EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑

In een opmerkelijke ontwikkeling binnen de wereld van cyberbeveiliging heeft een malware-ontwikkelaar een unieke tactiek toegepast om kindermisbruikers te bestrijden. Deze ontwikkelaar creëerde een honeypot-malware die specifiek gericht is op individuen die online zoeken naar illegaal kindermisbruikmateriaal. Het downloaden van dit lokbestand resulteert in de installatie van malware die de computer van de dader infecteert en persoonlijke informatie doorspeelt naar de ontwikkelaar. Dit initiatief leidt tot een belangrijke ethische discussie over de grenzen van zelfjustitie in het digitale tijdperk, waarbij zorgen om privacy en legale repercussies centraal staan.

Tegelijkertijd rapporteert Coveware een aanzienlijke daling in het aantal bedrijven dat losgeld betaalt aan ransomware-aanvallers, met een nieuw laagterecord van 28% in het eerste kwartaal van 2024. Deze afname wordt toegeschreven aan verbeterde beveiligingsprotocollen, toenemende juridische druk en de onbetrouwbaarheid van beloftes door cybercriminelen. Echter, ondanks de daling in het aantal betalingen, blijven de financiële eisen hoog met recordbedragen die betaald worden aan ransomware-acteurs.

In een recent incident werd SIS Automatisering, een Nederlandse IT-dienstverlener, het slachtoffer van een cyberaanval door de groep genaamd PLAY. Deze aanval benadrukt nogmaals de kwetsbaarheid binnen de IT-sector en het belang van robuuste cyberbeveiligingsmaatregelen. Op gelijkaardige wijze werd in België de accountancydienst etateam.be getroffen door een aanval van de groep Qilin, wat de noodzaak van verbeterde beveiliging in de financiële sector onderstreept.

Tot slot is er een kritieke waarschuwing voor gebruikers van de Forminator plugin op WordPress-websites. Na een ontdekt beveiligingslek zijn al drie incidenten gemeld bij Cybercrimeinfo. Het advies is om onmiddellijk te updaten om verdere exploits te voorkomen, wat aantoont dat tijdige updates essentieel zijn in het voorkomen van cyberaanvallen.

Deze gebeurtenissen dienen als een herinnering aan de constante dreigingen in de digitale wereld en het belang van waakzaamheid en proactieve beveiliging binnen alle sectoren. Dit eerste deel van het artikel biedt een overzicht van recente incidenten en de steeds evoluerende aard van cyberdreigingen.

Bedrijfsgevoelige informatie onder vuur

In een andere noemenswaardige ontwikkeling heeft een groep hackers gevoelige data van de Belgische brouwerij Duvel Moortgat online geplaatst na een succesvolle cyberaanval. Dit incident laat zien hoe zelfs de voedings- en drankenindustrie niet immuun is voor cyberaanvallen. De gelekte informatie omvatte niet alleen interne documenten, maar ook financiële gegevens en persoonlijke informatie van medewerkers, wat ernstige privacyzorgen met zich meebrengt. Duvel Moortgat heeft snel gereageerd door samen te werken met cybersecurity experts en lokale autoriteiten om de schade te beperken en preventieve maatregelen te treffen.

Ondertussen zijn GitHub-opmerkingen een nieuw doelwit geworden voor cybercriminelen die malware verspreiden via vervalste Microsoft repository URL's. Deze aanvalsmethode illustreert hoe cybercriminelen bekende platformen en merknamen misbruiken om gebruikers te misleiden. Het is cruciaal voor gebruikers om hyperlinks grondig te controleren voordat ze erop klikken, met name in open-source repositories waar de dreiging van kwaadaardige activiteiten toeneemt.

In een verrassende wending heeft het bekende ransomware-netwerk HelloKitty zichzelf omgedoopt tot 'FiveHands' en blijft het grote bedrijven zoals CD Projekt en Cisco aanvallen. De aanvallers richten zich op het infiltreren van netwerken via kwetsbaarheden in onbeveiligde systemen, waardoor ze toegang krijgen tot kritieke bedrijfsinformatie en losgeld eisen om datalekken te voorkomen. Deze gevallen benadrukken het belang van regelmatige netwerkbeveiligingsaudits en cybersecuritytraining voor personeel om dergelijke aanvallen te weerstaan.

Tegelijkertijd wordt een zerodaylek in CrushFTP actief uitgebuit, wat wijst op het aanhoudende risico van niet-gepatchte software. Bedrijven en individuele gebruikers worden dringend aangeraden om updates snel toe te passen en netwerkmonitoring te intensiveren om ongeautoriseerde toegang te detecteren. Deze incidenten tonen aan dat cyberaanvallen divers en wijdverspreid zijn, waarbij geen enkele sector gespaard blijft. Elk van deze gevallen biedt belangrijke lessen over de noodzaak om cybersecurity voortdurend te verbeteren en te actualiseren in reactie op de evoluerende bedreigingslandschap.

Beveiligingslekken en internationale incidenten

De recente aanval op de MITRE Corporation, veroorzaakt door zerodaylekken in Ivanti VPN-servers, onderstreept de risico's verbonden aan ongepatchte software. Aanvallers konden commando's uitvoeren op de VPN-systemen en zo toegang krijgen tot kritieke netwerkinfrastructuur. Dit incident benadrukt de noodzaak voor organisaties om hun beveiligingsmechanismen voortdurend te evalueren en snel te reageren op bekendgemaakte kwetsbaarheden.

In een vergelijkbare situatie werd een agentschap van de Verenigde Naties het doelwit van een ransomware-aanval door de groep 8Base, die dreigde gevoelige gegevens openbaar te maken tenzij losgeld werd betaald. Dit incident werpt licht op de voortdurende bedreiging van ransomware-aanvallen voor internationale organisaties en het belang van sterke cyberverdediging en snelle incidentrespons om potentiële schade te minimaliseren.

Nederland en België ondervonden ook specifieke cyberdreigingen. Het Nationaal Cyber Security Centrum waarschuwde voor actief misbruik van een kritieke kwetsbaarheid in Palo Alto Networks firewalls. Dit benadrukt het belang van het onmiddellijk toepassen van patches om kwetsbaarheden te verhelpen en het belang van een voortdurende monitoring van netwerkactiviteiten om verdachte activiteiten snel te identificeren en aan te pakken.

Een ander belangrijk advies kwam van de FBI en NCSC, die aanbevelen om wachtwoorden alleen te wijzigen in geval van veiligheidsincidenten. Dit nieuwe inzicht is gebaseerd op onderzoek dat suggereert dat frequent wachtwoordwijzigen kan leiden tot minder complexe wachtwoorden en dus een verminderde beveiliging. Daarentegen wordt het gebruik van sterke, unieke wachtwoorden en tweefactorauthenticatie benadrukt als effectievere maatregelen.

Deze voorbeelden tonen de complexiteit van de huidige cyberdreigingslandschap en het cruciale belang van een geïnformeerde, proactieve aanpak in cybersecurity. Door aandacht te besteden aan zowel preventieve als reactieve beveiligingsstrategieën kunnen organisaties en individuen hun weerbaarheid tegen cyberaanvallen aanzienlijk verbeteren. Dit derde deel van het artikel biedt een dieper inzicht in de specifieke uitdagingen en noodzakelijke acties die nodig zijn om cyberveiligheid te waarborgen.

Voortdurende waakzaamheid en proactieve verdediging

Als afsluiting zien we hoe cybercriminaliteit zich niet alleen uitstrekt tot de corporate sector, maar ook significante invloed heeft op de publieke veiligheid en het dagelijks leven van individuen. Een recent voorbeeld is de ontdekking van een kritiek lek in de Forminator plugin voor WordPress, wat de urgentie van software-updates onderstreept. Dit incident, samen met de aanval op de MITRE Corporation en het VN-agentschap, toont aan dat geen enkele sector immuun is voor cyberaanvallen en dat de impact verstrekkend kan zijn.

Daarnaast illustreert de ransomware-aanval op UnitedHealth Group en de datalekken bij grote bedrijven zoals Cisco en CD Projekt de potentieel verwoestende financiële en reputatieschade die dergelijke incidenten kunnen veroorzaken. Het benadrukt het belang van een robuuste cyberverdediging en het regelmatig testen van beveiligingssystemen tegen bekende en nieuwe dreigingen.

