Het Internet Archive is opnieuw getroffen door een datalek, ditmaal via hun Zendesk e-mail ondersteuningsplatform. Ondanks eerdere waarschuwingen dat aanvallers blootgestelde GitLab-authenticatietokens hadden gestolen, werden deze niet correct geroteerd. De aanvaller kreeg toegang tot meer dan 800.000 supporttickets sinds 2018, inclusief verzoeken tot verwijdering van sites uit de Wayback Machine. Het oorspronkelijke lek begon met een blootgestelde GitLab-configuratie op een ontwikkelingsserver, waardoor de broncode van Internet Archive kon worden gedownload. Deze bevatte extra inloggegevens, waaronder toegang tot de gebruikersdatabase. Het motief voor de aanval lijkt niet financieel of politiek, maar eerder om status te verwerven in de hackersgemeenschap. De gestolen data wordt waarschijnlijk verhandeld en zal in de toekomst mogelijk gratis worden gelekt op hackerfora.

Bron: 1

Sanglier Limited, een Britse fabrikant gespecialiseerd in spuitbare industriële lijmen zoals aerosols en canisters, is het slachtoffer geworden van een ransomware-aanval door de beruchte Meow-groep. De aanval werd ontdekt op 21 oktober 2024 om 10:38. Sanglier, dat in september 2023 werd overgenomen door H.B. Fuller om zijn positie in de Europese bouw- en engineeringlijmmarkten te versterken, speelt een belangrijke rol binnen de Construction Adhesives unit van het moederbedrijf.

Volgens gelekte informatie is meer dan 43 GB aan vertrouwelijke gegevens van Sanglier gestolen. Dit bevat onder andere persoonlijke gegevens van medewerkers, commerciële contracten, en financiële documenten. Deze aanval onderstreept de groeiende dreiging van ransomware voor bedrijven in de industriële sector. Het bedrijf werkt samen met experts om de gevolgen van deze cyberaanval te beperken.

Arango Billboard Construction Co., LLC, een bedrijf gevestigd in Miami, Florida, gespecialiseerd in buitenreclame en algemene bouwdiensten, is getroffen door een ransomware-aanval van de Meow-groep. De aanval werd ontdekt op 21 oktober 2024 om 10:39. Arango, opgericht in 2015, staat bekend om zijn expertise in de installatie en het onderhoud van billboards, waaronder digitale en LED-conversies. Het bedrijf speelt een actieve rol in de reclame-infrastructuur van Florida en voert projecten uit variërend van kleine updates tot grote billboard-installaties.

Tijdens de aanval is 15 GB aan gevoelige bedrijfsinformatie buitgemaakt, waaronder persoonlijke gegevens van medewerkers, financiële documenten en contracten. Deze aanval benadrukt de kwetsbaarheid van de reclame- en bouwsector voor ransomware-dreigingen. Arango Billboard werkt samen met cybersecurity-experts om de impact te minimaliseren en de bedrijfscontinuïteit te waarborgen.

Trimarc Financial, een toonaangevend bedrijf in de financiële dienstverlening, is het slachtoffer geworden van een ransomware-aanval uitgevoerd door de cybercriminele groep Fog. De aanval werd ontdekt op 21 oktober 2024 om 12:08. Trimarc Financial, gevestigd in de Verenigde Staten, beheert kritieke financiële diensten en staat bekend om zijn betrouwbare diensten in de sector. Tijdens de aanval heeft de Fog-groep naar verluidt 3 GB aan gevoelige gegevens gegijzeld, wat kan leiden tot ernstige verstoringen in de dienstverlening en potentiële risico’s voor hun klanten.

Deze aanval benadrukt opnieuw de groeiende dreiging van ransomware-aanvallen in de financiële sector, waar vertrouwelijkheid en dataveiligheid van het grootste belang zijn. Trimarc Financial werkt momenteel samen met cybersecurity-experts om de schade te beperken en hun systemen te herstellen.

Het Mercury Theatre, een bedrijf gevestigd in het Verenigd Koninkrijk, is recentelijk slachtoffer geworden van een cyberaanval uitgevoerd door de beruchte Hunters ransomware-groep. De aanval werd ontdekt op 21 oktober 2024 om 13:37. Hoewel het theater geen gegevens versleuteld heeft zien worden, is er wel gevoelige informatie buitgemaakt door de aanvallers.

Het incident benadrukt de toenemende dreiging van cybercriminelen die zich richten op organisaties, ongeacht hun sector, waarbij gevoelige gegevens worden geëxfiltreerd om slachtoffers onder druk te zetten. Voor bedrijven zoals het Mercury Theatre kan dit leiden tot reputatieschade en mogelijk financieel verlies. Ransomware-groepen zoals Hunters blijven wereldwijd een gevaar vormen door hun focus op datadiefstal en dreiging van openbaarmaking.

Het is cruciaal dat bedrijven, zelfs buiten de traditionele IT-sectoren, zich bewust zijn van deze dreiging en passende beveiligingsmaatregelen treffen.

Yorozu Corporation, een toonaangevend bedrijf in de productie van auto-onderdelen, gevestigd in Japan, is het slachtoffer geworden van een ransomware-aanval uitgevoerd door de Ransomhub-groep. De aanval werd ontdekt op 21 oktober 2024 om 13:44. Yorozu, dat bekend staat om het produceren van hoogwaardige ophangingsonderdelen zoals draagarmen en subframes, heeft door deze aanval mogelijk gevoelige bedrijfsgegevens verloren.

Hoewel de exacte impact nog wordt onderzocht, kan de exfiltratie van data schadelijke gevolgen hebben voor de bedrijfsvoering en vertrouwelijke informatie van klanten en partners. Ransomhub staat bekend om zijn agressieve methoden, waarbij gestolen gegevens vaak worden gebruikt om druk uit te oefenen op slachtoffers voor losgeldbetalingen.

Dit incident onderstreept de dringende noodzaak voor bedrijven in de productiesector om robuuste cybersecurity-maatregelen te implementeren om hun gegevens en bedrijfsvoering te beschermen tegen cyberaanvallen.

Philadelphia Macaroni, een Amerikaans bedrijf actief in de landbouw- en voedingsproductiesector, is op 21 oktober 2024 om 15:06 uur slachtoffer geworden van een ransomware-aanval. De aanval werd uitgevoerd door de beruchte cybercriminelen van de Fog-groep. Het bedrijf, dat wereldwijd bekend staat om zijn productie van hoogwaardige pastaproducten, heeft te maken met een datalek van 102 GB aan gevoelige informatie. Het bedrijf is gevestigd in de Verenigde Staten en werkt al jarenlang samen met grote voedingsbedrijven. De impact van de aanval op de operaties van Philadelphia Macaroni moet nog volledig worden vastgesteld, maar de omvang van het gelekte datavolume wijst op een serieuze dreiging. Cyberbeveiligingsexperts onderzoeken momenteel hoe de aanval heeft kunnen plaatsvinden en wat de mogelijke gevolgen zijn voor zowel het bedrijf als de klanten die afhankelijk zijn van hun producten.

Schweiger Transport, een bedrijf actief in de transport- en logistieke sector in Duitsland, is slachtoffer geworden van een ransomware-aanval uitgevoerd door de criminele groep Fog. Op 21 oktober 2024 om 16:33 werd de aanval ontdekt, waarbij ongeveer 118 GB aan gevoelige bedrijfsgegevens werd gegijzeld door de aanvallers.

Het bedrijf, gevestigd in Duitsland en bekend om zijn logistieke diensten, wordt nu geconfronteerd met de complexe uitdaging om de operatie te herstellen en mogelijke datalekken te beheersen. De ransomware-groep Fog staat bekend om het aanvallen van logistieke bedrijven en heeft in het verleden soortgelijke operaties uitgevoerd. Schweiger Transport werkt aan een oplossing, maar de schade kan aanzienlijk zijn, afhankelijk van de duur van de verstoring en mogelijke openbaarmaking van gegevens.

Cyberbeveiligingsexperts waarschuwen dat dit soort aanvallen steeds frequenter voorkomen in de transportsector, waar de continuïteit van diensten cruciaal is.

La STIVO, het busnetwerk van de agglomeratie Cergy-Pontoise in Frankrijk, is slachtoffer geworden van een ransomware-aanval uitgevoerd door de groep Ransomhub. De aanval werd op 21 oktober 2024 om 16:41 ontdekt. La STIVO, opgericht in 1975, bedient dagelijks meer dan 80.000 reizigers en heeft meer dan 400 medewerkers in dienst. Het bedrijf heeft zich sinds 2014 ingezet voor maatschappelijk verantwoord ondernemen, wat werd beloond met het Label Lucie.

Ransomhub heeft toegang gekregen tot bedrijfsgegevens en systemen, waardoor de continuïteit van het busvervoer mogelijk in gevaar komt. Het herstelproces is in gang gezet, maar de aanval benadrukt de kwetsbaarheid van transportbedrijven voor cyberdreigingen. Het is nog onduidelijk of er persoonlijke gegevens van reizigers zijn getroffen. La STIVO werkt nauw samen met cyberbeveiligingsexperts om de situatie onder controle te krijgen en de schade te beperken.

Teddy SpA, een Italiaans modebedrijf dat kleding en accessoires aanbiedt voor mannen, vrouwen en kinderen in Europa en wereldwijd, is slachtoffer geworden van een ransomware-aanval door de groep Blacksuit. De aanval werd ontdekt op 21 oktober 2024 om 18:02.

Als onderdeel van het Gruppo Teddy, een grote speler in de retailsector, wordt het bedrijf nu geconfronteerd met ernstige verstoringen in zijn bedrijfsactiviteiten. Blacksuit, een bekende cybercriminelen-groep, heeft zich toegang verschaft tot gevoelige bedrijfsgegevens, waardoor mogelijk niet alleen interne processen, maar ook klantgegevens in gevaar zijn gebracht. Het herstelproces is gestart, terwijl het bedrijf de omvang van de schade onderzoekt. Deze aanval benadrukt de groeiende dreiging van cyberaanvallen binnen de detailhandel, vooral voor internationale bedrijven zoals Teddy SpA die afhankelijk zijn van gestroomlijnde supply chains en digitale platforms om te opereren.

La Tazza D'oro, een Italiaans bedrijf in de horeca, is het slachtoffer geworden van een ransomware-aanval door de criminele groep Monti. De aanval werd ontdekt op 21 oktober 2024 om 19:46. La Tazza D'oro staat bekend om zijn hoogwaardige koffiediensten en heeft een sterke reputatie in de Italiaanse horecasector.

Monti, een ransomware-groep die zich richt op bedrijven in de consumentenservice-industrie, heeft bedrijfsgegevens gegijzeld en eist losgeld om toegang te herstellen. De aanval heeft de bedrijfsvoering van La Tazza D'oro verstoord, waarbij mogelijk klantgegevens en operationele systemen zijn getroffen. Het bedrijf werkt samen met beveiligingsexperts om de schade in te perken en de dienstverlening zo snel mogelijk te herstellen. Deze aanval onderstreept de toenemende dreiging van ransomware-aanvallen binnen de horecasector, waar bedrijven vaak kwetsbaar zijn vanwege hun afhankelijkheid van digitale systemen.

Raeyco Lab Equipment, een Canadees bedrijf dat gespecialiseerd is in de distributie van laboratoriumapparatuur voor de gezondheidszorg, is getroffen door een ransomware-aanval uitgevoerd door de groep Monti. De aanval werd ontdekt op 21 oktober 2024 om 21:07. Raeyco biedt een breed scala aan producten en diensten voor laboratoria in de gezondheidszorgsector en speelt een cruciale rol in de levering van apparatuur en onderhoud.

De groep Monti heeft bedrijfsgegevens gegijzeld en eist losgeld in ruil voor het herstel van de toegang tot systemen. De aanval kan aanzienlijke gevolgen hebben voor de distributie van essentiële apparatuur en diensten binnen de gezondheidszorgsector. Raeyco werkt momenteel samen met experts op het gebied van cyberbeveiliging om de omvang van de schade te beoordelen en het herstelproces te starten. Deze aanval benadrukt de kwetsbaarheid van bedrijven in de medische sector voor ransomware-aanvallen.

Humble Mfg, een Amerikaans bedrijf gespecialiseerd in lassen en fabricage in de bouwmaterialensector, is op 21 oktober 2024 om 21:08 slachtoffer geworden van een ransomware-aanval uitgevoerd door de groep Monti. Het bedrijf speelt een belangrijke rol in de productie en levering van essentiële materialen voor de bouwindustrie.

