De bibliotheek voor de bestrijding van digitale criminaliteit

Actuele aanvallen en cyberaanvallen nieuws - huidige week

Gepubliceerd op 4 december 2023 om 00:00

EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑

Cybercrimeinfo.nl (ccinfo.nl) is geen onderdeel van de Nederlandse Politie. Lees hier meer over wie wij zijn.



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
hnncsb.org LockBit In progress In progress In progress 5-dec-23
elsewedyelectric.com LockBit In progress In progress In progress 5-dec-23
mirle.com.tw LockBit In progress In progress In progress 5-dec-23
ychlccsc.edu.hk LockBit In progress In progress In progress 5-dec-23
restargp.com LockBit In progress In progress In progress 5-dec-23
Rudolf-Venture Chemical Inc - Part 1 MONTI In progress In progress In progress 5-dec-23
CLATSKANIEPUD BlackCat (ALPHV) In progress In progress In progress 5-dec-23
Akumin BianLian In progress In progress In progress 5-dec-23
Bowden Barlow Law PA Medusa In progress In progress In progress 5-dec-23
Rosens Diversified Inc Medusa In progress In progress In progress 5-dec-23
Ga***********.com Cloak Unknown USA Unknown 5-dec-23
Henry County Schools BLACK SUIT www.henry.k12.ga.us USA Educational Services 5-dec-23
fps.com BLACK SUIT fps.com Netherlands Miscellaneous Manufacturing Industries 4-dec-23
Full access to the school network USA Everest Unknown USA Educational Services 4-dec-23
Agamatrix MEOW LEAKS In progress In progress In progress 4-dec-23
CMS Communications Qilin www.cmsc.com USA Communications 4-dec-23
Great Lakes Technologies Qilin www.greatlakestech.net USA Machinery, Computer Equipment 4-dec-23
Midea Carrier Akira www.mideacarrier.com.br Brazil Legal Services 4-dec-23
nlt.com Black Basta nlt.com USA Miscellaneous Retail 4-dec-23
Getrix Akira www.getrix.it Italy IT Services 4-dec-23
Evnhcmc BlackCat (ALPHV) www.evnhcmc.vn Vietnam Electric, Gas, And Sanitary Services 4-dec-23
UF Resources NoEscape www.ufresources.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 4-dec-23
Nida Corp NoEscape nida.com USA Electronic, Electrical Equipment, Components 4-dec-23
NCCU.EDU CL0P nccu.edu USA Educational Services 4-dec-23

Slachtoffers België en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
fps.com BLACK SUIT fps.com Netherlands Miscellaneous Manufacturing Industries 4-dec-23

In samenwerking met StealthMol

Sponsor Cybercrimeinfo


Cyberaanvallen nieuws


EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑

Cybercrimeinfo.nl (ccinfo.nl) is geen onderdeel van de Nederlandse Politie. Lees hier meer over wie wij zijn.


Deze pagina wordt voortdurend bijgewerkt. Laatste update: 05-december-2023


SpyLoan Android Malware: Miljoenen Downloads en Multifaceted Risico's

Het artikel, geschreven door Bill Toulas en gepubliceerd op 5 december 2023, belicht de ernstige dreiging van de SpyLoan Android malware. Deze kwaadaardige leenapps zijn meer dan 12 miljoen keer gedownload vanuit Google Play, maar het totale aantal downloads is waarschijnlijk veel hoger, aangezien deze apps ook beschikbaar zijn in derde-partij winkels en op verdachte websites. SpyLoan apps stelen persoonlijke gegevens van apparaten, waaronder accountinformatie, apparaatgegevens, belgeschiedenis, geïnstalleerde apps, evenementen in de kalender, lokale Wi-Fi-netwerkdetails en metadata van afbeeldingen. De risico's strekken zich zelfs uit tot contactenlijsten, locatiegegevens en tekstberichten. Ze vermommen zich als legitieme financiële diensten voor persoonlijke leningen en lokken gebruikers met de belofte van "snelle en gemakkelijke toegang tot fondsen". Vervolgens misleiden ze gebruikers om hoge rentebetalingen te accepteren en dreigen ze slachtoffers om het geld te betalen. Cybersecuritybedrijf ESET, lid van de App Defense Alliance, heeft sinds begin dit jaar 18 SpyLoan apps ontdekt. Google heeft op hun rapportage gereageerd en 17 van de kwaadaardige apps verwijderd. Eén app is nu beschikbaar met een andere set permissies en functionaliteiten en wordt niet langer als een SpyLoan-dreiging beschouwd. Deze apps verschenen voor het eerst in 2020 en zijn sinds vorig jaar steeds vaker aanwezig op zowel Android- als iOS-systemen. Ze worden verspreid via frauduleuze websites, software in third-party app-winkels, en Google Play. Vooral in landen als Mexico, India, Thailand, en Indonesië is een toename van SpyLoan-detecties waargenomen. Om infiltratie in Google Play te bewerkstelligen, dienen deze apps in overeenstemming met privacybeleid te zijn, voldoen ze aan de vereiste KYC-normen en hebben ze transparante verzoeken om toestemming. Veel van deze frauduleuze apps linken naar websites die schaamteloze kopieën zijn van legitieme bedrijfssites, met zelfs foto's van werknemers en kantoren om een vals gevoel van authenticiteit te creëren. ESET waarschuwt dat deze apps in strijd zijn met het financieel beleid van Google door de looptijd van persoonlijke leningen eenzijdig te verkorten en gebruikers te bedreigen met belachelijk maken en blootstelling als ze niet voldoen. De privacybeleid van deze apps is misleidend en vraagt om riskante permissies onder het mom van legitieme redenen. Om zich tegen de SpyLoan-dreiging te verdedigen, raadt ESET aan om alleen vertrouwde financiële instellingen te vertrouwen, de gevraagde permissies zorgvuldig te beoordelen bij het installeren van een nieuwe app en gebruikersrecensies op Google Play te lezen, die vaak aanwijzingen bevatten over de frauduleuze aard van de app. [1]


