EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
In de afgelopen week hebben we een zorgwekkende toename gezien in het aantal en de ernst van cyberaanvallen wereldwijd. Opvallend is de alarmerende trend in de hoeveelheid datalekken die op het darkweb worden gemeld. Zo zijn er wereldwijd datalekken in ziekenhuizen geconstateerd, waarbij miljoenen patiëntgegevens op risico zijn.
In Nederland is de situatie niet minder zorgwekkend. Verschillende bedrijven, waaronder het onderzoeksbedrijf Vitro Plus en Skalar.com, zijn het slachtoffer geworden van ernstige cyberaanvallen. Ook fps.com heeft een aanval moeten doorstaan, uitgevoerd door de beruchte groepering BLACK SUIT.
Internationaal zien we soortgelijke incidenten. In Duitsland heeft een hackeraanval een automobilzulieferaar in Uhingen getroffen en zijn röntgen- en echografiesystemen van een ziekenhuis gecompromitteerd. Frankrijk rapporteert een grootschalige cyberaanval op SNU, terwijl in Engeland de overheid een malware-infectie in de Sellafield nucleaire opwerkingsfabriek ontkent.
In Ierland heeft een cyberaanval de watervoorziening van een dorp twee dagen platgelegd en is het waterstelsel in Noord Mayo getroffen. De Verenigde Staten melden een grote datalek bij Norton Healthcare na een ransomware-aanval, en ook andere overheids- en privésectoren hebben te maken gehad met ernstige cyberincidenten.
Australië en Nieuw-Zeeland zijn ook niet gespaard gebleven, waar Nissan een onderzoek instelt naar een cyberaanval en een potentieel datalek.
Naast deze aanvallen zijn er ook diverse nieuwe dreigingen geïdentificeerd, variërend van geavanceerde ransomware-aanvallen tot nieuwe malware die specifiek gericht is op bepaalde technologieën en platforms. De diversiteit en complexiteit van deze dreigingen benadrukken het voortdurende risico en de noodzaak voor waakzaamheid en voorbereiding.
Hieronder vindt u het volledige overzicht van de cyberaanvallen van de afgelopen week, waarbij we dieper ingaan op elk van deze incidenten en de implicaties ervan voor de cyberveiligheid wereldwijd.
Week overzicht slachtoffers
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb ↑ |
|---|---|---|---|---|---|
| pronatindustries.com | LockBit | pronatindustries.com | Israel | Electronic, Electrical Equipment, Components | 10-dec-23 |
| Colonial Pipeline | RansomedVC | www.colpipe.com | USA | Oil, Gas | 10-dec-23 |
| policia.gob.pe | LockBit | policia.gob.pe | Peru | Justice, Public Order, And Safety | 10-dec-23 |
| Qatar Racing and Equestrian Club | Rhysida | www.qrec.gov.qa | Qatar | Amusement And Recreation Services | 9-dec-23 |
| Graphic Solutions Group Inc (US) | DAIXIN | gogsg.com | USA | Publishing, printing | 9-dec-23 |
| livanova.com | LockBit | livanova.com | United Kingdom | Miscellaneous Manufacturing Industries | 8-dec-23 |
| HMW | MONTI | hmw-sud.com | USA | Electric, Gas, And Sanitary Services | 8-dec-23 |
| GOLFZON | BLACK SUIT | www.golfzon.com | South Korea | Amusement And Recreation Services | 8-dec-23 |
| aw-lawyers.com | LockBit | aw-lawyers.com | Israel | Legal Services | 8-dec-23 |
| midlandindustries.com | LockBit | midlandindustries.com | USA | Wholesale Trade-durable Goods | 8-dec-23 |
| Travian Games | Rhysida | www.traviangames.com | Germany | IT Services | 8-dec-23 |
| Tcman | Rhysida | www.tcman.com | Spain | IT Services | 8-dec-23 |
| Burton Wire & Cable | PLAY | www.burtonwire.com | USA | Fabricated Metal Products | 7-dec-23 |
| Precision Technologies Group Ltd | INC Ransom | holroyd.com | United Kingdom | Machinery, Computer Equipment | 7-dec-23 |
| denave.com | LockBit | denave.com | India | Business Services | 7-dec-23 |
| Capespan | PLAY | www.capespan.com | South Africa | Wholesale Trade-non-durable Goods | 7-dec-23 |
| Becker Furniture World | PLAY | www.beckerfurnitureworld.com | USA | Furniture | 7-dec-23 |
| Payne Hicks Beach | PLAY | www.phb.co.uk | United Kingdom | Legal Services | 7-dec-23 |
| Vitro Plus | PLAY | www.vitroplus.nl | Netherlands | Research Services | 7-dec-23 |
| GVM | PLAY | www.gvminc.com | USA | Machinery, Computer Equipment | 7-dec-23 |
| Planbox | PLAY | www.planbox.com | Canada | IT Services | 7-dec-23 |
| bluewaterstt.com | LockBit | bluewaterstt.com | Trinidad and Tobago | Food Products | 7-dec-23 |
| omegapainclinic.com | LockBit | omegapainclinic.com | USA | Health Services | 7-dec-23 |
| AG Consulting Engineering | PLAY | www.agceng.com | USA | Engineering Services | 7-dec-23 |
| Greater Richmond Transit | PLAY | www.ridegrtc.com | USA | Passenger Transportation | 7-dec-23 |
| Kuriyama of America | PLAY | www.kuriyama.com | USA | Rubber, Plastics Products | 7-dec-23 |
| AMCO Proteins | BianLian | amcoproteins.com | USA | Food Products | 7-dec-23 |
| SML Group | BianLian | www.sml-group.co.uk | United Kingdom | Construction | 7-dec-23 |
| stormtech | Metaencryptor | stormtech.com | USA | Miscellaneous Manufacturing Industries | 7-dec-23 |
| Garda | Metaencryptor | www.garda.com | Canada | Business Services | 7-dec-23 |
| Tri-city Medical Center | INC Ransom | tricitymed.org | USA | Health Services | 7-dec-23 |
| Tasteful Selections | Akira | www.tastefulselections.com | USA | Wholesale Trade-non-durable Goods | 7-dec-23 |
| Ware Manufacturing | Qilin | www.warepet.com | USA | Miscellaneous Manufacturing Industries | 7-dec-23 |
| Neurology Center of Nevada | Qilin | neurocnv.com | USA | Health Services | 7-dec-23 |
| CIE Automotive | Cactus | www.cieautomotive.com | Spain | Transportation Equipment | 7-dec-23 |
| National Nail Corp | Cactus | www.nationalnail.com | USA | Wholesale Trade-durable Goods | 7-dec-23 |
| citizenswv.com | LockBit | citizenswv.com | USA | Depository Institutions | 7-dec-23 |
| directradiology.com | LockBit | directradiology.com | USA | Health Services | 7-dec-23 |
| bpce.com | LockBit | bpce.com | USA | Construction | 7-dec-23 |
| signiflow.com | LockBit | signiflow.com | Singapore | IT Services | 7-dec-23 |
| usherbrooke.ca | LockBit | usherbrooke.ca | Canada | Educational Services | 7-dec-23 |
| hopto.com | LockBit | hopto.com | USA | IT Services | 7-dec-23 |
| Visan | 8BASE | www.visan.es | Spain | Miscellaneous Manufacturing Industries | 7-dec-23 |
| Tryax Realty Management | MONTI | tryaxrealtymanagement.com | USA | Real Estate | 6-dec-23 |
| Deutsche Energie-Agentur | BlackCat (ALPHV) | www.dena.de | Germany | Miscellaneous Services | 6-dec-23 |
| Campbell County Schools | Medusa | www.ccsd.k12.wy.us | USA | Educational Services | 6-dec-23 |
| Compass Group Italia | Akira | www.compass-group.it | Italy | Miscellaneous Services | 6-dec-23 |
| Aqualectra Holdings | Akira | www.aqualectra.com | Curacao | Electric, Gas, And Sanitary Services | 6-dec-23 |
| Acero Engineering | BianLian | aceroeng.com | Canada | Oil, Gas | 6-dec-23 |
| syrtech.com | ThreeAM | syrtech.com | USA | Fabricated Metal Products | 6-dec-23 |
| labelians.fr | LockBit | labelians.fr | France | Wholesale Trade-non-durable Goods | 6-dec-23 |
| polyclinique-cotentin.com | LockBit | polyclinique-cotentin.com | France | Health Services | 6-dec-23 |
| fpz.com | LockBit | fpz.com | Italy | Machinery, Computer Equipment | 6-dec-23 |
| ACCU Reference Medical Lab | Medusa | www.accureference.com | USA | Health Services | 6-dec-23 |
| Sagent | Medusa | sagent.net | USA | IT Services | 6-dec-23 |
| Lischkoff and Pitts, P.C. | 8BASE | www.lischkoffpitts.com | USA | Accounting Services | 6-dec-23 |
| SMG Confrere | 8BASE | www.smg-decoupage-tolerie.com | France | Fabricated Metal Products | 6-dec-23 |
| Calgary TELUS Convention Centre | 8BASE | calgary-convention.com | Canada | Business Services | 6-dec-23 |
| astley. | 8BASE | astley-uk.com | United Kingdom | Miscellaneous Manufacturing Industries | 6-dec-23 |
| TraCS Florida FSU | BlackCat (ALPHV) | www.tracsflorida.org | USA | IT Services | 5-dec-23 |
| laprensani.com | LockBit | laprensani.com | Nicaragua | Publishing, printing | 5-dec-23 |
| aldoshoes.com | LockBit | aldoshoes.com | Canada | Apparel And Accessory Stores | 5-dec-23 |
| mapc.org | LockBit | mapc.org | USA | Administration Of Environmental Quality And Housing Programs | 5-dec-23 |
| skalar.com | Medusa Locker | skalar.com | Netherlands | Machinery, Computer Equipment | 5-dec-23 |
| ussignandmill.com | ThreeAM | ussignandmill.com | USA | Miscellaneous Manufacturing Industries | 5-dec-23 |
| hnncsb.org | LockBit | hnncsb.org | USA | Health Services | 5-dec-23 |
| elsewedyelectric.com | LockBit | elsewedyelectric.com | Egypt | Electronic, Electrical Equipment, Components | 5-dec-23 |
| mirle.com.tw | LockBit | mirle.com.tw | Taiwan | Home Furniture, Furnishings, And Equipment Stores | 5-dec-23 |
| ychlccsc.edu.hk | LockBit | ychlccsc.edu.hk | Hong Kong | Educational Services | 5-dec-23 |
| restargp.com | LockBit | restargp.com | Japan | Holding And Other Investment Offices | 5-dec-23 |
| CLATSKANIEPUD | BlackCat (ALPHV) | www.clatskaniepud.com | USA | Electric, Gas, And Sanitary Services | 5-dec-23 |
| Akumin | BianLian | akumin.com | USA | Health Services | 5-dec-23 |
| Bowden Barlow Law PA | Medusa | bowdenbarlow.com | USA | Legal Services | 5-dec-23 |
| Rosens Diversified Inc | Medusa | www.rosensdiversifiedinc.com | USA | Food Products | 5-dec-23 |
| Ga***********.com | Cloak | Unknown | USA | Unknown | 5-dec-23 |
| Henry County Schools | BLACK SUIT | www.henry.k12.ga.us | USA | Educational Services | 5-dec-23 |
| fps.com | BLACK SUIT | fps.com | Netherlands | Miscellaneous Manufacturing Industries | 4-dec-23 |
| Full access to the school network USA | Everest | Unknown | USA | Educational Services | 4-dec-23 |
| Agamatrix | MEOW LEAKS | agamatrix.com | USA | Measuring, Analyzing, Controlling Instruments | 4-dec-23 |
| CMS Communications | Qilin | www.cmsc.com | USA | Communications | 4-dec-23 |
| Great Lakes Technologies | Qilin | www.greatlakestech.net | USA | Machinery, Computer Equipment | 4-dec-23 |
| Midea Carrier | Akira | www.mideacarrier.com.br | Brazil | Electronic, Electrical Equipment, Components | 4-dec-23 |
| nlt.com | Black Basta | nlt.com | USA | Miscellaneous Retail | 4-dec-23 |
| Getrix | Akira | www.getrix.it | Italy | IT Services | 4-dec-23 |
| Evnhcmc | BlackCat (ALPHV) | www.evnhcmc.vn | Vietnam | Electric, Gas, And Sanitary Services | 4-dec-23 |
| UF Resources | NoEscape | www.ufresources.com | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 4-dec-23 |
| Nida Corp | NoEscape | nida.com | USA | Electronic, Electrical Equipment, Components | 4-dec-23 |
| NCCU.EDU | CL0P | nccu.edu | USA | Educational Services | 4-dec-23 |
Slachtoffers België en Nederland
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb ↑ |
|---|---|---|---|---|---|
| Vitro Plus | PLAY | www.vitroplus.nl | Netherlands | Research Services | 7-dec-23 |
| skalar.com | Medusa Locker | skalar.com | Netherlands | Machinery, Computer Equipment | 5-dec-23 |
| fps.com | BLACK SUIT | fps.com | Netherlands | Miscellaneous Manufacturing Industries | 4-dec-23 |
| Meetmoment | Aantal organisaties waar data van gelekt is op het darkweb |
|---|---|
| 01-05-2019 (eerste slachtoffer) | 1 |
| 01-05-2020 | 85 |
| 01-05-2021 | 2.167 |
| 01-05-2022 | 5.565 |
| 01-05-2023 | 8.292 |
| 11-12-2023 om 08:13 | 11.607 |
In samenwerking met StealthMol
Sponsor Cybercrimeinfo
Cyberaanvallen nieuws
❗️Alarmerende trend in hoeveelheid datalekken op het darkweb
De cyberaanvallen laten een alarmerende trend zien in de hoeveelheid datalekken op het darkweb. Een overzicht van het aantal organisaties waarvan data gelekt is op het darkweb onderstreept deze verontrustende ontwikkeling:
- 2019: Het beginpunt met slechts 1 slachtoffer.