De Monti-groep heeft toegang verkregen tot de bedrijfsgegevens van Humble Mfg, wat de productieprocessen en mogelijk ook klantgegevens in gevaar heeft gebracht. De aanval heeft geleid tot aanzienlijke verstoringen in de fabricageactiviteiten, wat kan leiden tot vertragingen in leveringen van bouwmaterialen. Humble Mfg werkt nauw samen met cyberbeveiligingsexperts om de schade te beperken en de systemen zo snel mogelijk te herstellen. Deze aanval benadrukt de toenemende dreiging van cybercriminelen binnen de productiesector, waar dergelijke verstoringen een grote impact kunnen hebben op de supply chain en bedrijfscontinuïteit.

Burgess Kilpatrick, een Canadees accountantskantoor dat financiële diensten aanbiedt, is op 21 oktober 2024 om 21:09 getroffen door een ransomware-aanval uitgevoerd door de groep Monti. Als belangrijke speler in de financiële sector biedt het bedrijf cruciale boekhoud- en adviesdiensten aan klanten in heel Canada.

De groep Monti heeft toegang gekregen tot gevoelige bedrijfsgegevens en mogelijk ook vertrouwelijke klantinformatie. Dit kan ernstige gevolgen hebben voor de privacy van klanten en de voortgang van belangrijke financiële processen. Burgess Kilpatrick werkt momenteel samen met cyberbeveiligingsexperts om de omvang van de aanval te bepalen en een oplossing te vinden. Deze aanval benadrukt de risico’s waarmee de financiële sector geconfronteerd wordt in het digitale tijdperk, waar de bescherming van gegevens cruciaal is voor het behoud van vertrouwen en bedrijfscontinuïteit.

De stad Forest Park, gelegen in de staat Georgia, Verenigde Staten, is slachtoffer geworden van een ransomware-aanval uitgevoerd door de Monti-groep. De aanval, die naar schatting plaatsvond op 4 oktober 2024, werd op 21 oktober 2024 om 21:10 ontdekt. Forest Park biedt belangrijke publieke diensten aan haar inwoners, en de aanval heeft mogelijk kritieke systemen en gegevens van de stad geraakt.

De Monti-groep staat bekend om haar aanvallen op publieke instellingen, en deze aanval zou kunnen leiden tot ernstige verstoringen in de dienstverlening aan de burgers van Forest Park. De stad werkt samen met cyberbeveiligingsexperts om de situatie te beoordelen en zo snel mogelijk de getroffen systemen te herstellen. Deze aanval onderstreept de groeiende dreiging van ransomware-aanvallen op lokale overheden, waar de impact op essentiële openbare diensten aanzienlijk kan zijn.

Op 21 oktober 2024 werd het Turkse bedrijf Superline slachtoffer van een ransomware-aanval uitgevoerd door de Monti-groep. De aanval werd naar schatting al op 19 oktober 2023 ingezet, maar werd pas recent ontdekt. Superline, actief in een niet nader gespecificeerde sector, staat bekend om zijn toewijding aan het leveren van de nieuwste trends aan klanten, terwijl het bedrijf hoogwaardige service en zorg biedt.

De aanval door de Monti-groep heeft vermoedelijk geleid tot aanzienlijke verstoringen binnen het bedrijf, dat nu de impact van deze cyberaanval probeert te beperken. De exacte omvang van de schade is nog niet volledig bekend, maar het incident benadrukt nogmaals de groeiende dreiging van ransomware voor bedrijven wereldwijd. Superline werkt samen met experts om de aanval te onderzoeken en verdere schade te voorkomen.

Op 21 oktober 2024 werd LEWA, een Oostenrijkse fabrikant van pompen en systemen voor vloeistofdosering, slachtoffer van een ransomware-aanval uitgevoerd door de BlackBasta-groep. LEWA, dat al meer dan zeven decennia actief is in de maakindustrie, levert hoogwaardige meet- en procespompen, met bijbehorende systemen voor uiteenlopende industrieën, waaronder de voedingsmiddelenindustrie en petrochemie.

De aanvallers hebben naar verluidt ongeveer 400 GB aan gevoelige gegevens buitgemaakt, waaronder persoonlijke documenten van werknemers, financiële en HR-gegevens, klantcontracten en vertrouwelijke R&D-gegevens. Deze aanval kan ernstige gevolgen hebben voor de bedrijfsvoering en klanten van LEWA.

LEWA werkt samen met cyberbeveiligingsexperts om de schade in te perken en verdere datalekken te voorkomen. Dit incident onderstreept de voortdurende dreiging van ransomware, zelfs voor bedrijven met een solide technische reputatie.

Op 21 oktober 2024 werd Silver Springs Bottled Water Company, een toonaangevende leverancier van gebotteld water in Florida, getroffen door een ransomware-aanval uitgevoerd door de BlackBasta-groep. Het bedrijf, opgericht in 1986 en sinds 1991 in handen van de familie Richmond, is de grootste particuliere producent van gebotteld water in de staat Florida.

De cybercriminelen hebben naar verluidt meer dan 600 GB aan gevoelige gegevens gestolen, waaronder persoonlijke documenten van werknemers, financiële en HR-gegevens, klantcontracten en vertrouwelijke bedrijfsinformatie. De aanval heeft mogelijk een grote impact op zowel de interne bedrijfsvoering als de relaties met klanten.

Silver Springs Bottled Water werkt momenteel samen met experts om de schade te beperken en verdere datalekken te voorkomen. Dit incident benadrukt de kwetsbaarheid van bedrijven in de dienstverlening voor ransomware-aanvallen, zelfs in sectoren die cruciale consumentenproducten leveren.

Op 21 oktober 2024 werd The Kaiser Enterprise, een veelzijdig Amerikaans bedrijf met verschillende divisies en dochterondernemingen, slachtoffer van een ransomware-aanval uitgevoerd door de BlackBasta-groep. Kaiser, gevestigd in Troy, Michigan, biedt een breed scala aan diensten, van het ontwerpen en bouwen van hyperscale datacenters tot batterijproductie en waterzuiveringsinstallaties.

De aanvallers hebben naar schatting meer dan 1,5 TB aan gevoelige bedrijfsgegevens gestolen, waaronder financiële en boekhoudinformatie, vertrouwelijke projectgegevens, persoonlijke documenten van medewerkers en gegevens van Human Resources. Ook gevoelige ontwikkelingsinformatie en geheimhoudingsverklaringen zijn mogelijk blootgesteld.

Kaiser werkt momenteel samen met beveiligingsexperts om de schade te beperken en verdere lekken te voorkomen. Dit incident toont de enorme risico's van ransomware voor bedrijven met complexe infrastructuren en brede operationele verantwoordelijkheden, zoals The Kaiser Enterprise.

Op 21 oktober 2024 werd Miller Edge, een toonaangevende Noord-Amerikaanse fabrikant van veiligheidstoebehoren voor gemotoriseerde deuren en geautomatiseerde poortsystemen, getroffen door een ransomware-aanval van de BlackBasta-groep. Miller Edge, gevestigd in West Grove, Pennsylvania, produceert een breed scala aan producten, waaronder gevoelige randen en fotocellen, die de veiligheid van automatische systemen waarborgen.

De cybercriminelen hebben naar verluidt ongeveer 600 GB aan gevoelige gegevens gestolen, waaronder persoonlijke gegevens van werknemers, HR- en financiële gegevens, belastinginformatie en payroll. Ook bedrijfsdata met betrekking tot engineering, klantcontracten en vertrouwelijke informatie zijn mogelijk gecompromitteerd.

Miller Edge werkt samen met deskundigen om de impact van de aanval te minimaliseren en verdere datalekken te voorkomen. Dit incident benadrukt de aanhoudende dreiging van ransomware voor bedrijven in de maakindustrie, met name degenen die zich richten op veiligheidssystemen.

Op 21 oktober 2024 werd Temple, Inc., een familiebedrijf gevestigd in Decatur, Alabama, slachtoffer van een ransomware-aanval uitgevoerd door de BlackBasta-groep. Temple, Inc. is al sinds 1954 actief in de zuidelijke Verenigde Staten en staat bekend om het opbouwen van langdurige relaties met overheidsinstanties, nutsbedrijven en engineeringbedrijven.

De aanvallers hebben naar schatting 200 GB aan gevoelige gegevens gestolen, waaronder persoonlijke mappen van medewerkers, bedrijfsinformatie van Temple, financiële en boekhoudgegevens, en vertrouwelijke klantcontracten. Ook projecttekeningen en andere belangrijke bedrijfsdocumenten zijn mogelijk blootgesteld.

Temple, Inc. werkt nauw samen met experts om de gevolgen van de aanval te beperken en verdere schade te voorkomen. Dit incident laat opnieuw zien dat ook familiebedrijven in de maakindustrie steeds vaker het doelwit zijn van ransomware-aanvallen.

Op 21 oktober 2024 werd Country Motors, een Mexicaans bedrijf gespecialiseerd in de verkoop van nieuwe personenauto's en vrachtwagens, getroffen door een ransomware-aanval uitgevoerd door de LockBit 3.0-groep. Het bedrijf, officieel bekend als CMAMERICAS S.A. DE C.V., is gevestigd aan de Avenida Américas in Guadalajara, Jalisco, en bedient klanten in de detailhandel voor auto's.

De LockBit 3.0-groep heeft mogelijk aanzienlijke hoeveelheden gevoelige bedrijfsgegevens buitgemaakt, hoewel de exacte omvang van de gestolen data nog niet volledig bekend is. Het incident benadrukt de toenemende dreiging van ransomware voor bedrijven in de retailsector, die zich nu geconfronteerd zien met ernstige operationele en financiële risico's.

Country Motors werkt samen met deskundigen om de schade te beperken en verdere compromittering van gegevens te voorkomen, terwijl het probeert de bedrijfsactiviteiten zo snel mogelijk te herstellen.

Op 22 oktober 2024 werd AutoDukan, een Indiase online winkel gespecialiseerd in auto-onderdelen en accessoires, getroffen door een ransomware-aanval van de KillSec-groep. AutoDukan biedt een breed scala aan producten voor alle automerken en modellen, met snelle verzending door heel India.

Hoewel details over de omvang van de aanval nog niet volledig bekend zijn, wordt verwacht dat de gestolen gegevens zowel klantinformatie als bedrijfsdata omvatten. De aanval heeft waarschijnlijk invloed op de operationele activiteiten van AutoDukan, dat nu samenwerkt met beveiligingsexperts om de schade te beperken en verdere compromittering te voorkomen.

Dit incident benadrukt de kwetsbaarheid van e-commercebedrijven, zelfs in sectoren die zich richten op voertuigaccessoires, voor cyberaanvallen.

Op 22 oktober 2024 werd One Day Event Insurance, een Amerikaanse verzekeringsmaatschappij gespecialiseerd in evenementenaansprakelijkheidsverzekeringen, slachtoffer van een ransomware-aanval uitgevoerd door de KillSec-groep. Het bedrijf biedt verzekeringen voor diverse soorten evenementen, zoals bruiloften, verjaardagen, concerten, festivals en meer.

De aanval heeft waarschijnlijk gevoelige bedrijfs- en klantgegevens gecompromitteerd, wat de dienstverlening en het vertrouwen van klanten kan beïnvloeden. One Day Event Insurance werkt nauw samen met cyberbeveiligingsexperts om de impact van de aanval te beperken en verdere datalekken te voorkomen.

Deze aanval benadrukt de groeiende kwetsbaarheid van bedrijven in de horeca- en toerismesector voor cyberaanvallen, zelfs in nichemarkten zoals evenementverzekeringen.

Op 22 oktober 2024 werd BoloForms, een technologiebedrijf gevestigd in India dat zich richt op het efficiënt beheren van documentworkflows en elektronische handtekeningen, getroffen door een ransomware-aanval uitgevoerd door de KillSec-groep. BoloForms biedt diensten waarmee gebruikers meerdere handtekeningen kunnen verzamelen en real-time updates kunnen ontvangen, wat zorgt voor gestroomlijnde bedrijfsprocessen.

De aanval heeft waarschijnlijk gevoelige bedrijfsgegevens en klantinformatie gecompromitteerd, wat aanzienlijke gevolgen kan hebben voor de activiteiten en klantrelaties van het bedrijf. BoloForms werkt samen met experts om de impact van de aanval te beperken en verdere datalekken te voorkomen.

Dit incident benadrukt de voortdurende dreiging van cyberaanvallen voor technologiebedrijven, vooral die bedrijven die zich richten op het verbeteren van digitale workflows en documentbeheer.

