Actuele aanvallen en cyberaanvallen nieuws - huidige week

Gepubliceerd op 22 juli 2024 om 17:42

CYBERAANVALLEN, DATALEKKEN, TRENDS EN DREIGINGEN


2.1 Cyberaanvallen, datalekken, trends en dreigingen nieuws


Deze pagina wordt voortdurend bijgewerkt. Laatste update: 24-juli-2024


CrowdStrike-ceo Getuigt over Wereldwijde IT-Storing

De CEO van CrowdStrike, George Kurtz, is opgeroepen om te getuigen voor een commissie van het Amerikaanse Huis van Afgevaardigden. Deze oproep volgt op een wereldwijde computerstoring veroorzaakt door CrowdStrike's software, die volgens sommigen de grootste IT-storing in de geschiedenis is. De storing heeft geleid tot de annulering of vertraging van meer dan twintigduizend vluchten in de Verenigde Staten, met Delta Air Lines als zwaarst getroffen. Ook andere sectoren zoals banken, gezondheidszorg, media en hulpdiensten ondervonden grote problemen. De commissie benadrukt de noodzaak om de oorzaken van het incident te begrijpen en om te weten welke maatregelen CrowdStrike neemt om herhaling te voorkomen. Ze waarschuwen dat deze storing een bredere implicatie heeft voor nationale veiligheidsrisico's, vooral omdat cyberactoren gesteund door Rusland en China nauwlettend de reactie van de VS volgen. Kurtz moet uiterlijk vandaag een afspraak voor de hoorzitting maken.

Crowd Strike Software Update Letter FINAL Pdf
PDF – 227,6 KB 0 downloads

Kroatische Luxe Makelaar Eurovilla Slachtoffer van Dark Vault Hackergroep

Eurovilla, een vooraanstaande luxe makelaar in Kroatië, is recentelijk het slachtoffer geworden van een cyberaanval door de beruchte Dark Vault hackergroep. De aanvallers hebben ransomware ingezet en eisen een losgeld dat vóór 30 juli 2024 betaald moet worden om verdere schade te voorkomen. Dark Vault staat bekend om hun gerichte aanvallen op prominente bedrijven, waarbij ze gevoelige gegevens versleutelen en losgeld eisen voor de ontgrendeling ervan. Het incident benadrukt de noodzaak voor bedrijven, vooral in de vastgoedsector, om robuuste cybersecuritymaatregelen te implementeren om zichzelf te beschermen tegen dergelijke bedreigingen.


Grootschalige Ransomware-aanval op siParadigm Diagnostic Informatics

siParadigm Diagnostic Informatics is recentelijk het slachtoffer geworden van een ransomware-aanval door de Akira-groep. De hackers hebben naar verluidt 141 GB aan gevoelige gegevens buitgemaakt. Deze gestolen data omvat een breed scala aan persoonlijke informatie, waaronder paspoorten, geheimhoudingsverklaringen (NDAs), vertrouwelijke overeenkomsten, medische rapporten, rijbewijzen, geboorteaktes, burgerservicenummers en andere persoonlijke documenten. Daarnaast zijn ook financiële gegevens en klantinformatie in handen van de cybercriminelen gevallen. De aanval benadrukt wederom de noodzaak voor bedrijven om robuuste cyberbeveiligingsmaatregelen te implementeren om dergelijke incidenten te voorkomen en de privacy van hun klanten te beschermen.


Stormous Introduceert Versie 3 van Ransomware Programma

Stormous heeft de derde versie van hun ransomware programma onthuld, met tal van nieuwe functies en verbeteringen die zorgen voor een betere gebruikerservaring en efficiëntie bij het beheren van slachtoffers. Deze versie, ontwikkeld met GOLang, biedt snelle en volledige bestandsversleuteling en is compatibel met zowel x86- als x64-Windows-platforms. Belangrijke kenmerken zijn onder meer de mogelijkheid om de Taakbeheer te blokkeren, User Account Control (UAC) te omzeilen, en aangepaste losgeldbrieven te maken. De bijbehorende Command & Control (C2) dashboard biedt IP-tracking, statusmonitoring van geïnfecteerde apparaten, en real-time logging van versleutelde bestanden. Andere functies omvatten volledige technische ondersteuning, bescherming tegen detectie door beveiligingsprogramma’s, en een gebruiksvriendelijke interface. De ransomware is geprijsd op $1500 voor levenslange toegang tot het C2-dashboard via het Tor-netwerk.


