EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Week 04-2024: Digitale storm raast voort - Omvangrijke cyberaanvallen en datalekken teisteren wereldwijd
In de afgelopen week heeft de digitale wereld een turbulente periode doorgemaakt, waarbij een reeks cyberaanvallen verschillende sectoren en landen heeft getroffen. Van een alarmerend datalek bij de bekende genetische testdienst 23andMe, tot grootschalige cyberaanvallen die de Nederlandse en Belgische markten hebben verstoord, onderstrepen deze incidenten de groeiende dreiging en complexiteit van de cyberveiligheidsuitdagingen van vandaag.
In Nederland werd de webshop Horlogeband getroffen door een ingrijpende cyberaanval, terwijl een significant datalek een schaduw wierp over een Nederlands coronatestlab. Onze zuiderburen in België ervoeren de ernst van digitale kwetsbaarheden met de 'grootste hack ooit' op Limburg.net, die gevoelige klantgegevens blootlegde en tot klachten en onderzoeken leidde. Ook Belgische bedrijven zoals Ans Computer en Deknudt Frames ontsnapten niet aan de klauwen van cybercriminelen.
De lijst van aanvallen is uitgebreid en varieert van ransomware-aanvallen die cruciale diensten in de VS lamlegden, tot geavanceerde malware-aanvallen en datalekken die miljoenen klanten wereldwijd troffen. Dreigingen zoals Blackwood en het misbruik van iOS push notificaties benadrukken de toenemende geraffineerdheid van cyberaanvallen, terwijl het aantal organisaties waarvan data op het darkweb is gelekt, een verontrustende 12.098 bereikt.
Hieronder vindt u een uitgebreid overzicht van de meest opmerkelijke cyberaanvallen van de afgelopen week, die de urgente noodzaak voor robuuste cybersecuritymaatregelen en bewustzijn onderstrepen.
Week overzicht slachtoffers
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb ↑ |
|---|---|---|---|---|---|
| mordfin | Qilin | www.mordfin.com | USA | Accounting Services | 28-jan-24 |
| oogp.com | Cactus | oogp.com | USA | Health Services | 27-jan-24 |
| Cislo & Thomas LLP | BianLian | cisloandthomas.com | USA | Legal Services | 26-jan-24 |
| Image Craft | BianLian | www.imcraft.com | USA | Publishing, printing | 26-jan-24 |
| Shoma group | BianLian | www.shomagroup.com | USA | Real Estate | 26-jan-24 |
| Kansas City Area Transportation Authority | Medusa | www.kcata.org | USA | Passenger Transportation | 26-jan-24 |
| ehsd.org | LockBit | ehsd.org | USA | Health Services | 26-jan-24 |
| sipicorp.com | Black Basta | sipicorp.com | USA | Metal Industries | 26-jan-24 |
| Eland Energy | Mydata | elandenergy.com | USA | Oil, Gas | 26-jan-24 |
| Brazilian Business Park | Akira | www.bbp.com.br | Brazil | Business Services | 26-jan-24 |
| Valley TeleCom Group | Akira | www.vtc.net | USA | Communications | 26-jan-24 |
| securinux.net | LockBit | securinux.net | Israel | IT Services | 26-jan-24 |
| jaygroup.com | Cactus | jaygroup.com | USA | Transportation Services | 26-jan-24 |
| Draneas Huglin Dooley LLC | BlackCat (ALPHV) | draneaslaw.com | USA | Legal Services | 26-jan-24 |
| Lush | Akira | www.lush.com | United Kingdom | Miscellaneous Retail | 25-jan-24 |
| OrthoNY, Orthopedic Care | INC Ransom | orthony.com | USA | Health Services | 25-jan-24 |
| CloudFire Italy | Medusa | www.cloudfire.it | Italy | IT Services | 25-jan-24 |
| Four Hands LLC | 0mega | fourhands.com | USA | Furniture | 25-jan-24 |
| leclairgroup.com | Black Basta | leclairgroup.com | USA | Insurance Carriers | 25-jan-24 |
| ANI Networks | Akira | www.aninetworks.com | USA | Communications | 25-jan-24 |
| caravanclub.co.uk | LockBit | caravanclub.co.uk | United Kingdom | Membership Organizations | 25-jan-24 |
| Toronto Zoo | Akira | www.torontozoo.com | Canada | Amusement And Recreation Services | 25-jan-24 |
| wannagocloud | Qilin | wannagocloud.com | United Arab Emirates | IT Services | 25-jan-24 |
| neafidi | Qilin | neafidi.it | Italy | Security And Commodity Brokers, Dealers, Exchanges, And Services | 25-jan-24 |
| Brightstar Care | BlackCat (ALPHV) | www.brightstarcare.com | USA | Health Services | 24-jan-24 |
| Hawbaker Engineering | RansomHouse | www.hawbakerengineering.com | USA | Construction | 24-jan-24 |
| Charles Trent | Hunters International | www.trents.co.uk | United Kingdom | Automotive Dealers | 24-jan-24 |
| Innovative Automation | Hunters International | inautomation.com | USA | Machinery, Computer Equipment | 24-jan-24 |
| Thorite Group | Hunters International | www.thorite.co.uk | United Kingdom | Machinery, Computer Equipment | 24-jan-24 |
| Tamdown | Hunters International | www.tamdown.com | United Kingdom | Construction | 24-jan-24 |
| NOVA Business Law Group | BianLian | www.novablg.com | USA | Legal Services | 24-jan-24 |
| The Wiser Financial Group | BianLian | www.thewisergroup.com | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 24-jan-24 |
| icn-artem.com | LockBit | icn-artem.com | Germany | Educational Services | 24-jan-24 |
| levelwear.com | Mydata | levelwear.com | Canada | Apparel And Other Finished Products | 24-jan-24 |
| IntegrityInc.org Integrity Inc | Mydata | integrityinc.org | USA | Social Services | 24-jan-24 |
| www.carri.com | Mydata | www.carri.com | USA | Machinery, Computer Equipment | 24-jan-24 |
| www.gadotbio.com Gadot Biochemical Industries Ltd | Mydata | www.gadotbio.com | Israel | Food Products | 24-jan-24 |
| accolade-group.com | Mydata | accolade-group.com | Canada | Apparel And Other Finished Products | 24-jan-24 |
| a24group.com | Mydata | a24group.com | United Kingdom | Business Services | 24-jan-24 |
| www.mikeferry.com | Mydata | www.mikeferry.com | USA | Real Estate | 24-jan-24 |
| ambition24hours.co.za | Mydata | ambition24hours.co.za | South Africa | Business Services | 24-jan-24 |
| Taiwan microelectronics | Mydata | Unknown | Taiwan | Electronic, Electrical Equipment, Components | 24-jan-24 |
| Dirig Sheet Metal | Akira | www.dirigsheetmetal.com | USA | Fabricated Metal Products | 24-jan-24 |
| Winona Pattern & Mold | MEOW LEAKS | www.winonapattern.com | USA | Fabricated Metal Products | 24-jan-24 |
| Signature Performance Insurance | Medusa | www.signatureperformance.com | USA | Insurance Carriers | 24-jan-24 |
| SANDALAWOFFICES.COM | CL0P | sandalawoffices.com | India | Legal Services | 24-jan-24 |
| US government (private data) | Snatch | Unknown | USA | General Government | 24-jan-24 |