Onlangs zijn meer dan 6.000 WordPress-websites gehackt waarbij kwaadwillende plugins zijn geïnstalleerd. Deze plugins geven valse meldingen weer, zoals nep-software-updates en foutmeldingen, om informatie-stelende malware te verspreiden. De aanvallen maken deel uit van een campagne genaamd ClickFix, die lijkt op eerdere aanvallen zoals ClearFake. Deze campagnes richten zich op het misleiden van gebruikers door nep-oplossingen aan te bieden via PowerShell-scripts, die uiteindelijk malware downloaden. De aanvallers installeren deze schadelijke plugins door gebruik te maken van gestolen beheerdersgegevens. De kwaadaardige plugins lijken op legitieme WordPress-plugins, zoals Wordfence Security en LiteSpeed Cache, maar bevatten verborgen scripts die schadelijke code injecteren in websites. Beheerders van WordPress-sites wordt geadviseerd om hun geïnstalleerde plugins te controleren en verdachte plugins onmiddellijk te verwijderen om verdere infecties te voorkomen.

Bron: 1

Donbosco-Landser.net, een onderwijsinstelling actief in de sector van middelbare en hogere scholen in Frankrijk, is onlangs het slachtoffer geworden van een cyberaanval door de beruchte ransomware-groep Ransomhub. De aanval werd ontdekt op 22 oktober 2024 om 06:40 uur. Het vermoeden bestaat dat de infiltratie al een dag eerder, op 21 oktober 2024, plaatsvond. Als onderwijsinstelling biedt Donbosco-Landser.net een uiteenlopend curriculum voor studenten van basis- tot en met voortgezet onderwijs, waaronder het Ecole, Collège en Lycée. Deze aanval benadrukt opnieuw de toenemende kwetsbaarheid van onderwijsinstellingen voor cyberdreigingen en noodzaakt tot een kritische evaluatie van de huidige beveiligingsmaatregelen in deze sector. De impact van de aanval op de scholieren en het schooljaar is nog onbekend, maar inspanningen zijn in gang gezet om de systemen te herstellen en toekomstige beveiligingslacunes te dichten.

Mauguio-Carnon.com, de officiële website van Mairie de Mauguio-Carnon in de publieke sector in Frankrijk, werd onlangs aangevallen door de ransomware-groep Ransomhub. De aanval kwam aan het licht op 22 oktober 2024 om 06:43 uur, hoewel vermoed wordt dat de cybercriminelen al op 21 oktober 2024 hun slag sloegen. Zoals veel instellingen binnen de publieke sector, speelt Mairie de Mauguio-Carnon een essentiële rol in het beheer en de dienstverlening van de lokale gemeenschap. De aanval legt een grotere kwetsbaarheid bloot binnen de digitale infrastructuur van overheidsinstanties. De gemeente werkt er hard aan om de operationele systemen te herstellen en essentiële diensten te garanderen. Ondertussen loopt er een onderzoek om de exacte impact van de aanval te bepalen en om mogelijke toekomstige risico's te mitigeren. Dit incident onderstreept de noodzaak van verbeterde cybersecurity-maatregelen binnen de overheidssector.

American Medical Billing, een gerenommeerd bedrijf in de gezondheidszorgsector gevestigd in Roselle, Illinois, Verenigde Staten, werd recentelijk het doelwit van een cyberaanval door de Medusa ransomware-groep. De aanval werd ontdekt op 22 oktober 2024 om 06:58 uur. Sinds de oprichting in 1994 biedt American Medical Billing volledige medische facturatiediensten aan zorgverleners en heeft het een team van 19 medewerkers. De aanval heeft de continuïteit van hun diensten onder druk gezet en de noodzaak benadrukt voor robuustere beveiligingsmaatregelen om de infrastructuur te beschermen. Hoewel de volledige impact van deze aanval nog wordt beoordeeld, werken de medewerkers onvermoeibaar aan het herstellen van de systemen en het veiligstellen van gevoelige informatie. Dit doet eens te meer beseffen hoe belangrijk het is om waakzaam te blijven en proactieve cybersecurity strategieën te hanteren binnen de gezondheidszorgsector.

American Mechanical, Inc., een bedrijf actief in de bouwsector en gevestigd in Walnut Creek, Californië, Verenigde Staten, werd onlangs het doelwit van een ransomware-aanval door de groep Medusa. De aanval is ontdekt op 22 oktober 2024 om 06:59 uur. Dit bedrijf, dat gespecialiseerd is in het ontwerpen, installeren en onderhouden van verwarmings-, ventilatie- en airconditioning systemen voor de commerciële en industriële markt, ziet zich nu geconfronteerd met verstoringen in haar bedrijfsvoering. De aanval onderstreept de kwetsbaarheid van bedrijven in de bouwsector voor cyberdreigingen en de noodzaak van verbeterde cyberbeveiliging. Terwijl de impact van de aanval wordt beoordeeld, is men bezig met het herstel van kritische systemen om de dienstverlening zo snel mogelijk te normaliseren. Dit incident benadrukt het belang van een robuuste benadering van cybersecurity in de bouwindustrie.

Automha, een Italiaans bedrijf actief in de productiesector en gevestigd in Azzano San Paolo, Lombardije, werd recentelijk getroffen door een ransomware-aanval van de Medusa-groep. De aanval, ontdekt op 22 oktober 2024 om 07:00 uur, heeft geleid tot een datalek van in totaal 308,9 GB. Automha, opgericht in 1979, staat bekend om het ontwikkelen van geautomatiseerde opslagsystemen voor magazijnen. Met een personeelsbestand van 114 medewerkers is het bedrijf nu bezig de impact van het incident te beoordelen en de integriteit van hun systemen te herstellen. Deze aanval wijst op een groeiende dreiging voor de productiesector en onderstreept de noodzaak voor bedrijven om zich te wapenen met sterke cyberbeveiligingsmaatregelen. Terwijl herstelwerkzaamheden plaatsvinden, worden ook maatregelen versterkt om toekomstige aanvallen te voorkomen en de bescherming van bedrijfs- en klantgegevens te waarborgen.

1doc.sg, een prominent bedrijf in de gezondheidszorg gevestigd in Singapore, biedt gespecialiseerde telezorgdiensten aan. Het bedrijf faciliteert digitale verbindingen tussen patiënten en zorgverleners, waardoor medische consultaties online toegankelijker worden gemaakt. Met de focus op het verbeteren van de beschikbaarheid van gezondheidszorg en het stroomlijnen van interacties tussen patiënten en artsen, zet 1doc.sg zich in voor het leveren van efficiënte zorgoplossingen, met een sterke nadruk op privacy en gegevensbeveiliging. Op 22 oktober 2024 om 09:40 uur werd ontdekt dat het bedrijf was getroffen door een ransomware-aanval uitgevoerd door de groepering Ransomhub. Deze aanval legde de kwetsbaarheden bloot binnen de telezorgsector, waar bescherming van gevoelige patiëntgegevens van cruciaal belang is. Het incident heeft aanzienlijke verstoringen veroorzaakt in de activiteiten van 1doc.sg, en er worden momenteel stappen ondernomen om de systemen veilig en operationeel te maken.

Semna.fr, gevestigd in Frankrijk, is een toonaangevend technologiebedrijf dat zich richt op digitale oplossingen en online diensten. Het bedrijf specialiseert zich in het verbeteren van de digitale aanwezigheid van bedrijven door middel van innovatieve strategieën en geavanceerde technologieën. Hun dienstenpakket omvat website-ontwikkeling, digitale marketing en maatwerk softwareoplossingen, allemaal ontworpen om klantbetrokkenheid te optimaliseren en bedrijfsontwikkeling te stimuleren. Op 22 oktober 2024 om 11:12 uur werd ontdekt dat Semna.fr het doelwit was geworden van een ransomware-aanval van de groep Ransomhub. Deze aanval heeft de kwetsbaarheden binnen hun digitale infrastructuur blootgelegd en significant invloed gehad op de bedrijfsvoering van Semna.fr. Het bedrijf werkt nu hard aan het herstel van hun systemen en het vergroten van hun beveiligingsmaatregelen om toekomstige incidenten te voorkomen.

SpecPro, Inc., actief in de publieke sector, is een professioneel dienstverleningsbedrijf dat gespecialiseerd is in milieu-, ingenieurs- en technische oplossingen. Het bedrijf biedt uiteenlopende diensten aan, zoals milieuwetgeving, projectmanagement en ingenieursondersteuning. SpecPro, Inc. richt zich op het leveren van duurzame en efficiënte oplossingen aan overheids- en commerciële cliënten, waarbij zij hun expertise inzetten om complexe projectvereisten effectief te vervullen. Op 22 oktober 2024 om 11:15 uur werd SpecPro, Inc. getroffen door een ransomware-aanval uitgevoerd door de groep Ransomhub. Deze aanval heeft aanzienlijke operationele verstoringen veroorzaakt en de noodzaak onderstreept voor verbeterde beveiligingsmaatregelen in hun technologische infrastructuur. SpecPro, Inc. is momenteel bezig met het herstel van hun systemen en het versterken van hun beveiligingsprotocollen om toekomstig risico te minimaliseren.

Dennis Supply, actief in de bouwsector, is gespecialiseerd in de distributie van HVACR (verwarming, ventilatie, airconditioning en koeling) apparatuur en benodigdheden. Het bedrijf biedt een breed scala aan producten, waaronder onderdelen en gereedschappen voor zowel residentiële als commerciële toepassingen. Bekend om hun klantenservice en technische ondersteuning, bedient Dennis Supply aannemers, technici en bedrijven in de hele industrie. Op 22 oktober 2024 om 11:19 uur werd ontdekt dat Dennis Supply slachtoffer was geworden van een ransomware-aanval uitgevoerd door de groep Ransomhub. Deze aanval heeft ingrijpende gevolgen gehad voor hun operationele activiteiten en benadrukt de dringende noodzaak voor het versterken van hun digitale beveiliging. Het bedrijf zet zich nu in voor het herstellen van hun systemen en het invoeren van verbeterde beveiligingsmaatregelen om toekomstige aanvallen te voorkomen.

Polypane, gevestigd in België, is een technologiebedrijf dat zich specialiseert in een browser die speciaal is ontworpen voor webontwikkelaars en ontwerpers. De browser biedt diverse tools voor responsief ontwerp, toegankelijkheidstesten en prestatie-optimisatie. Met functies zoals gesynchroniseerd scrollen, live herladen en testen van meerdere weergaven, helpt Polypane om ontwikkelingsprocessen te stroomlijnen en ervoor te zorgen dat websites zowel visueel aantrekkelijk zijn als goed functioneren op verschillende apparaten en onder diverse omstandigheden. Op 22 oktober 2024 om 11:22 uur werd ontdekt dat Polypane slachtoffer was geworden van een ransomware-aanval uitgevoerd door de groep Ransomhub. Deze aanval heeft de noodzaak benadrukt voor versterking van de beveiligingsmaatregelen binnen hun infrastructuur. Polypane werkt momenteel aan het herstellen van hun systemen en het implementeren van robuuste beveiligingsprotocollen om toekomstige bedreigingen te minimaliseren. screenshot

Davis Brothers Inc., werkzaam in de bouwsector, is gespecialiseerd in bouw- en landschapsdiensten. Het bedrijf biedt diverse oplossingen aan, waaronder residentiële en commerciële bouw, terreinvoorbereiding en maatwerk landschapsprojecten. Met een sterke reputatie voor detailgerichtheid en klanttevredenheid, verenigt Davis Brothers Inc. expertise met hoogwaardige materialen om projecten tijdig en binnen budget op te leveren, waarbij zij hun lokale gemeenschap met toewijding bedienen. Op 22 oktober 2024 om 11:25 uur werd ontdekt dat Davis Brothers Inc. getroffen was door een ransomware-aanval uitgevoerd door de groep Ransomhub. Uit onderzoek kwam naar voren dat de aanval naar schatting op 16 oktober 2024 heeft plaatsgevonden. Deze gebeurtenis heeft de noodzaak onderstreept voor verbeterde beveiliging binnen hun digitale platformen. Davis Brothers Inc. is momenteel actief bezig met het herstel van hun systemen en het implementeren van versterkte beveiligingsmaatregelen om toekomstige dreigingen te voorkomen.