Cyberaanval verstoort systemen van de stad Cold Lake in Canada

De stad Cold Lake kampt met een cyberveiligheidsincident dat telefoons, betalingssysteem en e-mailverkeer in alle stadsfaciliteiten heeft verstoord. Ondanks de uitdagingen blijven de faciliteiten open met beperkte diensten. Kevin Nagoya, de gemeentesecretaris, meldde dat de cyberaanval rond 5 uur 's ochtends plaatsvond, waarna de servers werden uitgeschakeld om de systemen te beschermen. Er is geen bewijs van datalekken omdat de stad verschillende gescheiden systemen gebruikt. De stad heeft back-upgegevens buiten de locatie opgeslagen, wat helpt bij het herstelproces. Handmatige facturering en alternatieve methoden worden ingezet om de dienstverlening voort te zetten. Telefoondiensten worden zo snel mogelijk hersteld en er wordt hard gewerkt om de situatie onder controle te krijgen. Essentiële diensten zoals afvalbeheer en de werking van het stadhuis gaan door, zelfs als dat handmatige processen vereist. De stad blijft updates geven naarmate ze meer te weten komen over de omvang van het incident. 1


CrowdStrike's Update Fout Door Bug in Controlesysteem

Op vrijdag zorgde een defecte update van CrowdStrike wereldwijd voor computerstoringen. Dit werd veroorzaakt door een bug in het controlesysteem van het bedrijf, waardoor problematische data niet werd opgemerkt. De update betrof nieuwe templates voor de Falcon Sensor-beveiligingssoftware. Bij het laden van deze data ontstond een 'out-of-bounds memory read', wat leidde tot een 'blue screen of death' (BSOD) op Windows-systemen. Als reactie op de incidenten kondigt CrowdStrike verschillende verbeteringen aan. Ze gaan updates grondiger testen en zullen een 'staggered deployment strategy' hanteren om updates geleidelijk uit te rollen. Tevens wordt de monitoring versterkt en krijgen klanten meer controle over de timing en locatie van updates. Daarnaast zullen updates van gedetailleerde release notes worden voorzien om klanten beter te informeren. Deze stappen zijn bedoeld om de betrouwbaarheid van toekomstige updates te waarborgen en dergelijke incidenten te voorkomen. 1


Data van Grootste Autodealer in India Te Koop Op Darkweb

Een dreigingsactor beweert een grote hoeveelheid gegevens te hebben gestolen van een prominente Indiase autodealer, gespecialiseerd in de aan- en verkoop van tweedehands auto's. Het bedrijf, opgericht in 2015, heeft een geschatte waarde van 2 miljard dollar en opereert in India, Thailand, de VAE en Australië. De gestolen gegevens omvatten onder andere KYC-informatie van 70.000 klanten in de VAE, CIBIL-gegevens van 1,8 miljoen gebruikers in India, en beperkte KYC-details van burgers uit Thailand en Australië. Daarnaast zijn er interne communicatie-e-mails, financiële gegevens van de organisatie en API-logs bemachtigd. De dreigingsactor heeft ook toegang tot bepaalde systemen van het bedrijf en eist dat de organisatie hun gegevens terugkoopt, anders worden deze geveild. Als bewijs van hun claims heeft de actor een beperkte sample van de gegevens gedeeld.


Gegevens van 14 Miljoen Chileense Burgers Gelekt

Een dreigingsactor beweert een uitgebreide database met persoonlijke informatie van 14.603.422 Chileense burgers te hebben bemachtigd. Deze gegevens worden te koop aangeboden voor $500 USD en omvatten een PDF-versie uit 2017 en een bijgewerkte CSV-versie. De gelekte informatie bevat onder andere de RUT (het Chileense identiteitsnummer), volledige namen, adressen, regio's en gemeenten van de burgers. Dit datalek roept ernstige zorgen op over de privacy en veiligheid van miljoenen individuen in Chili, aangezien dergelijke gegevens kunnen worden misbruikt voor identiteitsdiefstal, fraude en andere kwaadaardige activiteiten. Het incident benadrukt opnieuw de noodzaak voor betere beveiligingsmaatregelen om de persoonlijke informatie van burgers te beschermen.


Nationale Publieke Database Gedeeltelijk Gelekt (USA)

Een dreigingsactor heeft beweerd dat de Nationale Publieke Database gedeeltelijk is gelekt, waarbij bijna 80 gigabyte aan gevoelige gegevens is buitgemaakt. In een forum post meldde de actor dat een bestand van 37GB, oorspronkelijk gepubliceerd door een andere gebruiker genaamd "pompompedo", hetzelfde is als de data die werd verkregen. Dit bestand bevat gegevens van 250 miljoen Amerikaanse huishoudens, maar is niet opgenomen in de huidige release. Als bewijs van de lek is een voorbeeldbestand gedeeld. De aanval werd toegeschreven aan een dreigingsactor met de naam "Sxul", die benadrukte dat deze actie niet gerelateerd is aan de "UsDoD". Er werd ook vermeld dat een andere forumgebruiker, "Alexa69", betrokken zou zijn bij deze lekken.