Het is duidelijk dat cybersecurity een voortdurende inspanning vereist en geen eenmalige oplossing biedt. Organisaties moeten alert blijven, hun beveiligingspraktijken regelmatig herzien en snel reageren op nieuwe dreigingen. Dit vereist een gecombineerde aanpak van technologie, bewustzijnstraining en beleidsvorming die samenwerkt om de digitale omgeving veilig te houden. Met de voortdurende evolutie van cyberdreigingen is het essentieel om voorbereid en proactief te zijn in de bescherming tegen en reactie op cyberincidenten.

Door ons bewust te zijn van de nieuwste bedreigingen en door te leren van elk beveiligingsincident, kunnen we beter voorbereid zijn op de uitdagingen die de toekomst ons zal brengen in de wereld van cyberveiligheid. Het aanhoudende werk van cybersecurityprofessionals en het voortdurende onderzoek naar verbeterde verdedigingstechnieken zullen cruciaal zijn in de strijd tegen cybercriminaliteit.

Hieronder vind je een compleet dag-tot-dag overzicht.

Cybercrimeinfo update: Tot en met 31 maart 2024 publiceren we dagelijks realtime overzichten van slachtoffers van cybercriminaliteit wiens gegevens zijn gelekt op het darkweb. Na deze datum schakelen we over naar een wekelijkse update. Vanaf dan bieden we elke maandag een totaaloverzicht van de gebeurtenissen van de afgelopen week. Lees verder

Cyberaanvallen, datalekken, trends en dreigingen nieuws

Malware-ontwikkelaar Zet Honeypot In Tegen Kindermisbruikers

Een malware-ontwikkelaar heeft een unieke methode toegepast om kindermisbruikers aan te pakken door hen te lokken naar een honeypot. Deze speciaal ontworpen malware richt zich op individuen die online zoeken naar illegaal materiaal gerelateerd aan kindermisbruik. Zodra deze personen verleid worden om het lokbestand te downloaden, installeert de malware zich op hun systeem. Het programma is niet alleen ontworpen om de computers van de daders te infecteren, maar stelt de ontwikkelaar ook in staat om hen te chanteren. De malware heeft functionaliteiten om persoonlijke informatie te onderscheppen en te sturen naar de ontwikkelaar, die vervolgens dreigt deze informatie openbaar te maken als er niet betaald wordt. Dit zet de betrokkenen onder druk om losgeld te betalen om hun activiteiten verborgen te houden.Dit initiatief opent een nieuwe discussie over de ethiek en legaliteit van dergelijke methoden in de strijd tegen cybercriminaliteit en kindermisbruik op het internet. Hoewel het een potentieel krachtig middel is om daders af te schrikken, roept het ook vragen op over privacy en de grenzen van zelfjustitie in het digitale tijdperk. [virustotal, ojp]

Daling in Ransomware Betalingen naar Recordlaagte in Eerste Kwart 2024

In het eerste kwartaal van 2024 is het percentage bedrijven dat losgeld betaalt aan ransomware-aanvallers gedaald tot een recordlaagte van 28%. Deze daling is voornamelijk te danken aan de verbeterde beveiligingsmaatregelen van organisaties, toenemende juridische druk om niet aan financiële eisen van criminelen te voldoen, en het herhaaldelijk niet nakomen van beloftes door cybercriminelen om gestolen gegevens niet te publiceren of door te verkopen na ontvangst van losgeld. Hoewel het aantal betalingen afneemt, is het bedrag dat aan ransomware-acteurs wordt betaald hoger dan ooit, waarbij in het voorgaande jaar $1,1 miljard is uitgekeerd. Coveware meldt dat er een significante impact is van wetshandhavingsacties tegen prominente ransomware-groepen, wat leidt tot verstoringen en afname van vertrouwen binnen deze criminele netwerken. [coveware]

🇳🇱 Cyberaanval treft SIS Automatisering

Op 19 april 2024 werd SIS Automatisering, een Nederlandse IT-dienstverlener, het slachtoffer van een cyberaanval uitgevoerd door de groep genaamd PLAY. Het incident werd kort daarna bekendgemaakt op het darkweb. Deze aanval benadrukt de voortdurende dreiging van cybercriminaliteit binnen de IT-sector. Bedrijven worden aangemoedigd om hun beveiligingsmaatregelen te versterken om dergelijke aanvallen te voorkomen.

🇧🇪 Cyberaanval Gericht op Belgische Accountancy

Op 18 april 2024 maakten cybercriminelen, bekend als Qilin, bekend dat zij een succesvolle aanval hebben uitgevoerd op etateam.be, een Belgische aanbieder van accountancydiensten. Het incident benadrukt de noodzaak voor bedrijven in de financiële sector om hun cyberbeveiligingsmaatregelen te versterken om gevoelige gegevens te beschermen.

🇳🇱 Nederlands Bedrijf Xdconnects Getroffen door Cyberaanval

Op 18 april 2024 werd xdconnects.com, een Nederlands groothandelsbedrijf in niet-duurzame goederen, het slachtoffer van een cyberaanval uitgevoerd door de hackersgroep 'Cactus'. Deze aankondiging werd onlangs op het darkweb gepubliceerd, waardoor de bedrijfsveiligheid ernstig in gevaar is gebracht. Het incident benadrukt het belang van robuuste cyberbeveiligingsmaatregelen voor bedrijven in alle sectoren.

❗️Als je WordPress en de Forminator plugin gebruikt, moet je nu updaten!

Vanochtend (zondag 21-april) hebben zich al drie slachtoffers gemeld bij Cybercrimeinfo die door een hack op hun website getroffen zijn. Dit is te wijten aan een ernstig beveiligingslek dat ontdekt is in de Forminator-plugin op hun WordPress-sites. Heb je een WordPress-site en gebruik je de Forminator-plugin voor formulieren? Dan is het cruciaal om deze nu te updaten. We vermoeden dat de aanvallen geautomatiseerd zijn, wat betekent dat het gevaar nog niet geweken is. Meer info via onderstaande link.

https://www.ccinfo.nl/kwetsbaarheden-cve-s#Forminator

Hackersgroep Publiceert Gestolen Data van Belgische Brouwerij Duvel Moortgat

Hackers hebben gevoelige data van de Belgische bierbrouwerij Duvel Moortgat online geplaatst na een cyberaanval. De aanval werd uitgevoerd door een bekende hackersgroep Stormous die claimt toegang te hebben gekregen tot interne documenten, financiële gegevens, en persoonlijke informatie van medewerkers. Dit incident kwam aan het licht toen de brouwerij ontdekte dat hun systemen waren gecompromitteerd en direct actie ondernam om de schade te beperken. Ondanks pogingen om het lekken van data te voorkomen, slaagde de groep erin de gestolen informatie op een populair hackersforum te plaatsen. Dit heeft tot grote bezorgdheid geleid over de privacy van de betrokkenen en de veiligheid van bedrijfsinformatie. De brouwerij werkt nauw samen met cybersecurity experts en lokale autoriteiten om de omvang van de inbreuk te beoordelen en toekomstige dreigingen te voorkomen. Er zijn ook stappen ondernomen om getroffen medewerkers en klanten te informeren en te ondersteunen in het beschermen van hun gegevens.