Amerikaanse Overheidsservers Gecompromitteerd via Adobe ColdFusion Kwetsbaarheid

In de zomer van 2023 werden Adobe ColdFusion-servers van de Amerikaanse overheid gecompromitteerd via een bekende kwetsbaarheid, bekend als CVE-2023-26360. Deze informatie werd bekendgemaakt door het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het lek in kwestie was al bekend sinds maart van dat jaar, toen Adobe een beveiligingsupdate uitbracht. Deze update werd echter niet geïnstalleerd op de getroffen servers, waardoor deze kwetsbaar bleven voor aanvallen. ColdFusion, een platform voor het ontwikkelen van webapplicaties, is in het verleden vaker doelwit geweest van soortgelijke aanvallen. Het CISA vermoedt dat de aanvallers in deze recente aanval als doel hadden het netwerk van de overheidsinstantie te verkennen. Er is geen duidelijkheid over of er data is gestolen of dat de aanvallers zich lateraal door het netwerk hebben bewogen. Ook is het onbekend of dezelfde aanvaller verantwoordelijk is voor de aanvallen op meerdere servers. Als reactie op deze gebeurtenis benadrukt het CISA het belang voor organisaties om hun ColdFusion-servers up-to-date te houden. Ze adviseren het toepassen van een 'secure-by-default' configuratie, segmentatie van netwerken, het gebruik van een firewall en het implementeren van logging. Deze maatregelen zijn cruciaal om toekomstige inbreuken en kwetsbaarheden te voorkomen en de veiligheid van kritieke infrastructuur te waarborgen. [1]


❗️Grootschalige Datalek bij 23andMe: 6,9 Miljoen Gebruikersgegevens Blootgesteld

Op dinsdag 5 december 2023 werd bekend dat het DNA-testbedrijf 23andMe het slachtoffer is geworden van een datalek, waarbij de afstammingsgegevens van maar liefst 6,9 miljoen gebruikers zijn buitgemaakt. Dit aantal, dat niet eerder openbaar was gemaakt, is bijzonder zorgwekkend gezien de aard van de gelekte informatie. 23andMe, een bedrijf met ongeveer 14 miljoen gebruikers, stelt mensen in staat hun DNA te testen om hun afkomst te achterhalen en contact te leggen met familieleden via het platform. De aanval, bekend als een 'credential stuffing'-aanval, stelde de aanvallers in staat om toegang te krijgen tot de accounts van 14.000 gebruikers. Volgens een rapport aan de Amerikaanse beurswaakhond SEC hadden de aanvallers toegang tot 'een aanzienlijk aantal bestanden' met afstammingsgegevens van andere gebruikers. Het lek betrof gebruikers die de 'DNA Relatives'-functie hadden geactiveerd, een optie waarmee men familieleden op het platform kan opsporen en meer over hun afstamming kan leren. De gelekte gegevens omvatten namen, geboortejaren, relatielabels, gedeelde DNA-percentages met familieleden, afstammingsrapporten en door gebruikers verstrekte locaties. Voor 1,4 miljoen van deze gebruikers waren ook stamboomgegevens toegankelijk. Credential stuffing-aanvallen maken gebruik van eerder gestolen inloggegevens van andere websites. Deze aanval is mogelijk als gebruikers dezelfde wachtwoorden hergebruiken en bedrijven niet voldoende maatregelen nemen tegen dergelijke geautomatiseerde aanvallen. Als reactie op deze gebeurtenis heeft 23andMe de wachtwoorden van alle 14 miljoen gebruikers gereset en tweestapsverificatie verplicht gesteld. De Nederlandse Autoriteit Persoonsgegevens werd geïnformeerd over het lek, waarbij ook gegevens van Nederlandse gebruikers zijn betrokken. Het exacte aantal getroffen Nederlandse gebruikers is echter onbekend. 23andMe heeft aangegeven de betrokken Nederlandse gebruikers te zullen informeren. [1, 2]