| MBC Law Professional Corporation | BlackCat (ALPHV) | mbclaw.ca | Canada | Legal Services | 24-jan-24 |
| Groupe Sweetco | 8BASE | groupesweetco.com | France | Textile Mill Products | 24-jan-24 |
| Bikesportz Imports | 8BASE | bikesportz.com.au | Australia | Wholesale Trade-non-durable Goods | 24-jan-24 |
| La Ligue | 8BASE | www.laligue38.org | France | Membership Organizations | 24-jan-24 |
| Midwest Service Center | 8BASE | www.midwestservicecenter.com | USA | Repair Services | 24-jan-24 |
| Sunfab Hydraulics AB | 8BASE | sunfab.se | Sweden | Machinery, Computer Equipment | 24-jan-24 |
| Glimstedt | 8BASE | glimstedt.se | Sweden | Legal Services | 24-jan-24 |
| lyonshipyard.com | LockBit | lyonshipyard.com | USA | Transportation Equipment | 23-jan-24 |
| sierrafrontgroup.com | LockBit | sierrafrontgroup.com | USA | IT Services | 23-jan-24 |
| Cryopak | Akira | www.cryopak.com | USA | Miscellaneous Manufacturing Industries | 23-jan-24 |
| fairmontfcu.com | Black Basta | fairmontfcu.com | USA | Depository Institutions | 23-jan-24 |
| Milestone Environmental Contracting | Akira | milestoneenv.ca | Canada | Construction | 23-jan-24 |
| Wilhoit Properties | Akira | wilhoitliving.com | USA | Real Estate | 23-jan-24 |
| ktbslaw.com | Black Basta | ktbslaw.com | USA | Legal Services | 23-jan-24 |
| dupont-restauration.fr | Black Basta | dupont-restauration.fr | France | Miscellaneous Services | 23-jan-24 |
| kivibros.com | Black Basta | kivibros.com | USA | Motor Freight Transportation | 23-jan-24 |
| haes.ca | Black Basta | haes.ca | Canada | Oil, Gas | 23-jan-24 |
| cinfab.com | Black Basta | cinfab.com | USA | Construction | 23-jan-24 |
| prudentpublishing.com | Black Basta | prudentpublishing.com | USA | Publishing, printing | 23-jan-24 |
| unitedindustries.co.nz | Black Basta | unitedindustries.co.nz | New Zealand | Wholesale Trade-durable Goods | 23-jan-24 |
| stemcor.com | Black Basta | stemcor.com | United Kingdom | Wholesale Trade-durable Goods | 23-jan-24 |
| Total Air Solutions | BlackCat (ALPHV) | totalairfl.com | USA | Engineering Services | 23-jan-24 |
| Herrs | BlackCat (ALPHV) | herrs.com | USA | Food Products | 23-jan-24 |
| R.C. Moore Trucking | Hunters International | www.rcmoore.com | USA | Motor Freight Transportation | 23-jan-24 |
| envea.global | Black Basta | envea.global | France | Measuring, Analyzing, Controlling Instruments | 23-jan-24 |
| Smith Capital | MONTI | smithcapital.com | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 23-jan-24 |
| ARPEGE | 8BASE | www.arpege-conseils.fr | France | Accounting Services | 23-jan-24 |
| C and F Packing Company Inc. | 8BASE | cfpacking.com | USA | Food Products | 23-jan-24 |
| For**********.com | Cloak | Unknown | USA | Unknown | 23-jan-24 |
| HOE Pharmaceuticals Sdn Bhd | RansomHouse | www.hoepharma.com.my | Malaysia | Chemical Producers | 22-jan-24 |
| agc.com | Black Basta | agc.com | Japan | Miscellaneous Manufacturing Industries | 22-jan-24 |
| Double Eagle Energy Holdings IV | Hunters International | www.doubleeagledevelopment.com | USA | Oil, Gas | 22-jan-24 |
| davidsbridal.com | LockBit | davidsbridal.com | USA | Apparel And Accessory Stores | 22-jan-24 |
| southernwater.co.uk | Black Basta | southernwater.co.uk | United Kingdom | Electric, Gas, And Sanitary Services | 22-jan-24 |
| ANS COMPUTER | BlackCat (ALPHV) | anscomputer.be | Belgium | IT Services | 22-jan-24 |
| Waldner's | Medusa | www.waldners.com | USA | Furniture | 22-jan-24 |
| Pozzi Italy | Medusa | www.pozzi.it | Italy | Machinery, Computer Equipment | 22-jan-24 |
| The Gainsborough Bath | Medusa | thegainsboroughbathspa.co.uk | United Kingdom | Lodging Places | 22-jan-24 |
| Richmond Fellowship Scotland | Medusa | www.trfs.org.uk | United Kingdom | Health Services | 22-jan-24 |
| deknudtframes.be | Cuba | deknudtframes.be | Belgium | Furniture | 22-jan-24 |
Slachtoffers België en Nederland
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb ↑ |
|---|---|---|---|---|---|
| ANS COMPUTER | BlackCat (ALPHV) | anscomputer.be | Belgium | IT Services | 22-jan-24 |
| deknudtframes.be | Cuba | deknudtframes.be | Belgium | Furniture | 22-jan-24 |
| Meetmoment | Aantal organisaties waar data van gelekt is op het darkweb |
|---|---|
| 01-05-2019 (eerste slachtoffer) | 1 |
| 01-05-2020 | 85 |
| 01-05-2021 | 2.167 |
| 01-05-2022 | 5.565 |
| 01-05-2023 | 8.292 |
| 01-05-2024 | ? |
| NU: 29-01-2024 | 12.098 |
Aantal organisaties waarvan alle gegevens gelekt zijn op het darkweb
In samenwerking met StealthMole
Sponsor Cybercrimeinfo
Cyberaanvallen nieuws
Cybersecurity Incident Leidt tot Sluiting Scholen in Freehold Township (VS)
De scholen in Freehold Township blijven maandag gesloten vanwege technische problemen gerelateerd aan een cybersecurity incident. Dit nieuws werd zondagavond na 9:30 bekendgemaakt via het sociale mediaplatform X door Dr. Dianne Martello Brethauer, de assistent-superintendent. Er zijn geen specifieke details vrijgegeven over de aard van het cybersecurity incident. Men wordt aangeraden de ontwikkelingen in de gaten te houden voor meer informatie. Dit besluit benadrukt de impact van cyberdreigingen op de dagelijkse operaties van onderwijsinstellingen en het belang van het nemen van voorzorgsmaatregelen om dergelijke gebeurtenissen te voorkomen en erop te reageren. [1]
❗️Grootschalige Cyberaanval treft Webshop Horlogeband
De Zenderense webshop Horlogeband.com is slachtoffer geworden van een ernstige cyberaanval, waarbij persoonlijke gegevens van tienduizenden klanten zijn gelekt. Gegevens zoals namen, adressen, telefoonnummers, e-mails en aankoopdetails zijn door onbekenden ontvreemd. De webshop, bekend om zijn grote assortiment horlogebanden en -boxen, kwam maandag achter de inbraak na een tip via email. Klanten zijn inmiddels per email in kennis gesteld en uitdrukken massaal hun onvrede op reviewsites. De Autoriteit Persoonsgegevens (AP) is geïnformeerd en benadrukt het belang van waakzaamheid tegen phishingmails. Het exacte aantal getroffen klanten is onbekend, maar gezien de omvang van de klantenkring is de impact aanzienlijk. Ondanks herhaaldelijk verzoek om commentaar heeft de eigenaar van Horlogeband, Rogier Koershuis, nog niet gereageerd op het incident. Klanten met zorgen kunnen contact opnemen via meldpunt@horlogeband.com. [1]
Ransomware-aanval treft Kansas City's Openbaar Vervoer (VS)
