tijdelijk opgeschort. De oorzaak van de inbreuk lijkt te liggen bij een gecompromitteerde database van een externe cloudserviceprovider. Voor het lopende onderzoek naar deze significante hack heeft Mixin Network de diensten ingeschakeld van blockchain-onderzoeker SlowMist en Google. Uit een apart onderzoek van PeckShield bleek dat Mixin ten tijde van de aanval over $141,32 miljoen aan verschillende cryptocurrency-activa beschikte, waaronder Ethereum, Dai en Bitcoin. Mixin Network heeft aangegeven de stortings- en opnamediensten te zullen hervatten zodra alle kwetsbaarheden zijn vastgesteld en verholpen. Op dit moment zijn er nog geen concrete plannen aangekondigd om de verloren activa aan gebruikers terug te geven. Als laatste was er een openbare livestream aangekondigd waarbij de oprichter van Mixin, Feng Xiaodong, uitleg zou geven over het incident. Echter, er zijn tot dusver geen links naar deze livestream gepubliceerd op de officiële sociale mediakanalen of op de website van Mixin Network, wat aanleiding geeft tot verdere vragen en speculaties.

Verdachte App Gericht op Tibetanen Verwijderd uit Apple App Store, Volgens Securitybedrijf

Securitybedrijf Volexity heeft recentelijk aangegeven dat er waarschijnlijk een malafide app in de Apple App Store heeft gestaan die specifiek gericht was op Tibetanen. De app is inmiddels verwijderd, wat verdere analyse bemoeilijkt. Deze app zou zijn ontwikkeld door een groep genaamd 'EvilBamboo', die ook achter vergelijkbare Android-apps zit gericht op Tibetaanse, Oeigoerse en Taiwanese gebruikers. EvilBamboo maakt gebruik van legitieme Android-applicaties en voorziet deze van een backdoor. Het aangepaste APK-bestand wordt vervolgens verspreid via sociale media, fora en Telegram. Tijdens hun onderzoek naar Android-malware ontdekten de onderzoekers van Volexity een verkeerd geconfigureerde command & control-server die bedoeld was om besmette toestellen aan te sturen. Hieruit kwam het vermoeden voort dat er ook een malafide iOS-app was ontwikkeld. Deze iOS-app zou zich hebben voorgedaan als een Telegram-variant en was mogelijk te vinden op een malafide website. Hoewel de app zelf niet meer in de App Store aanwezig was ten tijde van het onderzoek, geeft Volexity aan dat deze zeer waarschijnlijk malafide was. Deze conclusie is gebaseerd op het feit dat alle Android-apps die in het betreffende Telegram-kanaal werden genoemd, malafide code bevatten. Het is een vrij zeldzame situatie dat een malafide app doordringt tot de Apple App Store. De laatste bekende zaak was twee jaar geleden, toen een malafide Trezor-app voor een diefstal van 1,6 miljoen dollar aan cryptovaluta zorgde. Het recente incident benadrukt opnieuw het belang van waakzaamheid bij het downloaden van apps, zelfs uit over het algemeen betrouwbare bronnen zoals de Apple App Store. (bron)

Mogelijke Sancties voor KNVB na 'Prutswerk' bij Cyberaanval door Russische Hackers

De Koninklijke Nederlandse Voetbalbond (KNVB) ligt onder vuur na een grootschalige cyberaanval door het Russische hackerscollectief LockBit. De Autoriteit Persoonsgegevens (AP) is momenteel in gesprek met de voetbalbond en overweegt sancties. Hoewel de KNVB beweert de aanval binnen 72 uur gemeld te hebben bij de AP, zijn er kritische geluiden over de aanpak van de organisatie. De aanval vond plaats op 1 april en trof het ICT-netwerk van de KNVB Campus in Zeist. Drie dagen later werd het nieuws openbaar gemaakt. Er bleek ruim 300 gigabyte aan data gestolen te zijn, variërend van paspoortgegevens tot salarisstroken van Oranje-spelers. Vijf maanden later onthulde de KNVB dat er losgeld was betaald, terwijl ze aanvankelijk hierover zwegen. Arwi van der Sluijs, een expert in cybersecurity, heeft forse kritiek op de KNVB. Volgens hem heeft de bond op vele fronten gefaald: van trage respons tot gebrek aan transparantie en het negeren van deskundig advies. Hij stelt dat de voetbalbond had moeten weten welke data precies was gestolen en benadrukt dat de KNVB niet alleen gehackt is, maar ook slecht heeft gehandeld in de nasleep. Ondanks de kritiek ontkent de KNVB enig falen. Ze stellen dat ze vanaf het begin professioneel en intensief hebben samengewerkt met externe experts en zorgvuldig hebben onderzocht welke gegevens mogelijk zijn gecompromitteerd. De uitkomst van de gesprekken tussen de AP en de KNVB is nog onbekend, maar er wordt niet uitgesloten dat er een boete volgt. Het incident roept vragen op over de mate van cyberveiligheid bij grote organisaties in Nederland en de afweging tussen het betalen van losgeld en het beschermen van persoonsgegevens. (bron)