ICANN Geeft Waarschuwing aan .top Domein Registry

ICANN heeft de Chinese beheerder van de .top domeinen, Jiangsu Bangning Science & Technology Co. Ltd., gewaarschuwd om tegen midden augustus 2024 effectieve maatregelen te nemen tegen phishing, anders verliezen ze hun licentie om domeinen te verkopen. Deze waarschuwing volgt na bevindingen dat .top het op één na meest voorkomende domein is voor phishing websites, na .com. Uit een recent phishing rapport bleek dat meer dan 117.000 van de 2,76 miljoen .top domeinen in het afgelopen jaar phishing sites waren. ICANN heeft Jiangsu Bangning bekritiseerd voor het niet adequaat reageren op phishing meldingen en achterstallige lidmaatschapsgelden. Daarnaast meldde Interisle Consulting Group een enorme toename van phishing sites gehost via het InterPlanetary File System (IPFS). De waarschuwing van ICANN kan als voorbeeld dienen voor andere top-level domein registries die eveneens betrokken zijn bij grootschalige phishing. Experts benadrukken dat effectieve monitoring en snelle respons essentieel zijn om misbruik van domeinen te voorkomen. 1


Chinese Hackers Introduce New Macma macOS Backdoor

Het Chinese hackergroep Evasive Panda, actief sinds minstens 2012, heeft nieuwe versies van de Macma backdoor en Nightdoor Windows malware geïntroduceerd. Deze groep richt zich op organisaties in Taiwan en een Amerikaanse NGO in China. Evasive Panda maakt gebruik van een flaw in de Apache HTTP server en supply chain-aanvallen om hun malware te verspreiden. De recente Macma-varianten bevatten verbeteringen zoals nieuwe systeemlijsting, geavanceerde audio-opnamefunctionaliteiten, en geparametreerde instellingen voor schermafbeeldingen. Deze malware toont de voortdurende ontwikkeling en verfijning van de tools van Evasive Panda. 1


Hamster Kombat-spelers doelwit van malware-aanvallen

De populaire mobiele game Hamster Kombat, met meer dan 250 miljoen spelers, is een doelwit geworden van malware-aanvallen. Cybercriminelen misleiden spelers door nep-Android- en Windows-software aan te bieden die spyware en informatie-stelende malware installeert. Deze schadelijke software wordt vaak verspreid via Telegram-kanalen die zich voordoen als officiële bronnen. Een van de gedetecteerde malware, genaamd Ratel, onderschept SMS-berichten en meldingen om slachtoffers ongemerkt aan te melden voor dure premiumdiensten. Daarnaast worden er valse websites gebruikt om spelers naar advertenties te leiden of om malware te verspreiden, zoals Lumma Stealer, die zich richt op Windows-gebruikers. Spelers worden geadviseerd om alleen de officiële Telegram-kanalen en website van Hamster Kombat te gebruiken om de game te downloaden en om voorzichtig te zijn met alle andere bronnen die mogelijk schadelijke software bevatten. 1


DeFi-Exchange dYdX v3 Website Gehackt in DNS Hijack Aanval

De gedecentraliseerde financiële crypto-exchange dYdX meldde dinsdag dat de website van hun oudere v3 handelsplatform is gehackt. Gebruikers werden gewaarschuwd om de gehackte website niet te bezoeken of erop te klikken en om geen activa op te nemen totdat de situatie is opgelost. Volgens een incidentrapport zijn de slimme contracten van v3 niet gecompromitteerd en zijn de fondsen veilig. De aanval omvatte het kapen van het domein van de crypto-exchange en het inzetten van een kopie van de website. Wanneer gebruikers hun wallets verbonden, vroegen aanvallers hen goedkeuring te geven voor een transactie om hun waardevolle tokens te stelen. Deze aanval maakt deel uit van een bredere reeks DNS-kapingen gericht op DeFi-platforms die de Squarespace-registrar gebruiken. Tijdens de overgang naar Squarespace werd multi-factor authenticatie (MFA) uitgeschakeld, waardoor domeinen kwetsbaar werden. dYdX heeft inmiddels de controle over de gehackte website teruggekregen en adviseert gebruikers om hun browser te herstarten en de cache te legen voordat ze de website opnieuw bezoeken. 1, 2


Grootschalige datalek bij BreachForums: Gegevens van 212.414 leden openbaar gemaakt

De BreachForums v1 hacking forum, opgericht door Pompompurin na de inbeslagname van RaidForums in 2022, heeft een groot datalek meegemaakt. De persoonlijke informatie van 212.414 leden is online gelekt. Dit forum, bekend omhet verhandelen en lekken van gestolen gegevens, werd snel populair. Na de arrestatie van de oprichter, Conor Fitzpatrick, ook bekend als Pompompurin, in maart 2023, nam de FBI het forum in beslag. De gelekte gegevens bevatten gebruikers-ID’s, inlognamen, e-mailadressen, registratie- en laatst gebruikte IP-adressen. De data werd oorspronkelijk in juni 2023 door Fitzpatrick te koop aangeboden voor $4.000 terwijl hij op borgtocht vrij was. Het lek biedt nu inzicht voor onderzoekers en wetshandhavers om bedreigingsactoren te profileren en te linken aan andere sites en locaties. 1


Inishowen Gateway Hotel getroffen door ransomware-aanval

Het Inishowen Gateway Hotel in Ierland is slachtoffer geworden van een ransomware-aanval uitgevoerd door de INC Ransom groep. De hackers zouden contracten, financiële gegevens, vertrouwelijke informatie, incidentrapporten en overeenkomsten hebben buitgemaakt. Deze aanval benadrukt opnieuw het belang van sterke cyberbeveiligingsmaatregelen voor bedrijven om gevoelige informatie te beschermen tegen dergelijke bedreigingen. Het is essentieel dat organisaties alert blijven en hun beveiligingsprotocollen voortdurend evalueren en bijwerken om zich te wapenen tegen toenemende cyberdreigingen.