Misbruik van GitHub-opmerkingen om Malware te Verspreiden via Microsoft Repo URL's

Recent onderzoek heeft aangetoond dat cybercriminelen GitHub-opmerkingen misbruiken om malware te verspreiden door middel van vervalste Microsoft repository URL's. Deze aanvalsmethode betrekt het plaatsen van misleidende opmerkingen in populaire projecten, waarbij de opmerkingen links bevatten die lijken te verwijzen naar legitieme Microsoft bronnen. Echter, deze links leiden gebruikers naar kwaadaardige websites die malware bevatten, zoals trojans en spyware. De tactiek maakt gebruik van de vertrouwdheid en betrouwbaarheid van Microsoft's naam om slachtoffers te verleiden tot het klikken op de links. Dit probleem wordt verergerd door het feit dat veel gebruikers GitHub vertrouwen en niet verwachten dat links in opmerkingen gevaarlijk kunnen zijn. Het is belangrijk voor gebruikers om hyperlinks te controleren en te verifiëren voordat zij erop klikken, vooral in openbare en populaire repositories waar de kans op dit soort misbruik hoger is. [openanalysis]

HelloKitty Ransomware Ondergaat Naamsverandering en Leidt Tot Datalekken bij CD Projekt en Cisco

Het HelloKitty-ransomwarenetwerk, dat bekend staat om zijn cyberaanvallen op grote bedrijven, heeft onlangs een naamsverandering ondergaan en opereert nu onder de naam 'FiveHands'. Deze wijziging komt tegelijk met de recente incidenten waarbij gevoelige gegevens van prominente bedrijven zoals CD Projekt en Cisco openbaar zijn gemaakt. De aanvallers hebben verschillende methoden gebruikt, waaronder het infiltreren van netwerken via kwetsbaarheden in onbeveiligde systemen, waardoor ze toegang kregen tot bedrijfskritieke informatie. Vervolgens hebben ze losgeld geëist in ruil voor het niet publiceren van de gestolen data. Dit incident benadrukt de voortdurende dreiging van ransomware-aanvallen en het belang van cybersecurity binnen bedrijven. Het is cruciaal voor organisaties om hun netwerkbeveiliging te versterken door regelmatig updates uit te voeren, regelmatige beveiligingsaudits te houden en personeel te trainen in cybersecuritybewustzijn. Deze stappen kunnen helpen voorkomen dat aanvallers toegang krijgen tot gevoelige bedrijfsinformatie en kunnen de impact van een cyberaanval minimaliseren.

Actief Aangevallen Zerodaylek in CrushFTP Software

CrushFTP, een bekende ftp-softwareleverancier, heeft recent gewaarschuwd voor een zerodaylek dat actief wordt uitgebuit door cybercriminelen. Dit beveiligingslek maakt het mogelijk voor aanvallers om ongeautoriseerde toegang te verkrijgen tot de ftp-servers die draaien op CrushFTP. Het bedrijf heeft nog geen patch uitgebracht om dit lek te dichten, waardoor vele gebruikers mogelijk risico lopen op datadiefstal of andere vormen van cyberaanvallen. CrushFTP heeft gebruikers aangeraden om enkele voorzorgsmaatregelen te treffen tot er een update beschikbaar is. Zo wordt aangeraden om de toegang tot de server te beperken door het gebruik van firewalls en om netwerkmonitoring te intensiveren om verdachte activiteiten snel te kunnen detecteren. Ook is het raadzaam om regelmatig back-ups te maken om gegevensverlies te voorkomen. De exacte technische details van het lek en de methode van exploitatie zijn nog niet vrijgegeven, mogelijk om te voorkomen dat meer cybercriminelen het lek gaan uitbuiten. Dit incident benadrukt de noodzaak voor bedrijven om hun netwerkbeveiliging voortdurend te evalueren en te verbeteren. [crushftp]

Zerodaylekken in Ivanti VPN leiden tot netwerkinbraak bij MITRE

De MITRE Corporation meldt een inbraak op hun netwerk, veroorzaakt door zerodaylekken in Ivanti VPN-servers. Deze kwetsbaarheden, bekend als Ivanti Connect Secure en Ivanti Policy Secure Gateways, stelden ongeauthenticeerde aanvallers in staat commando's uit te voeren op de VPN-systemen. MITRE werd aangevallen via deze zerodays, waarbij de aanvaller multifactorauthenticatie omzeilde en lateraal toegang kreeg tot de VMware-infrastructuur. De aanvallers installeerden backdoors en webshells om inloggegevens te stelen en toegang te behouden. Ondanks het volgen van instructies van Ivanti en adviezen van de Amerikaanse overheid, kon MITRE de aanval niet tijdig detecteren. Het getroffen netwerk, gebruikt voor onderzoek en ontwikkeling, werd geïsoleerd na ontdekking van de inbraak. MITRE werkt aan herstel en analyse van de aanval. [mitre]

Onderzoek naar Ransomware-aanval op VN-Agentschap door 8Base Gang

Een agentschap van de Verenigde Naties is het doelwit geworden van een ransomware-aanval, waarvoor de cybercriminele groep 8Base verantwoordelijkheid heeft geclaimd. Deze aanval is onderzocht omdat het potentieel gevoelige gegevens van internationale operaties kon blootstellen. Het incident kwam aan het licht toen 8Base op hun lekwebsite beweerde bestanden van het agentschap in handen te hebben en dreigde deze openbaar te maken als er geen losgeld werd betaald. Het VN-agentschap heeft bevestigd dat het getroffen is door een cyberaanval en heeft direct maatregelen genomen om de schade te beperken. Experts op het gebied van cybersecurity zijn ingeschakeld om de oorzaak en de omvang van de inbreuk te analyseren. Bovendien is de autoriteit bezig met het herstellen van de getroffen systemen en het versterken van hun beveiligingsmaatregelen om toekomstige aanvallen te voorkomen. De aanval onderstreept het voortdurende risico van ransomware voor wereldwijde organisaties, met name voor instellingen die cruciale informatie beheren. Het incident dient als een wake-up call voor andere organisaties om hun cybersecurity-praktijken te herzien en te versterken. [undp]

⚠️ Actief Misbruik van Kritiek Palo Alto Firewall-lek in Nederland

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt voor actief misbruik van een kritieke kwetsbaarheid in Palo Alto Networks firewalls, specifiek in Nederland. Dit lek, geïdentificeerd als CVE-2023-0018, stelt aanvallers in staat om systemen over te nemen en is bijzonder risicovol voor organisaties die de getroffen producten gebruiken. Palo Alto Networks heeft reeds een beveiligingsupdate uitgebracht om het probleem te verhelpen. Volgens het NCSC gebruiken cybercriminelen deze kwetsbaarheid al om Nederlandse netwerken binnen te dringen. Zij adviseren bedrijven met klem om de beschikbare patches onmiddellijk toe te passen om zo verdere schade te voorkomen. Daarnaast benadrukt het NCSC het belang van regelmatig updaten en het monitoren van netwerkactiviteiten om verdachte activiteiten snel te kunnen identificeren en aanpakken. Het tijdig adresseren van dergelijke kwetsbaarheden is cruciaal om de veiligheid van digitale infrastructuren te waarborgen. [ncsc]

FBI en NCSC adviseren: Wijzig wachtwoorden alleen bij veiligheidsincidenten

Het Nationaal Cyber Security Centrum (NCSC) heeft in samenwerking met de Amerikaanse Federal Bureau of Investigation (FBI) nieuwe richtlijnen gepubliceerd betreffende het periodiek wijzigen van wachtwoorden. Uit recent onderzoek blijkt dat het vaak veranderen van wachtwoorden niet noodzakelijkerwijs bijdraagt aan een betere online beveiliging. Deze praktijk kan zelfs contraproductief zijn omdat gebruikers geneigd zijn minder complexe wachtwoorden te kiezen of slechts minimale aanpassingen te maken aan hun bestaande wachtwoorden. De nieuwe aanbeveling is om wachtwoorden alleen te wijzigen bij vermoedens van een datalek of andere compromitterende situaties. Verder wordt het gebruik van sterke, unieke wachtwoorden voor verschillende accounts benadrukt. Het advies omvat ook het belang van aanvullende beveiligingsmaatregelen zoals tweefactorauthenticatie, die een extra laag van bescherming biedt. Door deze aanpak kunnen gebruikers hun energie richten op het creëren van sterkere en unieke wachtwoorden en het verhogen van hun algehele cyberveiligheid, in plaats van zich bezig te houden met de frequentie van wachtwoordwijzigingen.