- 2020: Een stijging naar 85 organisaties.
- 2021: Een explosieve toename tot 2.167 organisaties.
- 2022: Het aantal meer dan verdubbeld naar 5.565.
- 10-12-2023: De situatie escaleert verder met 11.603 organisaties waarvan data gelekt is.
Deze cijfers tonen een duidelijke en zorgwekkende trend van exponentiële groei in het aantal datalekken. Dit fenomeen wijst op een groeiende effectiviteit en brutaliteit van cybercriminelen, die steeds vaker en succesvoller data weten te extraheren en te lekken naar het darkweb.
Grote Datalek bij Norton Healthcare Na Ransomware-aanval
Norton Healthcare, een groot gezondheidssysteem in Kentucky, heeft bevestigd dat er in mei een ransomware-aanval plaatsvond die persoonlijke gegevens van patiënten, werknemers en hun afhankelijken blootlegde. Dit gezondheidssysteem, actief in meer dan 40 klinieken en ziekenhuizen in Greater Louisville, Southern Indiana, en de Commonwealth of Kentucky, is een belangrijke zorgverlener en werkgever in de regio met meer dan 20.000 werknemers en ruim 1.750 medische professionals. Op 9 mei 2023 ontdekte Norton Healthcare de cyberaanval, die later werd geïdentificeerd als een ransomware-aanval. De organisatie schakelde onmiddellijk federale wetshandhavingsinstanties en forensische beveiligingsexperts in om de aanval te onderzoeken en de ongeautoriseerde toegang te stoppen. Uit het onderzoek bleek dat onbevoegden tussen 7 en 9 mei 2023 toegang hadden verkregen tot bepaalde netwerkopslagapparaten. Belangrijk is dat het medische dossier- en MyChart-systeem van Norton Healthcare niet werd geraakt. De aanvallers hadden echter toegang tot een breed scala aan gevoelige informatie, zoals namen, contactgegevens, burgerservicenummers, geboortedata, gezondheidsinformatie, verzekeringsgegevens en medische identificatienummers. Voor sommige betrokkenen, waarschijnlijk werknemers, omvatte de gelekte informatie ook financiële rekeningnummers, rijbewijzen of andere overheidsidentiteitsnummers en digitale handtekeningen. Getroffen personen zullen twee jaar gratis kredietbeschermingsdiensten ontvangen, en verdere informatie wordt verstrekt in brieven over de data-inbreuk. De ransomware-aanval werd geclaimd door de ALPHV (BlackCat) bende, die beweerde 4,7 TB aan data te hebben gestolen uit de systemen van Norton Healthcare. Deze aanval maakt deel uit van een groeiende trend van ransomware-aanvallen die gericht zijn op gezondheidszorgorganisaties in de Verenigde Staten. De Amerikaanse overheid heeft meerdere waarschuwingen afgegeven over dergelijke aanvallen, waarbij verschillende ransomwaregroepen actief gezondheidszorginstellingen als doelwit kiezen. [1]
Hackeraanval treft Automobilzulieferaar Allgaier in Uhingen (D)
Op 8 december 2023 werd de Uhinger Automobilzulieferaar Allgaier het doelwit van een hackeraanval. Dit incident vond plaats terwijl het bedrijf zich in een insolventieprocedure bevindt. Hoewel de productie niet werd verstoord, kunnen zowel het bedrijf als de curator op dit moment geen verdere details verstrekken over de mogelijke gevolgen van de aanval. De hackeraanval werd ontdekt door de filstalwelle, die onafhankelijk onderzoek heeft gedaan naar het incident. Allgaier, een belangrijke speler in de automotive toeleveringsindustrie, heeft te maken gehad met deze cyberaanval op een moment dat het al financiële problemen heeft. De exacte aard van de aanval en de identiteit van de aanvallers blijven vooralsnog onbekend. Het is echter van cruciaal belang dat Allgaier en de relevante autoriteiten onmiddellijk stappen ondernemen om de situatie te onderzoeken en eventuele kwetsbaarheden in hun cybersecurity aan te pakken. Hoewel de productie op dit moment niet verstoord lijkt te zijn, kunnen de gevolgen van een dergelijke aanval op lange termijn ernstig zijn. Bedrijven in de automotive sector zijn vaak het doelwit van cyberaanvallen vanwege de waardevolle intellectuele eigendommen en gevoelige gegevens die ze bezitten. Deze gebeurtenis onderstreept het belang van robuuste cybersecuritymaatregelen voor bedrijven, vooral in de automotive industrie. Het is van cruciaal belang dat bedrijven in deze sector proactief investeren in beveiliging en dat ze zich bewust zijn van de voortdurende dreiging van cyberaanvallen. Het is nu aan Allgaier en de relevante instanties om de situatie nauwlettend te volgen, de omvang van de schade vast te stellen en maatregelen te treffen om herhaling te voorkomen. Cybersecurity blijft een topprioriteit voor bedrijven die afhankelijk zijn van digitale technologieën om hun activiteiten uit te voeren. [1]
Hackeraanval treft Canarische televisiezender Radio Televisión Canaria
Op donderdag werd een hackeraanval uitgevoerd op de Canarische televisiezender Radio Televisión Canaria. De aanval kwam vanuit het buitenland, mogelijk vanuit Rusland. Als gevolg hiervan zijn tijdelijke uitzendonderbrekingen te verwachten. Experts werken aan het herstellen van de schade, en de politie is bezig met het onderzoek. De Canarische televisiezender Radio Televisión Canaria is het slachtoffer geworden van een hackeraanval die op donderdag heeft plaatsgevonden. Deze aanval, vermoedelijk afkomstig uit Rusland, heeft geleid tot verstoringen in de uitzendingen van de zender. Deskundigen zijn momenteel hard aan het werk om de schade te herstellen, terwijl de politie een onderzoek heeft ingesteld om de daders te achterhalen. Deze cyberaanval benadrukt opnieuw de voortdurende dreiging van cybercriminaliteit en de kwetsbaarheid van mediaorganisaties voor dergelijke aanvallen. Het is van cruciaal belang dat nieuws- en mediabedrijven hun cybersecuritymaatregelen blijven aanscherpen om zichzelf te beschermen tegen dergelijke aanvallen. De exacte motieven achter deze hackeraanval zijn nog niet bekend, maar het incident onderstreept het belang van waakzaamheid en paraatheid in de digitale wereld. Het herstelproces zal naar verwachting enige tijd in beslag nemen, en het is van groot belang dat de kijkers en de samenleving op de hoogte worden gehouden van de ontwikkelingen. Dit incident benadrukt opnieuw het belang van cybersecurity en de rol van experts in het voorkomen en bestrijden van dergelijke aanvallen. Het is van vitaal belang dat er nauw wordt samengewerkt met internationale partners om de bron en motieven achter deze aanval te achterhalen en verdere aanvallen te voorkomen. Cybersecurity blijft een voortdurende uitdaging, en het is essentieel om de nodige maatregelen te nemen om onze digitale infrastructuur te beschermen tegen bedreigingen zoals deze. [1]
Nieuwe AutoSpill-aanval steelt inloggegevens van Android-wachtwoordbeheerders
Recentelijk hebben beveiligingsonderzoekers een nieuwe aanval ontwikkeld, genaamd AutoSpill, waarmee ze accountreferenties op Android kunnen stelen tijdens de automatische invulling van inloggegevens. Deze ontwikkeling werd gepresenteerd tijdens de Black Hat Europe-beveiligingsconferentie door onderzoekers van het International Institute of Information Technology (IIIT) in Hyderabad. De AutoSpill-aanval richt zich op het feit dat Android-apps vaak WebView-besturingselementen gebruiken om webinhoud weer te geven, zoals inlogpagina's binnen de app, om de gebruikers niet naar de standaardbrowser te leiden. Deze aanpak verbetert de gebruikerservaring op kleine schermen, maar het brengt ook beveiligingsrisico's met zich mee. Wachtwoordbeheerders op Android maken gebruik van het WebView-framework van het platform om automatisch inloggegevens van gebruikers in te vullen wanneer een app de inlogpagina laadt voor diensten zoals Apple, Facebook, Microsoft of Google. AutoSpill maakt gebruik van zwakke punten in dit proces om automatisch ingevulde referenties vast te leggen, zelfs zonder het gebruik van JavaScript-injecties. Het echte probleem ligt in het feit dat Android geen duidelijke verantwoordelijkheid definieert voor het veilig omgaan met automatisch ingevulde gegevens, waardoor deze kunnen lekken of worden vastgelegd door de host-applicatie. In een aanvalsscenario zou een kwaadwillende app een inlogformulier kunnen aanbieden en de referenties van gebruikers kunnen vastleggen zonder enige aanwijzing voor de gebruiker. De onderzoekers hebben AutoSpill getest tegen verschillende wachtwoordbeheerders op Android 10, 11 en 12 en ontdekten dat sommige populaire wachtwoordbeheerders vatbaar zijn voor de aanval. Ze hebben de bevindingen gemeld aan de getroffen softwareleveranciers en het Android-beveiligingsteam, maar er zijn nog geen details over oplossingen bekendgemaakt. Deze nieuwe aanval onderstreept het belang van beveiligingsbewustzijn bij het gebruik van autofill-functies en benadrukt de noodzaak van updates en maatregelen van softwareleveranciers om gebruikers te beschermen tegen dergelijke aanvallen. [1, 2]
Inloggen op een universiteitsportaal met een Microsoft-account
Privilege Escalation Kwetsbaarheden: Hét Gereedschap voor Insider Aanvallen