Britse Overheid Weerspreekt Malware Infectie in Sellafield Nucleaire Opwerkingsfabriek

De Britse overheid heeft recentelijk de beweringen van The Guardian over een malware-infectie in de nucleaire opwerkingsfabriek Sellafield tegengesproken. Volgens het nieuwsbericht van Security.NL op dinsdag 5 december 2023, stelt The Guardian dat aanvallers, vermoedelijk gelieerd aan China en Rusland, sinds 2015 malware in de systemen van Sellafield hebben geïmplementeerd. Echter, de details over de aard van de malware en de wijze van infectie zijn niet gespecificeerd door de krant. Sellafield reageerde door te verklaren dat zij over geavanceerde monitoringssystemen beschikken en met zekerheid kunnen zeggen dat er geen malware in hun systemen aanwezig is. Ze hebben ook hun ongenoegen uitgesproken over onjuistheden in het rapport van The Guardian en hebben de krant verzocht om bewijs te leveren van de vermeende aanval, wat tot nu toe niet is gebeurd. De Britse autoriteit voor kernenergie, ONR, heeft eveneens aangegeven geen bewijs te hebben gevonden voor de claims van The Guardian. Wel erkent ONR dat er verbeterpunten zijn bij Sellafield, maar deze zouden geen direct risico vormen voor de openbare veiligheid. Ondanks dat Sellafield momenteel niet aan alle cybersecurity standaarden voldoet, staat de fabriek onder verscherpt toezicht. Dit incident benadrukt de complexiteit en gevoeligheid rondom cybersecurity in kritieke infrastructuur zoals nucleaire installaties, waarbij nauwkeurige informatie en transparantie van cruciaal belang zijn voor zowel de veiligheid als het publieke vertrouwen. [1, 2, 3]


Geavanceerde P2Pinfect Malware Richt Zich Nu Op MIPS-apparaten

De nieuwste varianten van de P2Pinfect-botnet richten zich op het infecteren van apparaten met 32-bits MIPS-processors, zoals routers en IoT-apparaten. Deze chips zijn vanwege hun efficiëntie en compacte ontwerp veelgebruikt in embedded systemen. P2Pinfect, oorspronkelijk ontdekt in juli 2023 door Palo Alto Networks, is een in Rust geschreven worm die kwetsbare Redis-servers (CVE-2022-0543) aanvalt. Na de initiële ontdekking merkte Cado Security op dat P2Pinfect de replicatiefunctie van Redis misbruikte om zich te verspreiden. In september meldde Cado een piek in P2Pinfect-botnetactiviteiten, met aanvallen op systemen in diverse landen, waaronder de VS, Duitsland, het VK, Japan, Singapore, Hongkong en China. Recentelijk heeft Cado een nieuwe ontwikkeling gerapporteerd die een significante evolutie in het doel en de detectieontwijking van het project aangeeft. De nieuwe MIPS-variant van P2Pinfect werd waargenomen terwijl deze SSH-servers met zwakke inloggegevens scande. De malware probeert de MIPS binary te uploaden via SFTP en SCP. Opmerkelijk is dat de verspreiding niet beperkt is tot SSH; er werden pogingen waargenomen om de Redis-server op MIPS-apparaten uit te voeren via een OpenWRT-pakket genaamd 'redis-server'. Een statische analyse onthulde dat de nieuwe P2Pinfect een 32-bits ELF-binary is zonder debug-informatie, met een ingesloten 64-bits Windows DLL, die fungeert als een laadbaar module voor Redis om shell-commando's op de host uit te voeren. De nieuwste variant implementeert geavanceerde ontwijkingsmechanismen die detectie en analyse aanzienlijk bemoeilijken, zoals het controleren op de 'TracerPid'-waarde in het processtatusbestand en het gebruik van systeemoproepen om Linux core dumps uit te schakelen. Ondanks uitgebreide tracking van de botnet door diverse campagnes, blijft de precieze doelstelling van de malware-operatoren onzeker. Mogelijke doelen omvatten cryptocurrency mining, het lanceren van DDoS-aanvallen, verkeersproxying en data-diefstal. [1]


