EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑

Afgelopen week was turbulent voor de cyberveiligheid in meerdere sectoren en landen. Het begon met het nieuws dat het Belgische IT-bedrijf Services Informatiques Pour Professionnels (SIP) slachtoffer werd van een cyberaanval door de hackersgroep Black Suit. Dit incident benadrukt wederom de kwetsbaarheden waar IT-serviceproviders mee te maken hebben. De exacte aard van de gecompromitteerde gegevens is nog onbekend, wat de onzekerheid en het risico voor betrokkenen vergroot.

Digitale dreigingen aan de horizon: Incidenten in België en Nederland

Bijna tegelijkertijd werd easchangesystems, een Nederlands bedrijf in de machine- en computerapparatuurindustrie, gehackt door de cybercriminele groep Qilin. Deze aankondiging, gedaan op het darkweb, vestigt de aandacht op de aanhoudende bedreigingen in de industriële sector. Het voorval onderstreept de noodzaak voor bedrijven om hun cyberbeveiligingsmaatregelen te versterken.

In de gezondheidszorg zijn er alarmerende ontwikkelingen met betrekking tot IT-helpdesks, die nu specifiek worden getarget door hackers. Het Amerikaanse Department of Health and Human Services heeft gewaarschuwd dat aanvallers geavanceerde sociale manipulatie technieken gebruiken om toegang te krijgen tot systemen. Ze doen zich voor als werknemers en gebruiken gestolen identiteitsgegevens om helpdeskmedewerkers te overtuigen een nieuw apparaat aan hun meerfactorauthenticatie (MFA) toe te voegen, wat hen controle geeft over bedrijfsresources.

Daarnaast zorgt een schandaal in het Britse Lagerhuis voor politieke onrust. Lagerhuislid William Wragg werd afgeperst na het delen van privéfoto's via Grindr. Hij werd gedwongen persoonlijke gegevens van Conservatieve partijgenoten vrij te geven, wat de kwetsbaarheden van politieke figuren voor cyberaanvallen onderstreept. Dit incident toont aan dat de risico's van online interacties steeds invloedrijker worden binnen de politieke arena.

Verscherpte cyberaanvallen in de gezondheidszorg en politiek

In Nederland heeft Leaseweb, een van de grootste hostingbedrijven ter wereld, na een aanzienlijke cyberaanval geweigerd cruciale details van een intern beveiligingsonderzoek te delen met de Autoriteit Persoonsgegevens (AP). Dit gebrek aan transparantie heeft geleid tot juridische stappen. Het incident benadrukt de noodzaak voor meer openheid in de cyberbeveiligingssector, vooral wanneer het gaat om datalekken die klanten kunnen beïnvloeden.

Een ander zorgwekkend fenomeen is de verspreiding van malware via misleidende advertenties op Facebook. Hackers hebben nepdiensten rondom kunstmatige intelligentie gepromoot om gebruikers malware te laten downloaden die wachtwoorden en andere gevoelige informatie steelt. Deze 'malvertising'-campagnes zijn bijzonder verraderlijk omdat ze legitieme services imiteren, waardoor gebruikers worden misleid en hun beveiliging in gevaar komt.

Ondertussen heeft Visa financiële instellingen gewaarschuwd voor een nieuwe JavaScript-backdoor, genaamd JsOutProx, die geavanceerde functionaliteiten heeft om gevoelige betaalgegevens en financiële informatie te stelen. De aanvallen zijn voornamelijk gericht op banken via spearphishing-e-mails, wat de noodzaak onderstreept voor continue waakzaamheid en training van medewerkers om dergelijke bedreigingen te herkennen.

Een federale aannemer in de VS, Acuity, heeft erkend dat hackers zijn GitHub repositories hebben doorzocht en documenten hebben gestolen die oude en niet-gevoelige informatie bevatten. Hoewel de inhoud van de documenten als niet-gevoelig wordt beschouwd, wijst dit incident op de voortdurende risico's en uitdagingen waarmee bedrijven in de technologie- en defensiesector worden geconfronteerd.

Deze voorbeelden uit de recente gebeurtenissen tonen aan dat cybercriminaliteit een steeds veranderende bedreiging vormt die continue aandacht en aanpassing van beveiligingsstrategieën vereist. Elk incident leert ons over de nieuwe methoden die door cybercriminelen worden gebruikt en benadrukt het belang van proactieve verdediging en snelle reactie op incidenten.

Aanhoudende cyberdreigingen in commerciële en overheidssectoren

De complexiteit en de impact van cyberdreigingen blijven toenemen, zoals blijkt uit een reeks recente incidenten over de hele wereld. Een van de meest verontrustende ontwikkelingen is een ransomware-aanval die een weeklange IT-storing veroorzaakte bij Panera Bread. Dit incident heeft niet alleen interne systemen en klantenservice verstoord, maar roept ook ernstige vragen op over de veiligheid van werknemers- en klantgegevens.

Ook lokale overheden blijven een doelwit. Het overheidsapparaat van Hernando County in de VS werd getroffen door een cyberaanval, waardoor inwoners geen toegang hadden tot cruciale diensten. Dit onderstreept het groeiende risico van cyberaanvallen op overheidsinstellingen en de noodzaak voor versterkte cybersecurity maatregelen.

Een nieuwe malware genaamd Latrodectus, die als een evolutie van de IcedID-loader wordt beschouwd, heeft ook zijn intrede gedaan. Deze malware wordt nu gebruikt in phishing-campagnes door dezelfde groepen die eerder IcedID verspreidden, wat de voortdurende evolutie en aanpassing van cyberdreigingen aantoont.

Het grote aantal en de diversiteit van deze incidenten tonen de noodzaak aan voor organisaties van alle soorten om hun cyberbeveiligingsprotocollen voortdurend te herzien en te versterken. Van het verhogen van de waakzaamheid tegenover sociale manipulatie tot het updaten van technische verdedigingen tegen geavanceerde malware, het is duidelijk dat cyberbeveiliging een continue inspanning vereist die zich moet aanpassen aan de steeds veranderende tactieken van tegenstanders. Elk incident biedt waardevolle lessen die kunnen helpen toekomstige inbreuken te voorkomen en de weerbaarheid tegen cyberaanvallen te versterken.

Wereldwijde impact van cybercriminaliteit: Van financiën tot gezondheidszorg

Afsluitend kijken we naar enkele significante incidenten die benadrukken hoe divers en uitgebreid de bedreigingen in het cyberlandschap zijn. Recentelijk werd een nieuwe ransomware-aanval ontdekt die specifiek gericht is op hostingbedrijven, waarbij het Chileense datacenter en hostingbedrijf IxMetro Powerhost aanzienlijke verstoringen ondervond. Dit soort aanvallen toont de ernstige gevolgen van ransomware, waarbij niet alleen gegevens worden versleuteld, maar ook essentiële bedrijfsoperaties worden lamgelegd.