Op dinsdag 23 januari werd de Kansas City Area Transportation Authority (KCATA), een openbaarvervoersbedrijf actief in zeven county's van Missouri en Kansas, het doelwit van een ransomware-aanval. Deze aanval verstoorde al hun communicatiesystemen, waardoor regionale RideKC-callcenters geen oproepen konden ontvangen. Ondanks de verstoring van de callcenters, blijven alle busroutes en paratransitdiensten operationeel. KCATA werkt intensief samen met cybersecurity-experts om de systemen zo snel mogelijk te herstellen. Ondanks de aanval blijven essentiële diensten zoals vaste busroutes en paratransitdiensten actief, en blijven de website ridekc.org en de transit-app functioneren voor busroosterinformatie.Een grote zorg bij dergelijke ransomware-incidenten is het risico op datadiefstal, inclusief persoonlijke en betalingsgegevens van klanten. Tot nu toe heeft KCATA zich niet uitgesproken over een mogelijk datalek. Recentelijk heeft de Medusa ransomware-groep verantwoordelijkheid opgeëist voor de aanval en dreigt gevoelige data op het dark web te publiceren als er niet binnen 10 dagen een bedrag van $2 miljoen wordt betaald. Ze bieden ook een optie om de deadline voor het publiceren van de gestolen data uit te stellen tegen een betaling van $100,000 per dag. [1]
Aanval op Microsoft via OAuth: Inzicht in de Cyberaanval
Een recente cyberaanval op Microsoft, uitgevoerd door de groep bekend als Cozy Bear en Midnight Blizzard, heeft aangetoond hoe kwetsbaarheden in OAuth-applicaties kunnen leiden tot ernstige beveiligingsrisico's. De aanvallers, vermoedelijk onderdeel van de Russische geheime dienst SVR, kregen wekenlang toegang tot Microsoft e-mailaccounts door gebruik te maken van password spraying. Deze techniek omvat het proberen van veelgebruikte wachtwoorden op een groot aantal accounts, waardoor de aanval minder snel wordt gedetecteerd. De aanvallers verkregen toegang tot een Microsoft test tenant account, waarna ze een legacy OAuth-applicatie met uitgebreide rechten ontdekten. Ze creëerden malafide OAuth-applicaties en een nieuw gebruikersaccount om zo toegang tot Office 365 Exchange Online mailboxes te krijgen. Bovendien gebruikten ze residentiële proxy-netwerken, waardoor het verkeer via ip-adressen van gecompromitteerde gebruikers liep, wat detectie bemoeilijkte. Microsoft heeft opgemerkt dat deze technieken niet nieuw zijn, maar door het grote aantal veranderende ip-adressen wordt detectie via traditionele Indicators of Compromise (IoC's) onpraktisch. Als preventieve maatregelen adviseert Microsoft het nemen van stappen tegen password spraying en het monitoren van malafide OAuth-applicaties. De aanval benadrukt het belang van fundamentele beveiligingsmaatregelen, zoals Multi-Factor Authentication (MFA), en het handhaven van een strikte scheiding tussen test- en productieomgevingen. [1]
❗️Van “niets gelekt” naar “grootste hack ooit”: aanval op Limburg.net neemt steeds grotere proporties aan
De intercommunale Limburg.net, verantwoordelijk voor afvalverwerking in Limburg en Diest, is het slachtoffer geworden van een ernstige hack. Wat begon als een vermeend kleine inbreuk, is uitgegroeid tot de grootste datalek in België. Aanvankelijk leek het alsof er weinig schade was, maar recentelijk is gebleken dat persoonlijke gegevens van meer dan 300.000 Limburgers gelekt zijn, waaronder namen, adressen en rijksregisternummers. Dit betekent dat de informatie van ongeveer één op de drie inwoners van de provincie gecompromitteerd is. Bovendien zijn gevoelige data zoals details over schuldbemiddeling, documenten van notarissen en rechtbanken, en informatie over leeflonen ook gestolen. De totale omvang van de diefstal bedraagt 383.000 bestanden. De aanval is uitgevoerd door Medusa, een cyberbende gespecialiseerd in ransomware. Ze eisten 100.000 dollar losgeld, maar Limburg.net weigerde te betalen. Als gevolg zijn de gestolen gegevens online gepubliceerd. Deze situatie heeft grote onrust veroorzaakt onder de burgers. Er is angst voor identiteitsdiefstal en phishing, hoewel het individuele risico moeilijk in te schatten is. De gebeurtenis benadrukt de kwetsbaarheid van persoonlijke data en het belang van digitale veiligheid. [1]
Omvangrijk Datalek bij Genetische Testdienst 23andMe
De genetische testdienst 23andMe is getroffen door een groot datalek. Hackers hebben gedurende vijf maanden, van 29 april tot 27 september, toegang gehad tot gezondheidsrapporten en ruwe genotypedata van klanten. Deze inbraak, veroorzaakt door een credential stuffing-aanval, bleef lange tijd onopgemerkt. De aanvallers gebruikten inloggegevens die eerder bij andere datalekken waren gestolen. Een deel van de gestolen informatie, waaronder gegevens van 1 miljoen Asjkenazische Joden en 4,1 miljoen mensen in het Verenigd Koninkrijk, is online gepubliceerd op hackingforums. 23andMe ontdekte dat de hackers toegang hadden tot uitgebreide klantinformatie. Dit omvatte gedetailleerde gezondheidsrapporten en mogelijk zelfgerapporteerde gezondheidscondities. Klanten die de 'DNA Relatives'-functie gebruikten, liepen extra risico. Hun profielinformatie, waaronder afkomst, geboortejaar, en locatiegegevens, kon ook zijn ingezien. In totaal hebben de hackers data van 6,9 miljoen mensen gedownload, van de 14 miljoen klanten. Als reactie op het incident heeft 23andMe maatregelen genomen. Ze verplichtten alle klanten om hun wachtwoord te resetten en voerden tweefactorauthenticatie in. Daarnaast heeft het bedrijf zijn gebruiksvoorwaarden aangepast, waardoor het moeilijker wordt voor klanten om collectieve rechtszaken aan te spannen tegen 23andMe. Deze aanpassingen zouden echter ook de arbitrageprocedure efficiënter en begrijpelijker maken voor klanten. [1 (pdf), 2]
Blackwood: Geavanceerde Cyberaanvallen via Software Updates
