EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑

De digitale wereld is wederom opgeschrikt door een golf van cyberaanvallen, waarbij kritieke sectoren en diverse geografische locaties betrokken zijn. Deze week hebben wij gezien hoe zelfs de grootste spelers in de gezondheidszorg en industrie niet gevrijwaard blijven van de dreigingen die het darkweb voortbrengt. In een schokkende ontwikkeling werd gezondheidszorgreus Henry Schein slachtoffer van de beruchte BlackCat ransomware, terwijl Boeing, een icoon van de lucht- en ruimtevaartindustrie, een cyberaanval door de LockBit Ransomware Groep moest bevestigen, wat leidde tot zorgen over mogelijke datalekken.

De gevaren blijven niet beperkt tot multinationale bedrijven. Ook in Nederland is de urgentie gevoeld door verschillende sectoren; van dienstverleners tot chemieproducenten zoals TANATEX, ze zijn allemaal het doelwit geworden van cybercriminaliteit. Phishingmails, die zich voordeed als 'nepklachten', hebben zelfs geprobeerd tandartspraktijken te misleiden. In onze buurlanden zet deze zorgwekkende trend zich voort, met significante incidenten gemeld in België en Duitsland, waarbij een cyberaanval maar liefst zeventig gemeenten trof en bedrijfsvoering bij Bauer AG ernstig verstoorde.

Over het Kanaal heeft de British Library te kampen gehad met een grote cyberaanval, terwijl de Russische hackersgroep zijn verantwoordelijkheid opeiste voor verstoringen bij de luchthaven van Manchester. Aan de andere kant van de Atlantische Oceaan zijn Amerikaanse instellingen zoals DePauw University en Summit Health ook niet gespaard gebleven. Zelfs vakbonden en grote bedrijven zoals Ace Hardware en de hypotheekverstrekker Mr. Cooper zijn het slachtoffer geworden van cybercriminaliteit.

Deze reeks van incidenten benadrukt een onheilspellende realiteit: cyberdreigingen zoals de 8Base Ransomware specifiek gericht op de gezondheidszorg, of de verspreiding van de KandyKorn macOS malware, onderstrepen de noodzaak voor waakzaamheid en robuuste cyberverdediging. De exploitatie van kritieke kwetsbaarheden zoals het NetScaler-lek en de 'Citrix Bleed' toont de verhoogde risico's voor overheidsnetwerken en techbedrijven wereldwijd.

Hieronder vindt u het volledige overzicht van de cyberaanvallen van de afgelopen week, die een duidelijk beeld schetsen van de actuele cybersecurity-bedreigingen en de noodzaak voor continue waakzaamheid en beveiliging binnen alle sectoren van onze samenleving.

Week overzicht slachtoffers

Slachtoffers België en Nederland

In samenwerking met StealthMol

Sponsor Cybercrimeinfo

Cyberaanvallen nieuws

Belgische Verzekeraar Assurius.be Slachtoffer van Cyberaanval

In een recente verklaring op het darkweb heeft de cybercriminele groep Qilin de verantwoordelijkheid opgeëist voor een aanval op Assurius.be, een Belgische verzekeringsmaatschappij gespecialiseerd in voertuigverzekeringen. Deze onthulling kwam aan het licht op 5 november 2023. De exacte aard van de onderschepte data is nog niet vrijgegeven, maar het incident benadrukt de voortdurende dreigingen waarmee de verzekeringssector te maken heeft. Klanten en partners van Assurius.be worden geadviseerd om alert te zijn op mogelijke fraude en hun beveiligingsmaatregelen te herzien.

Nederlandse Dienstverlener Slachtoffer van LockBit Cyberaanval

In een recente bekendmaking op het darkweb heeft de LockBit-groep verantwoordelijkheid genomen voor een cyberaanval op het Nederlandse bedrijf Global Value Web. Deze organisatie, gespecialiseerd in zakelijke dienstverlening, werd op 5 november 2023 getroffen. Details over de omvang van de data-inbreuk zijn nog niet vrijgegeven. Experts benadrukken het belang van robuuste cybersecuritymaatregelen. Bedrijven worden aangeraden om hun digitale beveiliging te herzien en te versterken tegen dergelijke dreigingen.

Cyberbeveiligingsincident legt computersystemen DePauw University (VS) plat

Op 1 november 2023 heeft DePauw University te maken gekregen met een ernstig cyberbeveiligingsincident, waardoor de computersystemen zijn uitgevallen. Volgens een berichtgeving van WISH-TV, hebben studenten en medewerkers geen toegang tot internet en e-services sinds dinsdagochtend 9 uur. De verstoring heeft grote invloed op het studentenleven, waarbij essentiële diensten zoals het online klasprogramma "Moodle", campusprinters, e-mail en het lokale netwerk van de universiteit onbereikbaar zijn. Ondanks deze uitdagingen, gaan de lessen op de universiteit door. De universiteit heeft in reactie op het voorval een verklaring afgegeven waarin staat dat ze zich bewust zijn van het incident en dat er samengewerkt wordt met forensische experts om het systeem te herstellen. Een uitgebreid onderzoek is gaande, dat naar verwachting meerdere weken in beslag zal nemen. DePauw University benadrukt hun inzet voor de bescherming van studenten- en werknemersinformatie en de beveiliging van systemen en data. Ze bieden hun excuses aan voor het ongemak en beloven updates te geven zodra dit mogelijk is. Er is nog geen duidelijkheid over of er privé-informatie van studenten of medewerkers van de universiteit is gelekt. Dit incident bij DePauw University is onderdeel van een grotere trend; volgens cybersecurity-experts is er in 2023 een stijging van 65% in het aantal publiekelijk gerapporteerde ransomware-aanvallen. De universiteit, met 1.752 studenten en 228 personeelsleden, werkt hard aan het oplossen van de situatie. Deze gebeurtenis toont aan hoe grootschalige cyberaanvallen ook onderwijsinstellingen kunnen treffen en onderstreept het belang van robuuste cybersecurity maatregelen. (bron)

Summit Health Slachtoffer van LockBit3.0 Cyberaanval

Summit Health, een winstgevende medische praktijk met specialismen in meerdere disciplines en gevestigd in Berkeley Heights, New Jersey (VS), zou mogelijk het slachtoffer zijn geworden van een cyberaanval door de beruchte LockBit3.0 groep. Deze organisatie, met meer dan 2.800 zorgverleners, 13.000 werknemers en ruim 370 locaties verspreid over meerdere Amerikaanse staten, staat bekend om zijn patiëntgerichte zorg. Op 3 november verscheen Summit Health op de leksite van LockBit3.0, met een ultimatum gesteld op 8 november voor het betalen van een niet nader genoemd losgeld. Zou dit niet voldaan worden, dan dreigt de groep alle vermeend buitgemaakte gegevens openbaar te maken. Wat LockBit3.0 exact claimt in handen te hebben is onduidelijk; er is geen bewijs geleverd in de vorm van screenshots of bestandslijsten. Er is geen bevestiging van encryptie van bestanden, wat de aanval mogelijk tot een pure datadiefstal en afpersingspoging maakt. Summit Health zelf heeft tot nu toe geen incident op hun website gemeld. DataBreaches.net, een website gespecialiseerd in het rapporteren van datalekken, heeft tweemaal contact opgenomen met de mediavertegenwoordiger van Summit Health maar heeft geen reactie ontvangen. Hoewel LockBit3.0’s beweringen niet bevestigd zijn, heeft Summit Health ze ook niet weerlegd. In het geval dat Summit Health een verklaring uitbrengt, zal DataBreaches.net het artikel bijwerken. Andere gerelateerde berichten op de site betreffen een variëteit aan incidenten met betrekking tot gezondheidsgegevenslekken, waarbij Summit Health meermaals wordt genoemd. De ernst van de situatie onderstreept het voortdurende risico van cyberaanvallen in de gezondheidszorgsector. (anoniem)

Grootste Onafhankelijke Pilotenvakbond Getroffen Door Ransomware-aanval

De Allied Pilots Association (APA), een vakbond die 15.000 piloten van American Airlines vertegenwoordigt, is afgelopen maandag slachtoffer geworden van een ransomware-aanval. APA, opgericht in 1963, staat bekend als de grootste onafhankelijke pilotenvakbond ter wereld. De aanval resulteerde in het versleutelen van bepaalde systemen, wat de vakbond bekendmaakte nadat cyberveiligheidsexpert Brett Callow van Emsisoft het incident rapporteerde. De vakbond ondernam direct actie om hun netwerk te beveiligen en werkt sindsdien onafgebroken samen met externe experts aan het herstel van de systemen. De focus ligt daarbij eerst op het herstellen van de applicaties en hulpmiddelen die de piloten direct gebruiken. Ondertussen heeft de APA een onderzoek ingesteld, geleid door cybersecurity experts, om de volledige impact van de aanval en de effecten op dedata die zijn opgeslagen op de getroffen systemen te beoordelen. Tot op heden heeft de vakbond niet bekendgemaakt of persoonlijke informatie van de piloten gecompromitteerd is of hoeveel individuen exact zijn getroffen door deze cyberaanval. De communicatiedirecteur van de APA, Gregg Overman, gaf aan dat er buiten de huidige bekendmaking geen verdere details vrijgegeven konden worden met betrekking tot de link met een specifieke ransomware-operatie. Eerder dit jaar, in juni, werden American Airlines piloten al geïnformeerd over een datalek waarbij hun persoonlijke gegevens betrokken waren na een hack in april op Pilot Credentials, een externe dienstverlener voor pilotensollicitaties en -recruitmentportalen. Bij dit incident kregen aanvallers toegang tot gevoelige informatie van 5745 piloten en sollicitanten. De blootgestelde gegevens omvatten onder meer namen, sofinummers, rijbewijsnummers, paspoortnummers, geboortedata en nummers van luchtvaartcertificaten. In september 2022 meldde American Airlines nog een datalek dat meer dan 1.708 klanten en werknemers raakte na een phishingaanval in juli, waarbij meerdere e-mailaccounts van werknemers gecompromitteerd werden. Al eerder, in maart 2021, onthulde de luchtvaartmaatschappij een ander datalek na een aanval op het Passenger Service System (PSS) dat door meerdere luchtvaartmaatschappijen gebruikt wordt en beheerd door de wereldwijde luchtvaartinformatietechnologiegigant SITA. (bron, bron2)

De Opkomst van 8Base Ransomware: Een Dreiging voor de Gezondheidszorg

In oktober 2023 heeft de ransomwaregroep 8Base een Amerikaanse medische faciliteit aangevallen, waarmee de dreiging van deze cybercriminelen voor de Healthcare and Public Health (HPH) sector in de Verenigde Staten duidelijk wordt. De groep, actief sinds maart 2022, heeft in de zomer van 2023 zijn activiteiten geïntensiveerd met ongerichte aanvallen op verschillende sectoren, met een nadruk op de VS. 8Base hanteert dubbele afpersingstactieken en werkt als affiliate voor Ransomware-as-a-Service (RaaS)-groepen, waarbij voornamelijk kleine tot middelgrote ondernemingen het doelwit zijn. Hoewel er overeenkomsten zijn met andere ransomwarebendes, blijft veel over de identiteit, werkwijze en motieven van 8Base onbekend. De analyse bevat een overzicht van 8Base, mogelijke connecties met andere cyberdreigingen, een beschrijving van hun ransomwareaanvallen, de sectoren en landen die ze targeten, en de impact op de HPH sector. Ook worden de MITRE ATT&CK technieken die 8Base gebruikt, indicatoren van compromittering, en aanbevolen verdedigingsstrategieën en mitigatietechnieken tegen de groep besproken. Het volledige rapport is beschikbaar via de website van het Amerikaanse Department of Health and Human Services. Het artikel onderstreept het belang voor instellingen in de gezondheidszorg om zich bewust te zijn van en zich te beschermen tegen de groeiende dreiging van ransomware-aanvallen zoals die van 8Base. Met de toename van deze cyberaanvallen is proactieve beveiliging en continue waakzaamheid essentieel geworden voor de bescherming van gevoelige gegevens binnen de sector.