Ook op het gebied van financiële instellingen blijven de alarmbellen rinkelen. Visa waarschuwde onlangs voor aanvallen met de geavanceerde JSOutProx-malware, die zich richt op het stelen van betaalgegevens en andere financiële informatie. Deze aanvallen benadrukken de noodzaak voor banken en andere financiële instellingen om hun personeel goed te trainen in het herkennen van phishingmails en om een robuuste cybersecuritystrategie te handhaven.

In de Verenigde Staten zorgde een datalek bij het City of Hope kankerinstituut voor grote bezorgdheid, met meer dan 820.000 patiënten wiens gegevens mogelijk zijn gecompromitteerd. Dit incident onderstreept de continue risico's die verbonden zijn aan gegevensbeheer in de gezondheidszorg en de cruciale noodzaak voor verbeterde beschermingsmaatregelen.

Deze recente voorvallen tonen aan dat geen sector immuun is voor cyberaanvallen en dat de methoden van cybercriminelen steeds geavanceerder worden. Voor organisaties is het essentieel om niet alleen reactief, maar vooral proactief te handelen door continu te investeren in cybersecuritytraining, technologische updates en, waar mogelijk, het delen van informatie met andere organisaties en de overheid om samen een sterkere verdediging tegen cyberdreigingen op te bouwen. Elk incident biedt een kans om te leren en onze verdedigingen te versterken in de voortdurende strijd tegen cybercriminaliteit.

Begrippenlijst: Sleutelwoorden uitgelegd

• Cyberaanval - Een poging van cybercriminelen om ongeautoriseerde toegang te krijgen tot een computer, computersysteem of computernetwerk, vaak met kwaadaardige intenties.
• Darkweb - Een deel van het internet dat verborgen is voor reguliere zoekmachines en waar gebruikers vaak anoniem blijven; bekend om de handel in illegale goederen en diensten.
• Meerfactorauthenticatie (MFA) - Een beveiligingsmechanisme waarbij gebruikers meerdere bewijzen moeten leveren van hun identiteit voordat toegang wordt verleend, zoals een wachtwoord en een code op een smartphone.
• Social engineering - Technieken die worden gebruikt om mensen te manipuleren tot het verstrekken van vertrouwelijke informatie of het toestaan van toegang tot systemen.
• Malware - Kwaadaardige software ontworpen om schade aan te richten of ongeautoriseerde toegang tot computersystemen te verkrijgen.
• Ransomware - Een type malware dat de toegang tot een computer of bestanden blokkeert, waarbij van de gebruiker losgeld wordt geëist om de toegang te herstellen.
• Phishing - Een aanval die probeert gevoelige informatie te verkrijgen door zich voor te doen als een betrouwbare entiteit in elektronische communicatie.
• Spearphishing - Een gerichte vorm van phishing waarbij de aanvaller specifieke individuen of organisaties benadert.
• Datalek - Een beveiligingsincident waarbij vertrouwelijke, beschermde of gevoelige gegevens worden vrijgegeven, gestolen of gebruikt door een individu dat niet bevoegd is om deze informatie te zien.
• JavaScript-backdoor - Een kwaadaardig script dat achterdeuren creëert om aanvallers toegang te geven tot een geïnfecteerde computer.
• Mitigerende maatregelen - Stappen of acties genomen om de impact van een risico of kwetsbaarheid te verminderen.

Hieronder vind je een compleet dag-tot-dag overzicht.

Cybercrimeinfo update: Tot en met 31 maart 2024 publiceren we dagelijks realtime overzichten van slachtoffers van cybercriminaliteit wiens gegevens zijn gelekt op het darkweb. Na deze datum schakelen we over naar een wekelijkse update. Vanaf dan bieden we elke maandag een totaaloverzicht van de gebeurtenissen van de afgelopen week, als gevolg van financiële beperkingen. Lees verder

Cyberaanvallen nieuws

🇧🇪 Belgisch IT-bedrijf slachtoffer van cyberaanval

Op 7 april 2024 werd bekend dat Services Informatiques Pour Professionnels (SIP), een Belgisch IT-bedrijf, het doelwit is geworden van een cyberaanval. De aanval werd uitgevoerd door de hackersgroep Black Suit, die hun actie openbaar maakte via het darkweb. De aard van de gegevens die mogelijk gecompromitteerd zijn, is nog onduidelijk. Dit incident onderstreept de voortdurende risico's waarmee IT-serviceproviders worden geconfronteerd.

🇳🇱 Nederlandse Machinebouwer Getroffen door Cyberaanval

Op 6 april 2024 maakte de cybercriminele groep Qilin bekend dat zij easchangesystems, een Nederlands bedrijf in de machine- en computerapparatuurindustrie, succesvol heeft gehackt. Deze aankondiging, gedaan op het darkweb, benadrukt de aanhoudende bedreigingen waarmee industriële sectoren te maken hebben. Bedrijven worden aangeraden hun cybersecuritymaatregelen te versterken om zich tegen dergelijke aanvallen te beschermen.

Waarschuwing voor ziekenhuizen: hackers richten zich op IT-helpdesks

Het #U.S. Department of Health and Human Services waarschuwt dat #hackers met #sociale engineering tactieken #IT-helpdesks in de #gezondheidszorg aanvallen, waarbij ze toegang krijgen tot systemen door #MFA-apparaten onder hun controle in te stellen.

Het Amerikaanse ministerie van Volksgezondheid en Human Services (HHS) waarschuwt dat hackers geavanceerde sociale manipulatie tactieken gebruiken om IT-helpdesks in de gezondheidszorg te infiltreren. Via deze aanpak slagen de aanvallers erin om toegang te verkrijgen tot de systemen van zorginstellingen door zich voor te doen als werknemers en gestolen identiteitsgegevens te gebruiken. Ze overtuigen de helpdesk om een nieuw apparaat aan hun meerfactorauthenticatie (MFA) toe te voegen, waardoor ze controle krijgen over bedrijfsresources en zelfs banktransacties kunnen omleiden. Deze methoden omvatten ook het gebruik van AI-technologie voor stemklonen om de identiteitsverificatie verder te bemoeilijken. Deze aanpak lijkt sterk op die van de cybercriminele groep Scattered Spider, die bekend staat om het gebruik van phishing, MFA-bombardementen en SIM-swapping om netwerktoegang te verkrijgen. Om dergelijke aanvallen te voorkomen, wordt zorginstellingen aangeraden om terugbelverificaties in te stellen, transactiewijzigingen te monitoren en helpdeskmedewerkers te trainen in het herkennen van sociale manipulatie.

Nieuw schandaal rond Brits Lagerhuislid betrokken bij 'honeytrap' op Grindr

#Lagerhuislid William Wragg werd na het delen van privéfoto's via #Grindr afgeperst om persoonlijke gegevens van #Conservatieve partijgenoten vrij te geven, te midden van politieke onrust voor de #Tories, die al worstelen met lage peilingscijfers.