Een geavanceerde cyberdreiging genaamd 'Blackwood' gebruikt het gesofisticeerde malwareprogramma NSPX30 voor cyberespionage tegen bedrijven en individuen. Blackwood, actief sinds ten minste 2018, maakt gebruik van NSPX30, dat teruggaat tot een eenvoudige achterdeur uit 2005. Dit malwareprogramma is ontdekt door ESET-onderzoekers in een campagne uit 2020 en wordt vermoedelijk ingezet in het belang van de Chinese staat. De slachtoffers bevinden zich voornamelijk in China, Japan en het Verenigd Koninkrijk. Blackwood levert de malware via legitieme software-updatemechanismen, zoals WPS Office, de Tencent QQ chatdienst en de Sogou Pinyin documenteditor. De malware is zo ontworpen dat het zijn infrastructuur verbergt en detectie door Chinese anti-malwaretools ontwijkt. NSPX30 kan systeminformatie verzamelen, toetsaanslagen registreren, schermafbeeldingen maken en chatlogs en contactlijsten van diverse communicatieplatformen stelen. Een opvallend kenmerk van Blackwood's aanpak is het onderscheppen van updateverzoeken van legitieme software om NSPX30 te installeren. Dit proces verschilt van traditionele supply-chain aanvallen doordat Blackwood onversleutelde HTTP-communicatie tussen het systeem van het slachtoffer en de update-server onderschept. De exacte methode waarmee Blackwood deze communicatie onderschept, blijft onbekend. ESET's analyse suggereert dat de oorsprong van NSPX30 teruggaat tot een deskundig ontwikkelde achterdeur. [1]
Misbruik van iOS Push Notificaties voor Gegevensverzameling door iPhone Apps
Recent onderzoek heeft aangetoond dat meerdere iPhone apps iOS push notificaties misbruiken om gebruikersgegevens te verzamelen. Deze apps activeren achtergrondprocessen bij het ontvangen van notificaties, waardoor ze in staat zijn om uitgebreide informatie over apparaten te verzamelen. Deze informatie kan worden gebruikt om zogenaamde 'fingerprinting' profielen te creëren voor het volgen van gebruikers. Ondanks dat Apple strikte richtlijnen heeft tegen dergelijke praktijken, blijken veel apps met een aanzienlijke gebruikersbasis deze achterpoortjes te benutten. Het misbruik van de push notificaties komt doordat apps in de achtergrond kunnen starten om notificaties te verwerken, een functie die oorspronkelijk bedoeld was om notificaties te verrijken voordat deze aan de gebruiker getoond worden. De onderzoeker Mysk ontdekte dat apps deze mogelijkheid gebruiken om een breed scala aan apparaatgegevens te verzenden, waaronder systeemtijd, taalinstellingen, batterijstatus en meer. Om dit probleem aan te pakken, plant Apple in het voorjaar van 2024 strengere restricties op het gebruik van API's die voor deze doeleinden kunnen worden misbruikt. Tot die tijd wordt iPhone-gebruikers aangeraden push notificaties uit te schakelen om tracking te voorkomen, aangezien het simpelweg stilzetten van notificaties niet voldoende is. Deze bevindingen benadrukken het belang van bewustzijn en voorzichtigheid met betrekking tot de privacy van persoonsgegevens in de digitale wereld. [1, 2, 3]
Massale Malware-aanval op Gebruikers van Chat- en Office Software
In een recente cyberaanval zijn gebruikers van de chatsoftware Tencent QQ, de Chinese keyboard-app Sogou en het kantoorsoftwarepakket WPS Office getroffen door malware via een man-in-the-middle (MitM) aanval. Deze aanval, gericht op Chinese en Japanse bedrijven en individuen in China, Japan en het Verenigd Koninkrijk, infecteerde systemen met een backdoor. De aanvallers onderschepten onbeveiligde updateprocessen via het HTTP-protocol, waarna ze kwaadaardige updates naar de gebruikers stuurden. De specifieke uitvoeringsmethode van de MitM-aanval blijft onduidelijk, maar het vermoeden bestaat dat gecompromitteerde netwerkapparaten van de slachtoffers, zoals routers, hierbij een rol speelden. De geïnstalleerde backdoor biedt de aanvallers uitgebreide toegang. Ze kunnen communicatie via populaire apps als Skype, Telegram, Tencent QQ en WeChat afluisteren, toetsaanslagen registreren, screenshots maken en alle audiostreams van het systeem opnemen. Bovendien kan deze malware zich verbergen in verschillende Chinese antimalware-oplossingen. De groep achter deze aanval, door ESET 'Blackwood' genoemd, richt zich voornamelijk op cyberspionage. [1]
❗️Grootschalig Datalek bij Nederlands Coronatestlab
Een Nederlands laboratorium heeft een aanzienlijke hoeveelheid persoonlijke gegevens gelekt die gerelateerd zijn aan coronatests. Volgens beveiligingsonderzoeker Jeremiah Fowler werd een onbeveiligde database ontdekt met 1,3 miljoen records. Deze omvatten 118.000 coronacertificaten, bijna 507.000 afspraken en 660.000 testmonsters. De gelekte gegevens bevatten onder meer namen, nationaliteiten, paspoortnummers en testresultaten, alsmede de prijs en het type van de uitgevoerde test. De gelekte documenten waren verbonden aan Coronalab.eu, een website die inmiddels offline is. Deze site bood particulieren en bedrijven snelle COVID-19-testservices aan, inclusief gratis certificaten. Fowler probeerde meerdere keren contact op te nemen met het lab, zelfs telefonisch, maar zonder succes. Uiteindelijk werd de database beveiligd na bijna drie weken, toen Fowler de cloudhostingprovider informeerde. De duur van de periode waarin de database toegankelijk was, is niet bekend. Deze situatie benadrukt de risico's en gevolgen van onvoldoende databeveiliging, vooral met gevoelige gezondheidsinformatie. Het is een herinnering aan het belang van strenge beveiligingsmaatregelen bij het omgaan met persoonlijke en medische gegevens. [1, 2, 3]
Russische Hackersgroep Midnight Blizzard breekt in bij HPE E-mailsystemen
Hewlett Packard Enterprise (HPE) heeft bekendgemaakt dat de Russische hackersgroep Midnight Blizzard ongeautoriseerde toegang heeft verkregen tot hun Microsoft Office 365 e-mailomgeving. Deze groep, ook bekend als Cozy Bear, APT29 en Nobelium, wordt verdacht van staatssponsoring door Rusland en heeft eerder betrokkenheid gehad bij verschillende cyberaanvallen, waaronder de beruchte SolarWinds-aanval in 2020.De inbreuk werd voor het eerst opgemerkt op 12 december 2023 en betrof een aanval die teruggaat tot mei 2023. De hackers hadden toegang tot e-mailboxen van medewerkers in de cybersecurity-afdeling en andere bedrijfssegmenten van HPE. Er werd een klein percentage van de HPE-mailboxen gecompromitteerd, waarbij gegevens werden geëxtraheerd. HPE is nog steeds bezig met het onderzoeken van het incident en werkt samen met externe cybersecurityexperts en wetshandhavingsinstanties. Ze hebben een verklaring afgegeven waarin ze aangeven actief te werken aan het onderzoeken en mitigeren van de gevolgen van de inbraak. Ondanks de inbreuk heeft HPE gemeld dat hun operationele activiteiten niet zijn beïnvloed en dat ze geen significante financiële schade verwachten. Dit incident volgt op eerdere inbraken bij HPE in 2018 door Chinese hackers en een compromittering van hun Aruba Central netwerkmonitoringplatform in 2021. Het is nog onduidelijk of het recente HPE-incident verband houdt met een soortgelijke inbreuk bij Microsoft, waar Midnight Blizzard ook verantwoordelijk voor was. [1]