Weekoverzicht HackTuesday: 17 - 23 juli 2024

In de week van 17 tot 23 juli 2024 waren er 94 slachtoffers van cyberaanvallen, uitgevoerd door 23 verschillende hackgroepen. De meest actieve groep was LockBit 3.0, met 20 gemelde aanvallen. De Verenigde Staten werden het zwaarst getroffen, goed voor 49% van de slachtoffers. De sectoren die het meest onder vuur lagen, waren de maakindustrie (16% van de doelwitten), gevolgd door de professionele, wetenschappelijke en technische sectoren (15%) en de onderwijssector (12%). De gemiddelde cyberrisicofactor voor deze week was 4,1.


Win Systems Slachtoffer van Akira Ransomware-aanval

Win Systems, een wereldwijd technologiebedrijf in de gaming- en entertainmentindustrie, is getroffen door een aanval van de Akira ransomware-groep. De hackers hebben naar verluidt 10 GB aan gegevens buitgemaakt. Deze gegevens omvatten onder andere paspoorten, identiteitskaarten, creditcards en andere persoonlijke documenten van medewerkers. Daarnaast zijn ook klantgegevens, informatie over casino's, financiële gegevens en andere interne bedrijfsinformatie gestolen. Deze aanval benadrukt de voortdurende dreiging van ransomware en de noodzaak voor bedrijven om robuuste beveiligingsmaatregelen te implementeren om hun gegevens te beschermen tegen cyberaanvallen.


Cyberaanval op Red Art Games: Klantgegevens Gecompromitteerd

Op 23 juli is Red Art Games slachtoffer geworden van een cyberaanval waarbij klantgegevens, waaronder namen, adressen, telefoonnummers en bestelinformatie, zijn gestolen. Het bedrijf adviseert klanten hun wachtwoorden te wijzigen en waakzaam te zijn voor phishingpogingen. Bestellingen en andere transacties zijn tijdelijk opgeschort terwijl de kwetsbaarheid wordt opgelost. Klanten wordt geadviseerd om hun gegevens zorgvuldig te controleren en wachtwoorden te wijzigen, vooral als dezelfde wachtwoorden op andere sites worden gebruikt. Verdere updates zullen via sociale media worden gedeeld. 1


❗️CrowdStrike Waarschuwt voor Gevaarlijke Herstelhandleiding

CrowdStrike heeft organisaties gewaarschuwd voor een valse herstelhandleiding die rondgaat. Deze handleiding lijkt informatie te bieden over het herstellen van systemen die zijn getroffen door een defecte update van CrowdStrike. Het document, gebaseerd op een eerdere blogpost van Microsoft, bevat echter schadelijke macro's. Als deze macro's worden ingeschakeld, downloadt het systeem de Daolpu-malware, die inloggegevens en cookies van browsers zoals Google Chrome en Mozilla Firefox steelt en naar de aanvallers stuurt. Daarnaast werkt CrowdStrike aan een nieuwe hersteltechniek, maar details hierover zijn nog niet bekend. Er zijn ook zorgen over de aansprakelijkheid van CrowdStrike voor de schade. Hoewel bedrijven in het verleden vaak goed zijn weggekomen na soortgelijke incidenten, komt er Europese wetgeving aan die dergelijke vrijwaringen voor softwarefouten zal beperken. Deze wet gaat echter pas over twee jaar in. 1, 2, 3


Waarschuwing voor Misleidende GTA VI-reclames

Recente misleidende advertenties op sociale media beloven toegang tot een beta-versie van het langverwachte spel Grand Theft Auto VI. Deze advertenties bevatten links die zogenaamd naar een GTA VI-launcher leiden, maar in werkelijkheid schadelijke malware downloaden. Deze malware, waaronder info-stealers en Remote Access Trojans (RATs), infecteert de computers van gebruikers. De malafide reclames zijn voornamelijk actief op Facebook en richten zich op jongeren in Europa. Beveiligingsonderzoeker Andrei Mogage benadrukt het gevaar van deze malware die persoonlijke gegevens kan stelen. Hoewel deze nep-beta's nog niet op andere platforms zijn gesignaleerd, blijft de dreiging aanwezig. Gebruikers worden gewaarschuwd om voorzichtig te zijn met verdachte links en niets te downloaden zonder verificatie. Een officiële beta voor GTA VI lijkt voorlopig nog niet beschikbaar te zijn. Wanneer een echte beta wordt aangekondigd, zal dit breed worden gecommuniceerd. Tot die tijd is het belangrijk alert te blijven en verdachte aanbiedingen te vermijden. 1


Uhive Gebruikersgegevens Gelekt op Hacking Forum

Een dreigingsactor heeft beweerd 17.000 gebruikersgegevens van Uhive te hebben gestolen en gelekt op een hacking forum. Deze gegevens zijn verzameld tijdens een airdrop-inschrijving van het sociale netwerk Uhive. Onder de gelekte informatie bevinden zich e-mailadressen, volledige namen, Ethereum-walletadressen en verwijzingen naar bijbehorende Twitter-accounts. Uhive is een platform dat gebruikers in staat stelt wereldwijd te socialiseren, interacties aan te gaan en mensen te vinden terwijl ze de eigen digitale valuta van het netwerk verdienen. Deze datalek onderstreept het belang van strikte beveiligingsmaatregelen bij de verwerking van gevoelige gebruikersinformatie, vooral in het licht van de groeiende dreiging van cyberaanvallen gericht op digitale platforms en blockchain-gebaseerde diensten.