Een recent schandaal heeft de Britse Conservatieve Partij opgeschrikt toen Lagerhuislid William Wragg bekende afgeperst te zijn na het delen van compromitterende foto's via de datingapp Grindr. Wragg, die openlijk homoseksueel is, werd gedwongen om persoonlijke gegevens van partijgenoten te verstrekken aan de afpersers. Dit incident heeft plaatsgevonden in een periode waarin de partij van premier Rishi Sunak al onder druk staat wegens lage peilingscijfers, waarbij de Conservatieven slechts een kwart van de stemmen krijgen tegenover 44% voor Labour. Het schandaal roept herinneringen op aan de jaren '90 toen de partij regelmatig werd opgeschrikt door seksschandalen. De recente gebeurtenissen tonen aan dat de politieke en persoonlijke risico's van online interacties steeds invloedrijker worden binnen de politieke arena, waarbij de methode van de afpersers wijst op een gedetailleerde kennis van de parlementaire omgeving. Wragg heeft aangekondigd zich niet herkiesbaar te stellen, en het is nu aan de partijleiding om te beslissen over zijn verdere rol binnen de fractie. [nrc]

🇳🇱 Weigering van Leaseweb om Onderzoeksrapport te Delen met Autoriteit Persoonsgegevens na Cyberaanval

Leaseweb weigert na een #cyberaanval cruciale informatie te delen met de #AP, ondanks juridische druk en discussies over transparantie in de #cybersecuritysector.

Na een significante cyberaanval in augustus op Leaseweb, één van 's werelds grootste hostingbedrijven, weigert het bedrijf cruciale details van een intern beveiligingsonderzoek te delen met de Autoriteit Persoonsgegevens (AP). Dit incident, dat leidde tot de uitval van systemen en internetservers van enkele klanten, trok aanzienlijke aandacht van deze Nederlandse privacytoezichthouder. Leaseweb meldde het datalek bij de AP en informeerde haar klanten over de aanval, maar gedetailleerde follow-up informatie bleef uit. De AP zocht vervolgens informatie bij Northwave, het cybersecuritybedrijf dat Leaseweb assisteerde na de hack. Ook Northwave onthield zich van het verstrekken van informatie, wat resulteerde in juridische stappen. Recentelijk besloot de rechtbank echter dat de AP eerst meer druk moet zetten op Leaseweb voordat het bedrijf een derde partij zoals Northwave benadert. Dit besluit verbaast en frustreert de AP, gezien de potentieel grote impact van een datalek bij een grote hostingprovider zoals Leaseweb. [nrc]

Misleidende Advertenties Op Facebook Verspreiden Malware via Fake AI-Diensten

Hackers benutten #Facebook advertenties en gekaapte pagina's om nep-#AI diensten zoals #MidJourney, #SORA, #ChatGPT-5, en #DALL-E te promoten, waardoor onwetende gebruikers #malware downloaden die wachtwoorden steelt.

Hackers misbruiken Facebook-advertenties en gekaapte pagina's om nepdiensten rondom kunstmatige intelligentie (AI) te promoten. Ze doen zich voor als populaire AI-services zoals MidJourney, SORA van OpenAI, ChatGPT-5 en DALL-E. Met deze strategie lokken ze nietsvermoedende gebruikers om schadelijke software te downloaden die wachtwoorden en andere gevoelige informatie steelt. Deze 'malvertising'-campagnes zijn opgezet via gehackte Facebook-profielen die zich voordoen als deze AI-diensten, en beloven exclusieve previews van nieuwe functies. Gebruikers worden misleid om lid te worden van valse Facebook-groepen waar de hackers legitiem lijkende berichten en AI-gegenereerde afbeeldingen plaatsen. Slachtoffers worden vervolgens overgehaald om kwaadaardige bestanden te downloaden die malware installeren, zoals Rilide, Vidar, IceRAT en Nova. Deze malware steelt informatie uit browsers, zoals inloggegevens, cookies, en creditcardgegevens, die vervolgens op donkere webmarkten worden verkocht of gebruikt voor verdere oplichting en fraude. In een opvallend geval wist een valse Facebook-pagina die MidJourney nabootste, meer dan 1,2 miljoen volgers te verzamelen voordat deze uiteindelijk werd verwijderd. [bitdefender]

Visa Waarschuwt Banken voor Geavanceerde JavaScript-backdoor Aanvallen

Visa heeft recent gewaarschuwd voor gerichte aanvallen op banken en financiële instellingen, waarbij criminelen een geavanceerde JavaScript-backdoor, genaamd JsOutProx, inzetten om toegang te verkrijgen tot systemen. Deze malware stelt aanvallers in staat om schermafbeeldingen te maken en muis- en toetsenbordaanslagen te manipuleren, met als doel het stelen van gevoelige betaalgegevens en financiële informatie. De aanvallen worden gelanceerd via spearphishing e-mails, vermomd als financiële documenten, om de malware te verspreiden. Visa heeft vorig jaar negen verschillende campagnes ontdekt waarbij deze techniek werd gebruikt, waarbij aanvallers zich onder meer voordeden als de centrale bank van een land. Eenmaal binnen het netwerk, worden inloggegevens, financiële data en betaalrekeninginformatie buitgemaakt. Deze gestolen informatie wordt vervolgens gebruikt voor frauduleuze transacties of verkocht aan andere criminelen. Visa benadrukt het belang voor banken om personeel te trainen in het herkennen van phishingmails en adequaat te reageren op ongevraagde berichten, om zodoende de veiligheid van digitale bankdiensten te waarborgen. [malpedia, visa pdf]

Acuity Erkent Diefstal van Niet-gevoelige Overheidsdata uit GitHub Repositories

Acuity, een federaal aannemersbedrijf dat samenwerkt met Amerikaanse overheidsinstanties, heeft bevestigd dat hackers zijn GitHub repositories zijn binnengedrongen en documenten hebben gestolen die oude en niet-gevoelige informatie bevatten. Het bedrijf, een technisch adviesbureau met bijna 400 werknemers en een jaarlijkse omzet van meer dan 100 miljoen dollar, levert diensten op het gebied van DevSecOps, cyberbeveiliging, data-analyse en operationele ondersteuning aan federale klanten op het gebied van nationale veiligheid. Na de ontdekking van de inbraak, die plaatsvond door een exploitatie van een kwetsbaarheid in een Acuity Tekton CI/CD server op 7 maart, heeft Acuity onmiddellijk beveiligingsupdates van de leverancier toegepast en mitigerende maatregelen genomen. CEO Rui Garcia heeft aangegeven dat uit eigen analyse en een onderzoek door een derde partij geen bewijs is gevonden van impact op gevoelige klantgegevens. Ondanks dat de inhoud van de gestolen documenten als niet-gevoelig wordt beschouwd, heeft de lek betrekking op duizenden documenten van medewerkers van onder meer het Justitie-, en het Ministerie van Binnenlandse Veiligheid, alsook de FBI. IntelBroker, een van de betrokken hackers, claimt ook documenten van de Five Eyes inlichtingenalliantie te hebben gestolen, sommige mogelijk met geclassificeerde informatie. Acuity werkt samen met de wetshandhaving en neemt verdere maatregelen om zijn operaties te beveiligen.