BWD Technology, gevestigd in de Verenigde Arabische Emiraten, is actief in de technologiesector en specialiseert zich in het ontwikkelen van innovatieve softwareoplossingen en digitale diensten. Het bedrijf richt zich op het leveren van maatwerkapplicaties, IT-advies en systeemintegratie voor diverse sectoren. Met een sterke toewijding aan kwaliteit en efficiëntie streeft BWD Technology ernaar om bedrijfsprocessen te verbeteren en digitale transformatie voor hun klanten te stimuleren door middel van geavanceerde technologie en deskundige ondersteuning. Op 22 oktober 2024 om 11:28 uur werd ontdekt dat BWD Technology slachtoffer was geworden van een ransomware-aanval uitgevoerd door de groep Ransomhub. Deze aanval heeft hun operationele activiteiten verstoord en benadrukt de noodzaak voor robuuste beveiligingsmaatregelen. BWD Technology werkt momenteel aan het herstellen van hun systemen en het versterken van hun beveiligingsprotocollen om toekomstige aanvallen te voorkomen.

Lpahorticole.faylbillot.educagri.fr is verbonden aan een onderwijsinstelling in Fayl-Billot, Frankrijk, die zich richt op de horticulteur. Als onderdeel van het Franse nationale landbouwonderwijssysteem biedt de instelling programma's die praktische training en theoretische kennis in de horticulteur en aanverwante vakgebieden combineren. Het doel is om studenten voor te bereiden op carrières in de landbouw- en tuinbouwsectoren. Op 22 oktober 2024 om 11:32 uur werd ontdekt dat de instelling slachtoffer was geworden van een ransomware-aanval uitgevoerd door de groep Ransomhub. Deze aanval heeft aanzienlijke verstoringen veroorzaakt binnen de educatieve activiteiten en benadrukt het belang van sterke beveiligingsmaatregelen binnen onderwijsinstellingen. De school is momenteel bezig met het herstellen van hun systemen en het implementeren van verbeterde veiligheidsmaatregelen om de bescherming tegen toekomstige aanvallen te versterken.

TKG, actief in de reclamesector, biedt een breed scala aan digitale marketingdiensten aan klanten in diverse industrieën. Het bedrijf levert oplossingen variërend van website-ontwikkeling en marketingstrategieën tot IT-diensten, met als doel om de digitale aanwezigheid van hun klanten te versterken. Op 22 oktober 2024 om 11:35 uur werd ontdekt dat TKG slachtoffer was geworden van een ransomware-aanval uitgevoerd door de groep Ransomhub. Deze aanval heeft de operationele processen van het bedrijf verstoord en benadrukt de dringende noodzaak voor het versterken van hun digitale beveiliging. TKG is momenteel bezig met het herstellen van hun systemen en het implementeren van versterkte beveiligingsprotocollen om toekomstige aanvallen te voorkomen.

Precision Steel Services, een prominente speler in de productiesector, is gespecialiseerd in hoogwaardige staalproducten. Het bedrijf biedt producten zoals carbon platen, staven en gereedschapsstalen, aangevuld met diverse diensten zoals plasma- en oxy-propyleensnijden, zagen en slijpen. Op 22 oktober 2024, om 13:18 uur, werd ontdekt dat Precision Steel Services het doelwit was van een ransomware-aanval uitgevoerd door de groep Spacebears, met een geschatte aanvalsdatum van 21 oktober 2024. De groep heeft 10GB aan documenten geüpload vanuit een totale schatting van 150GB. De aanval betrof kritieke gegevens zoals financiële documenten, boekhoudrapporten, back-ups, klantendatabases en persoonlijke informatie. Precision Steel Services onderneemt momenteel stappen voor herstel en werkt aan het versterken van hun beveiligingssystemen om verdere dreigingen te voorkomen.

Aerotecnic, gevestigd in Spanje, is een toonaangevend bedrijf in de productiesector dat zich specialiseert in het ontwerp, de productie en de assemblage van luchtvaartcomponenten. Het bedient de wereldwijde luchtvaartindustrie door hoogwaardige structurele onderdelen en assemblages voor vliegtuigen te leveren. Het bedrijf legt de nadruk op innovatie, precisie-engineering en naleving van strenge industrienormen, wat bijdraagt aan de efficiëntie en veiligheid van de moderne luchtvaart. Op 22 oktober 2024 om 14:36 uur werd ontdekt dat Aerotecnic slachtoffer was geworden van een ransomware-aanval uitgevoerd door de groep Blacksuit. Deze aanval heeft de noodzaak onderstreept van sterke beveiligingsmaatregelen binnen hun operationele processen. Aerotecnic is nu bezig met het herstellen van hun systemen en het invoeren van verbeterde beveiligingsprotocollen om verdere risico's te minimaliseren.

Clear Connection, actief in de telecommunicatiesector, was het doelwit van een ransomware-aanval uitgevoerd door de groep Fog. Het bedrijf, dat een prominente rol speelt in de levering van telecommunicatiediensten, werd op 22 oktober 2024 om 14:38 uur geconfronteerd met de ontdekking van deze aanval. Gedurende de aanval heeft de groep 71 GB aan gevoelige gegevens van Clear Connection aangetast. Het incident benadrukt de noodzaak voor robuuste cyberbeveiligingsmaatregelen binnen de telecommunicatie-industrie. Clear Connection is momenteel bezig met het herstellen van hun systemen en het versterken van hun beveiligingsprotocollen om toekomstige aanvallen te voorkomen en om ervoor te zorgen dat hun diensten betrouwbaar blijven voor hun klanten.

Lincoln University, een gerespecteerde instelling in de publieke sector, werd op 22 oktober 2024 om 16:05 uur slachtoffer van een ransomware-aanval uitgevoerd door de groep Fog. Tijdens deze aanval werd 10 GB aan gevoelige gegevens van de universiteit aangetast. Dit incident benadrukt de noodzaak voor versterkte beveiligingsmaatregelen binnen onderwijsinstellingen om de integriteit van academische en administratieve gegevens te waarborgen. Lincoln University werkt momenteel aan het herstel van hun systemen en het implementeren van verbeterde beveiligingsprotocollen. Deze stappen zijn cruciaal om de continuïteit van hun educatieve en administratieve diensten te waarborgen en om toekomstige risico's te minimaliseren.

De Tapioca Foundation, een cryptovalutaproject, is het slachtoffer geworden van een geavanceerde social engineering aanval waarbij $4,7 miljoen werd gestolen. De aanval vond plaats op 18 oktober 2024 en compromitteerde het beheersysteem voor vestingcontracten van het project. Een medeoprichter downloadde onbewust malware tijdens een sollicitatiegesprek, waardoor de hacker toegang kreeg tot smart contracts en aanzienlijke fondsen. Er werd 591 Ethereum, $2,8 miljoen in USD Coin en 30 miljoen TAP-tokens gestolen. Het team heeft 1000 ETH kunnen terughalen, maar een groot deel van de gestolen activa is nog steeds zoek. De stichting biedt nu een beloning van $1 miljoen aan als de resterende $3,7 miljoen wordt teruggegeven. Het incident had een grote impact op de waarde van de TAP-token, die daalde van $1,40 naar 2 cent.

Bron: 1

IdeaLab, gevestigd in de Verenigde Staten, werd op 22 oktober 2024 om 20:40 getroffen door een ransomware-aanval uitgevoerd door de Hunter-groep. Hoewel de specifieke sector waarin IdeaLab actief is niet bekend is, richt de aanval zich op zowel het versleutelen van gegevens als het exfiltreren van gevoelige informatie. Deze dubbele dreiging benadrukt de kwetsbaarheid van organisaties die mogelijk onvoldoende beveiligingsmaatregelen hebben. Het incident onderstreept de dringende noodzaak voor alle bedrijven, ongeacht hun sector, om robuuste cyberbeveiligingsprotocollen te implementeren en regelmatig hun systemen te evalueren om de risico's van dergelijke complexe aanvallen te minimaliseren.

Shipkar Express, een bedrijf gevestigd in India en actief in de transport- en logistieksector, staat bekend om zijn toewijding aan uitmuntende koeriersdiensten. Op 23 oktober 2024, om 01:16, werd Shipkar Express het slachtoffer van een ransomware-aanval door de Killsec-groep. Deze aanval verstoorde hun operationele capaciteiten en vormde een aanzienlijke dreiging voor de continuïteit van hun dienstverlening. Het incident benadrukt het belang voor bedrijven in de transport- en logistieksector om dynamische cyberbeveiligingsstrategieën te hanteren om zich te beschermen tegen opkomende dreigingen en de integriteit van hun diensten te waarborgen.

Tricon Energy, een internationale handelaar en marketeer van petrochemische producten die essentieel zijn als bouwstenen voor eindproducten, is het slachtoffer geworden van een ransomware-aanval door de beruchte Lynx-groep. De aanval werd ontdekt op 23 oktober 2024 om 10:13 uur. Tricon Energy speelt een belangrijke rol in de energiesector, en deze aanval heeft mogelijk gevolgen voor hun wereldwijde operaties. Het bedrijf is gevestigd in de Verenigde Staten en biedt wereldwijd essentiële diensten aan voor de productie van petrochemische goederen.

De Lynx-groep staat bekend om gerichte aanvallen op kritieke infrastructuren en heeft in het verleden aanzienlijke schade aangericht door gegevens te versleutelen en losgeld te eisen. Tricon Energy is momenteel bezig met het evalueren van de impact van de aanval en het herstellen van hun systemen. Verdere details over de omvang van de schade en de reactie van het bedrijf worden nog verwacht.

Elnamagnetics.com, een toonaangevend bedrijf dat gespecialiseerd is in magnetische materialen en componenten, is slachtoffer geworden van een ransomware-aanval door de Ransomhub-groep. De aanval werd ontdekt op 23 oktober 2024 om 10:17 uur. Elnamagnetics.com levert een breed scala aan producten, waaronder ferrietkernen, transformatoren, inductoren en op maat gemaakte magnetische oplossingen. Hun diensten zijn essentieel voor industrieën zoals elektronica, telecommunicatie en de automobielsector.

Het bedrijf, gevestigd in de Verenigde Staten, staat bekend om hun innovatieve aanpak en technische ondersteuning op maat. De Ransomhub-groep heeft een reputatie opgebouwd met aanvallen op bedrijven in de productiesector, waarbij ze gevoelige gegevens versleutelen en vervolgens losgeld eisen. Elnamagnetics.com werkt aan het herstellen van hun systemen en het inschatten van de gevolgen van de aanval, terwijl het onderzoek naar de impact nog gaande is.

Easterseals, een organisatie die vooroploopt in het bevorderen van volledige gelijkheid, inclusie en toegang via levensveranderende diensten voor mensen met een handicap, is het slachtoffer geworden van een ransomware-aanval door de Rhysida-groep. De aanval werd ontdekt op 23 oktober 2024 om 10:19 uur. Als een belangrijke speler in de gezondheidszorg biedt Easterseals essentiële diensten aan gemeenschappen, gericht op het ondersteunen van mensen met een handicap en het bevorderen van hun welzijn.

De Rhysida-groep, berucht om hun aanvallen op zorginstellingen, heeft gevoelige gegevens versleuteld en eist mogelijk losgeld om toegang tot deze data te herstellen. Easterseals, gevestigd in de Verenigde Staten, werkt aan het beoordelen van de impact van de aanval en aan de herstelwerkzaamheden om hun dienstverlening te waarborgen. Verdere details over de aanval en de reactie van het bedrijf worden op korte termijn verwacht.

KEE Process, een toonaangevend bedrijf gespecialiseerd in afvalwaterbehandelingstechnologieën, is het slachtoffer geworden van een ransomware-aanval uitgevoerd door de Meow-groep. De aanval werd ontdekt op 23 oktober 2024. Dit bedrijf heeft een sterke wereldwijde aanwezigheid, met activiteiten verspreid over Europa, Noord-Amerika, Afrika, en Azië. KEE Process voorziet in innovatieve oplossingen voor zowel huishoudelijke als industriële afvalwaterbehandeling. Ze bieden technologieën zoals anaerobe vergisting, aerobe behandeling met roterende biologische contactoren (RBC), ondergedompelde beluchtte filters (SAF), en sequenced batchreactoren (SBR). Daarnaast zijn ze bekend om hun NuDisc-geïntegreerde behandelingssystemen. Hun geavanceerde systemen zoals de Microfloat helpen bij het verminderen van vetten, oliën, en vetten in afvalwater, terwijl de Triton Aerator Mixer zowel voor nitrificatie als denitrificatie in één eenheid zorgt. KEE Process levert uitgebreide diensten, waaronder installatie, onderhoud, en noodondersteuning, en nu is hun vertrouwelijke data helaas in handen van cybercriminelen gevallen.