Okta Klantenbestanden Blootgesteld door Support Systeem Hack

In oktober heeft een cyberaanval op het klantenondersteuningssysteem van Okta geleid tot onbevoegde toegang tot bestanden van 134 klanten, wat minder dan 1% van het klantenbestand van Okta vertegenwoordigt. Dit beveiligingsincident, dat plaatsvond tussen 28 september en 17 oktober 2023, resulteerde in de diefstal van HAR-bestanden die sessietokens bevatten. Deze tokens werden vervolgens door de aanvallers gebruikt om in vijf gevallen daadwerkelijk sessies van legitieme Okta-gebruikers over te nemen. Onder de getroffen klanten bevinden zich bedrijven zoals 1Password, BeyondTrust en Cloudflare, die verdachte activiteiten opmerkten en Okta waarschuwden. Opvallend is dat, hoewel Okta op de hoogte werd gebracht van de sessie-kaping pogingen op 29 september, het bedrijf meer dan twee weken nodig had om de inbreuk officieel te bevestigen. De aanvallers waren in staat om het systeem binnen te dringen door gebruik te maken van inloggegevens van een support service account die zij hadden verkregen via de persoonlijke Google account van een Okta-medewerker. Hoewel Okta geen details heeft vrijgegeven over hoe de aanvallers precies aan deze inloggegevens zijn gekomen, werd gesuggereerd dat de persoonlijke Google account of persoonlijke apparaat van de medewerker gecompromitteerd zou kunnen zijn. Als reactie op de hack heeft Okta maatregelen getroffen om herhaling te voorkomen, waaronder het uitschakelen van het gecompromitteerde account, het blokkeren van persoonlijke Google profielen op door Okta beheerde apparaten, het implementeren van extra detectie- en monitoringsregels en het netwerkgebonden maken van sessietokens van beheerders. De afgelopen twee jaar heeft Okta te kampen gehad met meerdere inbreuken, waaronder het lekken van gevoelige broncode en aanvallen door het Lapsus$-afpersingsgroep. Onlangs is aan het licht gekomen dat ook persoonlijke informatie van bijna 5.000 huidige en voormalige werknemers is blootgesteld door een hack bij Rightway Healthcare, een zorgverlener van Okta. Hierbij zijn volledige namen, social security nummers en gegevens van ziektekostenverzekeringen gecompromitteerd. Okta heeft excuses aangeboden aan alle klanten en stelt maatregelen te hebben genomen om alle klanten te beschermen. (bron)

Cyberaanval Treft Ace Hardware: Meer dan Duizend Apparaten Geraakt

Ace Hardware, een coöperatie van ijzerwarenwinkels met vestigingen in de VS, China, Panama en de VAE, heeft bevestigd dat een cyberaanval haar IT-systemen heeft getroffen, wat resulteert in hinder voor lokale winkels en klanten bij het plaatsen van bestellingen. De coöperatie, met een jaarlijkse omzet van meer dan $9 miljard, werkt momenteel aan het herstel van 196 servers. De cyberaanval werd voor het eerst gemeld via Reddit, waar een kennisgeving aan winkeliers werd gepost over het voorval dat in het weekend plaatsvond. Kritieke operationele systemen, waaronder het management van magazijnen en diverse klantenservice platforms, zijn hierdoor verstoord of stopgezet. Leveringen zijn hierdoor ook negatief beïnvloed, en winkeliers wordt gevraagd voorlopig geen nieuwe bestellingen te plaatsen. Ace Hardware heeft IT-specialisten ingeschakeld om de getroffen systemen te herstellen. Echter, door de complexiteit van de situatie, kan men geen nauwkeurige informatie geven over het herstelproces. Een latere update heeft aangegeven dat de storing voor onbepaalde tijd zal voortduren, maar dat winkels open kunnen blijven en dat in-store betaalsystemen niet zijn beïnvloed. Volgens de laatste informatie van Reddit-gebruikers, die beweren winkeliers te zijn, liggen alle interne bedrijfssystemen nog steeds plat. De president en CEO van Ace Hardware, John Venhuizen, heeft bevestigd dat van de 1.400 servers en 3.500 netwerkapparaten, er 1.202 zijn getroffen door de aanval. Venhuizen geeft aan dat ongeveer 51% van de 196 servers inmiddels is hersteld en gecontroleerd door de IT-afdeling. In de strijd tegen deze cybercriminaliteit worden de aanvallers omschreven als niet meer dan misdadigers die zich schuilhouden in de schaduw. Terwijl Ace werkt aan het herstel, proberen cybercriminelen te profiteren door phishing-e-mails naar Ace-winkeliers te sturen en zich voor te doen als agenten van softwarebedrijven om aanmeldingsgegevens te ontfutselen. (bron, bron2, bron3)

KandyKorn: Nieuwe macOS Malware Richt Zich op Cryptocurrency Engineers

Een nieuwe vorm van macOS-malware, genaamd 'KandyKorn', is ontdekt in een campagne die wordt toegeschreven aan de Noord-Koreaanse hackergroep Lazarus. Deze groep heeft het specifiek voorzien op blockchain-ingenieurs werkzaam bij cryptocurrencybeurzen. De aanvallers doen zich voor als leden van de crypto-gemeenschap op Discord-kanalen en verspreiden Python-gebaseerde modules die een meerfasig infectieproces van KandyKorn in gang zetten. Elastic Security, die de aanvallen heeft ontdekt en toegewezen aan Lazarus, baseert dit op overeenkomsten met eerdere campagnes qua gebruikte technieken, netwerkinfrastructuur, code-ondertekeningcertificaten en aangepaste detectieregels van Lazarus. Het aanvalsproces begint met sociale manipulatie, waarbij slachtoffers worden verleid om een schadelijk ZIP-archief genaamd 'Cross-platform Bridges.zip' te downloaden, waarvan men denkt dat het een legitieme arbitragebot is voor geautomatiseerde winst met crypto-transacties. In plaats daarvan start het bijgevoegde Python-script ('Main.py') een reeks van 13 modules die de eerste payload, 'Watcher.py', lanceren. Deze downloader pakt vervolgens een tweede Python-script uit genaamd 'testSpeed.py' samen met een ander Python-bestand ('FinderTools'), gedownload van Google Drive. FinderTools dient als een dropper voor het uitvoeren van een gecamoufleerd binair bestand genaamd 'SugarLoader', die in contact staat met de command-and-control server om de finale payload, KandyKorn, in het geheugen te laden. KandyKorn fungeert als een geavanceerde backdoor die onder andere systeeminformatie kan verzamelen, bestanden kan uploaden/downloaden, en opdrachten kan uitvoeren, allemaal terwijl het onopgemerkt op de achtergrond draait. Het bevestigt de aandacht van de Lazarus-groep voor de cryptosector, gedreven door financieel gewin. De detectie van KandyKorn benadrukt dat macOS-systemen een duidelijk doelwit zijn binnen het bereik van Lazarus, en toont de groep hun opmerkelijke vermogen om gesofisticeerde en onopvallende malware te creëren voor Apple-computers. (bron)

Gezondheidszorgreus Henry Schein slachtoffer van BlackCat ransomware

De ransomwaregroep BlackCat, ook bekend als ALPHV, heeft bekendgemaakt dat ze succesvol het netwerk van Henry Schein, een vooraanstaande leverancier van gezondheidszorgoplossingen, hebben geschonden. Bij deze inbraak beweren ze tientallen terabytes aan gevoelige gegevens buitgemaakt te hebben, waaronder loonadministratie en informatie over aandeelhouders. Henry Schein, een Fortune 500-bedrijf met een omzet van meer dan 12 miljard dollar in 2022, actief in 32 landen, erkende op 15 oktober dat ze sommige systemen offline hebben gehaald als reactie op de cyberaanval die hun productie- en distributiesegmenten trof. Terwijl sommige bedrijfsactiviteiten hierdoor verstoord werden, bleef hun praktijkbeheersoftware, Henry Schein One, onaangetast. Na het incident heeft het bedrijf de relevante wetshandhavingsinstanties ingelicht en externe cyberveiligheids- en forensische experts ingeschakeld om het mogelijke datalek te onderzoeken. Klanten werden aangemoedigd om bestellingen te plaatsen via hun vertegenwoordiger bij Henry Schein of via speciale televerkoopnummers. Bijna twee weken na de eerste bekendmaking van de cyberaanval, plaatste de BlackCat-groep Henry Schein op hun darkweb-leksite, bewerend dat ze 35 TB aan gevoelige bestanden hebben gestolen en versleuteld, zelfs terwijl het bedrijf bezig was met het herstellen van zijn systemen. Ze geven aan dat ze deze actie ondernamen nadat onderhandelingen met het bedrijf mislukten en Henry Schein naar hun zeggen niet toonde bereid te zijn om de beveiliging van hun netwerk en de data van hun klanten, partners en werknemers serieus te nemen. Sindsdien is de vermelding van Henry Schein op de leksite van BlackCat verwijderd, wat kan wijzen op hervatte onderhandelingen of betaling van het losgeld. De BlackCat ransomware is sinds november 2021 actief en wordt vermoed een rebranding te zijn van de beruchte DarkSide/BlackMatter-groep. Deze groep kreeg wereldwijde aandacht na het infiltreren van Colonial Pipeline, wat leidde tot internationale rechtshandhavingsonderzoeken. In april 2022 linkte de FBI de groep aan meer dan 60 succesvolle aanvallen wereldwijd tussen november 2021 en maart 2022. (bron, bron2)