Ransomware-aanval veroorzaakt weeklange IT-storing bij Panera Bread

De bekende bakkerijketen Panera Bread werd recent getroffen door een ransomware-aanval, wat leidde tot een weeklange IT-storing. Volgens bronnen en e-mails die BleepingComputer inzag, werden tal van de virtuele machines van het bedrijf versleuteld, waardoor toegang tot data en applicaties onmogelijk werd. De aanval verstoorde de interne IT-systemen, telefoonlijnen, verkooppunten, de website en mobiele apps van Panera Bread. Dit had tot gevolg dat werknemers geen toegang hadden tot hun werkschema’s en klanten alleen met contant geld konden betalen. Ook het beloningssysteem en de Panera Sip Club, waarbij leden voor $14,99 per maand onbeperkt drankjes kunnen krijgen, werden getroffen. Tot op heden is het onduidelijk welke ransomwaregroep achter de aanval zit, aangezien niemand de verantwoordelijkheid heeft opgeëist. Dit zou kunnen wijzen op een nog te ontvangen losgeldbetaling of dat deze al plaatsgevonden heeft. Panera Bread heeft niet gereageerd op verzoeken om commentaar en werknemers uiten hun zorgen over het gebrek aan transparantie en de mogelijke diefstal van hun gegevens. Panera Bread en haar franchises bezitten 2.160 cafés verspreid over 48 staten in de VS en Ontario, Canada. [bleepingcomputer]

Hernando County (VS) Overheid Getroffen door Cyberaanval

Het overheidsapparaat van Hernando County is het slachtoffer geworden van een cyberaanval, waardoor meerdere overheidsdiensten offline zijn gegaan. Deze aanval heeft tot gevolg dat inwoners van het gebied momenteel geen toegang hebben tot een aantal cruciale diensten. De aanval werd bekendgemaakt op 4 april 2024, en sindsdien werkt de lokale overheid aan het herstellen van de systemen en diensten. De impact en de omvang van deze cyberaanval zijn nog niet volledig in kaart gebracht, maar de autoriteiten zijn actief bezig met het onderzoeken van de situatie en het nemen van maatregelen om de veiligheid van hun systemen te verbeteren. Dit incident onderstreept het groeiende risico van cyberaanvallen op overheidsinstellingen en de noodzaak voor versterkte cybersecurity maatregelen. [fox13news]

Nieuwe Latrodectus-malware neemt de plaats in van IcedID bij netwerkinbraken

Sinds november 2023 is een relatief nieuwe malware, genaamd Latrodectus, in opkomst, die wordt beschouwd als een evolutie van de IcedID-loader. Deze ontwikkeling is opgemerkt door onderzoekers van Proofpoint en Team Cymru. IcedID, voor het eerst geïdentificeerd in 2017, was oorspronkelijk een modulaire banktrojan ontworpen om financiële informatie te stelen, maar groeide uit tot een complexere tool die ook ransomware kon leveren aan geïnfecteerde systemen. Hoewel de primaire distributiemethode via kwaadaardige e-mails bleef, diversifieerden de leveringstactieken van IcedID vanaf 2022 aanzienlijk. In februari 2024 bekende een van de leiders achter de IcedID-operatie schuldig te zijn in de Verenigde Staten, met een mogelijke gevangenisstraf van 40 jaar als gevolg. Onderzoekers suggereren nu dat de ontwikkelaars van IcedID Latrodectus hebben gecreëerd, na het opmerken van overeenkomsten in infrastructuur en operationele tactieken. Het is nog te vroeg om te zeggen of Latrodectus IcedID volledig zal vervangen, maar het wordt nu al in phishing-campagnes gebruikt door dezelfde groepen die eerder IcedID verspreidden. Latrodectus onderscheidt zich door verschillende sandbox-evasietests uit te voeren om detectie en analyse door beveiligingsonderzoekers te ontwijken. De malware is in staat om aanvullende kwaadaardige payloads te downloaden op instructie van een command-and-control server. Gezien de gedeelde tactieken en infrastructuur tussen Latrodectus en IcedID, waarschuwen de onderzoekers voor een aanzienlijke kans dat Latrodectus in de toekomst door meerdere dreigingsactoren zal worden gebruikt. [proofpoint]

Visa Waarschuwt voor Nieuwe JSOutProx Malware Gericht op Financiële Instellingen

Visa heeft een beveiligingswaarschuwing uitgegeven over een toename in de detectie van een nieuwe variant van de JSOutProx-malware, die zich richt op financiële instellingen en hun klanten. Deze waarschuwing, uitgebracht door de Payment Fraud Disruption (PFD) eenheid van Visa, volgt op de ontdekking van een phishingcampagne die op 27 maart 2024 werd gelanceerd. Deze campagne richt zich op financiële organisaties in Zuid- en Zuidoost-Azië, het Midden-Oosten en Afrika. JSOutProx, voor het eerst waargenomen in december 2019, is een geavanceerd soort malware met de mogelijkheid om commando's uit te voeren, extra payloads te downloaden, bestanden uit te voeren, screenshots te maken, persistentie op geïnfecteerde apparaten te vestigen, en de controle over toetsenbord en muis over te nemen. Hoewel het ultieme doel van deze campagne niet bevestigd kon worden, zijn de indicatoren van compromittering (IoC's) en verschillende mitigatiemaatregelen, waaronder het vergroten van bewustzijn rond phishingrisico's en het beveiligen van toegang op afstand, gedeeld. Daarnaast is ontdekt dat de malware zich heeft ontwikkeld om detectie te ontwijken en GitLab gebruikt om zijn payloads te hosten. Aanvallers versturen vervalste financiële notificaties via e-mails die legitieme instellingen imiteren, met ZIP-archieven die, eenmaal uitgevoerd, de kwaadaardige JSOutProx payloads downloaden. Deze geavanceerde aanvallen en de diversiteit aan functies die de malware biedt, duiden op een hoog niveau van verfijning. [resecurity]