Cyberaanval treft FinTech Bedrijf EquiLend
EquiLend, een vooraanstaand financieel technologiebedrijf uit New York, ondervindt operationele verstoringen door een cyberaanval. Deze aanval, die op maandag plaatsvond, resulteerde in de deactivering van enkele systemen. Het bedrijf, gespecialiseerd in technologie, data en analytics, constateerde ook ongeautoriseerde toegang tot hun netwerk. Ze zijn momenteel bezig met het herstellen van de getroffen diensten. Een woordvoerder van EquiLend meldde dat na het detecteren van technische problemen op 22 januari 2024, ze een onderzoek startten en een cybersecurityincident ontdekten. Ze hebben direct maatregelen genomen om hun systemen te beveiligen en werken aan het herstellen van de getroffen diensten. EquiLend heeft externe cybersecurityfirma's en adviseurs ingeschakeld om bij te dragen aan het onderzoek en het herstel. De aanval komt kort na de aankondiging dat EquiLend door de Amerikaanse private equity firma Welsh, Carson, Anderson & Stowe (WCAS) zal worden overgenomen. Deze overname, gepland voor het tweede kwartaal van 2024, wacht nog op regelgevende goedkeuring. WCAS heeft daarnaast $200 miljoen geïnvesteerd in EquiLend voor verdere groei en acquisities. Er is geen informatie vrijgegeven over of er bedrijfs- of klantgegevens zijn blootgesteld of gestolen tijdens de aanval. EquiLend, opgericht in 2001, heeft meer dan 330 werknemers en biedt diensten aan meer dan 190 bedrijven wereldwijd. Hun Next Generation Trading (NGT) platform verwerkt maandelijks transacties ter waarde van meer dan $2,4 biljoen. [1]
❗️Datalek bij Belgische Afvalverwerker Limburg.net Leidt tot Klachten en Onderzoek
Bij de Belgische afvalverwerker Limburg.net is een aanzienlijk datalek ontstaan, waarbij gevoelige informatie van 311.000 mensen gestolen werd. Dit incident heeft geleid tot meerdere aangiftes door klanten. Het Belgische openbaar ministerie is een onderzoek gestart naar de manier waarop Limburg.net de klantgegevens heeft beveiligd. Deze gegevens stonden op een verouderde dataserver. Aanvankelijk werd gemeld dat namen, adressen en rijksregisternummers gelekt waren, maar later bleek dat het ook om gevoelige data zoals informatie over schuldaflossingen en erfenissen ging. Recentelijk werd ontdekt dat er in totaal 383.000 bestanden zijn gestolen. Limburg.net, verantwoordelijk voor de inzameling en verwerking van afval in de provincie Limburg, bevestigt slachtoffer te zijn van een omvangrijke cyberaanval. In reactie op het lek heeft Limburg.net contact gezocht met het Cyber Response Team van de Vlaamse overheid en voert het overleg met de Gegevensbeschermingsautoriteiten. Ze werken ook volledig mee aan het gerechtelijk onderzoek. Klanten die aangifte hebben gedaan, uiten hun zorgen over de onzorgvuldige omgang met hun persoonlijke gegevens. Het openbaar ministerie onderzoekt nu hoe Limburg.net deze gegevens bewaarde en beheerde. [1, 2]
Toenemende Ransomware-dreiging door Kunstmatige Intelligentie
De Britse overheid waarschuwt voor een verwachte toename van ransomware-aanvallen door de inzet van kunstmatige intelligentie (AI). Volgens het National Cyber Security Centre (NCSC) zullen cybercriminelen AI gebruiken om hun aanvallen, zoals phishing en malwareverspreiding, effectiever te maken. Dit verhoogt de dreiging van ransomware op korte termijn. Het rapport van het NCSC onderstreept dat deze ontwikkeling de bestaande cyberdreigingen versterkt, maar niet direct het dreigingslandschap verandert. Het benadrukt dat ransomware aanvallen vaak het gevolg zijn van basis cyberveiligheidsfouten door organisaties en individuen. Daarom is het belangrijk om standaard beveiligingsadviezen op te volgen om dergelijke aanvallen te voorkomen. Het National Crime Agency (NCA) bevestigt ook dat ransomware, vanwege de financiële winsten, een hoofdvorm vancybercriminaliteit blijft en een bedreiging vormt voor de nationale veiligheid. Het rapport toont aan dat AI zal bijdragen aan het misbruik van technologie door cybercriminelen, waardoor de dreiging van ransomware zal toenemen. Samengevat, zowel NCSC als NCA benadrukken het belang van goede cyberhygiëne en voorbereiding op AI-gedreven cyberdreigingen. [1, 2]
Ransomware-aanval op Veolia Noord-Amerika: Betalingssystemen Onderbroken
Veolia Noord-Amerika, onderdeel van de transnationale conglomeratie Veolia, heeft te maken gehad met een ransomware-aanval. Deze aanval trof de systemen van de afdeling Gemeentelijk Water en verstoorde de online betalingssystemen van het bedrijf. Als reactie hierop nam Veolia defensieve maatregelen, waaronder het tijdelijk offline halen van sommige systemen om de inbreuk te beperken. Het bedrijf werkt samen met wetshandhaving en externe forensische experts om de volledige impact van de aanval op hun operaties en systemen te beoordelen. Klanten ondervonden vertraging bij het gebruik van de online betalingssystemen, maar Veolia verzekert dat klantbetalingen niet worden beïnvloed en dat er geen boetes of rente zullen worden berekend voor late betalingen vanwege deze onderbreking. De aanval heeft echter geen invloed gehad op de waterbehandelingsoperaties of afvalwaterservices van Veolia. Het bedrijf heeft een beperkt aantal personen geïdentificeerd wiens persoonlijke informatie mogelijk is gecompromitteerd en werkt samen met een derdepartijen forensisch team om de impact verder te beoordelen. Veolia Noord-Amerika biedt water- en afvalwaterdiensten aan ongeveer 550 gemeenschappen en industriële wateroplossingen in ongeveer 100 industriële faciliteiten, en behandelt dagelijks meer dan 2,2 miljard gallon water en afvalwater in 416 faciliteiten in de Verenigde Staten en Canada. [1, 2, 3]
Kasseika Ransomware: Geavanceerde Cyberaanval via Kwetsbare Antivirus Driver