Een recent rapport van Crowdstrike, gebaseerd op gegevens verzameld tussen januari 2021 en april 2023, onthult alarmerende trends in insiderdreigingen. Het blijkt dat privilege escalatie kwetsbaarheden de meest voorkomende zwakte zijn die door bedrijfsinsiders wordt benut bij ongeautoriseerde activiteiten op netwerken, zowel voor kwaadwillige doeleinden als bij het downloaden van riskante tools op een gevaarlijke manier. Volgens het rapport vertrouwt maar liefst 55% van de door het bedrijf geregistreerde insiderdreigingen op privilege escalatie exploits, terwijl de overige 45% onbedoeld risico's introduceren door offensieve tools te downloaden of verkeerd te gebruiken. Deze insiderdreigingen worden vaak aangedreven door financiële prikkels, wrok, of conflicten met hun leidinggevenden. Crowdstrike benadrukt dat hoewel deze incidenten niet altijd als kwaadaardige aanvallen worden beschouwd, ze nog steeds aanzienlijke risico's met zich meebrengen, zoals het introduceren van bedreigingen of malware op het netwerk. Bovendien brengen insiderdreigingen niet alleen financiële kosten met zich mee, maar ook indirecte gevolgen zoals schade aan het merk en de reputatie van het bedrijf. Het rapport wijst erop dat het verkrijgen van administratieve privileges cruciaal is voor veel insideraanvallen, omdat insiders vaak beginnen met beperkte toegang tot hun netwerkomgevingen. Met hogere privileges kunnen aanvallers acties uitvoeren zoals het downloaden van ongeautoriseerde software, het wissen van logboeken, en het diagnosticeren van problemen op hun computer met behulp van tools die beheerdersrechten vereisen. Crowdstrike identificeerde enkele van de meest misbruikte kwetsbaarheden voor lokale privilege escalatie, waaronder CVE-2017-0213 voor Windows, CVE-2022-0847 (DirtyPipe) voor Linux, CVE-2021-4034 (PwnKit) voor Linux, CVE-2019-13272 voor Linux, CVE-2015-1701 voor Windows, en CVE-2014-4113 voor Windows. Deze kwetsbaarheden zijn al opgenomen in CISA's Catalogus van Bekende Geëxploiteerde Kwetsbaarheden (KEV). Zelfs als systemen zijn gepatcht voor deze kwetsbaarheden, kunnen insiders nog steeds verhoogde privileges verkrijgen via andere methoden, zoals DLL-hijacking, onveilige bestandssysteemtoegangsrechten, of aanvallen met eigen kwetsbare drivers. Het is van cruciaal belang dat organisaties deze risico's erkennen en proactieve maatregelen nemen om insiderdreigingen te voorkomen en te minimaliseren. [1]
5Ghoul Aanval Treft 5G-telefoons met Qualcomm en MediaTek Chips
Een recent ontdekte reeks kwetsbaarheden in 5G-modems van Qualcomm en MediaTek, gezamenlijk bekend als "5Ghoul," heeft invloed op maar liefst 710 5G-smartphonemodellen van Google-partners (Android) en Apple, evenals routers en USB-modems. Deze ontdekking is gedaan door universitaire onderzoekers uit Singapore en omvat 14 kwetsbaarheden in mobiele communicatiesystemen, waarvan er 10 openbaar zijn gemaakt en 4 om veiligheidsredenen zijn achtergehouden. De 5Ghoul-aanvallen variëren van tijdelijke serviceonderbrekingen tot netwerkdegradaties, die vanuit een veiligheidsoogpunt ernstiger kunnen zijn. De onderzoekers ontdekten deze zwakke punten tijdens experimenten met de firmware-analyse van 5G-modems en merkten op dat de kwetsbaarheden gemakkelijk over-the-air kunnen worden misbruikt door zich voor te doen als een legitiem 5G-basisstation, zelfs als aanvallers geen informatie hebben over de SIM-kaart van het doelwit. Dit is mogelijk tegen een kostprijs van enkele duizenden USD, met behulp van open-source software voor netwerkanalyse en fuzzing, een mini-pc, een software defined radio (SDR), en diverse apparatuur zoals kabels, antennes, voedingen, enzovoort. De tien openbaar gemaakte 5Ghoul-kwetsbaarheden die van invloed zijn op Qualcomm en MediaTek chips, variëren van het veroorzaken van tijdelijke hang-ups tot het leiden tot modemfouten en herstarten. Eén kwetsbaarheid, CVE-2023-33042, is bijzonder zorgwekkend omdat deze een apparaat kan dwingen om van een 5G-netwerk over te schakelen naar 4G, wat het blootstelt aan potentiële kwetsbaarheden in het 4G-domein. Zowel Qualcomm als MediaTek hebben beveiligingsbulletins uitgebracht voor de gemelde kwetsbaarheden, maar het kan nog even duren voordat de fixes beschikbaar zijn voor eindgebruikers. Als u zich zorgen maakt over de 5Ghoul-kwetsbaarheden, is de enige praktische oplossing om 5G volledig te vermijden totdat de fixes beschikbaar zijn. Tekenen van een 5Ghoul-aanval omvatten het verlies van 5G-verbindingen, onvermogen om opnieuw verbinding te maken zonder herstarten, en consistente overschakeling naar 4G, zelfs als er een 5G-netwerk beschikbaar is in het gebied. Het is belangrijk op te merken dat de bekendgemaakte kwetsbaarheden niet beperkt zijn tot de genoemde apparaten, en er wordt nog steeds onderzoek gedaan naar welke andere modellen zijn getroffen. Momenteel zijn er al 714 smartphones van 24 merken geïdentificeerd als kwetsbaar. Voor gedetailleerde technische informatie en meer details over de 5Ghoul-kwetsbaarheden, kunt u terecht in het onderzoekspaper van de onderzoekers en hun GitHub-opslagplaats met een proof-of-concept (PoC) exploit kit. [1, 2, 3, 4, 5]
Cyberaanval legt watervoorziening Iers dorp twee dagen plat
Inwoners van twee Ierse dorpjes, Binghamstown en Drum, hebben recentelijk twee dagen zonder water gezeten als gevolg van een cyberaanval op hun lokale drinkwatervoorziening. Dit verontrustende incident werd gerapporteerd door de lokale Ierse krant Western People. Hoewel de details van de aanval schaars zijn, is bekend dat de aanvallers anti-Israëlische boodschappen op de apparatuur hebben achtergelaten, wat doet denken aan eerdere aanvallen op Amerikaanse waterschappen. Deze aanval heeft niet alleen de kwetsbaarheid van de watervoorziening aan het licht gebracht, maar ook de risico's van onbeveiligde programmable logic controllers (PLC's). In dit geval werden PLC's van de fabrikant 'Eurotronics' getroffen, die naar verluidt vergelijkbaar zijn met die van Unitronics. De aanvallers wisten mogelijk toegang te krijgen via het standaardwachtwoord '1111'. Dit incident benadrukt het belang van het beveiligen van kritieke infrastructuur tegen dergelijke aanvallen. Het Amerikaanse Water Information Sharing and Analysis Center (WaterISAC) merkt op dat deze aanval aantoont dat aanvallers niet altijd selecteren op basis van locatie of identiteit, maar eerder op de toegankelijkheid van doelen en hun waardevolle bezittingen. In dit geval werden ongeveer honderdtachtig mensen getroffen, wat de ernst van de situatie onderstreept. Dit incident benadrukt het groeiende belang van cybersecurity in kritieke sectoren, zoals drinkwatervoorziening. Het is van cruciaal belang dat organisaties en overheden proactieve maatregelen nemen om dergelijke aanvallen te voorkomen. Dit omvat het updaten van wachtwoorden, het implementeren van beveiligingsmaatregelen voor PLC's en het vergroten van de bewustwording rond cyberdreigingen in deze sectoren. De cyberaanval op de watervoorziening van deze Ierse dorpjes dient als een waarschuwing voor de wereldwijde gemeenschap om de beveiliging van kritieke infrastructuur serieus te nemen en te investeren in maatregelen om dergelijke incidenten in de toekomst te voorkomen. [1, 2]
Phishingaanvallen door Russische Geheime Dienst
De Amerikaanse overheid heeft recent gewaarschuwd voor geavanceerde phishingaanvallen, vermoedelijk uitgevoerd door de Russische geheime dienst. Deze aanvallen richten zich op individuen en organisaties, voornamelijk in het Verenigd Koninkrijk. De aanvallers gebruiken gedetailleerde openbronnenonderzoek, waarbij ze informatie verzamelen van sociale media en professionele netwerkplatforms. Ze creëren vervalste e-mailaccounts en domeinnamen die lijken op die van bekende contacten of legitieme organisaties. Het doel is om vertrouwen te winnen en slachtoffers te misleiden tot het klikken op malafide links, wat leidt naar phishingwebsites. Deze websites zijn ontworpen om inloggegevens en cookies te stelen, waardoor zelfs tweefactorauthenticatie omzeild kan worden. Gestolen informatie wordt gebruikt voor verdere infiltratie en aanvallen. De autoriteiten benadrukken het belang van sterke beveiligingsmaatregelen, zoals multifactorauthenticatie en het uitschakelen van e-maildoorsturing, om dergelijke aanvallen te voorkomen. [1]
❗️Nederlands Onderzoeksbedrijf Vitro Plus Getroffen door Cyberaanval
Op 7 december 2023 werd bekend dat Vitro Plus, een Nederlands onderzoeksbedrijf gespecialiseerd in dienstverlening, het slachtoffer is geworden van een cyberaanval. De aanval is opgeëist door de groep genaamd PLAY, die hun actie bekendmaakte op het darkweb. Vitro Plus, bekend van hun website www.vitroplus.nl, staat bekend om hun toonaangevende rol in de onderzoekssector. Details over de aard van de aanval en de mogelijke gevolgen voor het bedrijf en zijn klanten zijn nog niet volledig bekend.