Datalek bij Amerikaans Kankerinstituut Treft 827.000 Patiënten

Het City of Hope, een toonaangevend behandel- en onderzoekscentrum voor kanker in de Verenigde Staten, heeft een datalek gemeld waarbij gevoelige informatie van meer dan 820.000 patiënten is blootgesteld. Het centrum, erkend door het National Cancer Institute en gevestigd in Duarte, Californië, kwam medio oktober 2023 achter verdachte activiteiten op hun systemen, waarna direct maatregelen werden getroffen om de operaties te beschermen. Een onderzoek, uitgevoerd met hulp van een vooraanstaande cybersecurityfirma, onthulde dat een onbevoegde derde tussen 19 september en 12 oktober 2023 toegang had tot bepaalde systemen en bestanden kopieerde. De mogelijk gecompromitteerde gegevens omvatten namen, e-mailadressen, telefoonnummers, geboortedata, socialezekerheidsnummers, rijbewijzen, overheids-ID's, bankrekeningnummers, creditcardgegevens, ziektekostenverzekeringinformatie en medische dossiers. Hoewel er geen bewijs is van identiteitsdiefstal of fraude naar aanleiding van dit incident, en niet alle gegevenstypes voor elke patiënt zijn gecompromitteerd, is de mate van blootstelling per geval verschillend. Als reactie heeft City of Hope aanvullende beveiligingsmaatregelen geïmplementeerd en biedt het getroffen patiënten twee jaar gratis toegang tot identiteitsbewakingsdiensten. Getroffen individuen worden aangeraden hun bankafschriften in de gaten te houden en waakzaam te blijven voor ongevraagde communicatie. De aard van de cyberaanval die tot het lek heeft geleid, is nog onbekend, en geen enkele ransomwaregroep heeft de verantwoordelijkheid opgeëist. [cityofhope, maine.gov]

Nieuwe HTTP/2 DoS-aanval kan webservers met één verbinding laten crashen

Een recent ontdekte kwetsbaarheid in het HTTP/2-protocol, bekend als "CONTINUATION Flood", stelt aanvallers in staat om webservers te laten crashen door misbruik te maken van een enkele TCP-verbinding. Dit probleem ontstaat door onvoldoende beperkingen en controles op CONTINUATION frames binnen vele implementaties van het protocol, wat resulteert in mogelijke serveruitvallen door geheugen- of CPU-bronnen te overbelasten. Onderzoekers en het CERT Coordination Center hebben verschillende CVE-identificaties gepubliceerd die verschillende niveaus van ontkenning van dienst (DoS) aanvallen beschrijven, waaronder geheugenlekken, overmatig geheugengebruik, en CPU-uitputting. Deze kwetsbaarheden hebben invloed op prominente projecten en platforms zoals Node.js, Envoy, Go, en Apache, onder anderen. De ernst van deze kwetsbaarheid wordt benadrukt door de wijdverbreide adoptie van HTTP/2 en de complexiteit voor serverbeheerders om deze aanvallen te mitigeren zonder diepgaande kennis van HTTP/2, aangezien kwaadaardige verzoeken vaak niet zichtbaar zijn in toegangslogs. Het is van cruciaal belang voor betrokken partijen om hun servers en bibliotheken te upgraden om misbruik van deze kwetsbaarheden te voorkomen. [nowotarski]

De Grootste Lessen uit Recente Malware-aanvallen

Recente malware-aanvallen, zoals de ontdekking van een kwaadaardige backdoor in het populaire compressietool xz Utils, benadrukken de geraffineerdheid en veelzijdigheid van hedendaagse kwaadwillende software. Malware, variërend van virussen en wormen tot trojans, ransomware, spyware en adware, heeft niet alleen als doel onmiddellijke schade aan te richten. Het kan ook gegevens lekken, operaties strategisch verstoren, of de basis leggen voor grootschalige gecoördineerde aanvallen. Een voorbeeld hiervan is StripedFly, een geavanceerd malware-framework dat meer dan een miljoen Windows- en Linux-systemen infecteerde door zijn stealth-capaciteiten en de integratie van een TOR-netwerktunnel. Daarnaast hebben banking trojans een vlucht genomen met tien nieuwe varianten in 2023 die gericht waren op bank- en fintech-apps, getuigend van een groeiende trend van financieel gerichte malware. Een opmerkelijke aanval betrof Chinese hackers die in 2023 het netwerk van het Nederlandse Ministerie van Defensie infiltreerden met de "Coathanger" malware, die zelfs na firmware-upgrades en systeemherstarts kon blijven bestaan. Deze gebeurtenissen onderstrepen het belang van geavanceerde en gelaagde beveiligingsstrategieën, waaronder het gebruik van anti-virus en anti-malware software, regelmatige training van medewerkers, strikt apparaatbeheer, gebruikersgedraganalyse, en gebruikersprivilegebeheer om de blootstelling aan malware-risico's te minimaliseren. Met jaarlijks wereldwijd 5,5 miljard malware-aanvallen is dit een dreiging die elke organisatie serieus moet nemen en actie tegen moet ondernemen. [statista]

Noodtoestand in Amerikaans County door Ransomware-aanval

In Jackson County, gelegen in de Amerikaanse staat Missouri, is een noodtoestand afgekondigd als reactie op een ransomware-aanval. Deze cyberaanval heeft geleid tot een grootschalige verstoring van de systemen, waardoor meerdere belangrijke afdelingen tijdelijk gesloten zijn. De getroffen systemen zijn onder meer die voor het betalen van belastingen en het uitgeven van huwelijksaktes. Het countybestuur heeft aangekondigd dat verschillende systemen tijdens de herstelwerkzaamheden offline zullen blijven om de veiligheid te waarborgen. Door de noodtoestand te verklaren, kan het countybestuur nu buiten de normale procedures om diensten en goederen aanschaffen en beschikt het over meer financiële middelen om de crisis het hoofd te bieden. Dit besluit is genomen om een snelle en efficiënte reactie op de cyberaanval mogelijk te maken, in een poging deimpact op de dienstverlening en de inwoners van het county, dat zo'n 718.000 mensen telt, te minimaliseren. [jacksongov, pdf jacksongov]

De Falende Opsec van 'The Manipulaters' Ondanks Verbeterde Phishing

Ongeveer negen jaar na het eerste profiel van 'The Manipulaters' door KrebsOnSecurity, een cybercrimegroep uit Pakistan bekend om hun webhostingnetwerk voor phishing en spam, blijkt uit nieuw onderzoek dat de groep nog steeds niet slaagt in het verborgen houden van hun illegale activiteiten. Ondanks beweringen van het tegendeel en pogingen om eerdere verhalen te laten verwijderen onder het mom van een nieuwe, legitieme koers, heeft recent onderzoek aangetoond dat de kwaliteit van hun producten en diensten weliswaar is verbeterd, maar hun operationele beveiliging (opsec) laat nog steeds ernstig te wensen over. De kernactiviteit van 'The Manipulaters', geleid door een figuur bekend als "Saim Raza", concentreert zich rond spam- en phishingdiensten die ontworpen zijn om detectie door beveiligingstools te omzeilen. Hun nieuwste spambezorgdienst, HeartSender, adverteert openlijk phishingkits gericht op gebruikers van diverse internetbedrijven, inclusief Microsoft 365 en Yahoo. Onderzoek van DomainTools.com heeft echter onthuld dat computers geassocieerd met de groep langdurig zijn geïnfecteerd door malware, waarbij grote hoeveelheden gegevens over de leden en operaties van de groep zijn blootgesteld. Het lijkt erop dat 'The Manipulaters' een groter risico vormen voor hun eigen klanten dan voor de wetshandhaving, aangezien de webinterface van HeartSender een buitengewone hoeveelheid gebruikersinformatie lekt die waarschijnlijk niet publiekelijk toegankelijk is bedoeld. Deze nalatigheid in hun opsec kan hun ondergang betekenen, ondanks hun beweringen over een legitieme bedrijfsvoering en het achter zich laten van hun criminele verleden. [krebsonsecurity]