Valse game cheats verspreiden informatie stelende malware

Cybercriminelen lokken gamers met de belofte van cheats voor populaire games om krachtige malware te verspreiden. Deze valse cheats, die worden aangeboden via online forums en download sites, bevatten verborgen payloads van informatie stelende software. Zodra een nietsvermoedende gamer het bedrieglijke bestand downloadt en opent, wordt de malware geactiveerd die vervolgens persoonlijke gegevens en inloggegevens steelt. De malware werkt door de gegevens te extraheren uit browsers, e-mailclients en andere bronnen die gevoelige informatie bevatten. Slachtoffers kunnen hierdoor te maken krijgen met identiteitsdiefstal, financieel verlies, en andere privacyrisico’s. Cyberveiligheidsexperts waarschuwen voor de gevaren van het downloaden van niet-geverifieerde software en adviseren gamers om alleen cheats of mods van betrouwbare bronnen te gebruiken. Het is belangrijk dat gebruikers waakzaam blijven en investeren in goede antivirussoftware om zich tegen dergelijke aanvallen te beschermen. Ook is het raadzaam om regelmatig wachtwoorden te wijzigen en tweefactorauthenticatie waar mogelijk toe te passen. [mcafee]

Grootschalige Cyberdiefstal bij Volkswagen door Chinese Hackers

Tussen 2010 en 2015 heeft autobouwer Volkswagen te maken gehad met ernstige cyberaanvallen, vermoedelijk uitgevoerd door de Chinese militaire inlichtingendienst. In deze periode zijn ongeveer 19.000 documenten gestolen, die voornamelijk informatie bevatten over de ontwikkeling van elektrische auto's, benzinemotoren, en versnellingsbakken. Dit incident werd onthuld door Duitse media Der Spiegel en ZDF, die toegang hadden tot veertig interne documenten van Volkswagen. De aanvallen begonnen in 2010 met een inspectie van Volkswagen's IT-structuur door Chinese specialisten, die vermoedelijk de veiligheidssystemen hebben onderzocht om zwakheden te identificeren. Volkswagen reageerde in 2015 met een tegenaanval, strategisch gepland op een moment dat het in China weekend was, om zo toegang te krijgen tot documenten op Chinese servers. Deze onthulling hielp hen inzicht tekrijgen in de doelstellingen van de hackers, waaronder specifieke interesse in de ontwikkeling van nieuwe auto technologieën zoals elektrische en waterstofauto’s. Ondanks dat de hacks al enkele jaren geleden plaatsvonden, kunnen de gevolgen nog steeds invloed hebben op de internationale concurrentiepositie van Volkswagen, volgens experts zoals Helena Wisbert van Hogeschool Ostfalia. De Chinese ambassade in Berlijn heeft elke vorm van cyberspionage veroordeeld en beschuldigingen van overheidsbetrokkenheid bij de hacks als "schandalig" bestempeld. [standaard]

Cyberaanval op Frontier Communications leidt tot systeemstillegging

Frontier Communications, een belangrijke Amerikaanse communicatieleverancier, heeft na een cyberaanval door een criminele groep enkele van hun IT-systemen moeten stilleggen. Deze actie was noodzakelijk om te voorkomen dat de aanvallers zich verder door het netwerk konden verplaatsen. De aanval vond plaats op 14 april 2024 en heeft geleid tot operationele verstoringen, hoewel Frontier beweert dat hun residentiële en zakelijke netwerken onaangetast zijn gebleven. Het bedrijf heeft bevestigd dat er toegang is verkregen tot persoonlijk identificeerbare informatie, al is niet gespecificeerd of deze van klanten of medewerkers was. Frontier werkt aan het herstellen van de getroffen systemen en heeft de autoriteiten en cybersecurity experts ingeschakeld om de situatie te onderzoeken. [sec]

Frans ziekenhuis stelt behandelingen uit na cyberaanval

Het Centre Hospitalier de Castres-Mazamet, een ziekenhuis in Frankrijk, heeft recentelijk meerdere medische procedures moeten uitstellen als gevolg van een ernstige cyberaanval. De aanval, die plaatsvond in de vroege uren van een dinsdag, leidde tot aanzienlijke verstoringen in hun IT-systemen. Als directe maatregel isoleerde het ziekenhuis zijn netwerken om verdere verspreiding van de malware te voorkomen.bHoewel kritieke diensten zoals de spoedeisende hulp operationeel bleven, werden sommige minder urgente medische ingrepen uitgesteld. Het ziekenhuispersoneel moest terugvallen op papieren systemen om patiëntenzorg te blijven leveren. Ondertussen werken IT-specialisten en externe experts intensief samen om de systemen te herstellen en de beveiliging te versterken. De impact van de cyberaanval benadrukt de toenemende kwetsbaarheid van gezondheidszorginstellingen voor cybercriminaliteit en het belang van adequate cybersecurity-maatregelen om dergelijke incidenten in de toekomst te voorkomen. Dit incident is onderdeel van een groeiende trend waarbij ziekenhuizen wereldwijd doelwit zijn van cyberaanvallen. [cannes]

Impact en Verspreiding van Akira Ransomware

Volgens een gezamenlijk advies van de FBI, CISA, Europol's European Cybercrime Centre en het Nederlandse Nationaal Cyber Security Centrum, heeft de Akira ransomware-netwerkoperatie meer dan 250 organisaties getroffen en ongeveer 42 miljoen dollar aan losgelden verzameld. Akira, die in maart 2023 opdook, heeft zich snel verspreid en is met name gericht op VMware ESXi virtuele machines die veel gebruikt worden in bedrijfsomgevingen. De ransomwaregroep eist losgeld dat varieert van 200.000 dollar tot miljoenen dollars, afhankelijk van de grootte van de getroffen organisatie. Recentelijk heeft Akira aanvallen geclaimd op organisaties als Nissan Oceania en Stanford University, met aanzienlijke datalekken tot gevolg. Om de impact en risico's van deze ransomware-aanvallen te verminderen, benadrukken de instanties het belang van het patchen van kwetsbaarheden, het implementeren van multifactorauthenticatie en regelmatige software-updates. [cisa]

Waakzaamheid Geboden bij Misleidende Google Ads

Een recent voorbeeld van een frauduleuze Google advertentie die de Whales Market, een cryptohandelsplatform, nabootst, heeft aangetoond hoe cybercriminelen advertentienetwerken gebruiken om gebruikers naar phishing-sites te leiden. Deze specifieke advertentie leek legitiem en vermeldde zelfs een correct ogende URL, maar leidde nietsvermoedende gebruikers naar een vervalste website waar kwaadaardige scripts cryptovaluta uit hun wallets stalen. Dit benadrukt het belang van het zorgvuldig controleren van URL's voordat interactie met digitale assets plaatsvindt, vooral in de Web3-omgeving. Ondanks pogingen om dergelijke praktijken tegen te gaan, blijven kwaadwillende advertenties een hardnekkig probleem op platforms zoals Google Ads. [bleepingcomputer]

❗️ Waarschuwing voor Telefonische Phishingaanvallen Gericht op LastPass Gebruikers in Nederland en België

LastPass, een populaire wachtwoordbeheerder, heeft zijn gebruikers gewaarschuwd voor een nieuwe vorm van phishingaanvallen via de telefoon. Deze aanvallen richten zich specifiek op gebruikers door zich voor te doen als LastPass-medewerkers. De aanvallers proberen gebruikers te overtuigen om vertrouwelijke informatie vrij te geven, zoals hun master wachtwoord of beveiligingsgegevens, wat normaal nooit door echte medewerkers wordt gevraagd. De aanval begint vaak met een valse e-mail die een dringende kwestie meldt die telefonisch moet worden opgelost, waarna de gebruiker een telefoonnummer krijgt aangeboden om te bellen. Wanneer de gebruiker dit nummer belt, doen de oplichters zich voor als helpdeskmedewerkers en proberen ze gevoelige informatie te ontfutselen. LastPass benadrukt dat zij nooit om master wachtwoorden of andere cruciale beveiligingsinformatie zullen vragen via de telefoon. Ze adviseren gebruikers om alert te zijn op verdachte e-mails en telefoontjes en direct contact op te nemen met LastPass via hun officiële kanalen bij twijfel. Recentelijk zijn er ook meldingen binnengekomen bij Cybercrimeinfo, wat aangeeft dat de criminelen actief zijn op de Nederlandse en Belgische markt. Dit voorval benadrukt het belang van waakzaamheid en het verifiëren van de identiteit van bellers die om gevoelige informatie vragen. [lastpass]