Grote Hypotheekverstrekker Mr. Cooper Getroffen door Cyberaanval

De Amerikaanse hypotheekverstrekker Mr. Cooper, eerder bekend als Nationstar Mortgage LLC, werd op 31 oktober 2023 het slachtoffer van een cyberaanval, wat het bedrijf dwong om zijn IT-systemen en online betaalportaal te sluiten. Mr. Cooper, gevestigd in Dallas, Texas, telt ongeveer 9.000 werknemers en bedient 4,1 miljoen klanten. Het is de grootste hypotheekdienstverlener van de VS met een portefeuille van $937 miljard aan leningen. Klanten die online hun hypotheek of leningen wilden aflossen, konden niet inloggen en werden geconfronteerd met een bericht over een technische storing. Het bedrijf verzekerde klanten dat er geen kosten of negatieve consequenties zouden zijn voor de betalingsachterstanden als gevolg van de storing en beloofde regelmatige updates. Na het detecteren van het beveiligingsincident startte Mr. Cooper de reactieprotocollen, waaronder het implementeren van maatregelen om systemen en gegevens te beschermen en bepaalde systemen uit voorzorg uit te schakelen. Er is een onderzoek ingesteld naar het incident en het bedrijf werkt aan een snelle oplossing. Inmiddels heeft Mr. Cooper klanten geïnformeerd over de aanval en beloofd geen kosten, boetes of negatieve kredietrapportages voor late betalingen in rekening te brengen. De aard van de cyberaanval is nog niet bevestigd, maar alles wijst op een ransomware-aanval, waarbij mogelijk klantgegevens zijn gestolen om als hefboom te dienen voor een losgeldeis. Mr. Cooper is nog bezig met het onderzoeken van de omvang van de datalek en zal getroffen klanten op de hoogte stellen indien hun gegevens tijdens de aanval zijn blootgesteld. Gezien de gevoelige aard van de informatie die Mr. Cooper beheert, waaronder financiële gegevens van klanten, wordt aangeraden om waakzaam te zijn voor phishingaanvallen en identiteitsdiefstal. Het incident benadrukt de noodzaak voor continue waakzaamheid en het belang van robuuste cybersecurity-maatregelen binnen de financiële sector. (bron)

HelloKitty Ransomware Benut Apache ActiveMQ Kwetsbaarheid

De HelloKitty ransomwaregroep heeft recent een kritieke kwetsbaarheid in Apache ActiveMQ uitgebuit om netwerken binnen te dringen en gegevens te versleutelen. Deze kwetsbaarheid, aangeduid als CVE-2023-46604, maakt het mogelijk voor aanvallers om willekeurige commando’s uit te voeren door misbruik te maken van geserialiseerde klasse types in het OpenWire protocol. Met een kritische CVSS v3 score van 10.0 werd het beveiligingsprobleem op 25 oktober 2023 aangepakt met een update, maar op 30 oktober waren er nog steeds 3.329 kwetsbare servers online blootgesteld. Rapid7 onthulde dat zij ten minste twee unieke gevallen hebben waargenomen waarin de kwetsbaarheid werd uitgebuit om HelloKitty ransomware uit te voeren en organisaties te chanteren. De HelloKitty ransomware, actief sinds november 2020 en onlangs gelekt op Russischsprekende cybercrimeforums, werd twee dagen na de beveiligingsupdate van Apache ingezet. Rapid7 analyseerde twee MSI-bestanden, vermomd als PNG-afbeeldingen, en ontdekte dat deze een .NET uitvoerbaar bestand bevatten dat een base64-gecodeerde .NET DLL laadt genaamd EncDLL, verantwoordelijk voor het stopzetten van processen, het versleutelen van bestanden en het toevoegen van een ".locked" extensie aan de versleutelde bestanden. Er zijn verschillende aanwijzingen gevonden van deze aanvallen, waaronder ongebruikelijke Java.exe-processen, het laden van verdachte binaire bestanden, mislukte pogingen tot versleuteling, en logboekvermeldingen die duiden op exploitatiepogingen. De FBI rapporteert uitgebreider over de indicatoren van compromittering van de HelloKitty ransomware. Met duizenden kwetsbare ActiveMQ-instanties die nog steeds online zijn, dringt ShadowServer er bij beheerders op aan om zo snel mogelijk de beschikbare beveiligingsupdates toe te passen. De kwetsbare versies variëren van 5.15 tot 5.18, waarbij updates beschikbaar zijn voor versies 5.15.16, 5.16.7, 5.17.6, en 5.18.3. Deze gebeurtenissen benadrukken het voortdurende risico van ransomware-aanvallen en de noodzaak voor organisaties om hun systemen proactief te beveiligen tegen dergelijke bedreigingen. (bron, bron2, bron3)

Boeing bevestigt cyberaanval: LockBit Ransomware Groep Eist Datalek

De lucht- en ruimtevaartreus Boeing heeft bevestigd dat het getroffen is door een cyberaanval die van invloed is op hun onderdelen- en distributiebedrijf. Deze bevestiging volgt op de beweringen van de LockBit ransomware-bende die claimt het netwerk van Boeing te hebben geschonden en gevoelige gegevens te hebben gestolen. Boeing heeft verzekerd dat de veiligheid van het vliegverkeer niet in het geding is en werkt actief samen met wetshandhavingsinstanties en regelgevende autoriteiten om het incident te onderzoeken. Klanten en leveranciers worden op de hoogte gesteld van de situatie. Op dit moment is de dienstverleningswebsite van Boeing niet bereikbaar door "technische problemen". Een woordvoerder van Boeing heeft aan BleepingComputer verklaard dat het bedrijf de aanspraken van LockBit dat zij data hebben ontvreemd, nog aan het beoordelen is. De ransomware-groep had eerder aangegeven dat zij aanzienlijke hoeveelheden gevoelige informatie hadden buitgemaakt en dreigden deze binnen vijf dagen openbaar te maken tenzij Boeing voor de deadline contact zou opnemen. Deze dreiging lijkt echter ingetrokken te zijn; de pagina op de dark web site van de cybercriminele operatie waar de gelekte data zou verschijnen, is verwijderd. De verwijdering van de datalekpagina kan wijzen op het begin van onderhandelingen over losgeld tussen Boeing en de ransomware-bende, of op het feit dat er al betaald is om publicatie van de gestolen bestanden te voorkomen en om een decryptietool te ontvangen. LockBit, een ransomware-as-a-service (RaaS) operatie die sinds september 2019 actief is, heeft eerder grote organisaties aangevallen zoals Continental, UK Royal Mail, en de Italiaanse belastingdienst. Volgens gezamenlijke advisering van cybersecurityautoriteiten uit de VS en andere landen heeft de operatie sinds 2020 minstens $91 miljoen geëist na ongeveer 1.700 aanvallen op Amerikaanse organisaties. Boeing is een van de grootste bedrijven in de lucht- en ruimtevaart en defensie-industrie en heeft meer dan 140.000 werknemers in dienst in de Verenigde Staten en in 65 landen wereldwijd. Het bedrijf ontwikkelt, vervaardigt en onderhoudt commerciële vliegtuigen, defensieproducten en ruimtesystemen voor klanten in meer dan 150 landen. (bron)

HAL Allergy Getroffen door BlackCat Cyberaanval

Op 2 november 2023 werd HAL Allergy, de Nederlandse producent van chemische stoffen, slachtoffer van een gerichte cyberaanval door BlackCat (ALPHV). Het incident werd bekendgemaakt op het darkweb, waarmee de ernst van de inbreuk onderstreept wordt. Dit benadrukt wederom de toenemende dreiging van cybercriminaliteit binnen de industrie en de noodzaak voor robuuste cybersecurity maatregelen. HAL Allergy is momenteel bezig met het onderzoeken van de aanval en het versterken van hun digitale beveiliging.

Verdere Datalekken door Daixin Cybercriminelen Team bij Bluewater Health en Andere Ziekenhuizen

Daixin Team heeft een tweede deel van datalekken gepubliceerd, betreffende vijf ziekenhuizen in Ontario die IT-diensten afnemen van TransForm SSO. Dit volgt op een eerste lek op 1 november, waarbij patiëntengegevens openbaar werden. De recente lekken bevatten veel interne ziekenhuisdocumenten, waaronder formulieren en administratieve zaken, evenals gegevens van werknemers. Gelukkig waren sommige van de gevoeligere bestanden, zoals die met disciplinaire informatie over personeel, wachtwoordbeveiligd. In deze nieuwe lichting data bevond zich ook patiëntinformatie, maar niet de gescande documenten zoals in de eerste lichting. Het ging onder meer om gegevens van COVID-19 vaccinaties, inclusief namen, datums en in sommige gevallen reacties of medische voorgeschiedenis van patiënten. Daarnaast werden er medicatiegerelateerde bestanden gelekt met namen van patiënten, diagnoses, voorgeschreven medicijnen, doseringen en commentaren betreffende de medicatieregimes. DataBreaches.net kon niet alle bestanden controleren en sluit niet uit dat er meer gegevens met patiënt- of werknemersinformatie zijn die nog niet beschreven zijn. Daixin Team heeft aangegeven dat er nog meer gegevens zullen volgen. Hun methode is consistent: zodra een deadline verstreken is, volgen de lekken elkaar snel op. Een interessant detail is dat de "volledige lek" mogelijk niet alle verkregen gegevens bevat. Volgens een woordvoerder overweegt Daixin verschillende strategieën voor het omgaan met niet-betalende slachtoffers, waaronder de verkoop van sommige data aan datahandelaars die het op hun beurt aan oplichters en andere groepen kunnen doorverkopen. DataBreaches.net kon niet bevestigen of deze verkoop daadwerkelijk zal plaatsvinden, aangezien Daixin niet openbaar maakt aan wie ze de data verkopen. Het is onduidelijk of Daixin deze tactiek inzet om slachtoffers tot betalen te dwingen, of dat het een waarschuwing is voor toekomstige slachtoffers. DataBreaches.net blijft de situatie nauwlettend in de gaten houden en zal updates blijven geven.