Mar-Bal, een bedrijf gevestigd in de productie-industrie, is recentelijk aangevallen door de Fog ransomware-groep. Deze aanval werd ontdekt op 23 oktober 2024 om 13:09 uur. Mar-Bal, met zijn wortels in de Verenigde Staten, staat bekend om de vervaardiging van hoogwaardige thermohardende composietproducten en biedt oplossingen aan in verschillende sectoren, zoals de automobiel-, consumentengoederen- en industriële markten. Het bedrijf streeft ernaar innovatieve oplossingen te leveren die voorzien in specifieke behoeften van klanten, variërend van productie tot engineering en ontwerp. Tijdens de aanval maakte de Fog-groep 37 GB aan gevoelige gegevens buit. Hoewel Mar-Bal ernaar streeft zijn bedrijfsvoering te beschermen, zijn dergelijke incidenten steeds gebruikelijker in de huidige digitale wereld. Het incident onderstreept de noodzaak van robuuste cyberbeveiligingsmaatregelen om de integriteit van bedrijfsgegevens te waarborgen.

Het Goshen Centraal Schooldistrict, een belangrijke speler binnen de publieke sector in de Verenigde Staten, is getroffen door een ransomware-aanval uitgevoerd door de Fog-groep. De aanval werd ontdekt op 23 oktober 2024 om 14:30 uur. Dit schooldistrict, bekend om zijn inzet voor kwalitatief hoogstaand onderwijs en zijn betrokkenheid bij de gemeenschap, beheert meerdere scholen en biedt onderwijs aan een diverse leerlingenpopulatie. Tijdens deze cyberaanval werd ongeveer 10 GB aan gevoelige en vertrouwelijke gegevens buitgemaakt. Deze aanval onderstreept de kwetsbaarheid van publieke instellingen voor cyberdreigingen en benadrukt de noodzaak voor het implementeren van versterkte cyberbeveiligingsmaatregelen om de gegevens en belangen van studenten, personeel en de bredere gemeenschap te beschermen. Het incident vormt een ernstige bedreiging voor de vertrouwelijkheid en integriteit van de onderwijsgegevens van het district.

Youngs Timber Builders Merchants, een onafhankelijke leverancier van bouwmaterialen gevestigd in Kent, VK, is het slachtoffer geworden van een ransomware-aanval door de Meow-groep. De aanval werd ontdekt op 23 oktober 2024 om 14:35 uur. Bekend onder de naam Do It Youngs, bedient het zowel vakmensen als doe-het-zelvers met een breed scala aan producten voor bouw en woningverbetering, zoals hout, dakbedekkingsmaterialen, landschapsproducten, en omheiningen. Youngs is bekend om zijn hoogwaardige hout en biedt op maat gemaakte zaag- en machinediensten aan vanuit hun zaagmolen. Ze hebben vestigingen in Biddenden, Dymchurch en Folkestone, wat klanten gemak en vakkennis biedt. Tijdens de aanval werd 64 GB aan vertrouwelijke gegevens gestolen, waaronder persoonlijke gegevens van medewerkers, klantinformatie, contracten, financiële dossiers en transportdocumenten. Dit incident benadrukt het belang van effectieve cyberbeveiligingsstrategieën om de betrouwbaarheid en veiligheid van bedrijfsgegevens te waarborgen.

Wayne County, gelegen in de staat Michigan, Verenigde Staten, is recentelijk getroffen door een ransomware-aanval uitgevoerd door de Interlock-groep. De aanval werd ontdekt op 23 oktober 2024 om 17:34 uur. Als onderdeel van de publieke sector beheert Wayne County een aantal kritieke overheidsfuncties en diensten voor zijn inwoners. Tijdens deze aanval hebben de daders toegang verkregen tot meer dan 130 SQL-databases, inclusief een grote verzameling vertrouwelijke strafrechtelijke onderzoeksdossiers en persoonlijke gegevens van inwoners. Dit incident belicht de toenemende risico's waarmee overheidsinstellingen worden geconfronteerd in de huidige digitale wereld, waar de bescherming van gevoelige informatie van cruciaal belang is. De aanval benadrukt de noodzaak voor robuuste beveiligingsmaatregelen en snelle responsen om de integriteit en veiligheid van openbare gegevens te beschermen tegen kwaadwillende cyberactiviteiten.

By Design LLC, een toonaangevend modebedrijf opgericht in 1994, is het slachtoffer geworden van een ransomware-aanval door de Meow-groep. Deze aanval werd ontdekt op 23 oktober 2024 om 17:36 uur. By Design staat bekend om het empoweren van vrouwen met stijlvolle, comfortabele en betaalbare kleding via hun unieke merken die verschillende stijlen en gelegenheden bedienen. Hun collecties variëren van contemporary mode tot duurzame kledingopties en elegante kleding voor speciale gelegenheden. Tijdens de aanval werd 550 GB aan vertrouwelijke gegevens gestolen, waaronder personeelsbestanden, klantinformatie, betaalgegevens en interne financiële documenten. Dit incident brengt aanzienlijke risico's met zich mee voor de privacy en veiligheid binnen de mode-industrie. Het benadrukt de noodzaak van krachtige cyberbeveiligingspraktijken om de integriteit van gevoelige bedrijfsinformatie te waarborgen en de impact van dergelijke aanvallen effectief te beheersen.

Noord-Koreaanse hackers hebben een geavanceerde phishing-campagne opgezet die software-ontwikkelaars als doelwit heeft. Ze gebruiken een frauduleus NFT-marktplaatsproject genaamd "Bored BeaverTail Yacht Club" om malware genaamd BeaverTail te verspreiden. De aanval begint met een uitnodiging om het NFT-project te verkennen, waarschijnlijk via phishing e-mails of LinkedIn-berichten. Wanneer het slachtoffer het kwaadaardige project downloadt van een GitHub-repository, probeert de BeaverTail-malware een Python-backdoor genaamd Invisible Ferret te downloaden en uit te voeren. Deze backdoor geeft de aanvallers uitgebreide controle over het systeem van het slachtoffer. De gebruikte tactieken komen sterk overeen met die van de Lazarus Group, een bekende Noord-Koreaanse hackersgroep. Ontwikkelaars worden geadviseerd om voorzichtig te zijn met onbekende projectuitnodigingen en links, zelfs als ze van vertrouwde bronnen lijken te komen.

Bron: 1

Een Vietnamese hackersgroep voert sinds juli 2022 een geavanceerde aanvalscampagne uit gericht op digitale marketingprofessionals, vooral specialisten in Meta Ads. De aanvallers verspreiden malware zoals Ducktail en Quasar RAT via phishing-e-mails met kwaadaardige bijlagen. Ze gebruiken geavanceerde technieken om antivirussoftware en sandboxes te omzeilen.

De malware voert uitgebreide controles uit om virtuele omgevingen te detecteren. Als het een echt doelwit identificeert, wordt Quasar RAT geïnstalleerd, wat de hackers volledige controle geeft over het systeem van het slachtoffer. De aanvallers richten zich specifiek op professionals in digitale marketing, e-commerce en prestatiemarketing met op maat gemaakte phishing-lokmiddelen.

Het modulaire karakter van de aanval en het gebruik van geavanceerde ontwijkingstechnieken tonen de adaptiviteit en capaciteiten van de hackersgroep aan. Experts waarschuwen dat deze campagne waarschijnlijk zal blijven groeien.

Bron: 1

De GHOSTPULSE malware, ook wel bekend als HIJACKLOADER of IDATLOADER, heeft zijn tactieken verder ontwikkeld om detectie te ontwijken. Waar de malware voorheen zijn kwaadaardige code verborg in de IDAT-sectie van PNG-bestanden, gebruikt de nieuwste versie nu de pixelstructuur zelf. Dit maakt het nog lastiger voor beveiligingssoftware om de dreiging te ontdekken. Door de RGB-waarden van de pixels te manipuleren, slaat GHOSTPULSE zijn payload op, waarna het deze met een XOR-sleutel en CRC32-hash ontsleutelt. Deze methode stelt de malware in staat om zich te verbergen in ogenschijnlijk onschuldige afbeeldingen. Daarnaast maakt GHOSTPULSE gebruik van social engineering-technieken, zoals nep-CAPTCHAs, om gebruikers te misleiden tot het uitvoeren van schadelijke acties. Beveiligingsonderzoekers van Elastic Security Labs hebben inmiddels nieuwe detectieregels ontwikkeld om deze geavanceerde dreiging tegen te gaan, maar de evolutie van GHOSTPULSE toont aan dat cybercriminelen steeds creatiever worden in hun methodes om onopgemerkt te blijven.

Bron: 1

Een omvangrijke database met meer dan 225.000 Duitse zakelijke contactgegevens is gelekt op het darkweb. De gelekte informatie bevat volledige namen, e-mailadressen, bedrijfsgegevens, functietitels en telefoonnummers. Dit vormt een ernstig risico voor de privacy en veiligheid van bedrijven.

Het datalek kan leiden tot phishing-aanvallen, social engineering-pogingen en ongeoorloofd gebruik van gegevens, wat gevolgen kan hebben voor talrijke bedrijven in verschillende sectoren.

Dit incident benadrukt het belang van sterke gegevensbeschermingsmaatregelen, vooral voor bedrijven die grote hoeveelheden contactinformatie beheren. Hoewel de bron van het lek onduidelijk blijft, wordt getroffen organisaties geadviseerd om hun beveiligingsprotocollen te herzien en waakzaam te zijn tegen mogelijke cyberdreigingen.

De omvang en gevoeligheid van de gelekte gegevens maken dit tot een significante bedreiging voor de Duitse zakelijke gemeenschap.

De gemeente Almere heeft door een foutieve printinstelling persoonlijke gegevens van meer dan 1.500 inwoners gelekt. Het datalek ontstond bij het versturen van brieven waarin inwoners werden herinnerd hun paspoort of identiteitsbewijs te vernieuwen. Door een fout tijdens het afdrukken, kwamen op de achterkant van deze brieven de naam-, adres- en woonplaatsgegevens van een andere inwoner terecht, samen met de datum waarop hun identiteitsbewijs zou verlopen.

De gemeente stuurde na het ontdekken van de fout een herstel- en excuusbrief naar zowel de ontvangers van de verkeerde gegevens als de betrokkenen van wie de informatie onterecht is verspreid. Het datalek is gemeld bij de Autoriteit Persoonsgegevens. De gemeente heeft stappen ondernomen om herhaling te voorkomen door extra controles in te voeren tijdens het printproces en bij de verzending.

Bron: 1

Het Chinese hackerscollectief APT41, dat bekendstaat om zowel spionage- als financiële aanvallen, heeft de gokindustrie doelbewust aangevallen. Gedurende ten minste zes maanden wisten de aanvallers ongemerkt toegang te krijgen tot gevoelige gegevens zoals netwerkconfiguraties en wachtwoorden. Wat opvalt, is dat ze hun aanvallen voortdurend aanpasten op basis van de reacties van de beveiligingsteams. Ze gebruikten onder andere technieken zoals Phantom DLL Hijacking en het misbruiken van legitieme tools zoals wmic.exe om de aanval voort te zetten. Deze langdurige campagne heeft de aandacht getrokken vanwege de financiële motivatie achter de acties van de hackers, waarbij vooral administratieve en ontwikkelaarsaccounts werden aangevallen om toegang te behouden. Hoewel de specifieke toegangsmethode nog niet volledig bekend is, vermoeden experts dat spear-phishing een belangrijke rol speelde.

Bron: 1

Na een onderbreking van vier maanden is de Bumblebee-malwareloader weer actief, ondanks een grootschalige operatie van Europol in mei, genaamd 'Operation Endgame'. Tijdens deze operatie werden meer dan honderd servers in beslag genomen, die verschillende malwarecampagnes ondersteunden, waaronder die van Bumblebee. De malware wordt toegeschreven aan dezelfde ontwikkelaars als TrickBot en wordt gebruikt om ransomware-acteurs toegang te geven tot netwerken van slachtoffers.

Bumblebee verspreidt zich voornamelijk via phishing, malvertising en valse softwaredownloads. In de nieuwste aanvallen wordt een phishingmail gebruikt om slachtoffers te verleiden een schadelijk ZIP-bestand te downloaden. Dit bestand bevat een snelkoppeling die PowerShell activeert om een kwaadaardig MSI-bestand te downloaden, vermomd als een legitieme NVIDIA- of Midjourney-installatie. Deze methode omzeilt beveiligingscontroles en installeert Bumblebee direct in het geheugen.