Aqualectra Curaçao Overwint Cyberaanval met Beperkte Schade
Aqualectra, een overheidsbedrijf, is recentelijk (6-12) het doelwit geworden van een cyberaanval. Dankzij effectieve beveiligingssystemen heeft het bedrijf de schade weten te minimaliseren. Hoewel hackers toegang kregen tot verouderde data, bevatte deze volgens de CFO geen gevoelige klantinformatie. Aqualectra heeft besloten het door de hackers geëiste losgeld niet te betalen. Als voorzorgsmaatregel werden alle online verbindingen tijdelijk uitgeschakeld, maar deze zijn inmiddels hersteld. Het bedrijf benadrukt dat nutsbedrijven wereldwijd vaak doelwit zijn van dergelijke aanvallen. De recente stroomstoringen houden geen verband met deze cyberaanval. [1]
Grootschalige Cyberaanval op SNU (FRA)
Het Franse Ministerie van Onderwijs heeft bevestigd dat de online platform van de Service National Universel (SNU) het slachtoffer is geworden van een cyberaanval. Deze aanval heeft geleid tot de diefstal van persoonlijke gegevens van maar liefst 150.000 mensen, inclusief ouders en vrijwilligers die deelnemen aan het SNU-programma. Deze cyberaanval werd oorspronkelijk ontdekt door een e-mail die aan de vrijwilligers van het SNU werd gestuurd, waarin stond dat hun persoonlijke gegevens (waaronder naam, voornaam, postadres en e-mailadres) waren gestolen. Het ministerie heeft de details van deze inbreuk verder toegelicht, maar heeft de exacte aard van de cyberaanval niet gespecificeerd. De procureur van de Republiek werd onmiddellijk op de hoogte gesteld door de DG SNU, en er is een onderzoek gaande. Tevens is er een melding gemaakt bij de CNIL, de Franse databeschermingsautoriteit. De diefstal betreft gegevens van 62.500 vrijwilligers die actief zijn in het SNU-programma en 87.000 ouders, in totaal 150.000 personen. Zowel nieuwe als voormalige vrijwilligers zijn getroffen. De gestolen informatie omvat voor de jongeren: naam, voornaam, e-mailadres, postadres en geboortedatum; voor de ouders omvat het dezelfde gegevens minus de geboortedatum. Het ministerie heeft in de communicatie naar de getroffenen toe geen specifieke adviezen of mogelijke gevolgen van de datadiefstal vermeld. Deze gegevens kunnen echter door cybercriminelen worden gebruikt voor gerichte phishingcampagnes, vooral gericht op een jongere doelgroep. Dit verhoogt de noodzaak voor waakzaamheid bij het ontvangen van e-mails in de komende weken. [1]
Krasue RAT: Een Sluwe Linux-Malware Gericht op Telecombedrijven
In 2023 ontdekten beveiligingsonderzoekers van Group-IB een opmerkelijke malware, genaamd Krasue, die zich richt op Linux-systemen van telecombedrijven. Deze remote access trojan (RAT) bleef sinds 2021 onopgemerkt. Krasue bevat zeven varianten van een rootkit, ondersteunt meerdere Linux-kernelversies en is deels gebaseerd op code uit drie open-sourceprojecten. De hoofdfunctie van deze malware is het handhaven van toegang tot geïnfecteerde hosts, wat wijst op mogelijk gebruik in botnets of verkoop door initiële toegangsmakelaars aan aanvallers. De Krasue RAT kan geïmplementeerd worden in latere stadia van een aanval om toegang tot een slachtoffer te behouden. De verspreidingswijze is onduidelijk, maar mogelijkheden zijn exploitatie van kwetsbaarheden, brute-force aanvallen op inloggegevens, of downloads van onbetrouwbare bronnen. De aanvallen lijken zich vooral te richten op Thaise telecombedrijven. De rootkit in Krasue, een Linux Kernel Module (LKM), vermomt zich als een niet-ondertekende VMware-driver. Deze kernel-niveau rootkits zijn lastig te detecteren en te verwijderen. Group-IB merkte op dat de rootkit compatibel is met oudere Linux Kernel-versies (2.6x/3.10.x), wat detectie bemoeilijkt, aangezien oudere servers vaak minder goede endpointdetectie en -respons hebben. De Krasue rootkit biedt diverse functies zoals het verbergen van poorten en processen, het verlenen van root-privileges, en het uitvoeren van kill-commando's. Bovendien kan het zijn sporen wissen door malwaregerelateerde bestanden en mappen te verbergen. De communicatie met de command-and-control-server (C2) omvat commando's zoals 'ping', 'master', en 'info'. Group-IB heeft negen verschillende C2 IP-adressen geïdentificeerd die in de malware zijn gecodeerd. Het gebruik van het RTSP (Real Time Streaming Protocol) voor C2-communicatie is opmerkelijk. Hoewel de oorsprong van Krasue onbekend is, zijn er overeenkomsten gevonden met de rootkit van een andere Linux-malware, XorDdos, wat duidt op een mogelijke gemeenschappelijke auteur of exploitant. Group-IB heeft indicatoren van compromis en YARA-regels gedeeld om verdedigers te helpen deze dreiging te detecteren. [1, 2, 3]
Nieuwe SLAM-aanval bedreigt beveiliging van toekomstige CPU's van AMD, Intel en Arm
Academische onderzoekers hebben een nieuwe zij-kanaalaanval, genaamd SLAM, ontwikkeld die hardwarefuncties uitbuit, bedoeld om de beveiliging in toekomstige CPU's van Intel, AMD en Arm te verbeteren, om zo de root wachtwoordhash uit het kernelgeheugen te verkrijgen. SLAM, een afkorting voor Spectre gebaseerd op LAM, is een transiënte uitvoeringsaanval die gebruik maakt van een geheugenfunctie die software toestaat onvertaalde adresbits in 64-bit lineaire adressen te gebruiken voor het opslaan van metadata. Deze functie wordt door CPU-leveranciers op verschillende manieren geïmplementeerd, met als benamingen Linear Address Masking (LAM) door Intel, Upper Address Ignore (UAI) door AMD en Top Byte Ignore (TBI) door Arm. Deze aanval is ontdekt door onderzoekers van de Systems and Network Security Group (VUSec Group) aan de Vrije Universiteit Amsterdam. Zij demonstreerden de geldigheid ervan door de aankomende LAM-functie van Intel te emuleren op een systeem van de laatste generatie met Ubuntu. Volgens VUSec heeft SLAM vooral impact op toekomstige chips die aan specifieke criteria voldoen, mede door het ontbreken van sterke canonieke controles in toekomstige chipontwerpen. Hoewel de geavanceerde hardwarefuncties zoals LAM, UAI en TBI de geheugensecuriteit en -beheer verbeteren, introduceren ze ook uitbuitbare micro-architecturale racecondities. De SLAM-aanval maakt gebruik van een nieuwe transiënte uitvoeringstechniek gericht op het exploiteren van een voorheen onverkende klasse van Spectre-disclosure gadgets, met name die welke pointer chasing betrekken. Gadgets zijn instructies in softwarecode die een aanvaller kan manipuleren om speculatieve uitvoering uit te lokken die gevoelige informatie onthult. Hoewel de resultaten van speculatieve uitvoering worden verworpen, laten ze sporen na zoals veranderde cache-toestanden, die aanvallers kunnen observeren om gevoelige informatie zoals data van andere programma's of zelfs het besturingssysteem af te leiden. De onderzoekers ontwikkelden een scanner waarmee ze honderden uit te buiten gadgets vonden in de Linux-kernel. In een praktisch scenario zou een aanvaller code moeten uitvoeren op het doelsysteem die interageert met de ongemaskeerde gadgets en vervolgens de zij-effecten zorgvuldig meten met geavanceerde algoritmes om gevoelige informatie zoals wachtwoorden of encryptiesleutels uit het kernelgeheugen te extraheren. Als reactie op de onthulling van de onderzoekers publiceerde Arm een advies waarin staat dat hun systemen al zijn beschermd tegen Spectre v2 en Spectre-BHB en dat ze geen verdere actie ondernemen in reactie op SLAM. AMD verwees ook naar de huidige Spectre v2-mitigaties om de door VUSec beschreven SLAM-aanval aan te pakken en gaf geen verdere richtlijnen of updates om het risico te verlagen. Intel kondigde plannen aan om softwarebegeleiding te bieden voordat toekomstige processoren die LAM ondersteunen worden uitgebracht. Tot nadere begeleiding beschikbaar is, hebben Linux-ingenieurs patches gecreëerd die LAM uitschakelen. [1, 2, 3, 4, 5, pdf, pdf2, pdf3 ]
Marine-aannemer Austal USA bevestigt cyberaanval
Samenvatting: Austal USA, een scheepsbouwbedrijf en aannemer voor het Amerikaanse ministerie van Defensie en het ministerie van Binnenlandse Veiligheid, heeft een cyberaanval bevestigd. De aanval is geclaimd door de Hunters International ransomware- en data-afpersingsgroep. Austal USA heeft snel gereageerd om de schade te beperken en er is geen persoonlijke of geclassificeerde informatie gelekt. Onderzoek door de FBI en NCIS is gaande. De aanvallers dreigen meer data te publiceren, waaronder compliance-documenten en financiële gegevens. Austal USA onderzoekt nog de volledige impact en werkt aan preventieve maatregelen voor toekomstige incidenten. [1]
Nissan Onderzoekt Cyberaanval en Potentiële Datalek in Australië en Nieuw-Zeeland