Cyberaanval op Ready Or Not-ontwikkelaar Void Interactive

In maart werd de gameontwikkelaar Void Interactive het slachtoffer van een cyberaanval, waarbij de broncode van de shooter 'Ready Or Not' werd buitgemaakt. Het Ierse bedrijf heeft bevestigd dat tijdens deze aanval geen persoonsgegevens van werknemers of klanten zijn gelekt. De aanval werd uitgevoerd op cloudserviceprovider TeamCity, waardoor de hackers toegang kregen tot 4TB aan data, inclusief een deel van de broncode van de game. Ondanks de omvang van de inbraak benadrukt Void Interactive dat de buitgemaakte gegevens niet als gevoelig worden beschouwd. Dit incident onderstreept nogmaals de noodzaak voor bedrijven om hun cybersecurity voortdurend te evalueren en te verbeteren om zich tegen dergelijke aanvallen te beschermen. [kotaku]

Cyberaanval treft wetgevingsbureau van de staat New York

Het wetgevingsbureau van de staat New York, verantwoordelijk voor het opstellen van wetsvoorstellen, is getroffen door een cyberaanval. De aanval werd vroeg in de ochtend ontdekt, en sindsdien is het systeem voor het opstellen van wetgeving buiten werking. Dit incident komt op een moment dat de wetgevende macht bezig is met het afronden van de staatsbegroting, hoewel gouverneur Kathy Hochul aangeeft dat dit de procedure niet significant zal vertragen. Gouverneur Hochul meldde in een interview met WNYC radio dat er tijdelijk teruggevallen moet worden op een verouderd systeem uit 1994, wat het proces enigszins zal verlengen. Het is nog onduidelijk of de aanval politiek gemotiveerd was. Mike Murphy, een woordvoerder van de Senaat, verzekerde dat het werk van het bureau doorgang kan vinden en dat het de algemene processen niet zal hinderen. De exacte omvangvan de cyberaanval is momenteel nog niet duidelijk. [abcnews]

Cyberaanval op Atlantische Visserijcommissie door 8Base Ransomware Groep

De Atlantic States Marine Fisheries Commission (ASMFC), een 80 jaar oude organisatie opgericht door het Amerikaanse Congres en bestaande uit functionarissen van de Atlantische kuststaten, is het doelwit geworden van een cyberincident. Dit werd onthuld nadat de ransomwaregroep 8Base beweerde data te hebben gestolen van de commissie. Als gevolg van de aanval is het e-mailsysteem van de organisatie uitgeschakeld en is een tijdelijk e-mailadres ingesteld voor dringende communicatie. De ASMFC speelt een cruciale rol in het beheer en de conservatie van kustvissen en hun habitats, en zet zich ook in voor wetshandhavingsinitiatieven binnen deze sector. De groep 8Base, die zich recentelijk heeft ontpopt als een actieve cyberdreiging, heeft de commissie een ultimatum gesteld voor het betalen van een niet bekendgemaakte som losgeld, met de dreiging dat gestolen gegevens zoals facturen, persoonlijke informatie en contracten openbaar gemaakt zouden worden.

Onderzoekers linken 8Base aan RansomHouse, een platform gebruikt door cybercriminelen voor het verkopen van gestolen data en het afpersen van slachtoffers. De precieze connectie tussen 8Base en andere ransomwarevarianten blijft onderwerp van speculatie, maar de efficiëntie en snelheid van de groep wijzen op een gevestigde, mature organisatie. [therecord]

Cyberaanval treft Centre hospitalier Simone Veil in Cannes

Sinds dinsdagochtend 16 april wordt het Centre hospitalier Simone Veil in Cannes getroffen door een cyberaanval. Dit markeert de eerste dergelijke aanval op het ziekenhuis. De directie heeft snel een crisisunit geactiveerd en een algemeen cyberconfinement ingevoerd. Hierdoor zijn alle computer- en internettoegangen afgesloten, terwijl de telefoonlijnen operationeel blijven. Belangrijk is dat er geen losgeld is geëist en er tot nu toe geen datadiefstal is vastgesteld.

De aanval heeft aanzienlijke verstoringen veroorzaakt: een derde van de geplande operaties is uitgesteld en de meeste chronische patiënten zijn nog steeds opgevangen, hoewel teruggekeerd naar papieren procedures, wat de verwerkingstijd van tests heeft verlengd. De urgente zorg gaat door, met medische en paramedische teams die sterk gemobiliseerd blijven om de meest kritieke gevallen te behandelen. De respons van het ziekenhuis omvat samenwerking met regionale gezondheidsagentschappen en andere lokale ziekenhuizen om de patiëntenzorg te coördineren, terwijl de normale dienstverlening geleidelijk wordt hervat. Er zijn ook preventieve maatregelen gemeld aan de nationale gegevensbeschermingsautoriteit. Het volledige herstel van de diensten zal afhangen van de voortgang van de technische onderzoeken. [france3]

Datalek bij Franse Ondergoedproducent Treft 1,5 Miljoen Klanten

Franse ondergoedproducent Le Slip Français heeft te maken gekregen met een omvangrijk datalek, waarbij persoonlijke gegevens van 1,5 miljoen klanten zijn uitgelekt. Het lek ontstond door een configuratiefout in een database die op 1 oktober werd ontdekt. Belangrijke klantgegevens zoals namen, adressen, e-mailadressen en gedeeltelijk versleutelde wachtwoorden kwamen hierdoor op straat te liggen. Volgens de eerste analyses zijn de wachtwoorden sterk versleuteld en zou het risico op ongeautoriseerde toegang tot accounts beperkt zijn. Le Slip Français heeft direct na ontdekking van het lek technische maatregelen getroffen om verdere schade te voorkomen en de Franse privacytoezichthouder CNIL geïnformeerd, zoals vereist door de GDPR-regelgeving. Het bedrijf heeft klanten geadviseerd hun wachtwoorden te wijzigen en alert te zijn op mogelijke phishingpogingen. Dit incident benadrukt het belang van strenge beveiligingsmaatregelen en regelmatige controle van systemen om dergelijke lekken te voorkomen. [leslipfrancais, haveibeenpwned]

Omvangrijk Datalek bij Blooms Today: 15 Miljoen Gegevens Te Koop

Een recent onthuld datalek bij Blooms Today, een prominente online bloemist, heeft geleid tot een ernstige beveiligingsbreuk waarbij 15 miljoen klantengegevens op de zwarte markt te koop zijn aangeboden. De gegevens, die voor 5.000 dollar te koop staan, omvatten gevoelige informatie zoals namen, adressen, telefoonnummers en gedeeltelijke creditcardgegevens. Dit incident kwam aan het licht nadat een bekende cybercrimineel, actief op donkere webmarkten, de gegevens te koop aanbood en beweerde dat ze afkomstig waren van een recente hack op het bedrijf. Blooms Today heeft nog niet officieel gereageerd op deze beweringen, maar de ernst en omvang van de gelekte informatie wijzen op een aanzienlijke inbreuk op de privacy van de klanten. Het incident benadrukt de noodzaak voor bedrijven om hun cyberbeveiligingspraktijken voortdurend te evalueren en te verbeteren om dergelijke inbreuken in de toekomst te voorkomen. Dit geval dient als een herinnering aan de voortdurende dreigingen in de digitale wereld en de verantwoordelijkheid van bedrijven om klantgegevens te beschermen. [darkweb]

Luchtvaartmaatschappij Efrat Airlines Gehackt door R00tk1t Groep

De R00tk1t-groep wordt ervan verdacht een cyberaanval te hebben uitgevoerd op Efrat Airlines, waarbij ze toegang hebben verkregen tot gevoelige financiële informatie. Deze hack heeft geleid tot een lek van bankgegevens en creditcardinformatie van talrijke klanten. De aanvallers maakten gebruik van geavanceerde technieken om de beveiligingssystemen van de luchtvaartmaatschappij te omzeilen, wat wijst op hun hoge mate van technische bekwaamheid en planning. Na de ontdekking van de inbreuk, heeft Efrat Airlines direct actie ondernomen om hun klanten te informeren en te adviseren over hoe zij hun financiële gegevens kunnen beschermen. De luchtvaartmaatschappij werkt nauw samen met cybersecurity experts om het lek te dichten en toekomstige aanvallen te voorkomen. Deze situatie onderstreept het belang van robuuste cyberbeveiligingsmaatregelen voor bedrijven in alle sectoren, vooral in industrieën waarbij klantgegevens regelmatig worden verwerkt. [darkweb]