Ondanks de recente rust, waarschuwen experts voor een mogelijke terugkeer van deze dreiging.

Bron: 1

Hackers hebben een kwetsbaarheid in de Roundcube Webmail-client misbruikt om e-mails en inloggegevens te stelen. De aanvallen, die gericht zijn op overheidsorganisaties in de Gemenebest van Onafhankelijke Staten (CIS), begonnen in juni 2024. De kwetsbaarheid, aangeduid als CVE-2024-37383, maakt gebruik van een cross-site scripting (XSS)-fout die het mogelijk maakt om kwaadaardige JavaScript-code uit te voeren wanneer een speciaal ontworpen e-mail wordt geopend. De aanvallers versturen e-mails zonder zichtbare inhoud, maar met een verborgen payload die inloggegevens verzamelt. Zodra de gebruiker inlogt, worden deze gegevens naar een externe server gestuurd. De hackers kunnen vervolgens ook e-mails exfiltreren door de ManageSieve-plug-in te gebruiken. Systemen die gebruikmaken van verouderde versies van Roundcube (voor versie 1.5.7 en 1.6.7) lopen risico en moeten zo snel mogelijk worden bijgewerkt om verdere aanvallen te voorkomen.

Bron: 1

De Akira-ransomwaregroep blijft zich verder ontwikkelen en richt zich nu op zowel Windows- als Linux-systemen. In 2024 heeft Akira verschillende nieuwe versies van hun ransomware uitgebracht, waaronder een variant in de programmeertaal Rust, die efficiënter werkt dan eerdere versies in C++. Recente aanvallen laten zien dat de groep zich richt op kwetsbare netwerkapparaten, waaronder de SonicWall SonicOS (CVE-2024-40766), waardoor ze op afstand code kunnen uitvoeren op getroffen systemen. Akira combineert datadiefstal met het versleutelen van bestanden, wat slachtoffers onder druk zet om losgeld te betalen om lekken te voorkomen. Het gebruik van de ChaCha8-streamcipher maakt de ransomware bovendien sneller en efficiënter. Door snel in te spelen op nieuwe kwetsbaarheden, blijft Akira een serieuze dreiging, vooral voor kritieke infrastructuren zoals VMware ESXi en Linux-servers. Volgens Cisco Talos zal de groep hun tactieken verder verfijnen om hun effectiviteit te maximaliseren in toekomstige aanvallen.

Bron: 1

De Early Cascade Injection is een nieuwe techniek voor procesinjectie die is ontwikkeld door Guido Miggelenbrink van Outflank. Deze methode is ontworpen om geavanceerde Endpoint Detection and Response (EDR) systemen te omzeilen en biedt cyberaanvallers een nieuw middel om detectie te voorkomen. Early Cascade Injection maakt gebruik van elementen uit eerdere technieken, zoals Early Bird APC Injection en EDR-Preloading, maar met minder interactie tussen processen. Dit vermindert de kans dat beveiligingssystemen verdachte activiteiten oppikken.

Het belangrijkste kenmerk van deze techniek is de timing: de injectie vindt plaats tijdens het aanmaken van een proces, voordat detectiemechanismen volledig actief zijn. Door slim gebruik te maken van geheugen en specifieke callbacks, kan kwaadaardige code worden uitgevoerd zonder dat traditionele beveiligingsmaatregelen worden getriggerd. Early Cascade Injection is getest tegen meerdere toonaangevende EDR-systemen en bleek effectief in het omzeilen van hun detectiemogelijkheden.

Bron: 1

Lumma Stealer is een geavanceerde malware die informatie steelt, zoals wachtwoorden en gegevens uit cryptocurrency-wallets. Deze malware maakt gebruik van sluwe verspreidingstechnieken en wordt vaak ingezet via het Malware-as-a-Service (MaaS) model. Een opvallende tactiek is het gebruik van nep-CAPTCHA-verificaties om slachtoffers te misleiden. Hierbij wordt een Base64-gecodeerd PowerShell-script ingezet dat de malware downloadt zonder dat de gebruiker dit doorheeft. De malware wordt uitgevoerd via betrouwbare Windows-tools zoals mshta.exe, waardoor detectie wordt bemoeilijkt. Door technieken zoals "process hollowing" injecteert Lumma Stealer zichzelf in legitieme programma's en schakelt antivirusprogramma's uit om onopgemerkt te blijven. Vervolgens zoekt het actief naar gevoelige bestanden op het systeem, met een specifieke focus op wachtwoorden en cryptografische gegevens, om deze naar command-and-control servers te verzenden.

Bron: 1

VOIDMAW is een geavanceerde techniek die speciaal is ontworpen om geheugenscanners te omzeilen en schadelijke code te verbergen voor antivirussoftware. Deze techniek maakt het mogelijk om multi-threaded payloads te verbergen en is compatibel met alle Command-and-Control (C2) beacons. Het proces bestaat uit twee onderdelen: Dismantle en Voidmaw. Dismantle laadt de schadelijke code in het geheugen en registreert elke unieke instructie die wordt uitgevoerd. Deze instructies worden vervolgens versleuteld en gemaskeerd, waardoor de code moeilijk te detecteren is. Daarna voert Voidmaw de verwerkte code dynamisch uit, waarbij het telkens slechts één instructie zichtbaar maakt. Hierdoor wordt het voor geheugenscanners vrijwel onmogelijk om de volledige kwaadaardige code te detecteren. Deze open-source techniek markeert een nieuwe stap in het ontwijken van traditionele antivirusmaatregelen en vormt een uitdaging voor beveiligingsprofessionals om hun detectiesystemen verder te verfijnen.

Bron: 1

Een dreigingsactor heeft naar verluidt toegang te koop aangeboden tot de netwerken van de Université Libre de Bruxelles (ULB). De aanval is onderdeel van een groter patroon waarbij onderwijsinstellingen steeds vaker doelwit worden van cybercriminelen. Dergelijke toegang biedt vaak mogelijkheden voor verdere aanvallen, zoals het stelen van persoonlijke gegevens, verstoring van onderwijsactiviteiten of zelfs afpersing. Hoewel details over hoe de toegang werd verkregen beperkt zijn, benadrukt dit incident het groeiende gevaar van cybercriminaliteit binnen de academische wereld. Universiteiten moeten hun beveiligingsmaatregelen aanscherpen om te voorkomen dat gevoelige informatie wordt blootgesteld of misbruikt door kwaadwillende partijen. screenprint

Cryptoplatform Transak heeft een ernstig datalek gemeld waarbij gevoelige gegevens van meer dan 92.000 gebruikers zijn gelekt. Het lek omvat namen, geboortedatums, kopieën van identiteitsbewijzen en selfies. De oorzaak was een geslaagde phishingaanval op een medewerker, waardoor een aanvaller toegang kreeg tot het systeem van Transak's KYC-leverancier.

E-mailadressen, telefoonnummers, wachtwoorden en financiële gegevens zijn niet gecompromitteerd. Transak benadrukt dat de cryptovaluta van gebruikers veilig zijn. Het bedrijf informeert getroffen klanten per e-mail en heeft het incident gemeld bij de relevante privacytoezichthouders.

Als reactie op het lek belooft Transak verbeteringen in training, software en systemen om toekomstige phishing- en social engineering-aanvallen beter te kunnen weerstaan en de impact ervan te beperken.

Bron: 1

Google heeft gemeld dat aanvallers actief misbruik maken van een kwetsbaarheid in bepaalde Samsung-telefoons. Het betreft een beveiligingslek (CVE-2024-44068) in Exynos-processoren van Samsung dat kan leiden tot een use-after-free kwetsbaarheid. Hierdoor kunnen aanvallers code uitvoeren en mogelijk rechten verhogen op het systeem.

Google ontdekte het lek bij onderzoek naar een aanval en rapporteerde het aan Samsung. De aanvallers gebruikten de kwetsbaarheid om willekeurige code uit te voeren in het cameraserver-proces, dat met hogere rechten draait. Samsung bracht begin oktober beveiligingsupdates uit, maar de aanvallen vonden al plaats voordat deze updates beschikbaar waren.

Verdere details over de aanvallen, zoals de doelwitten of daders, zijn niet bekendgemaakt door Google. Samsung zelf maakt geen melding van actief misbruik van deze kwetsbaarheid.

Bron: 1

Onderzoekers van FortiGuard Labs hebben ontdekt dat cybercriminelen zich voorbereiden op de aankomende Amerikaanse verkiezingen. Er zijn meer dan 1.000 nieuwe domeinnamen geregistreerd die potentieel kwaadaardig zijn en gerelateerd aan de verkiezingen. Deze domeinen worden gebruikt voor phishing, desinformatie en andere malafide activiteiten. Op het dark web worden phishing-kits verkocht die politieke leiders imiteren. Daarnaast zijn er grote datasets met persoonlijke gegevens van Amerikaanse kiezers te koop, die kunnen worden misbruikt voor credential stuffing-aanvallen. Experts waarschuwen dat iedereen risico loopt tijdens de verkiezingsperiode, inclusief verkiezingsinfrastructuur, overheidsinstanties, politieke campagnes en mediaorganisaties. Ze raden aan om robuuste cyberbeveiligingsmaatregelen te handhaven en bewust te zijn van beste praktijken op het gebied van cyberbeveiliging. rapporten

Een datalek in de Mexicaanse gezondheidszorg heeft de persoonlijke gegevens van meer dan 5 miljoen patiënten blootgesteld. Het lek werd veroorzaakt door een ontbrekend wachtwoord in een Kibana-instantie, een tool voor datamonitoring en -analyse. De gelekte database van 500GB bevatte gevoelige informatie zoals namen, etnische achtergrond, nationaliteit, religie, bloedgroepen, geboortedata, geslacht, contactgegevens en Mexicaanse identificatienummers (CURP).

Het lek wordt toegeschreven aan eCaresoft Inc., een in Texas gevestigd softwarebedrijf dat ziekenhuisinformatiesystemen ontwikkelt. Hoewel medische dossiers niet zijn gelekt, vormt vooral het vrijkomen van CURP-nummers een risico voor identiteitsdiefstal en fraude. Cybercriminelen kunnen de gegevens misbruiken voor verzekeringsfraude, diefstal en phishing-aanvallen.

Na melding is de open instantie gesloten, maar het is onduidelijk of getroffen personen en zorginstellingen zijn geïnformeerd. Dit incident onderstreept het belang van goede cyberbeveiligingspraktijken in de gezondheidszorg.

Bron: 1

Een nieuwe cyberaanvalcampagne richt zich op blootgestelde Docker Remote API-servers om de perfctl-malware te verspreiden. Aanvallers zoeken naar kwetsbare Docker-servers, maken containers aan in geprivilegieerde modus en voeren schadelijke payloads uit om controle over het hostsysteem te krijgen. De aanval begint met het peilen van de server, gevolgd door het maken van een container en het uitvoeren van een gecodeerde payload. Deze payload probeert uit de container te ontsnappen en een kwaadaardig script aan te maken. De malware gebruikt verschillende ontwijkingstechnieken, zoals het voorkomen van dubbele processen en het opzetten van persistentiemechanismen. Ook worden legitiem ogende bestandsnamen gebruikt en wordt het Tor-netwerk ingezet om activiteiten te verhullen. Organisaties worden aangeraden hun Docker-omgevingen te beveiligen en best practices voor containerbeveiliging te volgen om dergelijke aanvallen te voorkomen.

Bron: 1

Een ernstig beveiligingslek is ontdekt in Styra's Open Policy Agent (OPA) waardoor NTLM-hashes (New Technology LAN Manager) mogelijk gelekt konden worden. Het lek, aangeduid als CVE-2024-8260, treft zowel de CLI als de Go SDK voor Windows. Het probleem ontstaat door onjuiste invoervalidatie, waardoor ongeautoriseerde toegang mogelijk is door het lekken van de Net-NTLMv2-hash van de ingelogde Windows-gebruiker. Voor misbruik is uitgaand SMB-verkeer over poort 445 vereist. Aanvallers kunnen de verkregen inloggegevens gebruiken voor relay-aanvallen of offline kraken. Styra heeft het lek verholpen in versie 0.68.0, uitgebracht op 29 augustus 2024. Experts benadrukken het belang van het beveiligen van open-source projecten en het minimaliseren van publieke blootstelling van diensten om systemen te beschermen.