Okta Getroffen Door Datalek van Persoonsgegevens Via Zorgverlener

Authenticatiebedrijf Okta heeft een waarschuwing uitgegeven aan duizenden werknemers in verband met een datalek waarbij persoonlijke gegevens zijn blootgesteld. Dit incident kwam aan het licht nadat Okta een datalekmelding indiende bij de procureur-generaal van Maine in de Verenigde Staten. De gelekte informatie omvat namen, social-securitynummers en zorgverzekeringsdetails. De bron van het lek is Rightway, een zorgaanbieder die diensten levert aan Okta. Rightway informeerde Okta op 12 oktober over de ongeautoriseerde toegang tot een bestand met gegevens van ongeveer 5000 Okta-werknemers. De diefstal van dit bestand vond plaats op 23 september, maar meer specifieke details over de inbraak en diefstal zijn niet verstrekt. Okta heeft de betrokken medewerkers per brief op de hoogte gebracht en vermeld dat er tot nu toe geen indicatieszijn van misbruik van de gestolen gegevens. Als preventieve maatregel biedt Okta aan het getroffen personeel twee jaar lang gratis toegang tot diensten voor kredietbewaking, identiteitsherstel en fraudepreventie. Okta is een prominent platform dat wereldwijd door duizenden bedrijven gebruikt wordt voor het beheer van toegang tot systemen en applicaties door werknemers. Het datalek onderstreept het belang van cybersecurity binnen de keten van toeleveranciers en de noodzaak voor bedrijven om waakzaam te blijven tegen inbreuken op gegevens. (bron)

Grootschalig Misbruik van Kritiek NetScaler-lek Ontregelt Overheidsinstanties en Techbedrijven

Een ernstige kwetsbaarheid in NetScaler ADC en NetScaler Gateway, veelgebruikt voor verkeersverdeling en thuiswerken, is doelwit van massale cyberaanvallen. Securityspecialist Mandiant rapporteert dat overheidsorganen en technologiebedrijven zijn gecompromitteerd, waarbij ook ransomwaregroepen zich mengen in de aanvallen. De kwetsbaarheid, geïdentificeerd als CVE-2023-4966, maakt het mogelijk voor ongeautoriseerde aanvallers om geheugeninhoud te onderscheppen en gebruikerssessietokens te stelen. Deze tokens bieden aanvallers toegang tot systemen zonder verdere verificatie. Aanvallers maken misbruik van deze situatie door systemen te verkennen, inloggegevens te ontvreemden en zich via RDP lateraal door netwerken te verplaatsen. Het onderzoek naar misbruik wordt bemoeilijkt doordat webservers geen verzoeken of fouten loggen die naar het kwetsbare endpoint leiden. Citrix, de ontdekker van het lek, heeft op 10 oktober een beveiligingsupdate uitgebracht. Desondanks werd de kwetsbaarheid al vanaf eind augustus misbruikt, met een significante toename van de aanvallen in de recente week. De dringende oproep van Citrix aan organisaties om de update te installeren onderstreept de ernst van de situatie. Volgens Mandiant zijn er minstens vier verschillende groeperingen actief in het exploiteren van het lek, terwijl beveiligingsonderzoeker Kevin Beaumont spreekt over "zeer veel groepen". Hij vergelijkt de huidige status van het lek met een "1998-achtige kwetsbaarheid" in remote access-oplossingen, waarbij het lijkt alsof aanvallers sessietokens verzamelen "alsof het Pokémon zijn". De brede impact en de toegenomen activiteit rond dit lek benadrukken de noodzaak voor organisaties om de beveiligingsupdate onverwijld te implementeren en hun cyberweerbaarheid te versterken. (bron, bron2)

Cyberaanvalkosten in de scheepvaartsector schieten omhoog

De kosten van cyberaanvallen in de scheepvaartsector zijn het afgelopen jaar drastisch toegenomen. Dit blijkt uit een onderzoek van het advocatenkantoor HFW en cybersecuritybedrijf CyberOwl. Waar een gemiddelde cyberaanval in 2022 nog zo'n 182.000 dollar kostte, is dat bedrag in 2023 gestegen naar ongeveer 550.000 dollar. De schade is niet enkel financieel; het toont ook dat de maritieme industrie een makkelijke prooi blijft voor cybercriminelen. Ondanks verbeteringen in de cyberbeveiliging binnen de sector, blijkt uit het rapport dat maar liefst 15% van de ondervraagden te maken heeft gehad met hackers. Opvallend is dat een derde van de bedrijven minder dan 100.000 dollar per jaar besteedt aan cybersecurity en een kwart heeft zelfs geen verzekering voor dergelijke incidenten. Toch is er een positieve trend merkbaar: 80% van de respondenten weet direct hoe te handelen bij een cyberaanval, een verbetering ten opzichte van de 74% in 2022. Tom Walters van HFW wijst op de urgentie van het probleem, aangezien technologie steeds meer geïntegreerd wordt in de maritieme sector. Het verhoogt de kans op cyberaanvallen die vitale systemen kunnen treffen met potentieel desastreuze gevolgen voor de wereldwijde toeleveringsketen, zoals geïllustreerd door het incident met het containerschip Ever Given. Daniel Ng van CyberOwl bevestigt dat het bewustzijn rondom cyberveiligheid verbetert, maar benadrukt de noodzaak voor sectorspecifieke kennis en het delen van informatie om nieuwe risico's doeltreffend te kunnen adresseren. (bron)

Cyberaanval legt Bauer AG (D) plat: Omvangrijke verstoringen in bedrijfsvoering

De Duitse specialist in diepbouw, Bauer AG, is het slachtoffer geworden van een ernstige cyberaanval. Door deze aanval zijn de bedrijfswebsites onbereikbaar en ondervindt de bedrijfsvoering wereldwijd aanzienlijke hinder. Dit incident, dat op 1 november 2023 plaatsvond, benadrukt de groeiende dreiging van cybercriminaliteit voor bedrijven. Bauer AG, gevestigd in het Beierse Schrobenhausen en werkgever van ongeveer 12.000 mensen, rapporteerde dat ondanks strenge veiligheidsprotocollen, onbekende aanvallers toegang hebben verkregen tot de bedrijfsservers. Als voorzorgsmaatregel heeft het bedrijf op 30 oktober verschillende systemen, inclusief de websites, uitgeschakeld. De impact van de aanval blijft voelbaar, met aanhoudende operationele beperkingen voor hun zakenpartners. Om de crisis aan te pakken, heeft Bauer AG extra specialisten ingeschakeld om samen met de interne IT-afdeling de situatie te analyseren en aan een herstel te werken. Er is nog geen duidelijkheid over wanneer de systemen volledig hersteld zullen zijn. De relevante autoriteiten zijn inmiddels op de hoogte gesteld van de cyberinbreuk. De aanval op Bauer AG is de nieuwste in een serie incidenten die grote concerns treffen, waaronder Deutsche Leasing, Evotec, Rheinmetall, Thyssenkrupp en Sixt. De omvang van de schade die door cyberaanvallen wordt veroorzaakt, wordt vaak pas later duidelijk. Zo ontdekte Continental na een zomerse aanval dat hackers 40 terabyte aan data hadden ontvreemd en was Deutsche Leasing genoodzaakt te erkennen dat gevoelige informatie op het darknet was verschenen. Evotec heeft zelfs een aanzienlijke daling in omzet en winst moeten rapporteren als gevolg van hun cyberaanval. Het artikel benadrukt het toenemende risico van cybercriminaliteit voor bedrijven en onderstreept de noodzaak van robuuste cyberverdediging en responsstrategieën. (bron)

Cyberaanvallen op politiewebsites in Mecklenburg-Voor-Pommeren (D)

Sinds dinsdagavond zijn de websites van de staatspolitie van Mecklenburg-Voor-Pommeren het doelwit van cyberaanvallen. Volgens het ministerie van Binnenlandse Zaken in Schwerin zijn de Onlinewache en het MV-Serviceportal slechts beperkt toegankelijk. IT-specialisten van het Data Processing Center Mecklenburg-Voor-Pommeren merkten een sterke toename in het verkeer naar deze websites op. Deze recente aanvallen lijken sterk op een incident dat zich in april voordeed. Innenminister Christian Pegel (SPD) verklaart dat uit eerste analyses blijkt dat de servers overbelast raken door een massale hoeveelheid aanvragen. Specialisten zijn momenteel druk bezig om de aanvallen onder controle te krijgen en hebben al enkele aanvallers geïdentificeerd en geblokkeerd. Hoewel de Onlinewache mogelijk maar beperkt functioneert, benadrukt het ministerie dat depolitieoperaties niet gehinderd worden door de cyberaanvallen. De politie blijft toegankelijk voor het publiek via alle dienstbureaus en telefonisch. Dit is niet het eerste cyberveiligheidsincident in de regio; in augustus was er nog een aanval op het regeringsportaal van Mecklenburg-Voor-Pommeren. (bron)

Wereldwijde Overheidsnetwerken Doelwit van 'Citrix Bleed' Exploitatie

Wereldwijd worden overheids-, technische en juridische organisaties getroffen door cyberaanvallen die misbruik maken van de 'Citrix Bleed' kwetsbaarheid, aangeduid als CVE-2023-4966. Deze zwakke plek in de beveiliging van Citrix NetScaler ADC en Gateway apparatuur is actief geëxploiteerd sinds eind augustus 2023, zo meldt het beveiligingsbedrijf Mandiant. Deze kwetsbaarheid stelt aanvallers in staat gevoelige informatie te onderscheppen en multifactor authenticatie te omzeilen. Specifiek maken de aanvallers gebruik van gemanipuleerde HTTP GET-verzoeken om zo sessiecookies te verkrijgen, die normaal na een succesvolle authenticatie en MFA-check worden uitgegeven. Met deze cookies kunnen de aanvallers zich ongeautoriseerd toegang verschaffen tot de apparaten zonder verdere MFA-verificatie. Citrix heeft een reparatie uitgebracht en dringt er bij beheerders op aan om hun systemen te beveiligen tegen deze laagdrempelige aanvallen die geen interactie van gebruikers vereisen. Onderzoekers van AssetNote hebben een proof-of-concept exploit gepubliceerd die aantoont hoe een NetScaler account kan worden overgenomen via sessietoken diefstal. De stealth-aard van deze aanvallen wordt versterkt door het gebrek aan logbestanden op de Citrix apparatuur, wat de opsporing bemoeilijkt. Detectie is mogelijk door verkeer te monitoren via web application firewalls en andere netwerkmonitoringtools. Zodra de aanvallers toegang hebben verkregen, gebruiken ze subtiele technieken en bekende administratieve tools voor netwerkreconnaissance, het stelen van inloggegevens en laterale bewegingen binnen het netwerk. Mandiant heeft specifieke indicatoren van compromittering (IoCs) en een Yara-regel uitgebracht om het FREEFIRE achterdeurprogramma te detecteren. Zij melden dat de vier geïdentificeerde dreigingsactoren overlap vertonen in hun handelingen na een exploitatie. Het is cruciaal dat organisaties de beveiligingsupdates toepassen en een volledig incidentresponsplan uitvoeren om bestaande inbreuken aan te pakken en systemen te herstellen. Mandiant heeft hiervoor een specifieke herstelgids beschikbaar gesteld. (bron, bron2, bron3)