Hacker Aanval Legt Luchthaven van Split Lam

Op 22 juli rond 19.30 uur werd het informatiesysteem van de luchthaven van Split getroffen door een hacker aanval, waardoor het systeem volledig uitviel. Hierdoor konden vluchten en passagiers niet worden verwerkt. Het probleem begon zich tegen 22.30 uur te normaliseren. De vice-directeur van de luchthaven, Pero Bilas, verklaarde dat gespecialiseerde teams hard werken om de gevolgen van de aanval te verhelpen en dat er wordt samengewerkt met luchtvaartmaatschappijen om alternatieve oplossingen te vinden. Bilas vroeg alle passagiers om geduld te hebben terwijl het herstelproces doorgaat. 1


Gevoelige data van Care Vision UK gelekt

Volgens een bericht op een darkweb forum is de database van Care Vision UK gelekt. Care Vision is een cloud-gebaseerd zorgmanagementsysteem voor zorgverleners. De gegevens van 23.535 gebruikers zijn op het darkweb beland. Het lek dateert van juli 2024 en bevat onder meer accountinformatie, contactgegevens, betalingsinformatie en persoonlijke gegevens van gebruikers. De data is in twee delen gedeeld en monsters hiervan zijn door de aanvaller gepubliceerd. Opmerkelijk is dat er geen prijs wordt gevraagd voor deze gelekte gegevens; ze worden gratis aangeboden.


Gegevens van Maybank2u Mogelijk Gelekt op Dark Web Forum

Een vermeende database van Maybank2u, de grootste bank van Maleisië, is gepubliceerd op een darkweb forum. De dreigingsactor beweert dat de database persoonlijke gebruikersgegevens en inloginformatie bevat, zoals namen, wachtwoorden, adressen, geslacht, geboortedata, steden, identiteitsnummers, contactnummers, staten en postcodes. Voor deze gelekte gegevens wordt $18.000 gevraagd, te betalen in USDT of BTC, met een voorkeur voor Chinese klanten. De dreigingsactor heeft monsters van de gelekte data verstrekt en een Telegram-handle voor contactinformatie achtergelaten. De potentiële impact op klanten van Maybank2u en de noodzaak voor verscherpte beveiligingsmaatregelen wordt hiermee opnieuw onderstreept.


Nieuwe DDoS-tool "Cliver" gelanceerd door cybercrimineel

Een cybercrimineel heeft een nieuwe Distributed Denial-of-Service (DDoS) tool genaamd Cliver aangekondigd. Deze tool biedt krachtige mogelijkheden en diverse methoden om webservices te verstoren. Cliver beschikt over verschillende aanvalstechnieken, zoals sterke HTTP/2 header-aanvallen, TLS-floods, en speciale methoden om Cloudflare te omzeilen. Daarnaast bevat het functies zoals browseremulatie om CAPTCHA's te omzeilen. Cliver is een Layer 7 DDoS-panel dat op zowel Linux als Windows kan worden ingesteld. Het kan tot 500.000 verzoeken per seconde sturen met slechts één apparaat en maakt gebruik van automatische scraping en HTTP-proxies. De tool wordt verkocht voor $20, te betalen in verschillende cryptomunten, uitgezonderd Bitcoin en Tether. De lancering van Cliver benadrukt de voortdurende evolutie van DDoS-tools, waardoor het voor kwaadwillenden eenvoudiger wordt om geavanceerde aanvallen uit te voeren. De geavanceerde functies en betaalbaarheid van Cliver onderstrepen het belang van robuuste cyberbeveiligingsmaatregelen voor alle webservices.


Handala Groep Richt Zich op Israëlische Organisaties na CrowdStrike Incident

De Handala Groep heeft onlangs de verantwoordelijkheid opgeëist voor een gerichte phishing-campagne tegen talloze Israëlische organisaties. Hoewel de authenticiteit en volledige omvang van de aanval nog moeten worden bevestigd, heeft de aankondiging tot bezorgdheid geleid binnen de cyberbeveiligingsgemeenschap. De aanval, die volgens de groep gebruikmaakte van een specifieke wiper en FUD-tactieken, zou de gegevensintegriteit van de doelwitten hebben aangetast. De Handala Groep beweert dat tientallen organisaties al meerdere terabytes aan data hebben verloren. Deze aanval lijkt strategisch getimed te zijn om kwetsbaarheden te exploiteren na een recent probleem bij CrowdStrike. De Handala Groep bekritiseerde de Israëlische Nationale Cyber Directoraat (INCD) en waarschuwde dat, als de INCD de getroffen organisaties niet bekendmaakt, zij zelf de lijst openbaar zullen maken. Tot nu toe hebben de INCD en de betrokken organisaties de omvang van de datalekken niet bevestigd. Het blijft afwachten of de claims van Handala worden gestaafd.