Bron: 1

Een nieuwe phishing-campagne richt zich op Russischsprekende gebruikers met behulp van het open-source Gophish-framework. De aanvallers verspreiden twee remote access trojans: DCRat en de nieuwe PowerRAT. De campagne maakt gebruik van gelaagde infectieketens via kwaadaardige Word-documenten of HTML-bestanden met JavaScript. Bij opening worden uiteindelijk de trojans geïnstalleerd die systeemverkenning uitvoeren, gevoelige gegevens stelen en verbinding maken met command-and-control servers in Rusland. De aanvallers gebruiken sociale engineering technieken door zich voor te doen als bekende Russische diensten zoals Yandex Disk en VK. Het gebruik van Gophish, dat normaal bedoeld is voor het testen van phishing-verdediging, laat zien hoe cybercriminelen legitieme tools misbruiken voor kwaadaardige doeleinden.

Bron: 1

Er is een proof-of-concept exploit-code gepubliceerd voor een kwetsbaarheid in Microsoft's Remote Registry-client. Deze kwetsbaarheid, aangeduid als CVE-2024-43532, kan worden misbruikt om controle over een Windows-domein te krijgen door de beveiliging van het authenticatieproces te verlagen. Het probleem treft alle Windows Server-versies van 2008 tot 2022, evenals Windows 10 en 11.

De kwetsbaarheid ontstaat wanneer de Remote Registry-client terugvalt op oudere, minder veilige protocollen als SMB-transport niet beschikbaar is. Een aanvaller kan hierdoor NTLM-authenticatie onderscheppen en doorsturen naar andere diensten, zoals Active Directory Certificate Services.

De ontdekker van de kwetsbaarheid, Akamai-onderzoeker Stiv Kupchik, heeft nu een werkende proof-of-concept vrijgegeven en het exploitatieproces toegelicht. Microsoft heeft een patch uitgebracht om het probleem te verhelpen.

Bron: 1

Uit onderzoek van Symantec blijkt dat veel populaire mobiele apps voor iOS en Android onversleutelde inloggegevens voor clouddiensten als Amazon Web Services en Microsoft Azure bevatten in hun broncode. Dit stelt kwaadwillenden in staat om ongeautoriseerde toegang te krijgen tot gevoelige gebruikersgegevens. Onder de getroffen apps zijn Pic Stitch, Meru Cabs en Crumbl, met miljoenen downloads. De inloggegevens zijn per ongeluk in de code terechtgekomen door fouten tijdens de ontwikkeling. Hoewel de aanwezigheid van deze apps op je telefoon niet automatisch betekent dat je gegevens zijn gestolen, kunnen hackers er wel bij komen tenzij ontwikkelaars actie ondernemen. Symantec adviseert ontwikkelaars om best practices te volgen voor het beschermen van gevoelige informatie, zoals het gebruik van omgevingsvariabelen, versleuteling en geautomatiseerde beveiligingsscans tijdens het ontwikkelproces.

Bron: 1

Cybercriminelen maken steeds vaker gebruik van anti-botdiensten op het dark web om Google's "Rode Pagina" waarschuwingen te omzeilen. Deze diensten, zoals Otus Anti-Bot, gebruiken technieken zoals gedragsanalyse, IP-filtering en geolocatie om te voorkomen dat beveiligingsbots verdachte websites markeren. Hierdoor kunnen phishingpagina’s langer actief blijven zonder gedetecteerd te worden. Phishing-as-a-Service (PhaaS) platforms maken het nog eenvoudiger voor criminelen om grootschalige phishingaanvallen op te zetten, zelfs voor degenen met beperkte technische kennis. De anti-botdiensten tonen verschillende inhoud aan beveiligingsbots en echte gebruikers, waardoor ze kunnen voorkomen dat hun pagina’s worden geblokkeerd. Dit brengt een groot risico met zich mee voor zowel bedrijven als gebruikers, die nu langer blootgesteld worden aan phishingaanvallen. Voor cybersecurity-teams vormt dit een groeiende uitdaging, aangezien ze voortdurend nieuwe methoden moeten ontwikkelen om deze evoluerende dreigingen te bestrijden.

Bron: 1

Onderzoekers van Trend Micro hebben een nieuwe aanvalsmethode ontdekt waarbij cybercriminelen de gRPC-protocol in combinatie met h2c (clear text HTTP/2) gebruiken om cryptominers op Docker-servers te installeren. De aanvallers richten zich op kwetsbare Docker API-servers en voeren eerst een scan uit om geschikte doelwitten te identificeren. Vervolgens vragen ze een gRPC/h2c-upgrade aan, waardoor ze onopgemerkt controle krijgen over de server.

Via gRPC-methoden kunnen de aanvallers verschillende functies uitvoeren, zoals bestandsbeheer en SSH-forwarding, wat hen in staat stelt om een cryptominer, SRBMiner, te installeren. De miner gebruikt systeembronnen om de XRP-cryptocurrency te minen. Door gebruik te maken van de Docker API kunnen de aanvallers hun activiteiten verbergen en continu minen zonder opgemerkt te worden. Deze aanval benadrukt het belang van goede beveiliging van containeromgevingen en het monitoren van verdachte activiteiten.

Bron: 1

Een recent rapport onthult een kwetsbaarheid in de detectiemogelijkheden van Secure Email Gateways (SEGs) en antivirusprogramma's, waarbij cybercriminelen gebruikmaken van virtuele harde schijven (VHD's) om malware te verbergen. Deze VHD-bestanden worden als e-mailbijlagen verzonden of via downloadlinks aangeboden, waardoor ze de beveiliging kunnen omzeilen. De bestanden worden gemonteerd als fysieke schijven in Windows, wat het voor slachtoffers gemakkelijk maakt om onbewust malware uit te voeren.

Cybercriminelen hebben deze methode in 2024 veelvuldig ingezet om Remote Access Trojans (RAT's) zoals Remcos en XWorm te verspreiden. Aanvallers gebruiken thema’s zoals belastingaangiftes of verzendupdates om ontvangers te misleiden. De SEG- en antivirusprogramma's detecteren de schadelijke inhoud in veel gevallen niet, wat deze aanvalsmethode bijzonder effectief maakt. Het rapport benadrukt ook dat VHD-bestanden door kleine aanpassingen in bestandshashes nog moeilijker op te sporen zijn.

Bron: 1

De Grandoreiro Trojan, die sinds 2016 actief is en afkomstig uit Brazilië, vormt een groeiende bedreiging voor de financiële sector wereldwijd. Dit malwaretype, dat behoort tot de Tetrade-malwarefamilie, richt zich voornamelijk op het stelen van bankgegevens en het omzeilen van beveiligingsmaatregelen. Hoewel aanvankelijke doelen voornamelijk in Latijns-Amerika lagen, is de Trojan in 2024 uitgegroeid tot een wereldwijde dreiging en richt hij zich op banken in 45 landen, waaronder ook Azië en Afrika. In totaal zijn 1.700 banken en 276 cryptowallets doelwit van deze geavanceerde cyberaanvallen.

De malware blijft zich ontwikkelen en maakt nu gebruik van geavanceerde technieken zoals domeingeneratie-algoritmen en versleuteling om detectie te vermijden. Ondanks samenwerkingen tussen cybersecuritybedrijven zoals Kaspersky en wetshandhavingsinstanties zoals INTERPOL, blijft Grandoreiro actief en zeer winstgevend voor cybercriminelen. Met naar schatting meer dan 150.000 geblokkeerde infectiepogingen in 2024, lijkt de dreiging voorlopig nog niet af te nemen.

Bron: 1

Een cybercrimineel die opereert onder de naam DarkRaaS beweert toegang te hebben tot het cloudsysteem van een groot internationaal inlichtingenbedrijf. Via een forum op het darkweb biedt DarkRaaS deze toegang nu te koop aan. Het zou gaan om een bedrijf met een jaaromzet van 2 miljard dollar, actief in de computer- en netwerkbeveiligingssector.

De claim wordt ondersteund met screenshots die de vermeende toegang tot het systeem moeten aantonen. Als deze bewering klopt, zou het een ernstige inbreuk betekenen op de beveiliging van een organisatie die juist gespecialiseerd is in het beschermen van gevoelige informatie.

Dit incident onderstreept de continue dreiging van cybercriminelen die proberen binnen te dringen in de systemen van grote bedrijven en instellingen, zelfs als deze zelf actief zijn op het gebied van beveiliging en inlichtingen.

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) waarschuwt voor actief misbruik van een ernstige kwetsbaarheid in Microsoft SharePoint. Deze remote code execution-kwetsbaarheid (CVE-2024-38094) werd in juli gepatcht, maar wordt nu actief uitgebuit door aanvallers. Om misbruik te maken moeten aanvallers over SharePoint-inloggegevens en Site Owner-rechten beschikken. Vervolgens kunnen ze willekeurige code injecteren en uitvoeren op de SharePoint-server. Het CISA beschouwt dit als een risico voor overheidsorganisaties en heeft federale instanties opgedragen de patch vóór 12 november te installeren. Hoewel details over de waargenomen aanvallen ontbreken, benadrukt deze waarschuwing het belang van tijdige patchinstallatie, vooral voor kritieke systemen zoals SharePoint die veel gebruikt worden voor bestandsdeling en communicatie binnen organisaties.

Bron: 1

Een e-mailadres van de gemeente Antwerpen is misbruikt voor het versturen van 150.000 phishingmails gericht op cryptowallets. De aanvaller kreeg toegang tot een gebruikersaccount van een stadsmedewerker bij de mailingtool Campaign Monitor. Vervolgens werd het adres support@antwerpen.be aangemaakt om phishingmails te versturen die zogenaamd waarschuwden voor een geblokkeerde MetaMask-wallet. Na ongeveer een uur werd het account geblokkeerd.

Volgens wethouder Caluwaerts is alleen één account gecompromitteerd en niet de hele omgeving. Er zijn geen gegevens van de gemeente geëxporteerd. Het betreffende account is inmiddels verwijderd en voor alle overige accounts is multifactorauthenticatie ingeschakeld. Omdat er geen persoonsgegevens zijn gecompromitteerd, is er geen melding gedaan bij de Belgische privacytoezichthouder. De gemeente heeft maatregelen genomen om herhaling te voorkomen.

Bron: 1

Onderzoekers hebben een nieuwe techniek onthuld, genaamd "Deceptive Delight", die het mogelijk maakt om grote taalmodellen (LLM's) te manipuleren en gevaarlijke inhoud te genereren. Deze methode werd ontwikkeld door Palo Alto Networks Unit 42 en werkt door tijdens een interactieve conversatie geleidelijk de veiligheidsmaatregelen van het model te omzeilen. In slechts drie stappen kan de techniek het model verleiden om ongewenste of zelfs schadelijke antwoorden te geven. Het proces maakt gebruik van de beperkte aandachtsspanne van AI-modellen, waarbij onveilige content vermengd wordt met onschuldige instructies. Dit leidt ertoe dat het model de context verkeerd interpreteert, waardoor gevaarlijke inhoud door de veiligheidsfilters heen kan glippen. Onderzoekers raden aan om strengere contentfilters te gebruiken en de input-outputregels van AI-systemen nauwkeurig te definiëren om deze risico's te beperken.

Bron: 1

Een Noord-Koreaanse spionagegroep, bekend als de Lazarus Group, heeft een tankspelletje genaamd DeTankZone gebruikt om Google Chrome-gebruikers met malware te infecteren. De aanval maakte gebruik van een onbekende kwetsbaarheid in Chrome, die pas later door Google werd gepatcht. Het spel werd gepresenteerd als een DeFi NFT-gebaseerde multiplayer game en was een kopie van een bestaand spel genaamd DeFiTankLand.

De aanvallers begonnen in februari 2024 met het promoten van hun game op X. Via verschillende kwetsbaarheden kon de Manuscrypt-backdoor worden geïnstalleerd, waarmee de hackers volledige controle over geïnfecteerde computers kregen. Vermoedelijk hebben de aanvallers eerst de broncode van het originele spel gestolen om hun eigen versie te maken.

De Lazarus Group, die eerder verantwoordelijk was voor grote cyberaanvallen zoals WannaCry en de Sony Pictures-hack, richt zich meestal op cryptobedrijven. Het gebruik van zero-day exploits maakt hun aanvallen bijzonder gevaarlijk, waarbij zelfs het klikken op een enkele link al kan leiden tot een gecompromitteerd systeem.