Cactus Ransomware Treft DRM, Arby's Datalek Legt Gevoelige Informatie Bloot

Onlangs is een nieuw type ransomware, genaamd Cactus, opgedoken dat specifiek Digital Rights Management (DRM) systemen heeft getroffen. Deze aanval heeft geleid tot aanzienlijke verstoringen bij verschillende bedrijven die afhankelijk zijn van DRM-beveiliging voor hun digitale content. Naast de ransomware-aanval is fastfoodketen Arby's ook slachtoffer geworden van een groot datalek, waarbij gevoelige informatie van klanten is blootgesteld. Dit datalek heeft gegevens zoals creditcardnummers en persoonlijke identificatiegegevens van klanten op straat gelegd, waardoor de privacy en financiële veiligheid van vele betrokkenen in gevaar is gekomen. Deze incidenten benadrukken de aanhoudende bedreigingen in de cyberveiligheidswereld en de noodzaak voor bedrijven om hun beveiligingsprotocollen voortdurend te evalueren en te verbeteren. [darkweb]

Cybercriminelen Bieden Microsoft Office Exploit Te Koop Aan voor $100.000

Een recent ontdekt beveiligingslek in Microsoft Office zou cybercriminelen in staat kunnen stellen om kwaadaardige code op afstand uit te voeren. De kwetsbaarheid, die nog niet is opgelost, is op de zwarte markt aangeboden voor een bedrag van $100,000. Volgens de verkoper van deze 'zero-day' exploit, die nog geen officiële patch van Microsoft heeft ontvangen, kan het beveiligingslek worden misbruikt zonder dat gebruikers interactie nodig hebben, zoals het klikken op een link of het openen van een bestand. De exploit betreft voornamelijk versies van Microsoft Office die nog veel gebruikt worden in zakelijke omgevingen, waardoor talrijke organisaties potentieel risico lopen. Experts waarschuwen dat de impact van een aanval groot kan zijn, gezien de mogelijkheid voor cybercriminelen om toegang te krijgen tot bedrijfsnetwerken en gevoelige gegevens. Het is aanbevolen dat bedrijven waakzaam blijven en de nodige voorzorgsmaatregelen treffen, zoals het regelmatig updaten van hun software en het trainen van medewerkers op het gebied van cyberveiligheid, totdat een officiële patch beschikbaar is. [darkweb]

Cloudflare Weert Miljoenen DDoS-aanvallen in Laatste Kwartaal

In het recente kwartaal heeft Cloudflare succesvol meer dan 4,5 miljoen Distributed Denial of Service (DDoS) aanvallen afgeweerd. Deze aanvallen, die bedoeld zijn om websites en online diensten onbereikbaar te maken door hen te overladen met verkeer, zijn een voortdurende bedreiging voor de online veiligheid en bedrijfscontinuïteit. Volgens het rapport van Cloudflare ziet men een opmerkelijke stijging in het aantal en de intensiteit van deze aanvallen vergeleken met voorgaande periodes. Deze toename wordt toegeschreven aan de steeds makkelijker verkrijgbare DDoS-hulpmiddelen en het groeiende aantal kwetsbare apparaten die aangesloten zijn op het internet. Bovendien vermeldt het rapport dat een groot deel van de aanvallen klein van schaal is, maar kort en hevig, wat wijst op een tactiek waarbij aanvallers snel toeslaan en zich weer terugtrekken. Cloudflare’s succes in het afweren van deze aanvallen benadrukt het belang van geavanceerde beschermingstechnologieën en de noodzaak voor bedrijven om hun cybersecurity infrastructuur voortdurend te evalueren en te verbeteren om zo potentiële bedreigingen voor te blijven. [cloudflare]
Cybercrimeinfo zal hier deze week een uitgebreid artikel over schrijven

SoumniBot: Nieuwe Malware Ontwijkt Detectie via Android Bugs

In recent onderzoek is gebleken dat een nieuwe vorm van malware, genaamd SoumniBot, Android-apparaten bedreigt door gebruik te maken van kwetsbaarheden in het besturingssysteem om detectie te ontwijken. Deze malware verspreidt zich via frauduleuze apps die buiten de officiële Google Play Store worden aangeboden. Eenmaal geïnstalleerd, maakt SoumniBot gebruik van bugs in Android om zich diep in het systeem te nestelen, waardoor het moeilijk te verwijderen is zonder grondige technische kennis. De malware heeft als doel om gevoelige informatie te stelen, waaronder inloggegevens en financiële data. Dit gebeurt door het opnemen van toetsaanslagen, het tracken van locaties en het onderscheppen van communicatie. Beveiligingsexperts adviseren Android-gebruikers om uiterst voorzichtig te zijn bij het downloaden van apps en altijd te kiezen voor applicaties uit de officiële appwinkel. Daarnaast is het updaten van het Android-besturingssysteem essentieel om bescherming tegen dergelijke kwetsbaarheden te bieden. [securelist]

Fin7 richt zich met phishingaanvallen op IT-personeel van Amerikaanse autofabrikanten

Het beruchte cybercriminele groep Fin7 heeft recentelijk gerichte phishingaanvallen uitgevoerd op het IT-personeel van Amerikaanse autofabrikanten. Deze aanvallen zijn specifiek ontworpen om toegang te verkrijgen tot netwerken en gevoelige informatie te stelen. Fin7, bekend om hun financieel gemotiveerde activiteiten, maakt gebruik van geraffineerde phishingtechnieken waarbij legitiem ogende e-mails worden verstuurd die malware bevatten. Eenmaal geactiveerd, kan deze malware wachtwoorden stelen en toegang verschaffen tot beschermde systemen. De aanvallen zijn bijzonder gevaarlijk omdat ze zich richten op medewerkers met toegang tot kritieke systemen. De e-mails lijken afkomstig van betrouwbare bronnen en bevatten vaak links naar schadelijke websites of directe downloads van malware. Het is belangrijk dat bedrijven hun beveiligingsprotocollen aanscherpen en medewerkers trainen om dergelijke aanvallen te herkennen. Het verhogen van het bewustzijn en het implementeren van geavanceerde beveiligingstools zijn cruciale stappen om dergelijke bedreigingen te counteren. [mandiant]

❗️Grootschalige Routerinbraken via TP-Link Beveiligingslek, Ook in België en Nederland

Een jaar na de ontdekking en reparatie van een beveiligingslek in TP-Link Archer AX21 routers blijven cybercriminelen dit kwetsbaarheid misbruiken om routers te hacken. Dit lek, geïdentificeerd als CVE-2023-1389, maakt ongeautoriseerde commando-injecties mogelijk via de webinterface van de router. Ondanks de beschikbaarheid van een firmware-update sinds maart 2023, blijven veel gebruikers met verouderde firmware werken, waardoor hun apparaten doelwitten blijven voor hackers. Minstens zes botnetwerken, waaronder varianten van Mirai en Gafgyt, hebben hierdoor al tienduizenden aanvalspogingen per dag uitgevoerd, inclusief meldingen van slachtoffers uit België en Nederland. Gebruikers worden aangemoedigd om hun firmware te updaten en standaard wachtwoorden te wijzigen om hun routers te beveiligen. [fortinet]

❗️Toename in Misbruik van Zerodaylek in Firewalls

Palo Alto Networks heeft een rapport uitgebracht waarin wordt gewaarschuwd voor een toename in het misbruik van een zerodaylek in hun firewallproducten. Dit lek maakt het mogelijk voor aanvallers om potentieel toegang te verkrijgen tot netwerkdata en systeeminstellingen te manipuleren. Het beveiligingsbedrijf heeft ontdekt dat vooral gerichte aanvallen toeneemt, waarbij aanvallers specifiek zoeken naar kwetsbare systemen binnen bepaalde organisaties of sectoren. In reactie op deze dreiging heeft Palo Alto Networks een beveiligingsupdate uitgebracht die het lek adresseert en extra beveiligingsmaatregelen introduceert om soortgelijke aanvallen in de toekomst te voorkomen. Het bedrijf benadrukt het belang van het snel implementeren van deze updates om de beveiliging van de netwerken te waarborgen. Verder roept Palo Alto Networks organisaties op om regelmatig hun systemen te controleren op tekenen van inbreuk en om hun beveiligingsprotocollen te herzien. Het is essentieel dat beveiligingsteams alert blijven op aanwijzingen van misbruik en adequaat reageren op beveiligingswaarschuwingen en -updates. [attackerkb]