Russische Hackers Misbruiken Outlook-kwetsbaarheid om Exchange Accounts te Kapen

Het Threat Intelligence team van Microsoft heeft recentelijk een waarschuwing uitgegeven over de Russische door de staat gesponsorde actorgroep APT28, ook bekend als "Fancybear" of "Strontium". Deze groep maakt actief gebruik van de kwetsbaarheid CVE-2023-23397 in Outlook om Microsoft Exchange accounts te kapen en gevoelige informatie te stelen. Deze aanvallen zijn gericht op overheidsinstanties, energiebedrijven, transportorganisaties en andere sleutelorganisaties in de Verenigde Staten, Europa en het Midden-Oosten. CVE-2023-23397 is een kritieke kwetsbaarheid in Outlook op Windows, waardoor de aanvallers hogere systeemprivileges kunnen verkrijgen. Microsoft heeft deze kwetsbaarheid als een zero-day in maart 2023 gepatcht, maar APT28 had het sinds april 2022 al geëxploiteerd. Ze gebruikten speciaal ontworpen Outlook-notities om NTLM-hashes te stelen en ongemerkte authenticatie naar door de aanvaller gecontroleerde SMB-shares te forceren. Hierdoor konden ze laterale bewegingen in het netwerk van het slachtoffer maken en de mailboxpermissies wijzigen om gerichte e-maildiefstal uit te voeren. Bovendien werden in dezelfde aanvallen andere kwetsbaarheden uitgebuit, waaronder CVE-2023-38831 in WinRAR en CVE-2021-40444 in Windows MSHTML. Ondanks beschikbare beveiligingsupdates en aanbevelingen voor mitigerende maatregelen, bleef het aanvalsoppervlak aanzienlijk. Een bypass voor de fix (CVE-2023-29324) die in mei volgde, verergerde de situatie. Opnames van de toekomst waarschuwden in juni dat APT28 waarschijnlijk de Outlook-kwetsbaarheid tegen belangrijke Oekraïense organisaties inzette. In oktober onthulde het Franse cybersecurityagentschap (ANSSI) dat de Russische hackers de zero-click-aanval tegen overheidsinstanties, bedrijven, universiteiten, onderzoeksinstituten en denktanks in Frankrijk gebruikten. Microsoft benadrukt dat aanvallen nog steeds aan de gang zijn. De technologiegigant heeft ook de inspanningen van het Poolse Cyber Command Center (DKWOC) erkend in het detecteren en stoppen van deze aanvallen. DKWOC heeft ook een bericht gepubliceerd dat de activiteit van APT28 beschrijft die CVE-2023-38831 uitbuit.

De aanbevolen acties om nu te nemen, opgesomd naar prioriteit, zijn als volgt:
1. Pas de beschikbare beveiligingsupdates toe voor CVE-2023-23397 en de bypass CVE-2023-29324.
2. Gebruik dit script van Microsoft om te controleren of Exchange-gebruikers zijn getarget.
3. Reset de wachtwoorden van gecompromitteerde gebruikers en schakel MFA (multi-factor authenticatie) in voor alle gebruikers.
4. Beperk SMB-verkeer door verbindingen met poorten 135 en 445 van alle inkomende IP-adressen te blokkeren.
5. Schakel NTLM uit in uw omgeving.

Gezien het feit dat APT28 een zeer hulpbronrijke en aanpasbare bedreigingsgroep is, is de meest effectieve verdedigingsstrategie om het aanvalsoppervlak over alle interfaces te verminderen en ervoor te zorgen dat alle softwareproducten regelmatig worden bijgewerkt met de nieuwste beveiligingspatches.


Cyberaanval op Tipalti door ALPHV Groep Brengt Klantgegevens in Gevaar

Tipalti, een firma gespecialiseerd in financiële technologieën zoals boekhoudsystemen, betaalverwerking, en diensten voor e-commerce en affiliate marketing, onderzoekt momenteel beweringen over een netwerkinbraak door de ALPHV ransomware groep, ook bekend als BlackCat. Er wordt beweerd dat de groep 256 GB aan data heeft ontvreemd, inclusief gevoelige informatie van grote klanten zoals Roblox en Twitch. De zaak kwam aan het licht nadat ALPHV op hun website voor gelekte data een gedetailleerde verklaring publiceerde. Hierin claimden zij sinds 8 september 2023 ongemerkt toegang te hebben tot het netwerk van Tipalti, waarbij ze meer dan 265 GB aan kritieke zakelijke gegevens hebben ontvreemd. Dit betreft zowel informatie van Tipalti's eigen werknemers als van hun cliënten. In een reactie aan BleepingComputer benadrukte Tipalti de ernst waarmee ze deze situatie benaderen, verwijzend naar hun robuuste beveiligingsmaatregelen en hun voortdurende onderzoek naar de kwestie. Roblox heeft eveneens bevestigd met Tipalti samen te werken om de situatie te beoordelen, terwijl ze aangeven geen directe impact op hun systemen te hebben geconstateerd. Twitch heeft tot op heden nog niet gereageerd op de berichtgeving. Het is uitzonderlijk dat ransomwaregroepen slachtoffers publiekelijk benoemen voor het uitvoeren van afpersing. In dit geval verklaart ALPHV hun ongebruikelijke aanpak door aan te geven dat Tipalti's cyberverzekering geen dekking biedt voor afpersing, en ze verwachten niet dat het bedrijf zal ingaan op een losgeldeis. De cybercriminelen hebben aangekondigd dat ze van plan zijn individueel contact op te nemen met klanten van Tipalti voor afpersing. Hoewel het nog niet duidelijk is welke klanten getroffen zijn, beperken de huidige verklaringen zich tot toegang tot data van Twitch en Roblox. [1]