De recent ontdekte ransomware 'Kasseika' gebruikt een geavanceerde tactiek genaamd 'Bring Your Own Vulnerable Driver' (BYOVD) om antivirussoftware uit te schakelen voordat het bestanden versleutelt. Deze ransomware misbruikt specifiek de 'Martini' driver, onderdeel van TG Soft's VirtIT Agent System, om beveiligingssoftware op het doelwit te deactiveren. Kasseika vertoont veel overeenkomsten met de eerder opgedoekte BlackMatter ransomware, zowel in aanvalsmethoden als in broncode. Dit suggereert dat Kasseika mogelijk ontwikkeld is door voormalige leden van BlackMatter of door ervaren cybercriminelen die de code hebben gekocht. De aanval begint met een phishing-e-mail, gericht op het stelen van accountgegevens van medewerkers van het doelwit. Vervolgens gebruikt Kasseika PsExec, een Windows-hulpprogramma, om kwaadaardige .bat-bestandenuit te voeren. De aanval zet zich voort door het downloaden en uitvoeren van de kwetsbare 'Martini.sys' driver. Kasseika schakelt hiermee 991 processen uit, waaronder veel antivirus- en beveiligingsprogramma's, om ongehinderd te kunnen opereren. Na het uitschakelen van de beveiligingssoftware, begint Kasseika met het versleutelen van bestanden met behulp van de ChaCha20 en RSA encryptie-algoritmes, waarbij een willekeurige tekenreeks wordt toegevoegd aan bestandsnamen. Het laat ook een losgeldbriefje achter in elke versleutelde map en verandert de wallpaper van de computer om het slachtoffer te informeren over de aanval. Na de versleuteling wist Kasseika systeemlogboeken om sporen van zijn activiteiten uit te wissen. Slachtoffers krijgen 72 uur om 50 Bitcoins (ongeveer 2 miljoen dollar) te betalen, met een verhoging van 500.000 dollar voor elke 24 uur vertraging. Betalingsbewijs moet via een privé Telegram-groep worden verzonden, met een uiterste termijn van 120 uur voor het verkrijgen van een decryptor. [1, 2, 3, 4]
Klantgegevens Jason's Deli Blootgesteld bij Credential Stuffing Aanval
Jason's Deli, een Amerikaanse restaurantketen, heeft onlangs een datalek gemeld, waarbij klantgegevens zijn blootgesteld door een zogenaamde credential stuffing aanval. De keten, met 246 vestigingen in 29 staten en meer dan 6.000 werknemers, ontdekte dat onbevoegden inloggegevens van ledenaccounts hadden verkregen uit andere bronnen en deze op 21 december 2023 gebruikten om in te breken op de website van het restaurant. Deze aanval was succesvol bij klanten die dezelfde inloggegevens op meerdere online platforms gebruikten. De blootgestelde informatie omvatte namen, adressen, telefoonnummers, geboortedata, voorkeurslocaties van Jason's Deli, huisrekeningnummers, Deli Dollar punten, inwisselbare bedragen en beloningen, en de laatste vier cijfers van creditcard- en cadeaubonnummers. Hoewel Jason's Deli de ongeautoriseerde toegangspogingen detecteerde, is het onbekend hoeveel accounts daadwerkelijk zijn getroffen. De getroffen gebruikers zullen een prompt krijgen om hun wachtwoord te resetten en worden aangeraden om hun wachtwoorden op alle online platforms te wijzigen en, indien mogelijk, tweefactorauthenticatie (2FA) in te schakelen. Jason's Deli heeft ook aangegeven dat onrechtmatig gebruikte Deli Dollars uit gehackte accounts zullen worden teruggezet, zodat klanten geen verlies ervaren. [1, 2]
❗️Datalek bij Limburg.net Treft Gevoelige Klantgegevens
Bij een recente ransomware-aanval op de Belgische afvalverwerker Limburg.net zijn gevoelige gegevens van klanten gestolen. Dit omvat niet alleen de naam, het adres en het rijksregisternummer van ongeveer 311.000 mensen, maar ook uitgebreidere informatie. Documenten gerelateerd aan erfenissen, schulden, rechtbankzaken en leeflonen zijn gelekt. Deze gegevens bevatten volledige namen en identificatie van betrokken personen. Volgens VRT NWS, die het nieuws rapporteerde, was Limburg.net zich aanvankelijk niet bewust van de omvang van de gelekte gegevens. De organisatie heeft aangekondigd dat ze de getroffen personen transparant zullen informeren over het lek, in overeenstemming met de wettelijke vereisten. De aanvallers hadden toegang tot een oude dataserver van Limburg.net, waar ze diverse documenten hebben gekopieerd. Deze server bevatte naar verluidt vooral openbare of verouderde gegevens. Er is geen bewijs dat de aanvallers toegang hadden tot de kernsystemen van de organisatie. De exacte methode waarmee de aanvallers toegang hebben verkregen, is nog niet bekendgemaakt. Limburg.net is verantwoordelijk voor de afvalinzameling en -verwerking voor alle Limburgse gemeenten. [1, 2]
Moeder van Alle Datalekken: 26 Miljard Gegevens Blootgesteld
Een recent ontdekt datalek, beschreven als de "Moeder van Alle Datalekken" (MOAB), omvat 26 miljard gestolen records van 12TB aan persoonlijk identificeerbare informatie en inloggegevens. Onderzoekers Bob Diachenko van SecurityDiscovery.com en Cybernews ontdekten het lek. Het bevat gegevens van sociale media en online diensten wereldwijd, waaronder 1,5 miljard records van Tencent en miljoenen van Weibo, MySpace, Adobe, Dropbox, LinkedIn, MyFitnessPal en Telegram. Deze dataset, samengesteld uit diverse kleinere datalekken, vormt een aanzienlijk risico voor identiteitsdiefstal, phishing en cyberaanvallen. Veel van de gegevens zijn duplicaten, maar de omvang van het lek en de hergebruik van inloggegevens vergroten de kans op compromittering van accounts aanzienlijk. Er wordt gewaarschuwd voor een mogelijke vloedgolf van credential stuffing-aanvallen. Veiligheidsexperts adviseren dringend tot voorzichtigheid en bescherming van persoonlijke gegevens, zoals het wijzigen van wachtwoorden en het gebruik van tweefactorauthenticatie. [1]
Invloed van Datadiefstal en Verzekering op Ransomware Losgeldbedragen
Een onderzoek van Tom Meurs van de Universiteit Twente, gebaseerd op 481 ransomware-aanvallen, heeft onthuld dat het losgeldbedrag dat organisaties betalen vaak hoger is wanneer er gegevens gestolen zijn of als er een verzekering aanwezig is. Dit onderzoek, uitgevoerd in samenwerking met de Nederlandse politie en een Nederlandse incidentresponsepartij, volgde een tweestapsmodel waarin eerst werd besloten of losgeld betaald werd en vervolgens het bedrag werd bepaald. De aanwezigheid van een verzekering leidde tot een 2,8 keer hoger betaald losgeldbedrag, terwijl datadiefstal resulteerde in een 5,5 keer hoger bedrag, beide zonder de frequentie van betalingen te beïnvloeden. Interessant is dat organisaties met herstelbare back-ups 27,4 keer minder geneigd waren om te betalen dan slachtoffers zonder dergelijke back-ups. Uit het onderzoek bleek dat van de getroffen organisaties 121 uiteindelijk het losgeld betaalden, resulterend in een totaal van meer dan 50 miljoen euro. Het gemiddelde bedrag bedroeg 431.000 euro. De politie benadrukt het belang van fysieke reservekopieën, aangezien slechts 3,6% van de slachtoffers met dergelijke back-ups tot betaling overging. De bevindingen van dit onderzoek onderstrepen het belang voor beleidsmakers om zich te richten op maatregelen tegen data-exfiltratie, de rol van verzekeringen en het bevorderen van het gebruik van herstelbare back-ups als strategie tegen ransomware. [1, pdf]