Bron: 1

Er is een nieuwe vorm van ransomware ontdekt die specifiek gericht is op macOS-systemen. Deze malware, door securitybedrijf SentinelOne 'NotLockBit' genoemd, doet zich voor als de bekende LockBit-ransomware maar is waarschijnlijk door andere ontwikkelaars gemaakt. De ransomware heeft een dubbele functie: naast het versleutelen van bestanden, steelt het ook data van het getroffen systeem.

Bij een infectie worden eerst bestanden van het slachtoffer naar een Amazon S3-bucket verstuurd, waarna de versleuteling begint. Na voltooiing wordt de achtergrond van het systeem veranderd met een bericht dat de bestanden zijn gestolen en versleuteld. Er zijn al verschillende versies van deze ransomware aangetroffen.

Hoewel macOS-ransomware nog steeds een relatief kleine dreiging vormt, laat deze ontwikkeling zien dat cybercriminelen de effectiviteit van 'double extortion' herkennen. Hierbij worden slachtoffers onder druk gezet om losgeld te betalen door te dreigen met het openbaar maken van gestolen data, ongeacht of ze beschikken over back-ups.

Bron:1

🆕 Samsung Galaxy S24 kwetsbaar voor aanvallen op afstand

Tijdens de Pwn2Own-hackwedstrijd in Ierland heeft onderzoeker Ken Gannon van NCC Group aangetoond dat de Samsung Galaxy S24 kwetsbaar is voor aanvallen op afstand. Hij ontdekte vijf tot nu toe onbekende beveiligingslekken, waaronder een path traversal-kwetsbaarheid. Door deze kwetsbaarheden kon hij toegang krijgen tot het toestel en zelfs een app installeren.

De demonstratie, die Gannon een beloning van 50.000 dollar opleverde, toont aan dat aanvallen mogelijk zijn via verschillende kanalen zoals de standaardbrowser, NFC, bluetooth of wifi. Voor browsergerelateerde aanvallen is alleen het bezoeken van een webpagina voldoende om het toestel te compromitteren.

Samsung is inmiddels op de hoogte gesteld van de beveiligingslekken en werkt aan updates om deze problemen te verhelpen. Het is nog niet bekend wanneer deze updates beschikbaar zullen zijn voor gebruikers. Tot die tijd blijven Galaxy S24-toestellen potentieel kwetsbaar voor deze vorm van aanvallen.

Bron:1

Er is een zorgwekkende ontwikkeling gaande waarbij een cybercrimineel beweert toegang te hebben tot een intern paneel van de Spaanse politie en deze toegang nu te koop aanbiedt. Deze claim is opgedoken in cybercriminele kringen en vormt een potentiële bedreiging voor de veiligheid van politiegegevens. De ernst van deze situatie wordt versterkt door het feit dat toegang tot politiesystemen zeer gevoelige informatie kan bevatten. Als deze claims waar blijken te zijn, zou dit ernstige gevolgen kunnen hebben voor de operationele veiligheid van de Spaanse politie en mogelijk ook voor lopende onderzoeken. De autoriteiten zijn gewaarschuwd en onderzoeken momenteel de authenticiteit van deze beweringen.

Een nieuwe Chinese hackersgroep genaamd IcePeony is ontdekt die sinds 2023 cyberaanvallen uitvoert op overheidsinstellingen, academische instituten en politieke organisaties in Aziatische landen zoals India, Mauritius en Vietnam. De groep maakt gebruik van SQL-injectietechnieken om kwetsbare webservers binnen te dringen en zet vervolgens aangepaste malware in zoals IceCache. IcePeony lijkt vooral uit te zijn op het stelen van inloggegevens, mogelijk in lijn met Chinese nationale belangen in de regio. Aanwijzingen voor de Chinese oorsprong zijn onder meer het gebruik van vereenvoudigd Chinees in de code en werkuren die overeenkomen met de Chinese tijdzone. De onderzoekers kregen inzicht in de geavanceerde tactieken van de groep door operationele fouten die hun aanvalsinfrastructuur blootlegden. IcePeony vormt een significante nieuwe dreiging in het cyberlandschap van Azië.

Bron: 1

Beast Ransomware, ook wel bekend als Monster, is een Ransomware-as-a-Service (RaaS) platform dat sinds 2022 actief organisaties aanvalt. Dit platform is flexibel en biedt cybercriminelen de mogelijkheid om ransomware aan te passen aan verschillende systemen, zoals Windows, Linux en VMware ESXi. Beast gebruikt sterke encryptietechnieken, waaronder elliptische krommen en ChaCha20, en schakelt belangrijke services uit om de versleuteling niet te verstoren.

Wat Beast uniek maakt, is de mogelijkheid om op meerdere platformen te opereren. Het kan bestanden inpakken als ZIP-bestanden op Windows en virtuele machines uitschakelen op Linux en ESXi. De ransomware heeft ook een zelfverspreidingsmechanisme via SMB-scans, waarmee het kwetsbare systemen in hetzelfde netwerk kan infecteren zonder menselijke tussenkomst.

In augustus 2024 voegde Beast een offline builder toe, waarmee aanvallers ook zonder internetverbinding ransomware kunnen genereren voor specifieke doelen.

Bron: 1

Een Frans e-commercebedrijf dat maandelijks ongeveer 50 bestellingen verwerkt, wordt momenteel geveild op het dark web. De website biedt verschillende betaalopties aan, waaronder creditcards en PayPal, en draait op het WordPress-platform met bewerkbare bestanden. De verkoper heeft maandelijkse ordergegevens van juni tot september verstrekt, waaruit een constant transactievolume blijkt.

De veiling begint bij een startbod van 50, met een vaste prijs van 150. Deze verkoop onderstreept de aanhoudende risico's in de e-commercesector, aangezien gecompromitteerde websites regelmatig online worden verhandeld. Dit brengt potentiële gevaren met zich mee voor klantgegevens en financiële details.

Deze situatie benadrukt het belang van robuuste cyberbeveiligingsmaatregelen voor online winkels om de integriteit van hun platforms en de veiligheid van klantinformatie te waarborgen.

De Nederlandsche Bank (DNB) adviseert om contant geld in huis te hebben voor het geval het betalingsverkeer door een cyberaanval of softwarefout wordt platgelegd. DNB ziet cyberaanvallen als een toenemende dreiging voor de Nederlandse economie en financiële sector, met name door ransomwaregroepen en statelijke actoren. De hoge concentratie in het Nederlandse financiële stelsel maakt het extra kwetsbaar. Banken zijn voor veel digitale diensten afhankelijk van dezelfde grote techbedrijven. DNB waarschuwt dat een cyberaanval de financiële dienstverlening tijdelijk kan platleggen. Ook een softwarefout kan grote gevolgen hebben, zoals een recent incident bij CrowdStrike liet zien. DNB-directeur Olaf Sleijpen adviseert minimaal 50 euro contant in huis te hebben, genoeg voor twee dagen boodschappen. De samenleving moet zich bewust zijn van het risico dat financiële dienstverlening kan uitvallen.

Bron: 1

De Autoriteit Persoonsgegevens (AP) meldt in een recent rapport dat er in 2023 meer ransomware-aanvallen in Nederland plaatsvonden dan eerder gedacht. Er werden 178 unieke, geslaagde aanvallen gemeld waarbij persoonlijke gegevens van miljoenen Nederlanders getroffen werden. Uit onderzoek onder 90 getroffen organisaties bleek dat twee derde de basisbeveiliging niet op orde had. Problemen waren onder meer het ontbreken van multifactorauthenticatie, slecht wachtwoordbeleid en het niet tijdig installeren van updates. Bij ongeveer de helft van de onderzochte aanvallen werden ook gegevens buitgemaakt, wat extra schadelijk is voor de privacy. Minstens 8 organisaties betaalden losgeld. De AP maakt zich ernstig zorgen over het beveiligingsniveau en roept organisaties op de basisbeveiliging te verbeteren om weerbaarder te worden tegen ransomware-aanvallen.

Bron: 1

Infosys McCamish Systems (IMS) heeft bekendgemaakt dat naast de eerder gemelde zes miljoen getroffen personen, ook drie andere partijen zijn getroffen door de ransomware-aanval in november 2023. Deze partijen zijn Continental Casualty Company (CNA), The Nolan Financial Group en Wells Fargo, een van de "Big Four" banken in de VS. De precieze omvang en aard van de gelekte informatie is nog onduidelijk. Eerder werd al bekend dat Bank of America, een andere "Big Four" bank, getroffen was door dezelfde aanval, waarbij gegevens van ongeveer 57.000 klanten waren gelekt. IMS, een Amerikaanse dochteronderneming van het Indiase technologiebedrijf Infosys, ontdekte de aanval in november 2023, waarbij bepaalde systemen werden versleuteld en persoonlijke gegevens werden blootgesteld.

Bron: 1

De Amerikaanse beurstoezichthouder SEC heeft vier techbedrijven - Unisys Corp, Avaya Holdings, Check Point Software en Mimecast - beboet voor het misleiden van investeerders over de impact van de SolarWinds-hack in 2020. De bedrijven zouden de gevolgen van de aanval hebben gebagatelliseerd in hun openbare mededelingen. Zo verzweeg Unisys dat gigabytes aan data waren buitgemaakt, terwijl Avaya niet meldde dat ook clouddocumenten waren gecompromitteerd. Check Point gebruikte vage bewoordingen en Mimecast verzweeg details over gestolen code en wachtwoorden. De bedrijven betalen boetes variërend van $990.000 tot $4 miljoen om de zaak te schikken. De SolarWinds-hack, uitgevoerd door Russische staatshackers, trof duizenden organisaties waaronder Amerikaanse overheidsinstellingen. Met deze boetes wil de SEC bedrijven aansporen transparanter te zijn over cybersecurity-incidenten.

Bron: 1

De Amerikaanse Cybersecurity & Infrastructure Security Agency (CISA) heeft nieuwe beveiligingseisen voorgesteld om te voorkomen dat vijandige staten toegang krijgen tot persoonlijke gegevens van Amerikanen en overheidsgerelateerde informatie. De voorstellen richten zich op organisaties die bulkhoeveelheden gevoelige persoonsgegevens of overheidsdata verwerken, vooral als deze worden blootgesteld aan "landen van zorg" of "betrokken personen". De eisen omvatten onder meer het maandelijks bijwerken van een inventaris van IT-middelen, het snel verhelpen van kwetsbaarheden, het afdwingen van multifactorauthenticatie, het verzamelen van logbestanden en het toepassen van encryptie. CISA vraagt om publieke input om het voorstel verder te ontwikkelen. De maatregelen vloeien voort uit een eerder dit jaar door president Biden ondertekend uitvoerend bevel gericht op het aanpakken van ernstige databeveiliging risico's die de nationale veiligheid in gevaar kunnen brengen.

Bron: 1

Tijdens de Pwn2Own-hackwedstrijd in Ierland hebben onderzoekers succesvolle combinaties van aanvallen gedemonstreerd op een QNAP QHora-322-router en een TrueNAS Mini X NAS-apparaat. Ze wisten kwetsbaarheden in beide apparaten te misbruiken zonder dat er op dit moment beveiligingsupdates beschikbaar zijn. Door deze apparaten te compromitteren via verschillende kwetsbaarheden konden de onderzoekers laterale bewegingen uitvoeren, wat betekent dat ze van het ene apparaat naar het andere konden overspringen binnen hetzelfde netwerk. De aanval leverde hen 100.000 dollar op. Naast deze aanval werden ook kwetsbaarheden ontdekt in andere apparaten zoals wifi-camera's, printers en smart speakers. Fabrikanten zijn inmiddels geïnformeerd, zodat ze aan beveiligingsupdates kunnen werken. De details van de kwetsbaarheden worden pas openbaar gemaakt nadat de patches zijn uitgebracht. Dit benadrukt het belang van het beveiligen van thuisnetwerken, zeker nu steeds meer bedrijven afhankelijk zijn van apparaten op thuislocaties door de toename van thuiswerken.

Bron: 1

De Rijksinspectie Digitale Infrastructuur (RDI) heeft vier belangrijke factoren benoemd die de cyberweerbaarheid van digitale ecosystemen bepalen: technische, organisatorische, culturele en wetgevende factoren. Uit onderzoek blijkt dat vooral de organisatorische en culturele aspecten van groot belang zijn. Deze omvatten afspraken, beleid, bewustzijn en vertrouwen tussen de deelnemers. Er zijn twee benaderingen om de weerbaarheid te versterken: het maken van onderlinge afspraken over risicoanalyses en het toepassen van een 'zero trust'-model, waarbij men ervan uitgaat dat andere partijen niet volledig te vertrouwen zijn.

Bron: pdf downloaden