Nepbeveiligingsadvies WordPress Leidt tot Malware Insluizing

In december 2023 werd een misleidende cyberaanval ontdekt gericht op WordPress-beheerders. De aanval hield in dat beheerders nepbeveiligingsadviezen per e-mail ontvingen over een verzonnen kwetsbaarheid, getagd als CVE-2023-45124. Deze e-mails bevatten een uitnodiging om een kwaadaardige plugin te downloaden die zogenaamd de beveiligingslek zou aanpakken. Deze frauduleuze campagne werd ontdekt en gemeld door WordPress-beveiligingsexperts bij Wordfence en PatchStack. Zij publiceerden waarschuwingen op hun websites om het bewustzijn te verhogen. De phishingmails deden zich voor als officiële berichten van WordPress, met waarschuwingen over een kritieke kwetsbaarheid voor uitvoering van externe code (Remote Code Execution, RCE). Beheerders werden aangespoord om een plugin te downloaden die beweerde het beveiligingsprobleem aan te pakken. De link in de e-mail leidde de slachtoffers naar een nagemaakte website die sterk leek op de officiële WordPress-site. Deze valse plugin toonde een opgeblazen aantal downloads en meerdere nepgebruikersbeoordelingen, die de effectiviteit ervan prijzen. Na installatie creëerde de plugin een verborgen beheerdersgebruiker genaamd 'wpsecuritypatch' en stuurde informatie over het slachtoffer naar de command-and-control server van de aanvallers. Vervolgens downloadde het een gecodeerde achterdeur payload, die werd opgeslagen als 'wp-autoload.php' in de webroot van de site. De achterdeur bood functies zoals bestandsbeheer, een SQL-cliënt, een PHP-console en een commandoregelterminal, en gaf de aanvallers gedetailleerde informatie over de serveromgeving. Bovendien verborg de kwaadaardige plugin zichzelf in de lijst van geïnstalleerde plugins, waardoor handmatig zoeken in de rootdirectory van de site nodig was om het te verwijderen. Hoewel het operationele doel van de plugin op dat moment onbekend was, speculeerde PatchStack dat het gebruikt kon worden voor het injecteren van advertenties op gecompromitteerde sites, het omleiden van bezoekers, het stelen van gevoelige informatie, of zelfs het chanteren van eigenaren door te dreigen hun websitegegevens te lekken. [1, 2]


AeroBlade: Nieuwe Hackergroep Richt Zich op Amerikaanse Luchtvaartsector

In de Verenigde Staten is een tot nu toe onbekende cyber spionage hackergroep, genaamd 'AeroBlade', ontdekt die zich richt op organisaties in de luchtvaartsector. Deze campagne werd onthuld door BlackBerry en ontvouwde zich in twee fasen: een testfase in september 2022 en een geavanceerdere aanval in juli 2023. De aanvallen maken gebruik van spear-phishing met gemanipuleerde documenten om toegang te krijgen tot bedrijfsnetwerken, waarbij een reverse-shell payload wordt gedropt die in staat is tot het oplijsten van bestanden en datadiefstal. BlackBerry schat met middelhoge tot hoge zekerheid dat het doel van de aanvallen commerciële cyber spionage is, gericht op het verzamelen van waardevolle informatie. In de eerste aanvallen, die plaatsvonden in september 2022, gebruikte AeroBlade phishing emails met een documentbijlage (docx) die remote template injection toepast om een tweede DOTM-bestand te downloaden. Dit bestand voert kwaadaardige macro's uit die een reverse shell op het systeem van het doelwit creëren, verbonden met de command and control (C2) server van de aanvaller. Het reverse-shell payload is een zwaar verhuld DLL-bestand dat alle mappen op de gecompromitteerde computer opsomt, wat de operators helpt bij het plannen van hun volgende stappen in datadiefstal. Dit DLL-bestand heeft mechanismen om analyse te bemoeilijken, waaronder sandboxdetectie, aangepaste stringcodering, bescherming tegen demontage door middel van dode code en stroomobstructie, en API-hashing om misbruik van Windows-functies te maskeren. De payload zorgt ook voor persistentie in het systeem via de Windows Taakplanner, door een taak genaamd 'WinUpdate2' toe te voegen. Vroege samples van de DLL payload misten de meeste ontwijkingstechnieken die in de samples van 2023 te zien waren. Dit duidt erop dat de dreigingsactoren hun tools blijven ontwikkelen voor meer geavanceerde aanvallen, terwijl de pogingen in 2022 meer gericht waren op het testen van de inbraak- en infectieketen. In beide aanvallen was de uiteindelijke payload een reverse shell die verbinding maakte met hetzelfde C2 IP-adres, en de dreigingsactoren gebruikten dezelfde lokdocumenten in de phishingfase. BlackBerry heeft de oorsprong van AeroBlade of het precieze doel van de aanvallen niet kunnen vaststellen. De onderzoekers speculeren dat het doel was om data te stelen om deze te verkopen, te leveren aan internationale concurrenten in de luchtvaart, of te gebruiken als hefboom voor afpersing van de slachtoffers. [1]