De Japanse autofabrikant Nissan onderzoekt een cyberaanval gericht op hun systemen in Australië en Nieuw-Zeeland. Dit incident zou mogelijk hackers toegang hebben gegeven tot persoonlijke informatie. Hoewel de details van de aanval nog niet openbaar zijn gemaakt, heeft Nissan klanten van zijn Oceanië-divisie geïnformeerd over een potentieel datalek. Ze waarschuwen voor een risico op oplichting in de komende dagen. Nissan Oceanië, een regionale divisie van de bekende Japanse automaker, is verantwoordelijk voor distributie, marketing, verkoop en diensten in Australië en Nieuw-Zeeland. Een verklaring van het bedrijf is gepubliceerd op de hoofdpagina's van de websites "nissan.com.au" en "nissan.co.nz". Hierin staat dat de systemen van Nissan Corporation en Financial Services in Australië en Nieuw-Zeeland "het doelwit zijn geweest van een cyberincident." Het bedrijf heeft zijn wereldwijde incidentrespons team ingezet om de impact van de cyberaanval te beoordelen. Nissan werkt samen met dit team en relevante belanghebbenden om de omvang van het incident te onderzoeken en of er persoonlijke informatie is geraadpleegd. Nissan waarschuwt klanten voor mogelijke oplichtingspraktijken en accountkaping, aangezien er een significant risico bestaat dat klantgegevens gecompromitteerd zijn. Hoewel de functionaliteit van de website onaangetast lijkt, bevestigt Nissan dat men werkt aan het herstellen van de getroffen systemen. Ze vragen klanten geduldig te zijn tijdens dit proces. Het dealernetwerk van Nissan is niet getroffen; alle voertuig- en serviceaanvragen kunnen worden ingediend zonder vertraging. De Australische en Nieuw-Zeelandse overheidsinstanties verantwoordelijk voor het verbeteren van cyberweerbaarheid zijn op de hoogte gesteld van het incident, maar hadden op het moment van publicatie nog geen verklaringen afgegeven. [1, 2]
Wereldwijde Datalekken in Ziekenhuizen: Miljoenen Patiëntgegevens op Risico
Onderzoekers van het securitybedrijf Aplite hebben ontdekt dat ziekenhuizen en medische instellingen wereldwijd de persoonlijke en medische gegevens van miljoenen patiënten lekken via slecht beveiligde servers. Deze bevindingen, gepresenteerd tijdens de Black Hat Conference, wijzen op meer dan 3800 kwetsbare servers in 110 landen, met gegevens van ongeveer 16 miljoen patiënten. Deze servers bevatten niet alleen röntgenscans en MRI-scans, maar ook namen, adressen, behandelgegevens en in sommige gevallen social-securitynummers van patiënten. Bovendien troffen de onderzoekers op deze servers 43 miljoen 'health' records aan, inclusief details van medisch onderzoek, de uitvoeringsdata en informatie over de behandelende artsen. Deze servers gebruiken het Digital Imaging and Communications in Medicine (DICOM) protocol, een verouderd systeem bedoeld voor het opslaan van medische scans. DICOM-beelden worden gewoonlijk opgeslagen op Picture Storage and Sharing System (PACS) servers, waardoor zorgpersoneel gemakkelijk toegang heeft tot patiëntbeelden voor opslag en delen met andere zorginstellingen. Echter, de onderzoekers constateerden dat minder dan één procent van de DICOM-servers effectieve beveiligingsmaatregelen toepast, wat de patiëntgegevens kwetsbaar maakt voor onbevoegde toegang. De problemen met DICOM zijn niet nieuw; er werd al in 2019 voor gewaarschuwd. Een anonieme reactie op het artikel benadrukt dat PACS-servers vaak niet door ICT worden beheerd, maar door PACS-beheerders die alleen functioneel beheer uitvoeren. Dit leidt tot situaties waarbij ongeschikte servers zoals de gratis Conquest server in productie worden genomen zonder adequaat beleid van ziekenhuizen. [1, 2]
Oude Kwetsbaarheden Vormen Actueel Gevaar in Cyberaanvallen
Een zorgwekkende trend in de wereld van cybersecurity: het grootschalige gebruik van jarenoude kwetsbaarheden in aanvallen. Dit fenomeen is onder de aandacht gebracht door Cisco in hun jaaroverzicht van 2023. De bevindingen tonen aan dat zwakheden in veelgebruikte software zoals Microsoft Office, Oracle Java, en Apple Safari, sommige daterend van meer dan tien jaar geleden, nog steeds worden uitgebuit door cybercriminelen. Een dergelijke bevinding werd eerder dit jaar ook bevestigd door het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA). Bovenaan de lijst van meest aangevallen beveiligingslekken staat een kwetsbaarheid in Microsoft Office uit 2017. Verder wordt een lek in Apple Safari, daterend uit 2010, ook genoemd. Cisco benadrukt de urgentie voor organisaties om regelmatig software-updates uit te voeren, gezien veel van deze oudere kwetsbaarheden waarschijnlijk ongepatcht zijn gebleven. De ernst van deze situatie wordt onderstreept door het feit dat acht van de tien genoemde kwetsbaarheden als kritiek zijn geclassificeerd. Het hoge aantal pogingen om deze beveiligingslekken te misbruiken, gecombineerd met hun ernstige aard, benadrukt het risico van systemen die niet up-to-date zijn. Cisco ontdekte dat in veel gevallen waarbij zij de aanvalsmethode konden achterhalen, misbruik van deze kwetsbaarheden de meest voorkomende toegangsmethode voor aanvallers was. Reacties van lezers op het artikel variëren van frustratie over de laksheid van systeembeheerders tot vragen waarom kwetsbaarheden in Cisco-producten zelf niet op de lijst staan. Deze discussie wijst op een groeiend bewustzijn van de noodzaak voor voortdurende waakzaamheid en up-to-date beveiligingsmaatregelen in de strijd tegen cybercriminaliteit. [1, pdf]
Microsoft Waarschuwt voor Ransomware-aanvallen via Malafide Advertenties
In een recente waarschuwing uitgebracht door Microsoft wordt aandacht besteed aan het toenemende gevaar van ransomware-aanvallen, die worden ingeleid door malafide advertenties. Deze advertenties, verspreidend op verschillende platforms, zijn een middel om de 'Danabot' malware te verspreiden onder nietsvermoedende gebruikers. Danabot is bekend om zijn capaciteiten zoals het stelen van inloggegevens, het vastleggen van toetsaanslagen, en het verlenen van toegang aan aanvallers tot geïnfecteerde systemen. Deze toegang maakt het mogelijk voor de aanvallers om verdere schadelijke software te installeren, met name ransomware. Het artikel onthult dat Danabot oorspronkelijk werd ontworpen voor bankfraude en het stelen van inloggegevens, en nu als 'malware-as-a-service' wordt aangeboden. Microsoft heeft een specifieke 'malvertising'-campagne geïdentificeerd die gericht is op het verspreiden van een private versie van Danabot, die vervolgens wordt gebruikt om Cactus-ransomware aanvallen uit te voeren. Een interessant detail is dat de aanvallers die verantwoordelijk zijn voor deze campagne voorheen veelvuldig de Qakbot-malware gebruikten. Echter, de infrastructuur van deze malware werd eind augustus ontmanteld tijdens een internationale politieoperatie. Naar aanleiding van deze dreiging adviseert Microsoft organisaties om een sterk wachtwoordbeleid te hanteren. Hoewel specifieke details over de gebruikte malafide advertenties niet zijn verstrekt, benadrukt de situatie het belang van bewustzijn rondom cybersecurity en het nemen van preventieve maatregelen. Reacties van lezers suggereren diverse meningen over de aanpak van dit probleem. Sommigen pleiten voor het gebruik van adblockers, terwijl anderen de verantwoordelijkheid bij advertentiebedrijven leggen en voorstellen dat zij aansprakelijk gesteld moeten worden voor verspreiding van malware via hun platformen. [1]
Microsoft has detected Danabot (Storm-1044) infections leading to hands-on-keyboard activity by ransomware operator Storm-0216 (Twisted Spider, UNC2198), culminating in the deployment of Cactus ransomware. In this campaign, Danabot is distributed via malvertising.
— Microsoft Threat Intelligence (@MsftSecIntel) December 1, 2023
HTC Global Services Getroffen door Cyberaanval en Datalek
HTC Global Services heeft een cyberaanval bevestigd na het uitlekken van data door de ALPHV ransomwaregroep. Het gelekte materiaal omvat paspoorten, contactlijsten en vertrouwelijke documenten. Cybersecurity expert Kevin Beaumont vermoedt dat de aanval plaatsvond via de Citrix Bleed kwetsbaarheid. ALPHV, ook bekend als BlackCat, is actief sinds november 2021 en staat bekend om aanvallen op grote bedrijven en kritieke infrastructuur. De groep heeft onlangs verschillende slachtoffers gemaakt, waaronder een elektriciteitsleverancier en een ziekenhuisnetwerk in de VS.
HTC has experienced a cybersecurity incident. Our team has been actively investigating and addressing the situation to ensure the security and integrity of user data. We've enlisted cybersecurity experts and are working to resolve it. Your trust is our priority.
— HTC Global Services (@HTCInc) December 1, 2023
❗️Nederlands Bedrijf Skalar.com Getroffen door Medusa Locker Ransomware
In een recente cyberaanval is het Nederlandse bedrijf Skalar.com, bekend om zijn productie van machinerie en computerapparatuur, getroffen door Medusa Locker ransomware. Deze aanval werd op 5 december 2023 openbaar gemaakt door de cybercriminelen op het darkweb. Skalar.com, gevestigd in Nederland, wordt nu geconfronteerd met de gevolgen van deze kwaadaardige software, die cruciale bedrijfsgegevens kan versleutelen en de bedrijfsvoering ernstig kan verstoren. Dit incident benadrukt wederom de noodzaak voor verhoogde cybersecuritymaatregelen binnen de industrie.