Nieuwe Ransomware-aanval treft Hostingbedrijf IxMetro Powerhost

Het Chileense datacenter en hostingbedrijf IxMetro Powerhost is het slachtoffer geworden van een cyberaanval door een nieuwe ransomwarebende, genaamd SEXi. Deze aanval resulteerde in het versleutelen van de VMware ESXi-servers en back-ups van het bedrijf, wat ernstige verstoringen veroorzaakte voor klanten die hun websites of diensten op deze servers hosten. De aanval, die plaatsvond in de vroege ochtenduren van zaterdag, heeft geleid tot een poging van het bedrijf om terabytes aan gegevens uit back-ups te herstellen. Echter, de kans op volledig herstel lijkt klein, aangezien de back-ups ook zijn gecodeerd. Bij pogingen om te onderhandelen met de daders voor een decryptiesleutel, eiste de bende twee bitcoins per slachtoffer, wat neerkomt op een totaal van $140 miljoen. Volgens Ricardo Rubem, de CEO van PowerHost, is het onwaarschijnlijk dat betaling zou leiden tot het herstel van de data, gezien de ervaring leert dat criminelen vaak verdwijnen na ontvangst van het losgeld. De nieuwe SEXi ransomware voegt de extensie .SEXi toe aan versleutelde bestanden en is tot nu toe alleen gericht op VMware ESXi-servers. De infrastructuur achter deze ransomware-operatie is op dit moment nog niet opmerkelijk. Voor getroffen VPS-klanten die nog over hun website-inhoud beschikken, biedt het bedrijf aan om een nieuwe VPS op te zetten om hun sites weer online te krijgen. [bleepingcomputer]

Hoe Initial Access Brokers de Weg Bereiden voor Ransomware-aanvallen

In een recente analyse wordt onthuld hoe Initial Access Brokers (IAB's) opereren binnen ondergrondse forums om toegang tot bedrijfsnetwerken te verkopen, waarna deze informatie mogelijk leidt tot ransomware-aanvallen. Een voorbeeld hiervan betrof een Australisch bedrijf, waarvan de toegang binnen 16 uur werd verkocht na een post op een Exploit Forum door een IAB met een goede reputatie. IAB's verzamelen gedetailleerde informatie over potentiële slachtofferorganisaties via platforms zoals Zoominfo en LinkedIn, zonder echter expliciet de identiteit van het slachtoffer prijs te geven. Deze aanpak biedt analisten de mogelijkheid om, via reverse engineering, de slachtofferorganisatie te identificeren en mogelijk waarschuwingen uit te brengen voordat een ransomware-aanval plaatsvindt. De analyse benadrukt een specifiek incidentwaarbij de organisatie, na te zijn verkocht door een IAB, uiteindelijk op een ransomware-leksite verscheen. Het artikel biedt inzicht in het belang van het monitoren van ondergrondse forums door bedreigingsanalisten om organisaties te waarschuwen en voor te bereiden op mogelijke aanvallen, en suggereert acties zoals direct contact opnemen met de bedreigde organisatie of overheidsinstanties informeren om preventieve maatregelen te nemen.

Ernstige beveiligingsfouten bij Microsoft faciliteren diefstal van overheidsmails

Een reeks ernstige beveiligingsfouten bij Microsoft heeft aanvallers in staat gesteld om in te breken op Exchange Online en Outlook.com, wat resulteerde in de diefstal van tienduizenden overheidsmails. Dit incident, dat vorig jaar plaatsvond, had volgens het Cyber Safety Review Board (CSRB) van de Amerikaanse overheid voorkomen kunnen worden en had nooit mogen gebeuren. Aanvallers konden toegang verkrijgen tot e-mailaccounts van ongeveer 25 organisaties door vervalste tokens te gebruiken, die mogelijk gemaakt waren door een crash dump die een essentiële signing key bevatte. Deze crash dump was verplaatst van een geïsoleerd productienetwerk naar een met het internet verbonden debugging omgeving. Microsoft heeft erkend dat de aanvallers het bedrijfsaccount van een engineer hebben gecompromitteerd, wat hen toegang gaf tot de signing key. Het CSRB bekritiseert Microsoft voor zijn inadequate securitycultuur en de late reactie op het verlies van de signing key. Het rapport benadrukt het belang van beter risicomanagement en veiligheidsmaatregelen binnen Microsoft, met aanbevelingen die ook relevant zijn voor andere cloudproviders. [dhs.gov]

Massale Datalek bij Enquêtewebsite SurveyLama

SurveyLama, een betaalde enquêtewebsite, heeft te maken gehad met een aanzienlijk datalek, waardoor de persoonlijke gegevens van 4,4 miljoen gebruikers zijn blootgesteld. Dit omvatte gevoelige informatie zoals e-mailadressen, IP-adressen, woonadressen, telefoonnummers, geboortedata en wachtwoordhashes. Gebruikers van SurveyLama konden tegen betaling deelnemen aan verschillende enquêtes. Het is momenteel onduidelijk hoe deze datalek heeft kunnen plaatsvinden. Het lek is zo ernstig dat de betrokken e-mailadressen zijn toegevoegd aan de datalekzoekmachine Have I Been Pwned, waarmee gebruikers kunnen controleren of hun gegevens in bekende datalekken voorkomen. Interessant genoeg was 28% van de via SurveyLama gelekte e-mailadressen reeds bekend bij Have I Been Pwned door eerdere datalekken. SurveyLama heeft aangegeven dat het alle getroffen gebruikers via e-mail heeft geïnformeerd over het lek. [haveibeenpwned]

Ransomware-aanval verstoort computersystemen in Jackson County (VS)