Geavanceerde Outlook-kwetsbaarheid Al Lang Exploiteerd door Hackers

Sinds april 2022 wordt een ernstige kwetsbaarheid in Microsoft Outlook uitgebuit door hackers, aldus een recente verklaring van Microsoft. Deze kwetsbaarheid, bekend als CVE-2023-23397, treft alle ondersteunde versies van Microsoft Outlook voor Windows. De aanvallen worden toegeschreven aan Fancy Bear (ook bekend als APT28), een hackersgroep die vermoedelijk vanuit Rusland opereert. De kwetsbaarheid stelt aanvallers in staat om zonder enige interactie van de gebruiker toegang te verkrijgen tot mailaccounts op Exchange-servers. Dit gebeurt door het versturen van een speciaal geconstrueerde e-mail, die het slachtoffer onbedoeld laat inloggen op een server van de aanvaller. Hierbij wordt de wachtwoordhash van het e-mailaccount verzonden en onderschept, wat de aanvallers in staat stelt deze te kraken. Onder de doelwitten bevonden zich aanvankelijk vooral 'high-value' gebruikers, waaronder Poolse overheidsinstanties. Het Poolse Cyber Commando heeft in samenwerking met Microsoft onderzoek gedaan naar deze aanvallen. Organisaties worden geadviseerd om te controleren of hun accounts sinds april 2022 zijn gecompromitteerd. Microsoft heeft instructies gepubliceerd voor het uitvoeren van dergelijke scans. Als preventieve maatregel wordt aanbevolen gebruikers toe te voegen aan de Protected Users Group, waardoor het gebruik van NTLM-authenticatie wordt voorkomen, en uitgaand SMB-verkeer op de firewall te blokkeren. Deze stappen zijn essentieel om vergelijkbare aanvallen in de toekomst te voorkomen en de beveiliging van e-mailaccounts te waarborgen. [1, 2]


❗️Nederlands Bedrijf fps.com Slachtoffer van Cyberaanval door BLACK SUIT

Op 4 december 2023 werd bekend dat het Nederlandse bedrijf fps.com, actief in diverse productiesectoren, het slachtoffer is geworden van een cyberaanval. De aanval werd uitgevoerd door de beruchte groep BLACK SUIT. De informatie over deze inbraak kwam aan het licht toen de daders details over de aanval op het darkweb publiceerden. Deze ontwikkeling benadrukt de voortdurende dreiging van cybercriminaliteit en de noodzaak voor bedrijven om hun cybersecurity voortdurend te verbeteren.


Brothers Eco (SGP) Ondergaat Grote Cyberaanval: Servers Versleuteld en Toegang Ongewenst

Koh Brothers Eco Engineering, een toonaangevende leverancier van duurzame engineeringoplossingen, is recentelijk het doelwit geworden van een ernstige cyberaanval. Tijdens deze aanval zijn de servers van enkele dochterondernemingen ongeautoriseerd geopend en versleuteld. Hoewel het lopende onderzoek suggereert dat de situatie onder controle is, kan het bedrijf nog niet de volledige impact op hun activiteiten inschatten. De groep heeft onmiddellijk stappen ondernomen om het incident in te dammen. Dit omvatte het loskoppelen van de getroffen servers van het netwerk om verdere ongeoorloofde toegang te voorkomen. Daarnaast heeft de groep incidentrespons-experts en externe juridische adviseurs ingeschakeld om het incident te beoordelen, te reageren op en te beheren. Ondanks het incident blijft de bedrijfsvoering operationeel. Het bedrijf heeft zijn aandeelhouders geadviseerd geen overhaaste acties te ondernemen met betrekking tot hun aandelen of effecten, en voorzichtig te zijn bij het handelen in dergelijke aandelen of effecten. Koh Brothers Eco zal aandeelhouders informeren over eventuele belangrijke ontwikkelingen met betrekking tot het incident. Het aandeel van Koh Brothers Eco Engineering sloot afgelopen vrijdag met een daling van S$0.001, oftewel 4.2%, op S$0.023. Het bedrijf blijft zich inzetten voor het bieden van duurzame engineeringoplossingen en is vastbesloten de gevolgen van deze cyberaanval te beheersen en te overwinnen. [1]


Cyberaanval treft Waterstelsel in Noord Mayo (IRL)

Een opmerkelijke cyberaanval heeft plaatsgevonden op de eurotronica van het groepswaterstelsel in het Drum/Binghamstown gebied van Erris, Noord Mayo. Deze ongekende gebeurtenis heeft tot gevolg dat de inwoners van het Drum/Binghamstown Groepswaterstelsel voor vanavond en morgen zonder water komen te zitten. Rose Conway-Walsh, afgevaardigde van Sinn Fein uit Erris, meldt dat technische teams wanhopig proberen de apparatuur te repareren. Ze heeft vanavond meer details verstrekt aan Midwest News over deze situatie. Deze cyberaanval onderstreept de kwetsbaarheid van essentiële infrastructuur en de urgentie om deze te beveiligen tegen dergelijke dreigingen.