Uitschakeling van omvangrijk IoT-botnet Mozi door killswitch

In november 2023 werd het Mozi-botnet, actief sinds 2019 en verantwoordelijk voor de infectie van ruim 1,5 miljoen Internet of Things (IoT) apparaten, succesvol uitgeschakeld door een killswitch. Dit netwerk van gehackte apparaten, waaronder digitale videorecorders, was geïnfecteerd door zwakke Telnet-wachtwoorden en bekende veiligheidslekken te misbruiken. De malware werd ingezet voor ddos-aanvallen en cryptomining. In 2021 kwam aan het licht dat via besmette routers, die deel uitmaakten van Mozi, man-in-the-middle-aanvallen plaatsvonden, aldus Microsoft. Het opmerkelijke aan de deactivering was dat het botnet plots verdween nadat er een update naar de geïnfecteerde apparaten werd gestuurd. Deze update, met kenmerken gelijkend op de Mozi-malware, fungeerde als killswitch door de malware uit te schakelen en systeemservices zoals sshd en dropbear stop te zetten. Verder werd het Mozi-bestand door de update zelf vervangen en werden toegangen tot verschillende poorten geblokkeerd. De gelijkenis met de Mozi-code suggereert dat de beheerders van het botnet zelf achter de killswitch zouden kunnen zitten. Er bestaat een vermoeden dat dit gebeurde onder dwang van de Chinese autoriteiten, aangezien het merendeel van de besmette apparaten zich in China bevond en de botnetauteurs eerder door de Chinese overheid waren aangehouden. Dit nieuws duidt op een ongekende actie in de strijd tegen cybercriminaliteit, waarbij het neutraliseren van een massaal botnet een significante impact heeft op de online veiligheid. (bron)

Nederlandse Chemieproducent TANATEX Doelwit van Cyberaanval

Op 1 november 2023 werd bekend dat TANATEX Chemicals, een prominente Nederlandse chemieproducent, slachtoffer is geworden van een cyberaanval. Cybercriminelen, die opereren onder de naam Metaencryptor, hebben de aanval geclaimd en dit openbaar gemaakt op het darkweb. De aanval trof tanatexchemicals.com, waarbij kritieke bedrijfsgegevens mogelijk zijn gecompromitteerd. Deskundigen benadrukken het belang van verscherpte cybersecurity-maatregelen binnen de chemische sector. Meer details volgen naarmate het onderzoek vordert. (anoniem)

Grote Cyberaanval Legt British Library Plat

De British Library is getroffen door een ernstige IT-storing als gevolg van een "cyberincident" dat plaatsvond op zaterdag 28 oktober. De storing heeft niet alleen invloed op de website van de bibliotheek, maar ook op vele andere diensten, waaronder telefonische services en fysieke bibliotheekfaciliteiten in Londen en Yorkshire. Desondanks zijn de leeszalen voor persoonlijke studie nog steeds operationeel en zijn collectie-items die vóór 26 oktober zijn aangevraagd, op locatie toegankelijk. De British Library onderzoekt het incident met ondersteuning van het National Cyber Security Centre (NCSC) en cybersecurityspecialisten. Tot op heden heeft de bibliotheek nog geen details vrijgegeven over de aard van de aanval en hoe de kwaadwillende actoren het systeem hebben weten te infiltreren. Ook is nog niet duidelijk of persoonlijke of financiële gegevens van klanten of medewerkers zijn geraadpleegd of ontvreemd tijdens het incident. Ondanks de beperkingen is er nog steeds een beperkte handmatige bestelling van collectiestukken mogelijk in Londen via gedrukte catalogi in St Pancras. Er is echter geen toegang tot digitale collecties of de digitale catalogus, en kaartjes voor tentoonstellingen kunnen alleen persoonlijk en contant worden gekocht. De bibliotheek meldt dat openbare evenementen volgens planning doorgaan, maar alleen contante betalingen op locatie worden geaccepteerd. De British Library is een van de grootste bibliotheken ter wereld, met een collectie die meer dan 150 miljoen items omvat, opgeslagen op 625 km aan planken. De bibliotheek ontvangt jaarlijks meer dan 11 miljoen online bezoekers, terwijl meer dan 16.000 mensen dagelijks gebruikmaken van haar collecties, zowel online als op locatie.

Waarschuwing: Phishingmail gericht op tandartspraktijken doet zich voor als 'nepklacht'

Op 31 oktober 2023 waarschuwde de Koninklijke Nederlandse Maatschappij tot bevordering der Tandheelkunde (KNMT) voor een specifieke phishingmail die gericht is op tandartspraktijken. De mail bevat een valse klacht van een patiënt die beweert slecht behandeld te zijn en zelfs melding maakt van racisme. De afzender van de e-mail beweert een filmpje van het incident te hebben gemaakt en dreigt dit openbaar te maken. Er wordt een link bijgevoegd waarop geklikt kan worden om het vermeende filmpje te bekijken. KNMT drukt op het hart om niet op de link te klikken en de e-mail direct te verwijderen. De organisatie heeft meerdere meldingen ontvangen van tandartspraktijken die een soortgelijke e-mail hebben ontvangen. In de mail wordt de ontvanger gevraagd om op een bijgevoegde link te klikken om een filmpje te bekijken. Het advies is om dit absoluut niet te doen, omdat dit een phishingpoging is.

Naast de waarschuwing geeft KNMT ook algemene tips om veilig te blijven bij het gebruik van e-mail:
- Wees alert op berichten van onbekende afzenders en open nooit zomaar bijlagen of links.
- Gebruik antivirus- en anti-malwareprogramma's.
- Houd software en besturingssystemen up-to-date.
- Zorg voor back-ups van patiëntendossiers en persoonsgegevens van medewerkers, zowel in de cloud als op een fysiek extern medium.

Het is cruciaal om deze waarschuwingen serieus te nemen om de integriteit van de tandartspraktijken en de veiligheid van patiëntgegevens te waarborgen. (bron)

Internationale Alliantie Tegen Betalingen aan Ransomware Bendes

Een samenwerking van 40 landen is van plan om tijdens de derde jaarlijkse Internationale Counter-Ransomware Initiatief-top in Washington D.C. een overeenkomst te tekenen om te stoppen met het betalen van losgeld aan cybercriminele groepen. Deze toezegging komt als reactie op de wereldwijde toename van ransomware-aanvallen, waarbij de Verenigde Staten het doelwit zijn van ongeveer 46% van deze incidenten, aldus Anne Neuberger, de plaatsvervangend nationaal veiligheidsadviseur van het Witte Huis voor Cyber en Opkomende Technologieën. Vanaf woensdag zullen tijdens de top ook internationale discussies worden gevoerd over strategieën om de fondsen te blokkeren die door ransomwaregroepen worden gebruikt om hun operaties te financieren. De financiering van ransomware is een probleem dat geen grenzen kent. "Zolang er geld naar ransomware-criminelen blijft stromen, zal het probleem blijven groeien," aldus Neuberger. Hoewel vertegenwoordigers van 48 landen, de Europese Unie en Interpol deze week de Counter-Ransomware Initiatief-top zullen bijwonen, hebben niet alle partijen bevestigd dat ze de anti-ransomware verklaring van deze week zullen ondertekenen. Recente gegevens van de NCC Group tonen een totaal van 514 ransomware-aanvallen in september, een record dat het vorige record van 459 incidenten in maart 2023 overtreft. Geografisch gezien vonden de meeste van deze aanvallen plaats in Noord-Amerika (50%), gevolgd door Europa (30%) en Azië (9%). De afgelopen twee jaar hebben meerdere regeringen ernstige gevolgen ondervonden van ransomware-aanvallen op kritieke infrastructuur en overheidsorganen. Costa Rica was zelfs gedwongen om een nationale noodtoestand uit te roepen na de Conti ransomware-aanvallen in mei 2022. (bron, bron2)

Malafide NuGet Pakketten Misbruiken MSBuild om Stiekem Malware te Installeren

Een recent ontdekte typosquatting-campagne maakt gebruik van malafide NuGet-pakketten die MSBuild van Visual Studio misbruiken om code uit te voeren en onopgemerkt malware te installeren. NuGet is een open-source pakketbeheersysteem gericht op .NET-bibliotheken, populair onder Windows-ontwikkelaars. De campagne werd voor het eerst opgemerkt door ReversingLabs op 15 oktober 2023 en gebruikt verschillende pakketnamen zoals `CData.NetSuite.Net.Framework` en `ZendeskApi.Client.V2` om malware te verspreiden. Het unieke aan deze campagne is het gebruik van NuGet’s MSBuild-integratie om code uit te voeren, in plaats van de traditionele methode waarbij downloaders zijn ingebed in de installatiescripts. MSBuild is een functie in NuGet die ontwikkelaars in staat stelt om het bouw- en testproces te automatiseren en om aangepaste acties te definiëren. Echter, deze functionaliteit opent ook nieuwe wegen voor kwaadwillenden om scripts automatisch uit te voeren tijdens de installatie van een pakket. De kwaadaardige code wordt verborgen in het `<packageID>.targets` bestand in de 'build' map en implementeert functionaliteit die eerder werd uitgevoerd door PowerShell-scripts. Bij uitvoering haalt de code een uitvoerbaar bestand op van een externe locatie en voert dit uit in een nieuw proces. Deze techniek werd voor het eerst geïntroduceerd in 2019 maar wordt nu voor het eerst op deze schaal misbruikt. ReversingLabs geeft aan dat deze nieuwe tactiek deel uitmaakt van een lopende campagne die in augustus 2023 is begonnen en dat de aanvallers doorgaan met het aanpassen van hun technieken om steeds heimelijker te werk te gaan. (bron)

Actieve Aanvallen op F5's BIG-IP Servers Door Ernstige Kwetsbaarheden

Ben je een gebruiker van F5's BIG-IP servers? Let dan goed op, want er is een dringende waarschuwing uitgegaan over een ernstige kwetsbaarheid in deze servers. F5 heeft hier zelf recentelijk voor gewaarschuwd. Hoewel er een beveiligingspatch beschikbaar is sinds 26 oktober, is uit een recente update van het beveiligingsbulletin gebleken dat deze kwetsbaarheid nu actief wordt geëxploiteerd. De kwetsbaarheid, bekend als CVE-2023-46748, maakt het voor een ongeauthenticeerde aanvaller mogelijk om de authenticatie van de configuratietool te ontwijken en op afstand kwaadaardige code uit te voeren. Aanvallers gebruiken deze toegang om vervolgens een andere kwetsbaarheid te misbruiken en volledige controle over het systeem te verkrijgen. De eerste kwetsbaarheid heeft een impactscore van 9.8 op een schaal van 1 tot 10, terwijl de tweede, die SQL Injection mogelijk maakt, een score van 8.8 heeft. F5 heeft indicators of compromise (IoC's) beschikbaar gesteld waarmee organisaties kunnen controleren of hun systemen zijn gecompromitteerd. Bovendien zijn er al proof-of-concept exploits opgedoken op het internet slechts drie dagen na het uitbrengen van de patch. Meerdere 'threat actors' zijn actief betrokken bij deze aanvallen. Als je een BIG-IP server gebruikt, is het dus cruciaal om zo snel mogelijk de beschikbare beveiligingsupdates te implementeren. Neem deze waarschuwing serieus en handel onmiddellijk om je systemen te beveiligen. (bron)