In Jackson County zijn de computersystemen van verschillende overheidsafdelingen verstoord, vermoedelijk door een ransomware-aanval. De getroffen afdelingen, waaronder die van taxatie, inningen en het kadaster, moesten dinsdagochtend hun deuren sluiten vanwege computerstoringen. De storingen worden mogelijk toegeschreven aan een cyberaanval waarbij kwaadwillenden controle over computersystemen overnemen en losgeld eisen voor de teruggave ervan. Andere systemen van de county, evenals de verkiezingsbureaus van Jackson County en Kansas City, ondervonden geen hinder van dit incident. De eerste bevindingen wijzen op operationele inconsistenties binnen de digitale infrastructuur van de county, waarbij bepaalde systemen zijn uitgevallen terwijl andere normaal functioneren. De verstoringen betreffen systemen voor belastingbetalingen en online zoekopdrachten naar vastgoedgegevens, huwelijkslicenties en gevangenisinformatie. Tot nu toe is er geen bewijs dat er gegevens zijn gecompromitteerd. De autoriteiten zijn nog bezig met het diagnosticeren van het probleem, in samenwerking met cybersecuritypartners, om de exacte oorzaak van de verstoring vast te stellen en bevestigen of het daadwerkelijk om een ransomware-aanval gaat. [kansascity.com]

Cyberincident treft NorthBay VacaValley Ziekenhuis (VS)

Het NorthBay VacaValley Ziekenhuis wordt momenteel geconfronteerd met systematische problemen als gevolg van een cyberincident, waardoor sommige patiënten worden weggestuurd. Deze situatie heeft directe gevolgen voor de zorgverlening en patiëntenontvangst in het ziekenhuis. Het incident onderstreept de kwetsbaarheid van gezondheidszorginstellingen voor cyberaanvallen en de impact die deze kunnen hebben op de operationele capaciteit. Het ziekenhuis werkt momenteel aan een oplossing voor de problemen, maar details over de aard van het cyberincident of de verwachte oplostijd zijn niet verstrekt. Dit gebeuren roept vragen op over de cybersecuritymaatregelen die worden getroffen binnen de gezondheidszorg en het belang van adequate bescherming tegen dergelijke bedreigingen. Het incident bij NorthBay VacaValley is een duidelijk voorbeeld van hoe cruciaal het is voor ziekenhuizen en andere zorginstellingen om hun digitale infrastructuur te beveiligen tegen cybercriminaliteit. [cbsnews.com]

De Verborgen Dreiging van Winnti: Ontduiking van Beveiligingssoftware door UNAPIMON Malware

De Chinese hackergroep Winnti, ook bekend als APT41, maakt gebruik van een nieuw, ongedocumenteerd malwarehulpmiddel genaamd UNAPIMON om kwaadaardige processen te laten draaien zonder gedetecteerd te worden door beveiligingssoftware. Actief sinds 2012, staat Winnti bekend als een van de meest geavanceerde en productieve groepen op het gebied van cyberespionage, met vermoedelijke banden met de Chinese staat. Deze groep heeft in het verleden een breed scala aan organisaties aangevallen, waaronder overheden, hardwareleveranciers, softwareontwikkelaars en onderwijsinstellingen. UNAPIMON, een malware in DLL-vorm geschreven in C++, maakt gebruik van Microsoft Detours voor het aanpassen van de CreateProcessW API-functie. Dit stelt het in staat om kritieke API-functies in kindprocessen los te koppelen, waardoor detectie door veelbeveiligingstools, die afhankelijk zijn van API-hooking, omzeild wordt. Trend Micro's analyse onthult dat UNAPIMON een unieke aanpak hanteert door beveiligingshaken uit processen te verwijderen, wat een zeldzame omkering is van de typische werkwijze waarbij malware juist probeert in te haken op processen. Deze methodiek benadrukt de originaliteit en eenvoud van de malware en toont aan dat zelfs standaardbibliotheken kwaadaardig kunnen worden ingezet. Winnti blijft innovatieve methoden ontwikkelen om detectie te ontwijken, waardoor het belang van voortdurende waakzaamheid en innovatie in cyberbeveiliging wordt onderstreept. [trendmicro]

Grootschalige IT-storing treft Omni Hotels & Resorts

Omni Hotels & Resorts kampt sinds vrijdag met een landelijke IT-storing, die cruciale systemen heeft platgelegd, waaronder reserveringen, kamerdeursloten en point-of-sale systemen. De officiële website was tijdelijk onbereikbaar en toonde een melding over technische problemen. Klanten ondervonden hinder bij het maken van nieuwe reserveringen, het wijzigen van bestaande boekingen en bij creditcardbetalingen. Het bedrijf heeft nog geen details vrijgegeven over de oorzaak van de storing, maar het werkt actief aan het herstel van de offline systemen. Op sociale media en via hun communicatiekanalen heeft Omni Hotels zijn excuses aangeboden en om geduld gevraagd. Het telefoonhulplijn van de hotelketen is eveneens getroffen. Hoewel de exacte aard van het incident niet is bevestigd, wijst de omvang van de getroffen diensten en de inspanningen om systemen handmatigte herstellen, op een mogelijke cyberaanval. Omni Hotels heeft een netwerk van 50 hotels en resorts in de Verenigde Staten, Canada en Mexico. In 2016 meldde de keten een datalek waarbij betalingsinformatie van klanten werd gestolen door malware in de point-of-sales systemen van bijna al zijn Noord-Amerikaanse hotels.

Meta's VPN-dienst Onder Vuur voor Afluisterpraktijken

Meta, voorheen bekend als Facebook, ligt onder vuur vanwege onthullingen dat hun VPN-dienst, Onavo, zich bezighield met dubieuze praktijken. Door middel van man-in-the-middle (MITM) aanvallen, werden SSL-verbindingen van concurrenten zoals Snapchat, Amazon, en YouTube gestript. Dit stelde Meta in staat om gebruikersverkeer te analyseren en gegevens te verzamelen over het app-gebruik en online gedrag van de gebruikers. Onavo, verkregen door Facebook in 2013, beloofde gebruikersdata te beschermen en alleen te gebruiken voor het verbeteren van de VPN-dienst. Echter, in werkelijkheid werden gebruikers betaald om een rootcertificaat te installeren, waarmee Meta toegang kreeg tot en controle over hun internetverkeer. Deze praktijken zijn mogelijk in strijd met de Amerikaanse 'Wiretap' wetgeving, die het ongeoorloofd afluisteren van elektronische communicatie verbiedt. De discussie concentreert zich nu op de juridische gevolgen voor Meta en de ethische implicaties van hun handelen. Terwijl de community en critici hun bezorgdheid uiten over privacy en dataveiligheid, roept de situatie vragen op over de grenzen van bedrijfsgedrag in de digitale wereld en de noodzaak van strengere regulering en toezicht op dataverzameling en -gebruik door grote technologiebedrijven. [ycombinator]