Geavanceerde Qilin Ransomware Richt Zich op VMware ESXi Servers

In december 2023 is een nieuw voorbeeld van Qilin ransomware, specifiek gericht op VMware ESXi servers, ontdekt en geanalyseerd. Deze ransomware wordt beschouwd als een van de meest geavanceerde en aanpasbare encryptors voor Linux die tot nu toe zijn waargenomen. Met een groeiende trend van bedrijven die overschakelen naar virtuele machines voor serverhosting, hebben diverse ransomwaregroepen speciale VMware ESXi encryptors ontwikkeld om deze servers aan te vallen. Qilin onderscheidt zich doordat het eigen encryptors ontwikkelt voor Linux servers, in plaats van gebruik te maken van de gelekte Babuk broncode zoals veel andere groepen doen. De Qilin encryptor is speciaal ontworpen om virtuele machines en hun snapshots te versleutelen en te verwijderen. Deze is uitgerust met een ingebouwde configuratie die de extensie voor gecodeerde bestanden, te beëindigen processen, en specifieke bestanden en mappen om te versleutelen of uit te sluiten, specificeert. Bovendien biedt het talrijke command-line opties voor uitgebreide aanpassing van deze configuratie-opties en de wijze van bestandsversleuteling op een server. In de geanalyseerde sample wordt standaard een reeks processen, directories en bestandsextensies uitgesloten van encryptie, terwijl het zich richt op een breed scala aan bestandstypen en directories, voornamelijk die gerelateerd zijn aan virtuele machines en databases. Wanneer uitgevoerd op een VMware ESXi server, initieert de ransomware unieke commando's die nog niet eerder zijn gezien bij andere ESXi encryptors. Deze commando's zijn vermoedelijk afgeleid van ondersteuningsbulletins van VMware. Alvorens over te gaan tot het versleutelen van virtuele machines, worden alle actieve VM's gestopt en hun snapshots verwijderd. De Qilin ransomware begon oorspronkelijk onder de naam "Agenda" in augustus 2022 en werd later hernoemd naar Qilin. Het richt zich op bedrijfsnetwerken, steelt gegevens en verspreidt zich lateraal naar andere systemen. Na het verzamelen van gegevens en het verkrijgen van serverbeheerdersreferenties, wordt de ransomware ingezet om alle apparaten in het netwerk te versleutelen. De gestolen data en de gecodeerde bestanden worden vervolgens gebruikt als drukmiddel in dubbele afpersingsaanvallen om bedrijven tot betalen te dwingen. Sinds de lancering heeft Qilin een constante stroom van slachtoffers gehad, met een toename van activiteit richting het einde van 2023. Een recente aanval was gericht op een grote leverancier van auto-onderdelen. [1, 2]


Noord-Koreaanse Staathackers Stelen $3 Miljard aan Crypto Sinds 2017

Sinds januari 2017 hebben door Noord-Korea ondersteunde staathackers naar schatting $3 miljard gestolen door een reeks hacks gericht op de cryptocurrency-industrie. De belangrijkste Noord-Koreaanse hackgroepen, waaronder Kimsuky, Lazarus Group en Andariel, hebben aanvallen uitgevoerd die vergelijkbaar zijn met die van typische cybercriminele bendes, maar op een veel grotere schaal. Hun operaties waren verantwoordelijk voor 44% van alle gestolen cryptocurrency in het afgelopen jaar. Deze diefstallen zijn een belangrijke inkomstenbron voor het regime van Pyongyang, vooral bedoeld voor de financiering van militaire en wapenontwikkelingsprogramma's. In 2017 begonnen de aanvallen sterk toe te nemen na hacks op Zuid-Koreaanse beurzen zoals Bithumb, Youbit en Yapizon, waarbij ongeveer $82,7 miljoen aan crypto-activa werd gestolen. In de afgelopen twee jaar zijn Lazarus-hackers gelinkt aan grote crypto-overvallen, waaronder de Harmony blockchain bridge ($100 miljoen verlies), de Nomad bridge ($190 miljoen verlies), de Qubit Finance bridge ($80 miljoen verlies) en de grootste crypto-hack ooit bij de Ronin Network cross-chain bridge ($620 miljoen gestolen). In 2022 alleen al werden Noord-Koreaanse dreigingsactoren beschuldigd van het stelen van $1,7 miljard aan cryptocurrency, wat neerkomt op 5% van de Noord-Koreaanse economie of 45% van het militaire budget van het land. Het Amerikaanse ministerie van Financiën, via het Office of Foreign Assets Control (OFAC), heeft sancties opgelegd aan de Kimsuky-hackgroep en andere Noord-Koreaanse entiteiten vanwege hun betrokkenheid bij het verwerven van inlichtingen ter ondersteuning van het WMD-programma van Noord-Korea. [1]