Groot Datalek bij Trello: 15 Miljoen Gebruikersgegevens op Straat
Een recent datalek bij Trello heeft geleid tot de blootstelling van 15 miljoen e-mailadressen door misbruik van hun API. Trello, een online projectmanagementtool van Atlassian, kwam in het nieuws toen iemand met het alias 'emo' probeerde de gegevens van ruim 15 miljoen Trello-leden te verkopen op een hackersforum. Dit bevatte e-mails, gebruikersnamen en andere accountinformatie. Volgens Atlassian is de data niet verkregen door ongeautoriseerde toegang tot Trello's systemen, maar door het schrapen van openbare gegevens. Het lek werd veroorzaakt door een openbaar toegankelijke API van Trello, waarmee e-mailadressen gekoppeld konden worden aan publieke Trello-profielen. Hierdoor werd privé-informatie zoals e-mailadressen gekoppeld aan openbare profielen, wat de ernst van het lek vergroot. De API is inmiddels aangepast om authenticatie te vereisen, maar blijft toegankelijk voor iedereen met een gratis account. Trello heeft aangegeven verdere maatregelen te overwegen om misbruik van de API te voorkomen. Deze situatie benadrukt de risico's van openbare API's en de mogelijke gevolgen van het combineren van publieke en privégegevens. Gebruikers die bezorgd zijn, kunnen controleren of hun gegevens zijn gelekt via de Have I Been Pwned datalek-notificatiedienst. Dit incident roept herinneringen op aan een soortgelijk lek bij Twitter in 2021, waarbij ook publieke en privégegevens werden gecombineerd. [1]
SIM-Swapping Aanval op SEC's X Account Bevestigd
De U.S. Securities and Exchange Commission (SEC) heeft bevestigd dat hun X account gehackt is door een SIM-swapping aanval. Deze aanval werd uitgevoerd op het mobiele nummer dat aan het account gekoppeld was. Eerder deze maand werd het account gebruikt om een valse aankondiging te doen over de goedkeuring van Bitcoin ETF's op beveiligingsbeurzen. Ironisch genoeg deed de SEC de volgende dag een legitieme aankondiging over hetzelfde onderwerp. De methode van de hack was aanvankelijk onbekend, maar nu is bevestigd dat het een SIM-swapping aanval was. Bij deze vorm van aanval wordt de mobiele provider misleid om het telefoonnummer van het slachtoffer over te zetten naar een apparaat onder controle van de aanvaller. Dit stelde de hackers in staat om alle tekstberichten en telefoontjes, inclusief wachtwoordreset-links en codes voor tweefactorauthenticatie, te onderscheppen. De SEC verklaarde dat de hackers geen toegang hadden tot hun interne systemen, data, apparaten of andere social media accounts. De aanval werd uitgevoerd door de mobiele provider te misleiden om het nummer over te zetten. Na het overnemen van het nummer, resetten de hackers het wachtwoord van het @SECGov account om de valse aankondiging te doen. De SEC werkt samen met wetshandhavingsinstanties om het onderzoek naar de aanval voort te zetten. Ze bevestigden ook dat tweefactorauthenticatie (MFA) niet ingeschakeld was op het account omdat ze X support hadden gevraagd om het uit te schakelen vanwege inlogproblemen. Als MFA was ingesteld met een authenticatie-app in plaats van SMS, had dit de inlogpoging van de aanvallers kunnen voorkomen, zelfs na het wijzigen van het wachtwoord. [1]
Gecrackte macOS-apps stelen gegevens via DNS-record scripts
Recent onderzoek van Kaspersky heeft aangetoond dat hackers een sluwe methode gebruiken om macOS-gebruikers te infecteren met informatie-stelende malware. Dit gebeurt via DNS-records die kwaadaardige scripts verbergen. De aanval richt zich voornamelijk op gebruikers van macOS Ventura en later, en maakt gebruik van gecrackte applicaties verpakt als PKG-bestanden die een Trojaans paard bevatten. De slachtoffers downloaden en activeren de malware door deze in de /Applications/ map te plaatsen, denkende dat het een activator is voor de gecrackte app. Dit proces opent een nep Activator-venster dat om het beheerderswachtwoord vraagt. Eenmaal toegang verkregen, installeert de malware Python 3 indien nodig, en neemt het contact op met een command-and-control (C2) server om een Python-script op te halen. Dit script wordt vermomd als een TXT-record van een DNS-server, waardoor het lijkt op normaal verkeer. Het script fungeert als downloader voor een ander Python-script dat backdoor-toegang biedt en informatie over het geïnfecteerde systeem verzamelt. Bovendien controleert het of er Bitcoin Core en Exodus wallets op het systeem aanwezig zijn. Indien gevonden, vervangt het deze door versies met achterdeuren die gevoelige informatie doorsturen naar de C2 server van de aanvaller. Gebruikers die hun wallet-gegevens opnieuw invoeren wanneer hierom gevraagd wordt, riskeren dat hun wallets leeggehaald worden. Het onderzoek wijst uit dat deze methode van aanval een continu ontwikkelingsproces aantoont en dat de gebruikte gecrackte applicaties een van de gemakkelijkste manieren zijn voor kwaadwillenden om toegang te krijgen tot computers van gebruikers. [1]
❗️ANS COMPUTER Getroffen door BlackCat Cyberaanval
In januari 2024 werd ANS COMPUTER, een Belgisch IT-servicebedrijf, slachtoffer van een cyberaanval door BlackCat (ALPHV). De aanval werd op 22 januari 2024 bekendgemaakt op het darkweb. BlackCat, berucht in de wereld van cybercriminaliteit, richtte zich op ANS COMPUTER's website, anscomputer.be, waardoor de veiligheid en integriteit van het bedrijf ernstig in gevaar kwamen. Dit incident benadrukt de voortdurende dreiging van cyberaanvallen op IT-bedrijven wereldwijd.
❗️Belgisch Bedrijf Deknudt Frames Slachtoffer van Cyberaanval door Groep 'Cuba'
Op 22 januari 2024 werd bekend dat het Belgische meubelbedrijf Deknudt Frames, gespecialiseerd in het ontwerpen en vervaardigen van fotolijsten, slachtoffer is geworden van een cyberaanval. De aanval werd uitgevoerd door de cybercriminele groep 'Cuba'. Deze onthulling kwam aan het licht toen de informatie over de aanval op het darkweb werd geplaatst. Het incident onderstreept de voortdurende dreiging van cybercriminaliteit voor bedrijven wereldwijd.