SpyLoan Android Malware: Miljoenen Downloads en Multifaceted Risico's
Het artikel, geschreven door Bill Toulas en gepubliceerd op 5 december 2023, belicht de ernstige dreiging van de SpyLoan Android malware. Deze kwaadaardige leenapps zijn meer dan 12 miljoen keer gedownload vanuit Google Play, maar het totale aantal downloads is waarschijnlijk veel hoger, aangezien deze apps ook beschikbaar zijn in derde-partij winkels en op verdachte websites. SpyLoan apps stelen persoonlijke gegevens van apparaten, waaronder accountinformatie, apparaatgegevens, belgeschiedenis, geïnstalleerde apps, evenementen in de kalender, lokale Wi-Fi-netwerkdetails en metadata van afbeeldingen. De risico's strekken zich zelfs uit tot contactenlijsten, locatiegegevens en tekstberichten. Ze vermommen zich als legitieme financiële diensten voor persoonlijke leningen en lokken gebruikers met de belofte van "snelle en gemakkelijke toegang tot fondsen". Vervolgens misleiden ze gebruikers om hoge rentebetalingen te accepteren en dreigen ze slachtoffers om het geld te betalen. Cybersecuritybedrijf ESET, lid van de App Defense Alliance, heeft sinds begin dit jaar 18 SpyLoan apps ontdekt. Google heeft op hun rapportage gereageerd en 17 van de kwaadaardige apps verwijderd. Eén app is nu beschikbaar met een andere set permissies en functionaliteiten en wordt niet langer als een SpyLoan-dreiging beschouwd. Deze apps verschenen voor het eerst in 2020 en zijn sinds vorig jaar steeds vaker aanwezig op zowel Android- als iOS-systemen. Ze worden verspreid via frauduleuze websites, software in third-party app-winkels, en Google Play. Vooral in landen als Mexico, India, Thailand, en Indonesië is een toename van SpyLoan-detecties waargenomen. Om infiltratie in Google Play te bewerkstelligen, dienen deze apps in overeenstemming met privacybeleid te zijn, voldoen ze aan de vereiste KYC-normen en hebben ze transparante verzoeken om toestemming. Veel van deze frauduleuze apps linken naar websites die schaamteloze kopieën zijn van legitieme bedrijfssites, met zelfs foto's van werknemers en kantoren om een vals gevoel van authenticiteit te creëren. ESET waarschuwt dat deze apps in strijd zijn met het financieel beleid van Google door de looptijd van persoonlijke leningen eenzijdig te verkorten en gebruikers te bedreigen met belachelijk maken en blootstelling als ze niet voldoen. De privacybeleid van deze apps is misleidend en vraagt om riskante permissies onder het mom van legitieme redenen. Om zich tegen de SpyLoan-dreiging te verdedigen, raadt ESET aan om alleen vertrouwde financiële instellingen te vertrouwen, de gevraagde permissies zorgvuldig te beoordelen bij het installeren van een nieuwe app en gebruikersrecensies op Google Play te lezen, die vaak aanwijzingen bevatten over de frauduleuze aard van de app. [1]
Amerikaanse Overheidsservers Gecompromitteerd via Adobe ColdFusion Kwetsbaarheid
In de zomer van 2023 werden Adobe ColdFusion-servers van de Amerikaanse overheid gecompromitteerd via een bekende kwetsbaarheid, bekend als CVE-2023-26360. Deze informatie werd bekendgemaakt door het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het lek in kwestie was al bekend sinds maart van dat jaar, toen Adobe een beveiligingsupdate uitbracht. Deze update werd echter niet geïnstalleerd op de getroffen servers, waardoor deze kwetsbaar bleven voor aanvallen. ColdFusion, een platform voor het ontwikkelen van webapplicaties, is in het verleden vaker doelwit geweest van soortgelijke aanvallen. Het CISA vermoedt dat de aanvallers in deze recente aanval als doel hadden het netwerk van de overheidsinstantie te verkennen. Er is geen duidelijkheid over of er data is gestolen of dat de aanvallers zich lateraal door het netwerk hebben bewogen. Ook is het onbekend of dezelfde aanvaller verantwoordelijk is voor de aanvallen op meerdere servers. Als reactie op deze gebeurtenis benadrukt het CISA het belang voor organisaties om hun ColdFusion-servers up-to-date te houden. Ze adviseren het toepassen van een 'secure-by-default' configuratie, segmentatie van netwerken, het gebruik van een firewall en het implementeren van logging. Deze maatregelen zijn cruciaal om toekomstige inbreuken en kwetsbaarheden te voorkomen en de veiligheid van kritieke infrastructuur te waarborgen. [1]
❗️Grootschalige Datalek bij 23andMe: 6,9 Miljoen Gebruikersgegevens Blootgesteld
Op dinsdag 5 december 2023 werd bekend dat het DNA-testbedrijf 23andMe het slachtoffer is geworden van een datalek, waarbij de afstammingsgegevens van maar liefst 6,9 miljoen gebruikers zijn buitgemaakt. Dit aantal, dat niet eerder openbaar was gemaakt, is bijzonder zorgwekkend gezien de aard van de gelekte informatie. 23andMe, een bedrijf met ongeveer 14 miljoen gebruikers, stelt mensen in staat hun DNA te testen om hun afkomst te achterhalen en contact te leggen met familieleden via het platform. De aanval, bekend als een 'credential stuffing'-aanval, stelde de aanvallers in staat om toegang te krijgen tot de accounts van 14.000 gebruikers. Volgens een rapport aan de Amerikaanse beurswaakhond SEC hadden de aanvallers toegang tot 'een aanzienlijk aantal bestanden' met afstammingsgegevens van andere gebruikers. Het lek betrof gebruikers die de 'DNA Relatives'-functie hadden geactiveerd, een optie waarmee men familieleden op het platform kan opsporen en meer over hun afstamming kan leren. De gelekte gegevens omvatten namen, geboortejaren, relatielabels, gedeelde DNA-percentages met familieleden, afstammingsrapporten en door gebruikers verstrekte locaties. Voor 1,4 miljoen van deze gebruikers waren ook stamboomgegevens toegankelijk. Credential stuffing-aanvallen maken gebruik van eerder gestolen inloggegevens van andere websites. Deze aanval is mogelijk als gebruikers dezelfde wachtwoorden hergebruiken en bedrijven niet voldoende maatregelen nemen tegen dergelijke geautomatiseerde aanvallen. Als reactie op deze gebeurtenis heeft 23andMe de wachtwoorden van alle 14 miljoen gebruikers gereset en tweestapsverificatie verplicht gesteld. De Nederlandse Autoriteit Persoonsgegevens werd geïnformeerd over het lek, waarbij ook gegevens van Nederlandse gebruikers zijn betrokken. Het exacte aantal getroffen Nederlandse gebruikers is echter onbekend. 23andMe heeft aangegeven de betrokken Nederlandse gebruikers te zullen informeren. [1, 2]
Britse Overheid Weerspreekt Malware Infectie in Sellafield Nucleaire Opwerkingsfabriek
De Britse overheid heeft recentelijk de beweringen van The Guardian over een malware-infectie in de nucleaire opwerkingsfabriek Sellafield tegengesproken. Volgens het nieuwsbericht van Security.NL op dinsdag 5 december 2023, stelt The Guardian dat aanvallers, vermoedelijk gelieerd aan China en Rusland, sinds 2015 malware in de systemen van Sellafield hebben geïmplementeerd. Echter, de details over de aard van de malware en de wijze van infectie zijn niet gespecificeerd door de krant. Sellafield reageerde door te verklaren dat zij over geavanceerde monitoringssystemen beschikken en met zekerheid kunnen zeggen dat er geen malware in hun systemen aanwezig is. Ze hebben ook hun ongenoegen uitgesproken over onjuistheden in het rapport van The Guardian en hebben de krant verzocht om bewijs te leveren van de vermeende aanval, wat tot nu toe niet is gebeurd. De Britse autoriteit voor kernenergie, ONR, heeft eveneens aangegeven geen bewijs te hebben gevonden voor de claims van The Guardian. Wel erkent ONR dat er verbeterpunten zijn bij Sellafield, maar deze zouden geen direct risico vormen voor de openbare veiligheid. Ondanks dat Sellafield momenteel niet aan alle cybersecurity standaarden voldoet, staat de fabriek onder verscherpt toezicht. Dit incident benadrukt de complexiteit en gevoeligheid rondom cybersecurity in kritieke infrastructuur zoals nucleaire installaties, waarbij nauwkeurige informatie en transparantie van cruciaal belang zijn voor zowel de veiligheid als het publieke vertrouwen. [1, 2, 3]
Geavanceerde P2Pinfect Malware Richt Zich Nu Op MIPS-apparaten
De nieuwste varianten van de P2Pinfect-botnet richten zich op het infecteren van apparaten met 32-bits MIPS-processors, zoals routers en IoT-apparaten. Deze chips zijn vanwege hun efficiëntie en compacte ontwerp veelgebruikt in embedded systemen. P2Pinfect, oorspronkelijk ontdekt in juli 2023 door Palo Alto Networks, is een in Rust geschreven worm die kwetsbare Redis-servers (CVE-2022-0543) aanvalt. Na de initiële ontdekking merkte Cado Security op dat P2Pinfect de replicatiefunctie van Redis misbruikte om zich te verspreiden. In september meldde Cado een piek in P2Pinfect-botnetactiviteiten, met aanvallen op systemen in diverse landen, waaronder de VS, Duitsland, het VK, Japan, Singapore, Hongkong en China. Recentelijk heeft Cado een nieuwe ontwikkeling gerapporteerd die een significante evolutie in het doel en de detectieontwijking van het project aangeeft. De nieuwe MIPS-variant van P2Pinfect werd waargenomen terwijl deze SSH-servers met zwakke inloggegevens scande. De malware probeert de MIPS binary te uploaden via SFTP en SCP. Opmerkelijk is dat de verspreiding niet beperkt is tot SSH; er werden pogingen waargenomen om de Redis-server op MIPS-apparaten uit te voeren via een OpenWRT-pakket genaamd 'redis-server'. Een statische analyse onthulde dat de nieuwe P2Pinfect een 32-bits ELF-binary is zonder debug-informatie, met een ingesloten 64-bits Windows DLL, die fungeert als een laadbaar module voor Redis om shell-commando's op de host uit te voeren. De nieuwste variant implementeert geavanceerde ontwijkingsmechanismen die detectie en analyse aanzienlijk bemoeilijken, zoals het controleren op de 'TracerPid'-waarde in het processtatusbestand en het gebruik van systeemoproepen om Linux core dumps uit te schakelen. Ondanks uitgebreide tracking van de botnet door diverse campagnes, blijft de precieze doelstelling van de malware-operatoren onzeker. Mogelijke doelen omvatten cryptocurrency mining, het lanceren van DDoS-aanvallen, verkeersproxying en data-diefstal. [1]
Russische Hackers Misbruiken Outlook-kwetsbaarheid om Exchange Accounts te Kapen
Het Threat Intelligence team van Microsoft heeft recentelijk een waarschuwing uitgegeven over de Russische door de staat gesponsorde actorgroep APT28, ook bekend als "Fancybear" of "Strontium". Deze groep maakt actief gebruik van de kwetsbaarheid CVE-2023-23397 in Outlook om Microsoft Exchange accounts te kapen en gevoelige informatie te stelen. Deze aanvallen zijn gericht op overheidsinstanties, energiebedrijven, transportorganisaties en andere sleutelorganisaties in de Verenigde Staten, Europa en het Midden-Oosten. CVE-2023-23397 is een kritieke kwetsbaarheid in Outlook op Windows, waardoor de aanvallers hogere systeemprivileges kunnen verkrijgen. Microsoft heeft deze kwetsbaarheid als een zero-day in maart 2023 gepatcht, maar APT28 had het sinds april 2022 al geëxploiteerd. Ze gebruikten speciaal ontworpen Outlook-notities om NTLM-hashes te stelen en ongemerkte authenticatie naar door de aanvaller gecontroleerde SMB-shares te forceren. Hierdoor konden ze laterale bewegingen in het netwerk van het slachtoffer maken en de mailboxpermissies wijzigen om gerichte e-maildiefstal uit te voeren. Bovendien werden in dezelfde aanvallen andere kwetsbaarheden uitgebuit, waaronder CVE-2023-38831 in WinRAR en CVE-2021-40444 in Windows MSHTML. Ondanks beschikbare beveiligingsupdates en aanbevelingen voor mitigerende maatregelen, bleef het aanvalsoppervlak aanzienlijk. Een bypass voor de fix (CVE-2023-29324) die in mei volgde, verergerde de situatie. Opnames van de toekomst waarschuwden in juni dat APT28 waarschijnlijk de Outlook-kwetsbaarheid tegen belangrijke Oekraïense organisaties inzette. In oktober onthulde het Franse cybersecurityagentschap (ANSSI) dat de Russische hackers de zero-click-aanval tegen overheidsinstanties, bedrijven, universiteiten, onderzoeksinstituten en denktanks in Frankrijk gebruikten. Microsoft benadrukt dat aanvallen nog steeds aan de gang zijn. De technologiegigant heeft ook de inspanningen van het Poolse Cyber Command Center (DKWOC) erkend in het detecteren en stoppen van deze aanvallen. DKWOC heeft ook een bericht gepubliceerd dat de activiteit van APT28 beschrijft die CVE-2023-38831 uitbuit.
De aanbevolen acties om nu te nemen, opgesomd naar prioriteit, zijn als volgt:
1. Pas de beschikbare beveiligingsupdates toe voor CVE-2023-23397 en de bypass CVE-2023-29324.
2. Gebruik dit script van Microsoft om te controleren of Exchange-gebruikers zijn getarget.
3. Reset de wachtwoorden van gecompromitteerde gebruikers en schakel MFA (multi-factor authenticatie) in voor alle gebruikers.