Nieuwe Proxy Malware Bedreigt Mac Gebruikers via Illegale Software

Cybercriminelen richten zich op Mac-gebruikers met een nieuwe proxy trojan malware, die is ingebouwd in populaire, auteursrechtelijk beschermde macOS-software aangeboden op warez-sites. Deze proxy trojan malware infecteert computers en verandert ze in verkeersdoorstuureenheden, gebruikt om kwaadaardige of illegale activiteiten zoals hacken, phishing en transacties voor illegale goederen te anonimiseren. Deze praktijk heeft geleid tot de creatie van omvangrijke botnetwerken, waarbij ook Mac-apparaten niet gespaard blijven. Kaspersky heeft deze laatste campagne ontdekt, waarbij de eerste inzending van de payload op VirusTotal dateert van 28 april 2023. De campagne maakt gebruik van de bereidheid van mensen om hun computerbeveiliging in gevaar te brengen om niet te hoeven betalen voor premium apps. Er zijn 35 softwarepakketten voor beeldbewerking, videocompressie en -bewerking, gegevensherstel en netwerkscanning gevonden die met de proxy trojan zijn geïnfecteerd. In tegenstelling tot de legitieme software, die als schijfkopieën worden gedistribueerd, worden de geïnfecteerde versies als PKG-bestanden gedownload. Deze PKG-bestanden zijn riskanter omdat ze scripts kunnen uitvoeren tijdens de installatie van de app. Deze scripts krijgen dezelfde rechten als de beheerder en kunnen gevaarlijke acties uitvoeren, zoals bestandsaanpassingen, bestandsautorun en commando-uitvoering. Na de installatie van het programma wordt een kwaadaardig script geactiveerd om de trojan uit te voeren, een WindowServer-bestand, en het te laten verschijnen als een systeemproces. WindowServer is een legitiem systeemproces in macOS, verantwoordelijk voor het beheer van de grafische gebruikersinterface. De trojan probeert op te gaan in routinematige systeemoperaties en gebruikerscontrole te ontwijken. Het bestand dat belast is met het opstarten van WindowServer bij het opstarten van het besturingssysteem, is genaamd "GoogleHelperUpdater.plist", en doet zich voor als een Google-configuratiebestand. Bij hetopstarten maakt de trojan verbinding met zijn C2 (command and control) server via DNS-over-HTTPS (DoH) om commando's te ontvangen. Dezelfde C2-infrastructuur herbergt ook proxy trojan payloads voor Android- en Windows-architecturen, wat suggereert dat dezelfde operators een breed scala aan systemen targeten. [1, 2]


Cyberaanval treft Röntgen- en Echografiesystemen van Duits Ziekenhuis

Een Duits ziekenhuis, gelegen nabij Stuttgart, is recentelijk getroffen door een cyberaanval op zijn röntgen- en echografiesystemen. De aanval, die gebruikmaakte van een kwetsbaarheid genaamd 'Citrixbleed' in NetScaler ADC- en Gateway-servers, leidde tot aanzienlijke verstoringen in de ziekenhuisprocessen. Deze kwetsbaarheid, al bekend en met updates beschikbaar sinds 10 oktober, stelt een ongeauthenticeerde aanvaller in staat toegang tot het systeemgeheugen te krijgen en sessietokens van gebruikers te stelen. Deze tokens kunnen vervolgens gebruikt worden om zonder verdere inloggegevens toegang tot systemen te verkrijgen. Het ziekenhuis meldt dat, hoewel de aanval vooral de röntgen- en echografiesystemen trof, patiëntgegevens niet zijn aangetast. Hierdoor konden operaties en behandelingen doorgaan, maar de verstoringen waren merkbaar. Het Klinikum Esslingen, waar de aanval plaatsvond, heeft via een persbericht de aanval bevestigd. Günther Born, een Duitse blogger, rapporteerde op basis van een politiebericht dat de aanvallers toegang kregen via de 'Citrixbleed'-kwetsbaarheid. Het ziekenhuis is inmiddels begonnen met het herstel van de getroffen systemen. Deze cyberaanval benadrukt de noodzaak voor organisaties, in het bijzonder gezondheidszorginstellingen, om hun systemen regelmatig te updaten en te controleren op kwetsbaarheden. De Duitse politie heeft andere ziekenhuizen opgeroepen om de relevante updates te installeren en hun systemen te controleren op mogelijke compromittering. Dit incident onderstreept het voortdurende risico van cyberaanvallen op essentiële infrastructuur en de belangrijkheid van proactieve cybersecuritymaatregelen. [1]


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten

December 2023
November 2023
Oktober 2023