Gevoelige Gegevens van Peruaanse Belastingbetalers Mogelijk Gelekt

Op een forum op het darkweb beweert een dreigingsacteur dat de gegevens van 13 miljoen Peruaanse belastingbetalers zijn gelekt. Volgens de forumpost omvatten de gelekte gegevens gevoelige informatie zoals belasting-ID's, namen, status en volledige adressen van de belastingbetalers. Om de claim te onderbouwen, heeft de dreigingsacteur een voorbeeld van de vermeende gegevens gelekt. Er zijn echter geen details verstrekt over de prijs, contactinformatie of de bron van het lek. Dit incident benadrukt opnieuw de voortdurende dreiging van datalekken en de noodzaak voor bedrijven en overheden om hun cyberbeveiliging te versterken om dergelijke gevoelige informatie te beschermen.


Bullhorn-database Gecompromitteerd: 3 Miljoen Gegevens Mogelijk Uitgelekt

De Bullhorn-database is mogelijk gehackt, waarbij een dreigingsactor beweert dat meer dan 3 miljoen records zijn buitgemaakt. Bullhorn, een Amerikaans cloud computing bedrijf, biedt CRM en ATS software voor de wervingsindustrie. Het gelekte materiaal zou gegevens bevatten van bedrijven die Bullhorn gebruiken, hun gebruikers, en werkzoekenden. In totaal zouden 2 miljoen van de records gebruikersdata zijn, terwijl de overige gegevens betrekking hebben op de betrokken bedrijven. De dreigingsactor heeft een sample van de vermeende gegevens gedeeld en accepteert betalingen in XMR of BTC, waarbij een tussenpersoon kan worden ingeschakeld voor de transactie. Prijsinformatie is niet gespecificeerd in het forumbericht, en geïnteresseerden kunnen biedingen indienen.


Databreach bij Good Smile Company

Good Smile Company, een Japanse fabrikant van hobbyproducten en schaalfiguren, is naar verluidt het slachtoffer geworden van een datalek. Een dreigingsactor publiceerde een database op een darkweb-forum met gegevens van 76.474 unieke gebruikers. De gelekte data, afkomstig uit 2024, omvat onder andere klant-ID's, namen, e-mailadressen, bijnamen, klantgroepen, statussen, IP-adressen, geslacht, login-gegevens, type gebruiker en adressen. De dreigingsactor beweert dat de data eenmalig te koop is en accepteert alleen betalingen in XMR (Monero). Geïnteresseerden worden verzocht contact op te nemen via forum privéberichten.


Griekse Kadasterdienst getroffen door reeks van 400 cyberaanvallen

De Griekse Kadasterdienst heeft bekendgemaakt dat zij een beperkte datalek heeft ondergaan na een golf van 400 cyberaanvallen op haar IT-infrastructuur in de afgelopen week. De aanvallers wisten 1,2 GB aan gegevens te stelen, wat slechts een klein deel is van de totale data die door de overheidsorganisatie wordt beheerd. Deze gegevens bevatten geen persoonlijke informatie van burgers, maar bestaan voornamelijk uit administratieve documenten. De hackers probeerden ook een malafide gebruiker aan te maken om toegang te krijgen tot de centrale database, wat mislukte. Een van de dagelijkse back-ups werd echter wel benaderd, maar verdere datadiefstal werd voorkomen. Er zijn geen tekenen van ransomware gevonden, maar als voorzorgsmaatregel zijn alle VPN-toegangen beëindigd, zijn wachtwoorden gereset en is tweefactorauthenticatie verplicht gesteld voor alle medewerkers. Ondanks de aanvallen blijven de digitale diensten van de Kadasterdienst normaal functioneren en zijn transacties met burgers veilig gebleven. 1


Play Ransomware richt zich op VMware ESXi VMs

De Play ransomware-groep heeft een nieuwe Linux-versie van hun ransomware ontwikkeld, speciaal ontworpen om VMware ESXi virtuele machines te versleutelen. Ontdekt door cybersecuritybedrijf Trend Micro, richt deze variant zich specifiek op ESXi-omgevingen, waarbij het controleert of het in een ESXi-omgeving draait voordat het begint met versleutelen. Deze ontwikkeling duidt op een uitbreiding van aanvallen naar het Linux-platform, waardoor de groep een groter aantal slachtoffers kan maken. Door ESXi VMs uit te schakelen, veroorzaken ze ernstige verstoringen in de bedrijfsvoering, terwijl het versleutelen van bestanden en back-ups de herstelopties van de slachtoffers drastisch vermindert. Trend Micro ontdekte ook dat de ransomware gebruikmaakt van URL-verkortingsdiensten van een bedreigingsacteur genaamd Prolific Puma. Na het uitschakelen van alle VMs begint de ransomware met het versleutelen van bestanden en voegt het de extensie .PLAY toe. Deze aanvalsmethode benadrukt de verschuiving van ransomware-groepen naar het aanvallen van ESXi-omgevingen, wat ernstige operationele gevolgen heeft voor de getroffen organisaties. 1