Criminele Groep Misbruikt .US Top-Level Domein voor Malafide URL-Shortener

Een recent onderzoek van securitybedrijf Infoblox heeft aangetoond dat een criminele organisatie, genaamd 'Prolific Puma', het Amerikaanse top-level domein (.US) gebruikt om een malafide URL-shortener te creëren. Deze URL-shortener wordt vervolgens ingezet om verkorte links te genereren die leiden naar websites voor phishing, malware of andere frauduleuze praktijken. Sinds april van dit jaar heeft de groep tussen de 35.000 en 75.000 unieke .US domeinnamen geregistreerd. Deze domeinnamen zijn meestal drie of vier karakters lang en worden gegenereerd via een algoritme. Interessant is dat de groep vaak de domeinregistrar NameSilo gebruikt voor de registratie, die slechts een e-mailadres en betaalmethode vereist. Dit betekent dat ze relatief anoniem kunnen blijven, ondanks dat het .US domein normaliter transparantie vereist met publiekelijk zichtbare persoonlijke gegevens. Infoblox benadrukt dat het opmerkelijk is hoe deze criminele groep zo'n groot aantal .US domeinen weet te registreren, gezien de vereiste transparantie van dit top-level domein. Desondanks lijkt de groep een manier te hebben gevonden om de registratiegegevens toch af te schermen, wat in strijd is met de voorwaarden van het .US domein. Het onderzoek toont aan dat het huidige systeem van domeinregistratie onvoldoende barrières biedt tegen misbruik door criminelen. (bron)

Apple waarschuwt Indiase oppositieleider Rahul Gandhi voor mogelijke staatsgesponsorde cyberaanval

Apple heeft de Indiase oppositieleider Rahul Gandhi gewaarschuwd voor een mogelijke cyberaanval op zijn iPhone, uitgevoerd door een staatssponsor. Tijdens een persconferentie deelde Gandhi een kopie van de e-mail die hij van Apple had ontvangen. Naast Gandhi werden ook andere politici in India over een vergelijkbaar risico geïnformeerd. In de e-mail werden diverse veiligheidsmaatregelen aanbevolen, waaronder het updaten naar iOS 17.1 en het inschakelen van Lockdown Mode om spyware-infecties te verminderen. Apple heeft niet veel details prijsgegeven over de aard van de mogelijke aanvallen, maar benadrukt dat staatsgesponsorde aanvallen doorgaans goed gefinancierd, geraffineerd en aan verandering onderhevig zijn. Detectie van dergelijke aanvallen is ingewikkeld omdat de gebruikte signalen vaak onvolledig en imperfect zijn. Daarnaast geeft Apple aan dat sommige meldingen vals alarm kunnen zijn en dat niet alle aanvallen gedetecteerd kunnen worden. Het techbedrijf benadrukt dat ze geen aanvullende informatie kunnen verstrekken omdat dit de aanvallers zou kunnen helpen om in de toekomst niet gedetecteerd te worden. De waarschuwing komt na berichtgeving eerder dit jaar waarin Financial Times aangaf dat de Indiase overheid op zoek is naar een alternatief voor de Pegasus-spyware. Deze spyware is in het verleden gebruikt om de iPhones van politici, advocaten, en mensenrechtenactivisten te infecteren. De Indiase overheid zou een alternatief zoeken vanwege groeiende zorgen rondom het 'PR-probleem' dat ontstaat wanneer de spyware wordt ontdekt en daaropvolgende waarschuwingen aan potentiële slachtoffers worden verstuurd. (bron, bron2, bron3)

Unibot Lijdt aanzienlijke verlies van $560.000 door Cyberaanval

Unibot, een populaire Telegram-bot voor de handel op de Uniswap-exchange, is het slachtoffer geworden van een cyberaanval die een verlies van ongeveer $560.000 heeft veroorzaakt. Deze aanval vond plaats op 31 oktober 2023, slechts twee dagen nadat Unibot een nieuw contract had uitgebracht. Het geld werd gestolen in de vorm van meme-munten van Unibot-gebruikers. Het beveiligingsbedrijf Scopescan identificeerde de kwetsbaarheid in het nieuwe Unibot-contract en informeerde de gebruikers over de exploitatie. Het bedrijf adviseerde Unibot-gebruikers om de goedkeuring voor het uitgebuite contract in te trekken en hun fondsen naar een nieuwe portemonnee over te dragen. Het onderzoek toonde aan dat de aanvallers de gestolen meme-munten omzetten in Ethereum. Verschillende betrokken cryptocurrencies, zoals Joe (JOE), UNIBOT en BeerusCat (BCAT), werden geïdentificeerd als een belangrijk deel van de gestolen activa. Naar aanleiding van het incident kelderde de waarde van het Unibot-token met meer dan 40%, van $57,56 naar $32,94, binnen slechts één uur. Unibot heeft beloofd alle getroffen gebruikers te compenseren en werkt aan het oplossen van de veiligheidskwesties. Het is nu de vraag hoe succesvol Unibot zal zijn bij het terugvorderen van de gestolen activa, aangezien sommige aanvallers in het verleden gestolen fondsen hebben teruggegeven wanneer een premie werd aangeboden. Deze aanval benadrukt nogmaals de kwetsbaarheden in de snelgroeiende cryptosector en onderstreept de noodzaak voor verbeterde beveiligingsmaatregelen. (bron)

Cyberaanval op Hochschule Hannover: IT-Infrastructuur Grotendeels Uitgeschakeld

Op 30 oktober 2023 werd de Hochschule Hannover (HsH) het slachtoffer van een cyberaanval, waarbij een Verschlüsselungstrojaner (encryptietrojan) werd ingezet. De centrale IT-afdeling van de hogeschool merkte ongewone activiteiten op in hun systemen en heeft als voorzorgsmaatregel grote delen van de IT-infrastructuur uitgeschakeld. Op dit moment zijn e-mailcommunicatie en telefonische bereikbaarheid ernstig beperkt, en toegang tot centraal opgeslagen bestanden is niet mogelijk. De hogeschool is bezig met het analyseren van de aanval in samenwerking met externe cybersecurity-experts. Het is nog niet bekend of er naast de versleuteling van gegevens ook dataverlies is opgetreden. De instanties voor criminele en gegevensbescherming van de deelstaat Niedersachsen zijn ingelicht en er is een crisisteam opgezet door het bestuur van dehogeschool. Microsoft Teams en Zoom zijn nog steeds operationeel, maar Single-Sign-On (SSO) toegang tot andere systemen zoals moodle en de Academic Cloud is niet mogelijk. Belangrijk om op te merken is dat de basis- en examengegevens van studenten niet door de aanval zijn getroffen, hoewel toegang hiertoe momenteel ook niet beschikbaar is. Een alternatief e-mailsysteem zal zo snel mogelijk worden ingevoerd en updates worden voortdurend op de website van de hogeschool gepubliceerd. Ondanks de IT-storingen gaan onderwijsactiviteiten grotendeels door zoals gepland, en eventuele effecten op examens zullen door de examencommissies in overweging worden genomen. Het personeel werkt in afstemming met hun supervisors en kan lokaal inloggen op hun werkstations. (bron)

Russische Hackersgroep Beweert Verantwoordelijk te Zijn voor Cyberaanval op Website van Manchester Airport

Op 30 oktober 2023 werd de website van Manchester Airport slachtoffer van een cyberaanval. De Russische hackersgroep UserSec eiste de verantwoordelijkheid voor de aanval op en beweerde specifiek Britse luchthavens te willen targeten. De groep kondigde aan dat Manchester Airport de eerste in een reeks van dergelijke aanvallen zou zijn. Volgens een bericht van UserSec op Telegram zou de website tot 17:30 uur Britse tijd onbereikbaar blijven. Echter, om 16:15 uur was de website alweer operationeel. Interessant is dat de vluchten en andere luchthavenoperaties niet zijn beïnvloed door deze cyberaanval. Passagiers ondervonden geen hinder en het dagelijkse luchthavenverkeer ging ongestoord door. Manchester Airport zelf heeft de bron van de cyberaanval nog niet kunnen bevestigen. Het National Cyber Security Centre (NCSC) is op de hoogte en is een onderzoek gestart naar het incident. Eerder dit jaar claimden UserSec en een andere groep genaamd Anonymous Russia achter een reeks cyberaanvallen op Britse luchthavens te zitten, waaronder London City Airport en Birmingham Airport. Beide luchthavens ondervonden ook verstoringen op hun websites op 19 juli. De aanval op Manchester Airport was een zogenaamde DDOS-aanval, waarbij de systemen overbelast worden totdat ze niet meer naar behoren functioneren. Ondanks de claim van UserSec dat ze de website tot een bepaalde tijd offline zouden houden, is het ze niet gelukt om langdurige schade aan te richten. (bron)

SEC Klaagt SolarWinds en CISO Aan: Een Waarschuwing voor Bedrijven over Cybersecurity en Transparantie

De Amerikaanse beurswaakhond, de Securities and Exchange Commission (SEC), heeft een aanklacht ingediend tegen softwarebedrijf SolarWinds en haar Chief Information Security Officer (CISO) voor misleiding en fraude omtrent hun cybersecurity-praktijken. SolarWinds is het bedrijf achter Orion, een softwareoplossing die veelvuldig gebruikt wordt om IT-omgevingen te monitoren. In 2020 werd duidelijk dat aanvallers de software hadden gecompromitteerd via een achterdeur in de officiële updates, waardoor 18.000 klanten werden getroffen. Volgens de SEC heeft SolarWinds haar investeerders misleid door te overdrijven over de effectiviteit van haar cybersecurity-maatregelen en door bekende risico's niet te melden. Terwijl het bedrijf en de CISO zich bewust waren van aanzienlijke tekortkomingen in hun cybersecurity, communiceerden ze naar de buitenwereld toe dat alles in orde was. Zo bleek uit interne assessments en communicatie dat er ernstige vragen waren over de bekwaamheid van het bedrijf om zichzelf en haar belangrijkste assets adequaat te beschermen tegen cyberaanvallen. Na de bekendmaking van de cyberaanval in december 2020 daalde de beurskoers van het bedrijf met 35%. De SEC stelt dat de aanklacht niet alleen bedoeld is om SolarWinds en de CISO te straffen, maar ook als een waarschuwing naar andere bedrijven om hun cybersecurity serieus te nemen en transparant te zijn naar investeerders. Deze zaak onderstreept het belang van een grondige en eerlijke aanpak van cybersecurity en de noodzaak voor bedrijven om zowel intern als extern transparant te zijn over de risico's en uitdagingen die zij op dit gebied ervaren. (bron)