4. Beperk SMB-verkeer door verbindingen met poorten 135 en 445 van alle inkomende IP-adressen te blokkeren.
5. Schakel NTLM uit in uw omgeving.
Gezien het feit dat APT28 een zeer hulpbronrijke en aanpasbare bedreigingsgroep is, is de meest effectieve verdedigingsstrategie om het aanvalsoppervlak over alle interfaces te verminderen en ervoor te zorgen dat alle softwareproducten regelmatig worden bijgewerkt met de nieuwste beveiligingspatches.
Microsoft has identified a Russian-based nation-state threat actor tracked as Forest Blizzard (STRONTIUM, APT28, FANCYBEAR) actively exploiting CVE-2023-23397 to provide secret, unauthorized access to email accounts within Exchange servers: https://t.co/BzbQpELgWQ
— Microsoft Threat Intelligence (@MsftSecIntel) December 4, 2023
Cyberaanval op Tipalti door ALPHV Groep Brengt Klantgegevens in Gevaar
Tipalti, een firma gespecialiseerd in financiële technologieën zoals boekhoudsystemen, betaalverwerking, en diensten voor e-commerce en affiliate marketing, onderzoekt momenteel beweringen over een netwerkinbraak door de ALPHV ransomware groep, ook bekend als BlackCat. Er wordt beweerd dat de groep 256 GB aan data heeft ontvreemd, inclusief gevoelige informatie van grote klanten zoals Roblox en Twitch. De zaak kwam aan het licht nadat ALPHV op hun website voor gelekte data een gedetailleerde verklaring publiceerde. Hierin claimden zij sinds 8 september 2023 ongemerkt toegang te hebben tot het netwerk van Tipalti, waarbij ze meer dan 265 GB aan kritieke zakelijke gegevens hebben ontvreemd. Dit betreft zowel informatie van Tipalti's eigen werknemers als van hun cliënten. In een reactie aan BleepingComputer benadrukte Tipalti de ernst waarmee ze deze situatie benaderen, verwijzend naar hun robuuste beveiligingsmaatregelen en hun voortdurende onderzoek naar de kwestie. Roblox heeft eveneens bevestigd met Tipalti samen te werken om de situatie te beoordelen, terwijl ze aangeven geen directe impact op hun systemen te hebben geconstateerd. Twitch heeft tot op heden nog niet gereageerd op de berichtgeving. Het is uitzonderlijk dat ransomwaregroepen slachtoffers publiekelijk benoemen voor het uitvoeren van afpersing. In dit geval verklaart ALPHV hun ongebruikelijke aanpak door aan te geven dat Tipalti's cyberverzekering geen dekking biedt voor afpersing, en ze verwachten niet dat het bedrijf zal ingaan op een losgeldeis. De cybercriminelen hebben aangekondigd dat ze van plan zijn individueel contact op te nemen met klanten van Tipalti voor afpersing. Hoewel het nog niet duidelijk is welke klanten getroffen zijn, beperken de huidige verklaringen zich tot toegang tot data van Twitch en Roblox. [1]
Nepbeveiligingsadvies WordPress Leidt tot Malware Insluizing
In december 2023 werd een misleidende cyberaanval ontdekt gericht op WordPress-beheerders. De aanval hield in dat beheerders nepbeveiligingsadviezen per e-mail ontvingen over een verzonnen kwetsbaarheid, getagd als CVE-2023-45124. Deze e-mails bevatten een uitnodiging om een kwaadaardige plugin te downloaden die zogenaamd de beveiligingslek zou aanpakken. Deze frauduleuze campagne werd ontdekt en gemeld door WordPress-beveiligingsexperts bij Wordfence en PatchStack. Zij publiceerden waarschuwingen op hun websites om het bewustzijn te verhogen. De phishingmails deden zich voor als officiële berichten van WordPress, met waarschuwingen over een kritieke kwetsbaarheid voor uitvoering van externe code (Remote Code Execution, RCE). Beheerders werden aangespoord om een plugin te downloaden die beweerde het beveiligingsprobleem aan te pakken. De link in de e-mail leidde de slachtoffers naar een nagemaakte website die sterk leek op de officiële WordPress-site. Deze valse plugin toonde een opgeblazen aantal downloads en meerdere nepgebruikersbeoordelingen, die de effectiviteit ervan prijzen. Na installatie creëerde de plugin een verborgen beheerdersgebruiker genaamd 'wpsecuritypatch' en stuurde informatie over het slachtoffer naar de command-and-control server van de aanvallers. Vervolgens downloadde het een gecodeerde achterdeur payload, die werd opgeslagen als 'wp-autoload.php' in de webroot van de site. De achterdeur bood functies zoals bestandsbeheer, een SQL-cliënt, een PHP-console en een commandoregelterminal, en gaf de aanvallers gedetailleerde informatie over de serveromgeving. Bovendien verborg de kwaadaardige plugin zichzelf in de lijst van geïnstalleerde plugins, waardoor handmatig zoeken in de rootdirectory van de site nodig was om het te verwijderen. Hoewel het operationele doel van de plugin op dat moment onbekend was, speculeerde PatchStack dat het gebruikt kon worden voor het injecteren van advertenties op gecompromitteerde sites, het omleiden van bezoekers, het stelen van gevoelige informatie, of zelfs het chanteren van eigenaren door te dreigen hun websitegegevens te lekken. [1, 2]
AeroBlade: Nieuwe Hackergroep Richt Zich op Amerikaanse Luchtvaartsector
In de Verenigde Staten is een tot nu toe onbekende cyber spionage hackergroep, genaamd 'AeroBlade', ontdekt die zich richt op organisaties in de luchtvaartsector. Deze campagne werd onthuld door BlackBerry en ontvouwde zich in twee fasen: een testfase in september 2022 en een geavanceerdere aanval in juli 2023. De aanvallen maken gebruik van spear-phishing met gemanipuleerde documenten om toegang te krijgen tot bedrijfsnetwerken, waarbij een reverse-shell payload wordt gedropt die in staat is tot het oplijsten van bestanden en datadiefstal. BlackBerry schat met middelhoge tot hoge zekerheid dat het doel van de aanvallen commerciële cyber spionage is, gericht op het verzamelen van waardevolle informatie. In de eerste aanvallen, die plaatsvonden in september 2022, gebruikte AeroBlade phishing emails met een documentbijlage (docx) die remote template injection toepast om een tweede DOTM-bestand te downloaden. Dit bestand voert kwaadaardige macro's uit die een reverse shell op het systeem van het doelwit creëren, verbonden met de command and control (C2) server van de aanvaller. Het reverse-shell payload is een zwaar verhuld DLL-bestand dat alle mappen op de gecompromitteerde computer opsomt, wat de operators helpt bij het plannen van hun volgende stappen in datadiefstal. Dit DLL-bestand heeft mechanismen om analyse te bemoeilijken, waaronder sandboxdetectie, aangepaste stringcodering, bescherming tegen demontage door middel van dode code en stroomobstructie, en API-hashing om misbruik van Windows-functies te maskeren. De payload zorgt ook voor persistentie in het systeem via de Windows Taakplanner, door een taak genaamd 'WinUpdate2' toe te voegen. Vroege samples van de DLL payload misten de meeste ontwijkingstechnieken die in de samples van 2023 te zien waren. Dit duidt erop dat de dreigingsactoren hun tools blijven ontwikkelen voor meer geavanceerde aanvallen, terwijl de pogingen in 2022 meer gericht waren op het testen van de inbraak- en infectieketen. In beide aanvallen was de uiteindelijke payload een reverse shell die verbinding maakte met hetzelfde C2 IP-adres, en de dreigingsactoren gebruikten dezelfde lokdocumenten in de phishingfase. BlackBerry heeft de oorsprong van AeroBlade of het precieze doel van de aanvallen niet kunnen vaststellen. De onderzoekers speculeren dat het doel was om data te stelen om deze te verkopen, te leveren aan internationale concurrenten in de luchtvaart, of te gebruiken als hefboom voor afpersing van de slachtoffers. [1]
Geavanceerde Outlook-kwetsbaarheid Al Lang Exploiteerd door Hackers
Sinds april 2022 wordt een ernstige kwetsbaarheid in Microsoft Outlook uitgebuit door hackers, aldus een recente verklaring van Microsoft. Deze kwetsbaarheid, bekend als CVE-2023-23397, treft alle ondersteunde versies van Microsoft Outlook voor Windows. De aanvallen worden toegeschreven aan Fancy Bear (ook bekend als APT28), een hackersgroep die vermoedelijk vanuit Rusland opereert. De kwetsbaarheid stelt aanvallers in staat om zonder enige interactie van de gebruiker toegang te verkrijgen tot mailaccounts op Exchange-servers. Dit gebeurt door het versturen van een speciaal geconstrueerde e-mail, die het slachtoffer onbedoeld laat inloggen op een server van de aanvaller. Hierbij wordt de wachtwoordhash van het e-mailaccount verzonden en onderschept, wat de aanvallers in staat stelt deze te kraken. Onder de doelwitten bevonden zich aanvankelijk vooral 'high-value' gebruikers, waaronder Poolse overheidsinstanties. Het Poolse Cyber Commando heeft in samenwerking met Microsoft onderzoek gedaan naar deze aanvallen. Organisaties worden geadviseerd om te controleren of hun accounts sinds april 2022 zijn gecompromitteerd. Microsoft heeft instructies gepubliceerd voor het uitvoeren van dergelijke scans. Als preventieve maatregel wordt aanbevolen gebruikers toe te voegen aan de Protected Users Group, waardoor het gebruik van NTLM-authenticatie wordt voorkomen, en uitgaand SMB-verkeer op de firewall te blokkeren. Deze stappen zijn essentieel om vergelijkbare aanvallen in de toekomst te voorkomen en de beveiliging van e-mailaccounts te waarborgen. [1, 2]
❗️Nederlands Bedrijf fps.com Slachtoffer van Cyberaanval door BLACK SUIT
Op 4 december 2023 werd bekend dat het Nederlandse bedrijf fps.com, actief in diverse productiesectoren, het slachtoffer is geworden van een cyberaanval. De aanval werd uitgevoerd door de beruchte groep BLACK SUIT. De informatie over deze inbraak kwam aan het licht toen de daders details over de aanval op het darkweb publiceerden. Deze ontwikkeling benadrukt de voortdurende dreiging van cybercriminaliteit en de noodzaak voor bedrijven om hun cybersecurity voortdurend te verbeteren.