Cyberaanval op Acadian Ambulance (USA)

Op 25 juni heeft Acadian Ambulance te maken gekregen met een aanzienlijke cyberaanval, uitgevoerd door de Daixin ransomware-groep. Lokale media melden dat deze aanval de computersystemen van het bedrijf ernstig heeft verstoord. Hierdoor ondervindt Acadian Ambulance grote hinder in zijn dagelijkse operaties. Het is nog niet bekend hoeveel gegevens zijn gestolen of wat de exacte impact is op de dienstverlening. De aanval benadrukt opnieuw de noodzaak voor bedrijven om hun cyberbeveiliging serieus te nemen en adequate maatregelen te treffen om dergelijke bedreigingen te voorkomen. Cyberbeveiligingsexperts waarschuwen dat ransomware-aanvallen steeds vaker voorkomen en steeds geavanceerder worden.


Cyberaanval op Sibanye-Stillwater: 1,2 TB aan data gestolen

Op 10 juli werd bekend dat het Zuid-Afrikaanse mijnbouwbedrijf Sibanye-Stillwater slachtoffer is geworden van een cyberaanval door de RansomHouse-ransomwaregroep. Deze groep claimt dat ze 1,2 terabyte aan gegevens hebben buitgemaakt. Als gevolg van de aanval kwamen sommige mijnactiviteiten van het bedrijf in Montana tot stilstand. Volgens een woordvoerder van het United Steelworkers-vakbond werden de smeltactiviteiten in Columbus beïnvloed omdat alle geautomatiseerde systemen niet meer functioneerden. Hoewel Sibanye-Stillwater meldde dat alleen de loonadministratie door de aanval was getroffen, blijkt uit andere bronnen dat de impact breder was dan aanvankelijk gemeld. Deze aanval benadrukt opnieuw de kwetsbaarheid van kritieke infrastructuren voor cyberdreigingen.


Llama 3.0 Lek: Wat Gebeurde Er?

Een gebruiker op 4chan beweert het basismodel van Meta's LLaMA 3.1-405B te hebben gelekt, enkele dagen (mogelijk uren) voor de officiële release van Meta LLaMA 3.0. Volgens de verstrekte details zou dit model per ongeluk toegankelijk zijn geweest via een openbare testrepository op HuggingFace. Deze informatie is echter nog niet bevestigd. De speculaties en de betrokkenheid van bekende platformen maken het moeilijk te verifiëren of dit lek daadwerkelijk heeft plaatsgevonden of dat het om een gerucht gaat. Het incident benadrukt de voortdurende risico's en uitdagingen in de digitale beveiliging, vooral bij de omgang met nieuwe technologieën en open-source projecten. Deze situatie roept vragen op over de veiligheid en de juiste omgang met gevoelige gegevens binnen de techgemeenschap, en benadrukt het belang van strenge beveiligingsmaatregelen om dergelijke lekken in de toekomst te voorkomen.


BlackBasta Ransomware-aanval op MEMC (GlobalWafers)

MEMC, onderdeel van GlobalWafers en een toonaangevende producent van geavanceerde halfgeleiders, is getroffen door een ransomware-aanval uitgevoerd door de BlackBasta-groep. Bij deze aanval hebben de hackers naar verluidt 1 TB aan gegevens buitgemaakt, waaronder bedrijfs-, financiële en vertrouwelijke gegevens, alsook personeelsdossiers, onderzoeks- en ontwikkelingsdata, en klantinformatie. Op 13 juni meldde het bedrijf dat hun datasystemen waren aangevallen, wat invloed had op de productielijnen in verschillende faciliteiten. De deadline voor de betaling van het losgeld is vastgesteld op 29 juli 2024.


Europol Waarschuwt voor Gefragmenteerd en Vermeerderd Cybercrimineel Landschap

De nieuwste editie van de Internet Organised Crime Threat Assessment (IOCTA) van Europol toont een verontrustend beeld van de cybercriminaliteit in Europa. De afgelopen jaren zijn ransomware-groepen versnipperd en hebben zich herhaaldelijk onder nieuwe namen gemanifesteerd. Dit fenomeen, samen met het frequente neerhalen van darkweb-marktplaatsen, heeft geleid tot een versnippering en toename van cyberdreigingen. Kleine en middelgrote bedrijven zijn vaak doelwit vanwege hun zwakkere cyberverdediging. Ook nemen digitale skimming en phishing-aanvallen toe, evenals online seksuele afpersing van minderjarigen. Het rapport benadrukt de groeiende rol van kunstmatige intelligentie in cybercrime, met specifieke zorgen over AI-geassisteerd kindermisbruikmateriaal. Daarnaast maken cybercriminelen steeds vaker gebruik van end-to-end encryptie en cryptocurrencies, wat de uitdagingen voor wetshandhaving vergroot. Europol onderstreept de noodzaak voor geavanceerde training en technologieën om deze evoluerende dreigingen effectief te bestrijden en benadrukt het belang van samenwerking tussen rechtshandhavingsinstanties en wetgevers. Meer informatie volgt binnenkort in een artikel op Cybercrimeinfo.