Evolutie van Verhulde Malafide Webomleidingsscripts op Gehackte Websites
Recente ontwikkelingen in webbeveiliging tonen een toename van geavanceerde verhullingstechnieken in kwaadaardige webomleidingsscripts. Deze scripts zijn geïdentificeerd in kwetsbare websites die gebruik maken van populaire contentmanagementsystemen zoals WordPress en Joomla. Het betreft hier een specifiek systeem, bekend als het Parrot Traffic Direction System (TDS), dat actief is sinds 2019 en tot nu toe meer dan 16.500 websites heeft geïnfecteerd. Het Parrot TDS-systeem werkt door JavaScript-code te injecteren in websites, wat resulteert in ongemerkte omleidingen van gebruikers naar schadelijke locaties, waaronder phishingpagina's en sites die malware verspreiden. De kwaadaardige actoren achter dit systeem verkopen verkeer aan derden, die bezoekers van geïnfecteerde sites vervolgens profileren. Een recent onderzoek, uitgevoerd door een team van cybersecurity-experts, heeft aangetoond dat Parrot TDS zijn injectietechnieken continu verbetert. Na analyse van duizenden Parrot-landingscripts, werden vier verschillende versies geïdentificeerd, elk met meer geavanceerde verhullingsmethoden dan de vorige. De nieuwste versie maakt bijvoorbeeld gebruik van complexe code-structuren en coderingsmechanismen, die het moeilijker maken voor handtekening-gebaseerde detectiesystemen om de scripts te identificeren. Deze ontwikkelingen benadrukken de noodzaak voor website-eigenaren om waakzaam te blijven. Het regelmatig controleren van servers op verdachte bestanden, het scannen naar specifieke trefwoorden en het inzetten van beveiligingsmaatregelen zoals firewalls en URL-filtertools zijn cruciaal om deze groeiende dreiging effectief te bestrijden. [1]
Kritiek Beveiligingslek in Atlassian Confluence Actief Geëxploiteerd
Aanvallers misbruiken actief een kritieke kwetsbaarheid in Atlassian Confluence Data Center en Confluence Server, waardoor ze systemen op afstand kunnen overnemen. Confluence, ontwikkeld door Atlassian, is een populair wikiplatform voor teamcollaboratie binnen organisaties. De kwetsbaarheid, bekend als CVE-2023-22527, scoort een maximale 10.0 op de ernstschalen en maakt het mogelijk voor aanvallers om willekeurige code uit te voeren op getroffen systemen. Deze ernstige kwetsbaarheid treft verouderde versies van Confluence Data Center en Server 8, uitgebracht voor 5 december vorig jaar, en versie 8.4.5 die geen backported fixes meer ontvangt. Atlassian drong er bij organisaties op aan om onmiddellijk naar de nieuwste versie van de software te updaten na het uitbrengen van een waarschuwing op 16 januari. De Shadowserver Foundation, een non-profitstichting die zich richt op de bestrijding van botnets en cybercrime, heeft gemeld dat meer dan elfduizend Confluence-installaties vanaf het internet toegankelijk zijn. Het is echter onbekend hoeveel van deze installaties vatbaar zijn voor het beveiligingslek. [1, 2, 3]
Datalek bij Trezor Treft 66.000 Klanten via Helpdesksysteem
Cryptowallet-leverancier Trezor heeft een waarschuwing uitgegeven aan 66.000 klanten over een datalek via hun helpdesksysteem. Een aanvaller kreeg toegang tot het systeem en gebruikte gestolen gegevens om phishingaanvallen uit te voeren. Klanten werden gevraagd hun 'recovery seed phrases' te verstrekken, essentieel voor toegang tot hun cryptowallets. Het lek ontstond in een 'third-party support portal' dat Trezor voor klantenservice gebruikt. De aanvaller had toegang tot klantgegevens sinds december 2021. Een aantal klanten ontving vervolgens misleidende berichten die leken van de helpdesk te komen, met verzoeken om hun seed phrases. Hoewel e-mailadressen en namen van klanten mogelijk zijn buitgemaakt, heeft geen van de benaderde klanten persoonlijke gegevens verstrekt. Trezor heeft alle betrokken klanten geïnformeerd en een onderzoek naar het incident is in gang gezet. Details over hoe de aanvaller toegang verkreeg tot het systeem zijn nog niet bekendgemaakt. [1]
Groot Datalek bij LoanDepot: 16,6 Miljoen Klanten Getroffen
De Amerikaanse krediet- en hypotheekverstrekker LoanDepot heeft recent een aanzienlijk datalek ervaren, waarbij de gevoelige persoonlijke gegevens van 16,6 miljoen klanten zijn blootgesteld. Dit lek vond plaats tijdens een ransomware-aanval op 8 januari, waarbij aanvallers toegang verkregen tot bedrijfssystemen en gevoelige data versleutelden. Als gevolg hiervan zijn verschillende klantgerichte websites nog steeds offline, waardoor klanten geen toegang hebben tot hun online accounts of betalingen kunnen verrichten. LoanDepot heeft de Amerikaanse beurswaakhond SEC geïnformeerd over het incident, waarbij werd vermeld dat een 'ongeautoriseerde derde partij' toegang had tot de systemen van het bedrijf. In een vervolgbericht aan de SEC bevestigde LoanDepot dat de aanvaller toegang had tot de persoonlijke informatie van ongeveer 16,6 miljoen klanten. Deze klanten zullen nu kosteloos gebruik kunnen maken van diensten voor kredietmonitoring en bescherming tegen identiteitsdiefstal. Details over hoe de aanval heeft kunnen plaatsvinden, zijn niet bekendgemaakt. [1, 2, 3]
DPD Schakelt AI-Chatbot uit na prompt engineering-aanval
De Britse afdeling van pakketbezorger DPD heeft hun AI-chatbot offline gehaald nadat een klant erin slaagde deze te manipuleren. Deze klant, gefrustreerd over een niet bezorgd pakket, gebruikte 'prompt engineering' om de chatbot ongewenste reacties te laten uiten, waaronder vloeken en het genereren van een negatief gedicht over DPD. Het incident, dat veel aandacht kreeg nadat de klant de resultaten online deelde, werd meer dan 1,8 miljoen keer bekeken. DPD, dat al jaren succesvol een AI-element in hun chatondersteuning gebruikte, erkende een fout na een recente systeemupdate. Het AI-element is direct uitgeschakeld en wordt momenteel geüpdatet. De klant bekritiseerde de implementatie van chatbots in het algemeen, daarbij aanvoerend dat ze vaak slecht zijn geïmplementeerd, wat leidt tot meer frustratie en een onpersoonlijke ervaring voor klanten. DPD's reactie en de actie om de chatbot offline te halen, benadrukt de complexiteit en de uitdagingen van het gebruik van AI in klantenservice. [1, 2, 3]
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 16-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 15-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 14-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 13-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 12-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 11-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