Vertrouwensschade en Gevaar door Datalek bij Europol

In maart kwam aan het licht dat er gevoelige documenten uit een kluis bij het hoofdkantoor van Europol in Den Haag waren verdwenen, wat leidde tot een vertrouwenscrisis binnen de Europese opsporingsdienst. Dit datalek kwam in september aan het licht toen documenten, die persoonlijke informatie van Europol-topfunctionarissen bevatten, publiekelijk werden gevonden. Demissionair minister Yesilgöz van Justitie en Veiligheid benadrukte de ernst van het lek, daar het niet alleen het vertrouwen in Europol schaadt, maar ook de veiligheid van betrokken medewerkers in gevaar brengt. Momenteel wordt er een onderzoek uitgevoerd naar de oorzaak van het lek en de naleving van de toegangsprotocollen. Europol heeft verbetermaatregelen in gang gezet, waaronder het herzien van HR-processen en het management van personeelsdossiers. [politico]

Telecomwerknemers benaderd voor SIM-swap fraude

Recent zijn medewerkers van T-Mobile en Verizon in de VS doelwit geworden van cybercriminelen die hen benaderen via sms. De daders bieden werknemers tot $300 aan om mee te werken aan SIM-swap aanvallen, een vorm van fraude waarbij de telefoonnummer van een slachtoffer wordt overgezet op een andere SIM-kaart die de aanvaller controleert. Dit maakt het mogelijk voor de aanvaller om toegang te krijgen tot persoonlijke accounts en gevoelige informatie van het slachtoffer. De aanval is bijzonder zorgwekkend omdat het impliceert dat zelfs interne medewerkers van grote telecombedrijven het doelwit kunnen zijn van dergelijke frauduleuze praktijken. Bedrijven zoals T-Mobile en Verizon hebben reeds stappen ondernomen om hun personeel te waarschuwen en te instrueren hoe te handelen bij dergelijke pogingen. Ze benadrukken het belang van het melden van verdachte activiteiten en versterken de interne veiligheidsprotocollen om zulke aanvallen te voorkomen. [tmo]

🇳🇱 Nederlandse Tuin- en Dierenwinkelketen Ranzijn Doelwit van Cyberaanval

De bekende Nederlandse keten Ranzijn, gespecialiseerd in tuin- en dierenbenodigdheden, is recentelijk het slachtoffer geworden van een cyberaanval uitgevoerd door de groep RA World. De aanval werd op 18 maart 2024 openbaar gemaakt op het darkweb. Ranzijn is actief bezig met het onderzoeken van het incident en neemt maatregelen om verdere schade te voorkomen.

Aanzienlijke financiële impact door cyberaanval op UnitedHealth Group

UnitedHealth Group heeft een verlies van $872 miljoen gerapporteerd als gevolg van een ransomware-aanval op zijn dochteronderneming Change Healthcare. Deze aanval heeft sinds februari ernstige verstoringen veroorzaakt in de Amerikaanse gezondheidszorg. Ondanks deze financiële tegenslag steeg de omzet van het bedrijf jaar op jaar met bijna $8 miljard naar $99,8 miljard. De directe kosten voor het reageren op de cyberaanval bedroegen $593 miljoen, met additionele verliezen door bedrijfsonderbrekingen van $279 miljoen. Bovendien werkt UnitedHealth nog steeds aan het mitigeren van de gevolgen van de cyberaanval voor consumenten en zorgaanbieders, terwijl het financiële hulp biedt aan getroffen aanbieders. [sec, unitedhealthgroup]

Hacking van belastinggegevens in South Carolina gekoppeld aan Russische cybercriminelen

In 2012 werden belasting- en bankgegevens van 3,6 miljoen mensen in South Carolina gestolen door een hack op het ministerie van Financiën van de staat. Dit incident, een van de grootste datalekken in de VS, werd onlangs gelinkt aan een Russische hackgroep bekend van andere grote diefstallen bij bedrijven zoals Home Depot en Target. De aanval begon toen een IT-contractor op een kwaadaardige link klikte. Opvallend genoeg, voor het lek bekend werd gemaakt, bood een cybercrimineel onder de naam 'Rescator' de gegevens te koop aan op verschillende fora. De staat betaalde $12 miljoen aan Experian voor identiteitsbescherming van de getroffen inwoners. Hoewel de hackers veel gegevens hebben buitgemaakt, blijft de officiële betrokkenheid van de vermoedelijke dader, Mikhail Borisovich Shefel, onbevestigd. [krebsonsecurity]

Toename van Bruteforce-aanvallen op VPN- en SSH-Servers

Volgens Cisco is er een significante toename van bruteforce-aanvallen op VPN- en SSH-servers. Deze aanvallen richten zich op verschillende netwerkoplossingen van merken als Cisco, Checkpoint, Fortinet en SonicWall, alsook op RD Web Services en apparatuur van Mikrotik, Draytek en Ubiquiti. Aanvallers gebruiken generieke en specifieke geldige gebruikersnamen voor bepaalde organisaties. De aanvallen, die afkomstig zijn van diverse proxy-diensten en het Tor-netwerk, zijn niet gericht op een specifieke regio of industrie. Cisco waarschuwt dat succesvolle aanvallen kunnen leiden tot ongeautoriseerde netwerktoegang, account lockouts of denial-of-service situaties. Ze verwachten dat het verkeer van deze aanvallen zal blijven toenemen. [talosintelligence]

SteganoAmor-campagne zet steganografie in voor wereldwijde malware-aanvallen

Een nieuwe wereldwijde cyberaanvalscampagne, genaamd "SteganoAmor", uitgevoerd door de hackinggroep TA558, gebruikt steganografie om kwaadaardige codes te verbergen in afbeeldingen. Deze techniek maakt het mogelijk om data onopgemerkt binnen normaal ogende bestanden te verstoppen, waardoor ze niet worden gedetecteerd door gebruikers en beveiligingsproducten. De groep, actief sinds 2018 en vooral gericht op de gastvrijheids- en toerismesector in Latijns-Amerika, heeft meer dan 320 organisaties aangevallen door middel van malafide e-mails met documenten die een bekende kwetsbaarheid in Microsoft Office misbruiken (CVE-2017-11882). De aanval begint met het openen van een document dat een script downloadt, welke op zijn beurt een afbeelding ophaalt met een verborgen kwaadaardige payload. Deze payload wordt vervolgens uitgevoerd om verschillende soorten malware te installeren, waaronder AgentTesla, FormBook, Remcos, LokiBot, Guloader, Snake Keylogger en XWorm. Deze malware varieert van spyware en keyloggers tot trojans die uitgebreide toegang tot de geïnfecteerde systemen mogelijk maken. De schadelijke bestanden worden vaak gehost op legitieme cloudservices zoals Google Drive, waardoor ze minder snel worden gemarkeerd door antivirusprogramma's. De gestolen gegevens worden vervolgens via gecompromitteerde legitieme FTP-servers verstuurd, waardoor het netwerkverkeer normaal lijkt. Door Microsoft Office te updaten kan men zich tegen dergelijke aanvallen beschermen, gezien de gebruikte kwetsbaarheid al jaren bekend en gepatcht is. [ptsecurity]

Datalek bij Cisco Duo door inbreuk op telecommunicatieleverancier

In april 2024 waarschuwde Cisco Duo, een dienst voor multi-factor authenticatie (MFA) en Single Sign-On, voor een datalek veroorzaakt door een cyberaanval op een van hun telecommunicatieleveranciers. Deze aanval resulteerde in de diefstal van SMS en VoIP logbestanden van MFA-berichten, die betrekking hebben op de periode van 1 tot en met 31 maart 2024. De indringer, die toegang verkreeg via gestolen werknemersgegevens uit een phishingaanval, kon hiermee gevoelige informatie downloaden. Hoewel de inhoud van de berichten zelf niet werd gecompromitteerd, bevatten de logbestanden gegevens zoals telefoonnummers, aanbieders, locatiegegevens, en tijdstippen die kunnen worden gebruikt voor gerichte phishingaanvallen. Na de ontdekking van de inbreuk, trof de leverancier onmiddellijk maatregelen door de gecompromitteerde inloggegevens te deactiveren, activiteitenlogboeken te analyseren en extra beveiligingsmaatregelen te implementeren. Cisco Duo heeft de getroffen klanten gewaarschuwd en geadviseerd waakzaam te zijn voor mogelijke phishing of sociale engineering aanvallen met behulp van de gestolen informatie. [securitymsp, duo, google]