Kwaadaardige Video’s op Telegram: Zero-Day Exploit Ontdekt

Een kwetsbaarheid in Telegram voor Android, genaamd 'EvilVideo', stelde aanvallers in staat om kwaadaardige Android APK-bestanden te versturen die vermomd waren als videobestanden. Deze zero-day exploit werd op 6 juni 2024 voor het eerst verkocht op een Russisch hacking forum door een bedreigingsactor genaamd 'Ancryno'. Onderzoekers van ESET ontdekten de fout na het bekijken van een demonstratie van de exploit. De kwetsbaarheid bevond zich in Telegram-versies 10.14.4 en ouder. Telegram patchte de fout in versie 10.14.5, uitgebracht op 11 juli 2024. Ondanks deze patch hadden aanvallers minstens vijf weken de tijd om de exploit te misbruiken. De kwaadaardige APK's werden automatisch gedownload op apparaten waar Telegram standaard mediabestanden binnenhaalt. Gebruikers werden aangemoedigd om video's met een externe speler te openen, wat leidde tot de installatie van de APK-bestanden. De exploit werkte alleen op Android-apparaten en niet op de web- of desktopversies van Telegram. Gebruikers die vermoeden dat hun apparaat is geïnfecteerd, wordt geadviseerd om een scan uit te voeren met een mobiele beveiligingssuite.


Los Angeles Superior Court (USA) sluit tijdelijk na ransomware-aanval

De Superior Court van Los Angeles County, het grootste gerechtshof in de Verenigde Staten, heeft maandag alle 36 locaties gesloten vanwege een ransomware-aanval die afgelopen vrijdag plaatsvond. De aanval, waarvan de daders nog onbekend zijn, trof zowel externe systemen, zoals het MyJuryDuty Portal, als interne systemen, waaronder het zaakbeheer. De rechtbank besloot om alle netwerksystemen uit te schakelen om verdere schade te voorkomen en werkt nu samen met lokale, staats- en federale autoriteiten om het incident te onderzoeken en de systemen te herstellen. Hoewel er geen aanwijzingen zijn dat er gegevens zijn buitgemaakt, blijven veel kritieke systemen offline. De rechtbank verwacht de sluiting niet langer dan één dag te laten duren en is vastberaden de operaties snel en veilig te hervatten.

NR 7 21 2024 COURT CLOSED TOMORROW AS WORK CONTINUES TO GET SYSTEMS BACK ONLINE AFTER RANSOMWARE ATTACK Pdf
PDF – 548,8 KB 14 downloads

Miljoenenverslindend Herstel na Ransomware-aanval op Amerikaans Suffolk County

Een ransomware-aanval heeft het Amerikaanse Suffolk County al bijna 26 miljoen dollar gekost, aanzienlijk meer dan de eerder geschatte 5,4 miljoen dollar. De aanval, die in december 2021 begon via een kwetsbaarheid in Log4j, stelde aanvallers maandenlang in staat om toegang te krijgen tot diverse systemen en gevoelige informatie van 470.000 inwoners en 26.000 medewerkers te stelen. Door een gebrek aan centrale beveiliging binnen de county werden patches niet tijdig geïmplementeerd, waardoor de aanvallers hun greep konden versterken. Ze installeerden onder andere een remote managementtool en creëerden beheerdersaccounts om toegang te behouden. Uiteindelijk werden verschillende systemen geïnfecteerd met de Alphv-ransomware, wat leidde tot een gedwongen stillegging van systemen en terugkeer naar handmatige processen. Hoewel het county weigerde het geëiste losgeld van 2,4 miljoen dollar te betalen, liepen de herstelkosten op door onder andere juridische uitgaven en de inzet van een securitybedrijf. Het uiteindelijke bedrag kan nog verder stijgen. 1


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Week overzicht slachtoffers

Slachtoffer Cybercriminelen Land Sector Publicatie darkweb ↑

Slachtoffers België en Nederland

Slachtoffer Cybercriminelen Land Sector Publicatie datum darkweb ↑
Meetmoment Aantal organisaties waar data van gelekt is op het darkweb
01-05-2019 (eerste slachtoffer) 1
01-05-2020 85
01-05-2021 2.167
01-05-2022 5.565
01-05-2023 8.292
01-05-2024 13.707
NU: 22-07-2024 14.820

Werkelijk | aantal organisaties waarvan alle gegevens gelekt zijn op het darkweb

Werkelijk Aantal Organisaties Waarvan Gegevens Gelekt Zijn Op Het Darkweb 1 Mei 2019 T M 1 Mei 2024 Png
Afbeelding – 244,1 KB 74 downloads

Prognose | volgens statista.com

Meer weekoverzichten