Brothers Eco (SGP) Ondergaat Grote Cyberaanval: Servers Versleuteld en Toegang Ongewenst
Koh Brothers Eco Engineering, een toonaangevende leverancier van duurzame engineeringoplossingen, is recentelijk het doelwit geworden van een ernstige cyberaanval. Tijdens deze aanval zijn de servers van enkele dochterondernemingen ongeautoriseerd geopend en versleuteld. Hoewel het lopende onderzoek suggereert dat de situatie onder controle is, kan het bedrijf nog niet de volledige impact op hun activiteiten inschatten. De groep heeft onmiddellijk stappen ondernomen om het incident in te dammen. Dit omvatte het loskoppelen van de getroffen servers van het netwerk om verdere ongeoorloofde toegang te voorkomen. Daarnaast heeft de groep incidentrespons-experts en externe juridische adviseurs ingeschakeld om het incident te beoordelen, te reageren op en te beheren. Ondanks het incident blijft de bedrijfsvoering operationeel. Het bedrijf heeft zijn aandeelhouders geadviseerd geen overhaaste acties te ondernemen met betrekking tot hun aandelen of effecten, en voorzichtig te zijn bij het handelen in dergelijke aandelen of effecten. Koh Brothers Eco zal aandeelhouders informeren over eventuele belangrijke ontwikkelingen met betrekking tot het incident. Het aandeel van Koh Brothers Eco Engineering sloot afgelopen vrijdag met een daling van S$0.001, oftewel 4.2%, op S$0.023. Het bedrijf blijft zich inzetten voor het bieden van duurzame engineeringoplossingen en is vastbesloten de gevolgen van deze cyberaanval te beheersen en te overwinnen. [1]
Cyberaanval treft Waterstelsel in Noord Mayo (IRL)
Een opmerkelijke cyberaanval heeft plaatsgevonden op de eurotronica van het groepswaterstelsel in het Drum/Binghamstown gebied van Erris, Noord Mayo. Deze ongekende gebeurtenis heeft tot gevolg dat de inwoners van het Drum/Binghamstown Groepswaterstelsel voor vanavond en morgen zonder water komen te zitten. Rose Conway-Walsh, afgevaardigde van Sinn Fein uit Erris, meldt dat technische teams wanhopig proberen de apparatuur te repareren. Ze heeft vanavond meer details verstrekt aan Midwest News over deze situatie. Deze cyberaanval onderstreept de kwetsbaarheid van essentiële infrastructuur en de urgentie om deze te beveiligen tegen dergelijke dreigingen.
Geavanceerde Qilin Ransomware Richt Zich op VMware ESXi Servers
In december 2023 is een nieuw voorbeeld van Qilin ransomware, specifiek gericht op VMware ESXi servers, ontdekt en geanalyseerd. Deze ransomware wordt beschouwd als een van de meest geavanceerde en aanpasbare encryptors voor Linux die tot nu toe zijn waargenomen. Met een groeiende trend van bedrijven die overschakelen naar virtuele machines voor serverhosting, hebben diverse ransomwaregroepen speciale VMware ESXi encryptors ontwikkeld om deze servers aan te vallen. Qilin onderscheidt zich doordat het eigen encryptors ontwikkelt voor Linux servers, in plaats van gebruik te maken van de gelekte Babuk broncode zoals veel andere groepen doen. De Qilin encryptor is speciaal ontworpen om virtuele machines en hun snapshots te versleutelen en te verwijderen. Deze is uitgerust met een ingebouwde configuratie die de extensie voor gecodeerde bestanden, te beëindigen processen, en specifieke bestanden en mappen om te versleutelen of uit te sluiten, specificeert. Bovendien biedt het talrijke command-line opties voor uitgebreide aanpassing van deze configuratie-opties en de wijze van bestandsversleuteling op een server. In de geanalyseerde sample wordt standaard een reeks processen, directories en bestandsextensies uitgesloten van encryptie, terwijl het zich richt op een breed scala aan bestandstypen en directories, voornamelijk die gerelateerd zijn aan virtuele machines en databases. Wanneer uitgevoerd op een VMware ESXi server, initieert de ransomware unieke commando's die nog niet eerder zijn gezien bij andere ESXi encryptors. Deze commando's zijn vermoedelijk afgeleid van ondersteuningsbulletins van VMware. Alvorens over te gaan tot het versleutelen van virtuele machines, worden alle actieve VM's gestopt en hun snapshots verwijderd. De Qilin ransomware begon oorspronkelijk onder de naam "Agenda" in augustus 2022 en werd later hernoemd naar Qilin. Het richt zich op bedrijfsnetwerken, steelt gegevens en verspreidt zich lateraal naar andere systemen. Na het verzamelen van gegevens en het verkrijgen van serverbeheerdersreferenties, wordt de ransomware ingezet om alle apparaten in het netwerk te versleutelen. De gestolen data en de gecodeerde bestanden worden vervolgens gebruikt als drukmiddel in dubbele afpersingsaanvallen om bedrijven tot betalen te dwingen. Sinds de lancering heeft Qilin een constante stroom van slachtoffers gehad, met een toename van activiteit richting het einde van 2023. Een recente aanval was gericht op een grote leverancier van auto-onderdelen. [1, 2]
Noord-Koreaanse Staathackers Stelen $3 Miljard aan Crypto Sinds 2017
Sinds januari 2017 hebben door Noord-Korea ondersteunde staathackers naar schatting $3 miljard gestolen door een reeks hacks gericht op de cryptocurrency-industrie. De belangrijkste Noord-Koreaanse hackgroepen, waaronder Kimsuky, Lazarus Group en Andariel, hebben aanvallen uitgevoerd die vergelijkbaar zijn met die van typische cybercriminele bendes, maar op een veel grotere schaal. Hun operaties waren verantwoordelijk voor 44% van alle gestolen cryptocurrency in het afgelopen jaar. Deze diefstallen zijn een belangrijke inkomstenbron voor het regime van Pyongyang, vooral bedoeld voor de financiering van militaire en wapenontwikkelingsprogramma's. In 2017 begonnen de aanvallen sterk toe te nemen na hacks op Zuid-Koreaanse beurzen zoals Bithumb, Youbit en Yapizon, waarbij ongeveer $82,7 miljoen aan crypto-activa werd gestolen. In de afgelopen twee jaar zijn Lazarus-hackers gelinkt aan grote crypto-overvallen, waaronder de Harmony blockchain bridge ($100 miljoen verlies), de Nomad bridge ($190 miljoen verlies), de Qubit Finance bridge ($80 miljoen verlies) en de grootste crypto-hack ooit bij de Ronin Network cross-chain bridge ($620 miljoen gestolen). In 2022 alleen al werden Noord-Koreaanse dreigingsactoren beschuldigd van het stelen van $1,7 miljard aan cryptocurrency, wat neerkomt op 5% van de Noord-Koreaanse economie of 45% van het militaire budget van het land. Het Amerikaanse ministerie van Financiën, via het Office of Foreign Assets Control (OFAC), heeft sancties opgelegd aan de Kimsuky-hackgroep en andere Noord-Koreaanse entiteiten vanwege hun betrokkenheid bij het verwerven van inlichtingen ter ondersteuning van het WMD-programma van Noord-Korea. [1]
Nieuwe Proxy Malware Bedreigt Mac Gebruikers via Illegale Software
Cybercriminelen richten zich op Mac-gebruikers met een nieuwe proxy trojan malware, die is ingebouwd in populaire, auteursrechtelijk beschermde macOS-software aangeboden op warez-sites. Deze proxy trojan malware infecteert computers en verandert ze in verkeersdoorstuureenheden, gebruikt om kwaadaardige of illegale activiteiten zoals hacken, phishing en transacties voor illegale goederen te anonimiseren. Deze praktijk heeft geleid tot de creatie van omvangrijke botnetwerken, waarbij ook Mac-apparaten niet gespaard blijven. Kaspersky heeft deze laatste campagne ontdekt, waarbij de eerste inzending van de payload op VirusTotal dateert van 28 april 2023. De campagne maakt gebruik van de bereidheid van mensen om hun computerbeveiliging in gevaar te brengen om niet te hoeven betalen voor premium apps. Er zijn 35 softwarepakketten voor beeldbewerking, videocompressie en -bewerking, gegevensherstel en netwerkscanning gevonden die met de proxy trojan zijn geïnfecteerd. In tegenstelling tot de legitieme software, die als schijfkopieën worden gedistribueerd, worden de geïnfecteerde versies als PKG-bestanden gedownload. Deze PKG-bestanden zijn riskanter omdat ze scripts kunnen uitvoeren tijdens de installatie van de app. Deze scripts krijgen dezelfde rechten als de beheerder en kunnen gevaarlijke acties uitvoeren, zoals bestandsaanpassingen, bestandsautorun en commando-uitvoering. Na de installatie van het programma wordt een kwaadaardig script geactiveerd om de trojan uit te voeren, een WindowServer-bestand, en het te laten verschijnen als een systeemproces. WindowServer is een legitiem systeemproces in macOS, verantwoordelijk voor het beheer van de grafische gebruikersinterface. De trojan probeert op te gaan in routinematige systeemoperaties en gebruikerscontrole te ontwijken. Het bestand dat belast is met het opstarten van WindowServer bij het opstarten van het besturingssysteem, is genaamd "GoogleHelperUpdater.plist", en doet zich voor als een Google-configuratiebestand. Bij hetopstarten maakt de trojan verbinding met zijn C2 (command and control) server via DNS-over-HTTPS (DoH) om commando's te ontvangen. Dezelfde C2-infrastructuur herbergt ook proxy trojan payloads voor Android- en Windows-architecturen, wat suggereert dat dezelfde operators een breed scala aan systemen targeten. [1, 2]
Cyberaanval treft Röntgen- en Echografiesystemen van Duits Ziekenhuis
Een Duits ziekenhuis, gelegen nabij Stuttgart, is recentelijk getroffen door een cyberaanval op zijn röntgen- en echografiesystemen. De aanval, die gebruikmaakte van een kwetsbaarheid genaamd 'Citrixbleed' in NetScaler ADC- en Gateway-servers, leidde tot aanzienlijke verstoringen in de ziekenhuisprocessen. Deze kwetsbaarheid, al bekend en met updates beschikbaar sinds 10 oktober, stelt een ongeauthenticeerde aanvaller in staat toegang tot het systeemgeheugen te krijgen en sessietokens van gebruikers te stelen. Deze tokens kunnen vervolgens gebruikt worden om zonder verdere inloggegevens toegang tot systemen te verkrijgen. Het ziekenhuis meldt dat, hoewel de aanval vooral de röntgen- en echografiesystemen trof, patiëntgegevens niet zijn aangetast. Hierdoor konden operaties en behandelingen doorgaan, maar de verstoringen waren merkbaar. Het Klinikum Esslingen, waar de aanval plaatsvond, heeft via een persbericht de aanval bevestigd. Günther Born, een Duitse blogger, rapporteerde op basis van een politiebericht dat de aanvallers toegang kregen via de 'Citrixbleed'-kwetsbaarheid. Het ziekenhuis is inmiddels begonnen met het herstel van de getroffen systemen. Deze cyberaanval benadrukt de noodzaak voor organisaties, in het bijzonder gezondheidszorginstellingen, om hun systemen regelmatig te updaten en te controleren op kwetsbaarheden. De Duitse politie heeft andere ziekenhuizen opgeroepen om de relevante updates te installeren en hun systemen te controleren op mogelijke compromittering. Dit incident onderstreept het voortdurende risico van cyberaanvallen op essentiële infrastructuur en de belangrijkheid van proactieve cybersecuritymaatregelen. [1]
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 16-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 15-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 14-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 13-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 12-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 11-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