Onderzoekers Bekritiseren LastPass voor Gebrekkige Reactie op Datalek en Veiligheidsinstellingen

Bijna een jaar geleden kwam naar buiten dat criminelen wachtwoordkluizen van LastPass-gebruikers hadden gestolen. Onderzoekers, waaronder Wladimir Palant, ontwikkelaar van Adblock Plus, stellen nu dat LastPass onvoldoende maatregelen heeft genomen en gebruikers te laat en inadequaat heeft geïnformeerd over het datalek. Palant uit kritiek op het lange tijdsbestek dat LastPass nodig had om gebruikers te waarschuwen en het ontbreken van zinvolle oplossingen. Bovendien worden technische tekortkomingen die al jaren bekend zijn, nog steeds genegeerd, waardoor het werk van de aanvallers is vergemakkelijkt. Een belangrijk aspect van de veiligheid van de LastPass-kluis is de 'iteration count', een getal dat aangeeft hoe moeilijk het is om toegang te krijgen tot de kluis via bruteforce-aanvallen. Hoewel LastPass deze waarde heeft verhoogd van 100.100 naar 600.000 na het datalek, zijn bestaande accounts met de standaardinstellingen niet automatisch geüpdatet. LastPass verklaart dit door te stellen dat een 'klein percentage' van de gebruikers niet kon worden geüpdatet vanwege 'corrupted items' in hun kluis. De kritiek van Palant wordt ondersteund door Nicholas Weaver, onderzoeker aan het International Computer Science Institute van de University of California. Beide experts wijzen erop dat LastPass de schuld onterecht bij de gebruikers legt en adviseren tegen het gebruik van LastPass als wachtwoordmanager. Ten slotte wordt de recente verplichting van LastPass om een master password van minimaal twaalf karakters te gebruiken, door critici afgedaan als een PR-stunt die niets doet voor gebruikers wiens kluizen eerder zijn gestolen. (bron, bron2)

Nepvideo's over Beroemdheden Verzadigen TikTok om Temu Referral Codes te Promoten

Het sociale mediaplatform TikTok is overspoeld door video's die nep naaktfoto's van beroemdheden promoten om referral beloningen voor de online megastore Temu te stimuleren. Temu, een online winkel die miljoenen producten tegen lage prijzen aanbiedt, heeft sinds de lancering in september 2022 veel controverse opgewekt. Ter promotie biedt Temu een beloningssysteem aan waarbij klanten verwijzingsnummers en -links kunnen delen met familie en vrienden om winkeltegoed, gratis geschenken of punten te verdienen. Echter, de verwijzingscodes van Temu op TikTok hebben recentelijk een duistere wending genomen. Oplichters maken video's die suggereren dat gevoelige foto's en video's van beroemdheden zijn uitgelekt. De kijkers worden vervolgens aangemoedigd om de Temu-app te downloaden en hun referral nummer in te voeren om de zogenaamde uitgelekte inhoud te kunnen zien. Dit heeft betrekking op verschillende beroemdheden, waaronder Olivia Rodrigo en Jenna Ortega. Deze praktijk, alhoewel momenteel beperkt tot het genereren van winkeltegoed voor oplichters, heeft potentieel voor verdere kwaadwillige activiteiten in de toekomst. Dit zet een deur open naar de mogelijkheid van de verspreiding van malware of andere cyberdreigingen. Ondanks dat er contact is opgenomen met TikTok en Temu door mediakanalen, is er tot dusver geen reactie geweest op deze zorgwekkende trend. Gebruikers worden geadviseerd om voorzichtig te zijn en geen verdachte software te installeren die hun computer kan infecteren. (bron)

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Meer weekoverzichten