Datalek bij Jachtenverkoper MarineMax na Cyberaanval

MarineMax, beschreven als een van de grootste verkopers van recreatieve boten en jachten wereldwijd, heeft een datalek onthuld dat volgde op een cyberaanval in maart. Het bedrijf, gevestigd in Florida, verklaarde dat hoewel aanvankelijk gedacht werd dat er geen gevoelige gegevens waren opgeslagen op de gecompromitteerde systemen, later bleek dat kwaadwillenden toch persoonlijke data van werknemers en klanten hadden gestolen. Deze onthulling kwam naar voren uit een 8-K indiening, waarin werd vermeld dat een cybercrimeorganisatie toegang had verkregen tot een beperkt deel van hun informatiesysteem gerelateerd aan de detailhandel. De Rhysida ransomware-groep heeft de aanval opgeëist en biedt de gestolen data te koop aan voor 15 BTC (meer dan $1 miljoen). De groep heeft ook screenshots gepubliceerd van wat lijkt op financiële documenten van MarineMax, naast rijbewijzen en paspoorten van werknemers, op hun darkweb-leksite. MarineMax, met meer dan 130 locaties wereldwijd en een omzet van $2.39 miljard vorig jaar, is slechts een van de vele slachtoffers van de relatief nieuwe Rhysida ransomware, die in mei 2023 opdook en onder andere de British Library en het Chileense leger heeft getroffen. [sec.gov]

Explosieve Toename van Identiteitsfraude in de VS met Verliezen van $1,1 Miljard in 2023

In 2023 leden Amerikanen aanzienlijke financiële verliezen door identiteitsfraude, met een totaalbedrag van meer dan $1,1 miljard, een verdrievoudiging ten opzichte van 2020. Dit blijkt uit gegevens verzameld door de Federal Trade Commission (FTC). Er werden in totaal 490.000 gevallen van fraude gemeld, waarvan 330.000 betrekking hadden op het zich voordoen als bedrijven en de rest op overheidsinstanties. De meeste fraudegevallen vonden plaats via telefoongesprekken, hoewel deze methode afneemt, terwijl oplichting via e-mail en sms-berichten voor het derde opeenvolgende jaar toenam. De FTC identificeerde verschillende veelvoorkomende typen scams, waaronder nepveiligheidsmeldingen van accounts, valse abonnementsvernieuwingen, niet-bestaande aanbiedingen of kortingen, verzonnen juridische problemen, en nepberichten over pakketleveringsproblemen. Deze fraudepogingen zijn erop gericht slachtoffers te misleiden tot het overmaken van geld of het delen van persoonlijke informatie. Om consumenten te beschermen, adviseert de FTC om voorzichtig te zijn met het klikken op links in ongevraagde berichten, verzoeken om geldovermakingen te wantrouwen, en altijd verdachte communicatie te verifiëren. Daarnaast kondigde de FTC nieuwe regels aan die het mogelijk maken om effectiever op te treden tegen deze vormen van oplichting, door civiele boetes en restituties in federale rechtbanken te eisen van oplichters die overheidsemblemen of bedrijfslogo's namaken, of onterecht affiliatie suggereren. [ftc.gov]

Groot Datalek Treft 1,3 Miljoen Gebruikers van Online Winkelplatform PandaBuy

Meer dan 1,3 miljoen klantgegevens van het online winkelplatform PandaBuy zijn gelekt. Dit incident kwam aan het licht nadat twee cybercriminelen, 'Sanggiero' en 'IntelBoker', meerdere kwetsbaarheden in het systeem hadden uitgebuit. PandaBuy, populair voor het internationaal aanbieden van producten uit Chinese e-commerce platforms zoals Tmall, Taobao en JD.com, werd gecompromitteerd door ernstige beveiligingslekken in hun API. De gelekte data omvat unieke gebruikers-ID's, namen, telefoonnummers, e-mailadressen, IP-adressen bij het inloggen, ordergegevens, thuisadressen en meer. De informatie van PandaBuy-klanten werd op een forum aangeboden tegen een symbolische betaling in cryptocurrency. Om de echtheid van de informatie te bewijzen, deelde de dreigingsactor een klein voorbeeld met e-mailadressen, klantnamen, bestelnummers, verzendadressen en transactiedetails. Troy Hunt van Have I Been Pwned (HIBP) bevestigde dat ten minste 1,3 miljoen van de gelekte e-mailadressen geldig zijn en afkomstig van PandaBuy. Er wordt aangeraden dat gebruikers van PandaBuy hun wachtwoorden resetten en alert blijven op mogelijke scam-pogingen. PandaBuy heeft zelf nog geen verklaring afgegeven over het lek, en er zijn aanwijzingen dat het bedrijf probeert het incident onder de radar te houden. [haveibeenpwned]

Hackers Vallen Russisch Gevangenisnetwerk Aan uit Wraak voor Navalny

Hackers hebben kort na de dood van Alexej Navalny, een prominente Russische oppositieleider, een opmerkelijke aanval uitgevoerd op het Russische gevangenissysteem. Uit wraak plaatsten zij een foto van Navalny en zijn vrouw op de website van een onderaannemer van het gevangeniswezen, vergezeld van de tekst "Lang leve Navalny". Deze daad van hacktivisme ging echter verder dan alleen een symbolische boodschap. De groep, bestaande uit IT-specialisten uit verschillende landen, waaronder Rusland en Oekraïne, wist ook toegang te krijgen tot een database met de gegevens van honderdduizenden gevangenen en hun naasten. Deze informatie betrof onder andere gevangenen uit de strafkolonie waar Navalny zijn leven verloor. In een daad van verzet tegen het huidige regime en ter ondersteuning van de gevangenen, hackten ze bovendien een online platform waar vrienden en familie van gevangenen voedsel konden kopen. Ze pasten de prijzen aan, waardoor producten slechts voor 1 roebel verkocht werden, een actie die pas na enkele uren werd ontdekt. Deze hackers, sommigen in ballingschap, uiten hiermee niet alleen hun wraak voor de dood van Navalny maar ook hun liefde voor hun land en de hoop op bevrijding van het Poetin-regime. [anoniem, cnn]

Dit screenshot, dat CCINFO en CNN ontving van hackers die de verantwoordelijkheid opeisen, toont een gehackte website die verbonden is aan het Russische gevangenissysteem met steunbetuigingen aan de overleden Russische oppositieleider Alexey Navalny.

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Week overzicht slachtoffers

Cybercrimeinfo update: Tot en met 31 maart 2024 publiceren we dagelijks realtime overzichten van slachtoffers van cybercriminaliteit wiens gegevens zijn gelekt op het darkweb. Na deze datum schakelen we over naar een wekelijkse update. Vanaf dan bieden we elke maandag een totaaloverzicht van de gebeurtenissen van de afgelopen week, als gevolg van financiële beperkingen. Lees verder

Slachtoffers België en Nederland

In samenwerking met StealthMole

Sponsor Cybercrimeinfo

Meer weekoverzichten