Belangrijke inbreuk op Space-Eyes database legt gevoelige Amerikaanse overheidsdocumenten bloot

In april 2024 heeft een dreigingsactor genaamd IntelBroker vermoedelijk de database van Space-Eyes gehackt. Space-Eyes levert diensten die gerelateerd zijn aan de Synthetic Aperture Radar-satelliet en is voornamelijk gericht op het analyseren van bedreigingen in maritieme gebieden. De gelekte database bevatte uiterst gevoelige documenten die cruciaal zijn voor de nationale veiligheid van de Verenigde Staten. Onder de getroffen klanten bevinden zich grote Amerikaanse overheidsinstanties zoals het Ministerie van Justitie, het Ministerie van Binnenlandse Veiligheid, diverse takken van het Amerikaanse leger, het Defense Science and Technology Agency, de US Space Force en het National Geospatial-Intelligence Agency. Als bewijs van de inbreuk heeft IntelBroker stalen van twee CSV-bestanden gedeeld, met daarin gevoelige gegevens zoals persoonsgegevens van geweigerde personen en gebruikersinformatie zoals ID's, namen, titels, contactgegevens, wachtwoorden en organisatorische affiliaties. [darkweb]

Gevaarlijke Zero-Click RCE Exploit Te Koop Voor Android en iOS Apparaten

Een dreigingsactor beweert een zeer ernstige beveiligingskwetsbaarheid te verkopen die Android- en iOS-apparaten kan aanvallen, wat een ernstige bedreiging vormt voor de privacy en veiligheid van gebruikers. Deze kwetsbaarheid maakt externe code-uitvoering (Remote Code Execution, RCE) mogelijk, waardoor aanvallers volledige controle over de getroffen apparaten kunnen krijgen. De verkoper van de exploit heeft echter geen bewijs of concept geleverd, wat twijfels oproept over de echtheid van het aanbod. De exploit maakt gebruik van zowel zero-click als one-click aanvalsscenario's. In het zero-click scenario kan kwaadaardige code worden uitgevoerd zonder enige interactie van de gebruiker, mogelijk getriggerd door eenvoudige acties zoals het ontvangen van een bericht of het bekijken van een afbeelding. Zelfs wanneer enige interactie van de gebruiker noodzakelijk is in het one-click scenario, blijft de exploit effectief door veelvoorkomende vectoren zoals SMS-berichten of afbeeldingsbestanden te misbruiken. Eenmaal uitgebuit, kunnen aanvallers een reeks kwaadaardige activiteiten uitvoeren, van het exfiltreren van gegevens tot het installeren van extra malware. Bovendien kunnen aanvallers gecompromitteerde apparaten gebruiken om verdere aanvallen te lanceren, wat een aanzienlijk risico vormt voor zowel individuele gebruikers als de bredere netwerkveiligheid. [darkweb]

Ongeautoriseerde Toegang tot Snapchat's OKTA Portal Aangeboden

Een cybercrimineel biedt ongeautoriseerde toegang aan tot de OKTA Portal van Snapchat. Deze portal is essentieel voor medewerkers om verschillende functies van SNAP te beheren, inclusief Spotlight. Volgens berichten heeft de aanvaller volledige toegang verkregen tot het Okta-systeem, de bedrijfsemail en het twee-stapsverificatieproces, dat momenteel gebruik maakt van Duo Mobile zonder een gekoppelde telefoon. Deze toegang zou de aanvaller in staat stellen om gebruikersauthenticatie voor applicaties te beheren en beveiligen, en stelt ontwikkelaars in staat om identiteitscontroles in te bouwen in applicaties, webdiensten en apparaten. Okta Inc., gevestigd in San Francisco, is een Amerikaans bedrijf gespecialiseerd in identiteits- en toegangsbeheer en biedt cloudsoftware die helpt bij het beheren van gebruikersauthenticatie en het beveiligen van toegang tot applicaties. [Darkweb]

🇳🇱 Groot Datalek bij Nexperia: 1TB Gevoelige Informatie Op Darkweb

Op 10 april 2024 onthulden cybercriminelen van Dunghill Leak een massief datalek bij Nexperia, een Nederlandse fabrikant van elektronische componenten. Het lek omvat 1 terabyte aan gevoelige data, waaronder kwaliteitscontrolegegevens, klantendossiers van grote merken zoals SpaceX en Apple, en gedetailleerde projectdata. Ook bevat het industriële productie-instructies en vertrouwelijke informatie over halfgeleidertechnologieën. Persoonlijke gegevens van medewerkers en uiterst geheime ontwerptekeningen van halfgeleiders werden eveneens blootgesteld. Gelukkig hebben nog maar weinig hackers de data ontdekt; toen ik het ontdekte, stond de teller slechts op één. [ccinfo]

Mijn gegevens staan op darkweb, wat nu?

Het is belangrijk om snel en zorgvuldig te handelen als je persoonlijke gegevens gestolen zijn door een hack. Hier zijn enkele stappen die je kunt nemen:

1. Informeer je werkgever: Zorg ervoor dat je werkgever op de hoogte is van het feit dat jouw gegevens gestolen zijn, ook al is de hack bij hen bekend. Vraag naar de maatregelen die zij nemen en welke hulp zij bieden, zoals identiteitsbescherming of juridische bijstand.

2. Contact opnemen met de bank: Als financiële informatie of identiteitsgegevens zijn gestolen, informeer dan je bank of financiële instellingen. Zij kunnen je account monitoren op verdachte activiteiten en waar nodig preventieve maatregelen nemen.

3. Waarschuw de autoriteiten: Doe aangifte bij de politie. Dit is belangrijk voor het officiële onderzoek en kan ook van belang zijn voor eventuele verzekeringsclaims of schadevergoedingen.

4. Fraude alert plaatsen: Overweeg om een fraude alert te plaatsen op je naam bij kredietregistratiebureaus. Dit waarschuwt kredietverstrekkers om extra controles uit te voeren voordat ze krediet verlenen in jouw naam.

5. Paspoort en identiteitsfraude: Meld het verlies van je paspoort bij de gemeente en vraag een nieuw paspoort aan. Het is ook verstandig om een melding te maken bij het Centraal Meldpunt Identiteitsfraude en -fouten (CMI) van de Rijksoverheid.

6. Monitoring en bescherming: Blijf waakzaam op tekenen van identiteitsdiefstal. Overweeg je aan te melden voor een dienst die je identiteit en kredietstatus monitort. Controleer regelmatig je bankrekeningen en volg je credit score.

7. Verander wachtwoorden en beveiligingsinstellingen: Als inloggegevens zijn gecompromitteerd, wijzig dan onmiddellijk je wachtwoorden voor alle relevante accounts, met name je e-mailaccounts en accounts die linken naar financiële informatie.

8. Blijf geïnformeerd: Blijf op de hoogte van het laatste nieuws over de hack van je werkgever, en volg alle aanbevolen stappen van zowel je werkgever als de autoriteiten.

Het is cruciaal om actie te ondernemen om verdere schade te voorkomen en je rechten te beschermen.

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Week overzicht slachtoffers

Cybercrimeinfo update: Tot en met 31 maart 2024 publiceren we dagelijks realtime overzichten van slachtoffers van cybercriminaliteit wiens gegevens zijn gelekt op het darkweb. Na deze datum schakelen we over naar een wekelijkse update. Vanaf dan bieden we elke maandag een totaaloverzicht van de gebeurtenissen van de afgelopen week. Lees verder

Slachtoffers België en Nederland

In samenwerking met StealthMole

Sponsor Cybercrimeinfo

Meer weekoverzichten