LastPass Beveiligingslek Leidt tot Diefstal van $4,4 Miljoen aan Cryptocurrency

Op 25 oktober 2023 werd er $4,4 miljoen aan cryptocurrency gestolen uit digitale portemonnees, dankzij privésleutels en wachtwoordzinnen die waren opgeslagen in gehackte databases van LastPass. Dit volgens onderzoek van crypto fraudeonderzoekers ZachXBT en MetaMask-ontwikkelaar Taylor Monahan. De diefstal komt na twee eerdere beveiligingsincidenten bij LastPass in 2022, waarbij broncode, klantgegevens en gecodeerde wachtwoordkluizen werden gestolen uit cloudservices. LastPass CEO Karim Toubba verklaarde destijds dat de gestolen gecodeerde wachtwoordkluizen alleen toegankelijk zouden zijn voor klanten die de masterwachtwoorden kennen. Echter, voor gebruikers met zwakkere wachtwoorden bestond het risico van kraken door speciale software. De onderzoekers hebben vastgesteld dat de dreigingsactoren inderdaad deze wachtwoordkluizen hebben gekraakt om toegang te krijgen tot de cryptocurrency-portemonneegegevens van de slachtoffers. Dit onderzoek heeft een unieke digitale handtekening gegenereerd die meer dan $35 miljoen aan diefstallen koppelt aan dezelfde dreigingsactoren. Hieruit blijkt dat de kwaadwillenden succesvol wachtwoorden hebben gekraakt en de gestolen informatie gebruiken voor verdere aanvallen. Als gevolg hiervan wordt LastPass-gebruikers die gedurende de beveiligingsincidenten in augustus en december 2022 een account hadden, dringend geadviseerd al hun wachtwoorden te resetten. (bron, bron2, bron3)

Cyberaanval Legt Systemen Toronto (VS) Openbare Bibliotheek Plat

De Toronto Openbare Bibliotheek (TPL), het grootste openbare bibliotheeksysteem van Canada, heeft afgelopen weekend, op zaterdag 28 oktober, te maken gehad met een cyberaanval. Deze aanval heeft verschillende online diensten lamgelegd. TPL heeft meer dan 1,2 miljoen geregistreerde leden en een budget van meer dan $200 miljoen. Het geeft mensen toegang tot 12 miljoen boeken via 100 filialen in de hele stad Toronto. Volgens een aankondiging op een tijdelijke website van TPL, terwijl hun hoofdwebsite offline is, zijn de volgende diensten momenteel niet beschikbaar: de "Uw Account" functie, ‘tpl:map’ passen, digitale collecties, openbare computers en printservices bij bibliotheekfilialen. De fysieke bibliotheken blijven echter geopend volgens het gepubliceerde schema, WiFi op de filialen blijft beschikbaar, en de telefoonlijnen zijn operationeel. Andere online services die op externe platforms worden gehost, zoals Kanopy en Digital Archive Ontario, zijn nog steeds toegankelijk. De aankondiging geeft geen details over het type cyberveiligheidsincident, maar benadrukt wel dat er op dit moment geen bewijs is dat gegevens van medewerkers of klanten zijn blootgesteld. Er is een snelle reactie geïnitieerd dankzij robuuste, proactieve beveiligingsmaatregelen. Volledig herstel van alle systemen kan echter enkele dagen duren. Op het moment van schrijven had geen enkele ransomwaregroep de verantwoordelijkheid voor de aanval opgeëist. Deze aanval komt te midden van een reeks cyberincidenten die Canadese organisaties hebben getroffen, waaronder een IT-storing die vijf ziekenhuizen in Ontario beïnvloedde en een aanval op Air Canada door de BianLian ransomware-bende eerder deze maand. (bron)

Nieuwe BiBi-Linux Wiper Malware Richt zich op Israëlische Organisaties met Vernietigende Aanvallen

Een nieuw type wiper malware, genaamd BiBi-Linux, is ontdekt en wordt gebruikt om Linux-systemen van Israëlische organisaties aan te vallen met als doel gegevens te vernietigen. Het Incident Response team van Security Joes kwam de schadelijke payload op het spoor tijdens het onderzoeken van een inbraak in het netwerk van een Israëlische organisatie. Momenteel kunnen slechts twee beveiligingssoftware de malware als kwaadaardig identificeren, aldus VirusTotal. Wat BiBi-Linux onderscheidt van andere malware, is dat het geen losgeldbrief achterlaat of de mogelijkheid biedt om te onderhandelen over een decryptor. In plaats daarvan overschrijft het bestanden met nutteloze data, waardoor zowel de data als het besturingssysteem worden beschadigd. De payload, een x64 ELF-executable genaamd bibi-linux.out, maakt het voor de aanvallers mogelijk om via command-line parameters te kiezen welke mappen te versleutelen. Indien uitgevoerd met rootprivileges en zonder een doelpad op te geven, kan BiBi-Linux het gehele besturingssysteem van een gecompromitteerd apparaat wissen, aangezien het zal proberen de volledige '/' rootdirectory te verwijderen. De malware gebruikt meerdere threads en een wachtrijensysteem voor verbeterde snelheid en effectiviteit. Het hernoemt bestanden met een naam en extensie gebaseerd op de bijnaam van de Israëlische premier, Benjamin Netanyahu, gevolgd door een nummer dat aangeeft hoe vaak een bestand is gewist. Interessant is dat de malware geen obfuscatie of andere beschermingsmaatregelen bevat, wat het werk van malware-analisten vergemakkelijkt. Dit wijst erop dat de dreigingsactoren niet bezorgd zijn over detectie, maar zich richten op het maximaliseren van de impact van hun aanval. (bron)

Cybercriminelen Compromitteren 800.000 Gegevens via MOVEit Breach bij NASCO

De National Account Service Company (NASCO), een technologiebedrijf in de gezondheidszorg dat diensten verleent aan klanten van Blue Cross en Blue Shield zorgverzekeringen, heeft onlangs een grote datalek ervaren. Het lek is het gevolg van een cyberaanval op MOVEit Transfer, een derde partij softwaretoepassing die NASCO gebruikte voor het uitwisselen van bestanden. Uit een melding aan getroffen klanten op 27 oktober bleek dat aanvallers toegang hadden tot privégegevens zoals namen en sofinummers. De aanval op de MOVEit servers wordt in verband gebracht met dreigingsactoren uit Rusland en vond eind mei plaats. Het betreffende MOVEit-systeem is inmiddels offline gehaald en NASCO heeft gestopt met het gebruik van MOVEit diensten als reactie op het incident. Volgens het kantoor van de procureur-generaal van Maine zijn meer dan 804.862 mensen getroffen door het lek. NASCO heeft de getroffen individuen identiteitsbewakingsdiensten aangeboden voor een periode van 24 maanden. Opmerkelijk is dat MOVEit zelf slachtoffer werd van een zogenaamde zero-day exploit. Dit is een aanval die misbruik maakt van een onbekende kwetsbaarheid, niet alleen voor de makers van de software, maar ook voor antivirusleveranciers. In totaal zijn ongeveer 2100 organisaties en 62 miljoen mensen bevestigd als slachtoffer van de MOVEit Transfer-aanvallen. Onder hen bevinden zich ook vier grote Europese banken – Deutsche Bank, ING Bank, Postbank, en Comdirect – die klantgegevens hebben gelekt in verband met de MOVEit-hack. Andere benoemde slachtoffers zijn onder meer American Airlines, TomTom, en Johns Hopkins University. (bron)

Stanford Universiteit Bevestigt Cyberaanval door Akira Ransomware Groep

Stanford Universiteit is recent het doelwit geworden van een ransomware-aanval door de beruchte cybercriminele groep Akira. De universiteit heeft de inbreuk op haar cybersecurity bevestigd en meldt dat deze gerelateerd is aan een eerdere cyberaanval eerder deze maand. Akira heeft gedreigd om 430GB aan interne data online te lekken, waaronder naar verluidt privé-informatie en vertrouwelijke documenten. Het losgeld dat de groep eist is niet gespecificeerd. De aanval is specifiek gericht op het Department of Public Safety van Stanford Universiteit (SUDPS). Dit departement verwerkt en bewaart gegevens over personeel, zaakrapporten, risicobeoordelingen en misdrijven die studenten, docenten en andere leden van de universitaire gemeenschap betreffen. Hoewel de omvang van de verloren of gecodeerde data nog onduidelijk is, heeft Stanford aangegeven dat het getroffen SUDPS-systeem is beveiligd en dat andere delen van de universiteit en politie-respons naar noodoproepen niet zijn getroffen. Akira is een vrij nieuwe ransomware-familie, ontdekt in maart 2023. Sindsdien heeft de groep ongeveer 45 slachtoffers gemaakt en heeft het aanvallen uitgevoerd op diverse organisaties in de Verenigde Staten en Canada. Hun modus operandi is consistent: ze eisen losgelden variërend van $200.000 tot $4 miljoen en publiceren data online als er niet wordt betaald. In juli 2023 heeft cybersecuritybedrijf Avast een decryptor uitgebracht die alleen effectief is tegen de Windows-versie van de Akira ransomware. Er is ook een specifieke malware-stam die Linux-systemen aanvalt. (bron)

Kearny Bank Slachtoffer van MOVEit Datalek: Gevoelige Klantinformatie Blootgesteld

De in New Jersey (VS) gevestigde Kearny Bank heeft toegegeven dat de financiële gegevens van haar klanten zijn blootgesteld in een datalek gerelateerd aan MOVEit Transfer. Dit lek heeft invloed gehad op Fiserv, een derde partij die financiële technologiediensten aan de bank levert. Fiserv maakte gebruik van de MOVEit-bestandsoverdrachtstool, die aan het einde van mei van dit jaar het doelwit was van cybercriminelen. Deze aanval werd uitgevoerd via een zogenaamde 'zero-day exploit', een kwetsbaarheid die onbekend is bij de makers van de software of antivirusleveranciers, waardoor de aanvallers snel een exploit konden creëren en inzetten voor de aanval. Uit onderzoek bleek dat de aanvallers toegang kregen tot gevoelige klantgegevens, waaronder volledige namen, woonadressen en financiële informatie zoals rekeningnummers en creditcardgegevens inclusief beveiligingscodes, toegangscodes en wachtwoorden. Volgens het kantoor van de openbare aanklager in Maine zijn meer dan 17.509 klanten van Kearny Bank getroffen door het lek. Als compensatie biedt de bank deze individuen 24 maanden gratis kredietmonitoring, fraudeconsultatie en identiteitshersteldiensten aan. Het MOVEit-lek heeft een grote impact gehad en treft rond de 2100 organisaties en 62 miljoen mensen wereldwijd. Ook andere grote Europese banken zoals Deutsche Bank, ING Bank, Postbank en Comdirect hebben klantgegevenslekken gerapporteerd die verband houden met de MOVEit-hack. De aan het datalek gerelateerde Cl0p-ransomwaregroep uit Rusland heeft de verantwoordelijkheid voor de exploit opgeëist en sinds juni namen van slachtoffers op hun darkweb-leksite geplaatst. (bron)

Cybercriminelen Breken In bij Clinique: Meer dan 200.000 Klanten Getroffen

Clinique, een dochteronderneming van het cosmetische conglomeraat Estée Lauder, is naar verluidt het slachtoffer geworden van een groot datalek. De aanvallers beweren gegevens te hebben buitgemaakt van de Spaanse afdeling van het bedrijf en hebben diverse datasets gedeeld op een forum voor datalekken. Het Cybernews-onderzoeksteam heeft vastgesteld dat de vrijgegeven data waarschijnlijk legitiem is, hoewel Clinique zelf nog niet heeft gereageerd op de beschuldigingen. De gelekte datasets zouden gevoelige informatie bevatten zoals namen, achternamen, adressen, e-mails, telefoonnummers en geboortedata van klanten. Aanwijzingen suggereren dat de inbreuk mogelijk heeft plaatsgevonden via het loyaliteitsprogramma van Clinique. Hoewel de exacte omvang van de gestolen data nog niet is geverifieerd, wordt beweerd dat één dataset informatie bevat over meer dan 200.000 klanten en een andere meer dan 600.000 e-mailadressen. Deze inbreuk is bijzonder zorgwekkend, niet alleen vanwege de gevoelige aard van de gestolen informatie, maar ook omdat Clinique een gerenommeerd merk is met een grote klantenkring. Het bedrijf is onderdeel van Estée Lauder Companies, een Amerikaans multinational cosmeticabedrijf met een jaaromzet van meer dan 17 miljard dollar. Dit incident benadrukt het voortdurende risico van cyberaanvallen en de noodzaak voor bedrijven om hun cybersecurity-maatregelen te versterken, vooral als het gaat om klantgegevens en loyaliteitsprogramma’s. (bron)

ALPHV/BlackCat Ransomwaregroep Viseert LBA Hospitality Beheer van Marriott en Hilton Hotels

De ALPHV/BlackCat ransomwaregroep, die eerder aanvallen op MGM en Caesars Las Vegas resorts had uitgevoerd, heeft nu het Amerikaanse hotelbeheerbedrijf LBA Hospitality als doelwit gekozen. Dit bedrijf beheert bijna 100 hotels onder de grote ketens Marriott, Hilton, Holiday Inn en Best Western. De aanval is voornamelijk geconcentreerd op het zuidoostelijke deel van de Verenigde Staten, waar deze hotels zich bevinden. De aanvallers beweren zo'n 200GB aan zeer vertrouwelijke gegevens te hebben geëxtraheerd van de hoofdservers van LBA, waaronder klant- en medewerkergegevens zoals CV's, identiteitsbewijzen, socialezekerheidsnummers, financiële rapporten en meer. De groep gaf LBA een ultimatum van drie dagen om contact op te nemen en te beslissen wat de volgende stappen zijn. Bij geen respons dreigt de groep de gegevens openbaar te maken. LBA Hospitality heeft tot nu toe nog niet publiekelijk gereageerd op de situatie. Het bedrijf biedt naast hotelbeheer ook diverse andere diensten aan zoals HR, financieel beheer en IT, wat suggereert dat er een grote hoeveelheid gevoelige informatie in hun netwerksystemen kan zijn opgeslagen. Dit markeert de vierde keer in vijf jaar dat Marriott het slachtoffer is van een datalek. De ALPHV/BlackCat groep is sinds 2021 actief en opereert als een Ransomware-as-a-Service (RaaS) model. Ze zijn verantwoordelijk voor ongeveer 12% van alle ransomware-aanvallen in 2022 en hebben banden met andere bekende cybercriminele groepen. Deze aanval onderstreept het groeiende risico van ransomware-aanvallen op grote, gevoelige organisaties en het belang van robuuste cyberbeveiligingsmaatregelen. (bron)

Ransomware-aanval legt IT-systemen van Zeventig Duitse Gemeenten Plat

Tientallen Duitse gemeenten in Zuidwestfalen zijn het slachtoffer geworden van een grootschalige ransomware-aanval, waardoor hun telecommunicatiesystemen, e-mails en andere IT-systemen zijn uitgeschakeld. De aanval was specifiek gericht op Südwestfalen-IT (SIT), een stichting die IT-diensten levert aan 72 gemeenten in de regio. Als gevolg van de aanval kunnen deze lokale besturen geen vergunningen meer uitgeven of andere digitale handelingen verrichten. De aanval vond plaats in de nacht van zondag op maandag, waarbij verschillende soorten data werden versleuteld. De Duitse politie heeft een onderzoek ingesteld, maar het is nog onduidelijk wanneer de systemen weer volledig operationeel zullen zijn en of er gegevens zijn gestolen. SIT heeft aangekondigd dat ze met een update zullen komen zodra er meer informatie beschikbaar is. Ondertussen communiceren de getroffen gemeenten met hun burgers via alternatieve kanalen zoals Facebook en hebben zij aangegeven dat geplande afspraken niet kunnen doorgaan. Dit incident legt de kwetsbaarheden in de digitale infrastructuur van lokale overheden bloot en roept vragen op over de effectiviteit van bestaande beveiligingsmaatregelen. Het toont aan dat zelfs back-ups niet voldoende zijn, zoals opgemerkt door een anonieme reactie op het artikel, en dat er een urgente behoefte is aan robuustere cyberbeveiligingsstrategieën. (bron, bron2, bron3, bron4)

Messe Essen (D) Getroffen door Hacker Aanval

De Messe Essen, een prominente beurs- en tentoonstellingslocatie in Duitsland, is het doelwit geworden van een cyberaanval. Onbekende aanvallers hebben ingebroken op het bezoekers-ticketsysteem en hebben mogelijk geprobeerd een ransomware-aanval uit te voeren. Als reactie hierop heeft het management van de Messe Essen direct een gecertificeerde IT-beveiligingsdienst ingeschakeld en zijn ze een samenwerking aangegaan met handhavings- en gegevensbeschermingsautoriteiten. Ondanks deze beschermingsmaatregelen, is het nog steeds mogelijk dat persoonlijke gegevens zoals adressen en e-mailgegevens van klanten die aankopen hebben gedaan via de online shop, zijn aangetast. Er is echter geen bewijs dat rekening- of creditcardgegevens zijn gelekt. Het bedrijf werkt intensief aan het onderzoeken van het exacte verloop van gebeurtenissen en heeft haar klanten geïnformeerd dat reeds gekochte tickets voor aankomende evenementen geldig blijven. De Messe Essen adviseert haar bezoekers om extra waakzaam te zijn voor verdachte e-mails die zogenaamd van hen afkomstig zijn en mogelijk om persoonlijke gegevens vragen. Deze aanval onderstreept het groeiende risico van cyberaanvallen op grote evenementen en bedrijven, waardoor het belang van robuuste cybersecurity-maatregelen opnieuw wordt benadrukt. (bron)

Hacker leggen parkeersystemen in Osnabrück (D) plat: een blik op de incidentdetails

Een recente hackaanval heeft het parkeersysteem in meerdere parkeergarages in Osnabrück, Duitsland, lamgelegd. Het incident vond plaats van zaterdagochtend tot zaterdagavond en trof de Osnabrücker Parkstätten-Betriebsgesellschaft (OPG). Volgens een verklaring van Stadtwerke Osnabrück werd het betaal- en barrièresysteem van de parkeergarages aangevallen, die door een externe serviceprovider worden beheerd. Als gevolg van de aanval waren de parkeergarages onbereikbaar, waardoor tijdelijke maatregelen nodig waren om het in- en uitrijden van voertuigen te regelen. Medewerkers van het bedrijf werden ingezet om de toegang tot de parkeergarages te beheren totdat het systeem weer volledig operationeel was. Gelukkig zijn er volgens Stadtwerke Osnabrück geen betalingsgegevens gestolen tijdens de aanval. Deze aanval onderstreept het groeiende risico van cyberaanvallen op stedelijke infrastructuur en roept vragen op over de beveiligingsprotocollen van externe serviceproviders. Het is cruciaal voor steden en bedrijven om hun cybersecuritymaatregelen te herzien en te versterken om soortgelijke incidenten in de toekomst te voorkomen. (bron)

Nieuwe Ransomware 'Hunters International' Mogelijk een Doorstart van Hive

Een recent opgedoken ransomware-als-dienst merk, genaamd Hunters International, lijkt sterk op de eerder bekende Hive ransomware. Analisten suggereren dat de oude bende achter Hive mogelijk hun activiteiten heeft hervat onder een nieuwe naam. Deze aanname wordt ondersteund door code-analyse, waarbij significante overeenkomsten werden gevonden tussen de encryptors van beide groepen. Meer dan 60% van de code in de nieuwe Hunters International ransomware komt overeen met die van Hive. Hunters International ontkent echter elke band met Hive en beweert de broncode legitiem te hebben gekocht van de Hive-ontwikkelaars. Ze voegen eraan toe dat hun belangrijkste doel niet alleen encryptie is, maar ook datagestuurde afpersing. De malware voegt een ".LOCKED" extensie toe aan geëncrypteerde bestanden en laat in elk directory een tekstbestand achter met de naam "Contact Us.txt", waarin instructies staan voor het slachtoffer om contact op te nemen via Tor. Tot op heden heeft Hunters International slechts één slachtoffer gemaakt, een school in het VK, waarvan ze beweren bijna 50.000 bestanden te hebben gestolen, inclusief gevoelige gegevens van studenten en leraren en netwerk- en webreferenties. Opmerkelijk is dat Hive's activiteiten abrupt stopten na een internationale operatie in januari, waarbij hun Tor-betalingssite en datalek-site werden in beslag genomen. Of Hive de broncode daadwerkelijk heeft verkocht, is momenteel onbekend. Het is ook nog te zien wat de toekomst in petto heeft voor Hunters International, maar tot nu toe lijken ze niet erg actief.

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Meer weekoverzichten