CYBERAANVALLEN, DATALEKKEN, TRENDS EN DREIGINGEN
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Cybercrimeinfo update: Tot en met 31 maart 2024 publiceren we dagelijks realtime overzichten van slachtoffers van cybercriminaliteit wiens gegevens zijn gelekt op het darkweb. Na deze datum schakelen we over naar een wekelijkse update. Vanaf dan bieden we elke maandag een totaaloverzicht van de gebeurtenissen van de afgelopen week. Lees verder
Cyberaanvallen, datalekken, trends en dreigingen nieuws
Deze pagina wordt voortdurend bijgewerkt. Laatste update: 17-april-2024
Telecomwerknemers benaderd voor SIM-swap fraude
Recent zijn medewerkers van T-Mobile en Verizon in de VS doelwit geworden van cybercriminelen die hen benaderen via sms. De daders bieden werknemers tot $300 aan om mee te werken aan SIM-swap aanvallen, een vorm van fraude waarbij de telefoonnummer van een slachtoffer wordt overgezet op een andere SIM-kaart die de aanvaller controleert. Dit maakt het mogelijk voor de aanvaller om toegang te krijgen tot persoonlijke accounts en gevoelige informatie van het slachtoffer. De aanval is bijzonder zorgwekkend omdat het impliceert dat zelfs interne medewerkers van grote telecombedrijven het doelwit kunnen zijn van dergelijke frauduleuze praktijken. Bedrijven zoals T-Mobile en Verizon hebben reeds stappen ondernomen om hun personeel te waarschuwen en te instrueren hoe te handelen bij dergelijke pogingen. Ze benadrukken het belang van het melden van verdachte activiteiten en versterken de interne veiligheidsprotocollen om zulke aanvallen te voorkomen. [tmo]
🇳🇱 Nederlandse Tuin- en Dierenwinkelketen Ranzijn Doelwit van Cyberaanval
De bekende Nederlandse keten Ranzijn, gespecialiseerd in tuin- en dierenbenodigdheden, is recentelijk het slachtoffer geworden van een cyberaanval uitgevoerd door de groep RA World. De aanval werd op 18 maart 2024 openbaar gemaakt op het darkweb. Ranzijn is actief bezig met het onderzoeken van het incident en neemt maatregelen om verdere schade te voorkomen.
Aanzienlijke financiële impact door cyberaanval op UnitedHealth Group
UnitedHealth Group heeft een verlies van $872 miljoen gerapporteerd als gevolg van een ransomware-aanval op zijn dochteronderneming Change Healthcare. Deze aanval heeft sinds februari ernstige verstoringen veroorzaakt in de Amerikaanse gezondheidszorg. Ondanks deze financiële tegenslag steeg de omzet van het bedrijf jaar op jaar met bijna $8 miljard naar $99,8 miljard. De directe kosten voor het reageren op de cyberaanval bedroegen $593 miljoen, met additionele verliezen door bedrijfsonderbrekingen van $279 miljoen. Bovendien werkt UnitedHealth nog steeds aan het mitigeren van de gevolgen van de cyberaanval voor consumenten en zorgaanbieders, terwijl het financiële hulp biedt aan getroffen aanbieders. [sec, unitedhealthgroup]
Hacking van belastinggegevens in South Carolina gekoppeld aan Russische cybercriminelen
In 2012 werden belasting- en bankgegevens van 3,6 miljoen mensen in South Carolina gestolen door een hack op het ministerie van Financiën van de staat. Dit incident, een van de grootste datalekken in de VS, werd onlangs gelinkt aan een Russische hackgroep bekend van andere grote diefstallen bij bedrijven zoals Home Depot en Target. De aanval begon toen een IT-contractor op een kwaadaardige link klikte. Opvallend genoeg, voor het lek bekend werd gemaakt, bood een cybercrimineel onder de naam 'Rescator' de gegevens te koop aan op verschillende fora. De staat betaalde $12 miljoen aan Experian voor identiteitsbescherming van de getroffen inwoners. Hoewel de hackers veel gegevens hebben buitgemaakt, blijft de officiële betrokkenheid van de vermoedelijke dader, Mikhail Borisovich Shefel, onbevestigd. [krebsonsecurity]
Toename van Bruteforce-aanvallen op VPN- en SSH-Servers
Volgens Cisco is er een significante toename van bruteforce-aanvallen op VPN- en SSH-servers. Deze aanvallen richten zich op verschillende netwerkoplossingen van merken als Cisco, Checkpoint, Fortinet en SonicWall, alsook op RD Web Services en apparatuur van Mikrotik, Draytek en Ubiquiti. Aanvallers gebruiken generieke en specifieke geldige gebruikersnamen voor bepaalde organisaties. De aanvallen, die afkomstig zijn van diverse proxy-diensten en het Tor-netwerk, zijn niet gericht op een specifieke regio of industrie. Cisco waarschuwt dat succesvolle aanvallen kunnen leiden tot ongeautoriseerde netwerktoegang, account lockouts of denial-of-service situaties. Ze verwachten dat het verkeer van deze aanvallen zal blijven toenemen. [talosintelligence]
SteganoAmor-campagne zet steganografie in voor wereldwijde malware-aanvallen
Een nieuwe wereldwijde cyberaanvalscampagne, genaamd "SteganoAmor", uitgevoerd door de hackinggroep TA558, gebruikt steganografie om kwaadaardige codes te verbergen in afbeeldingen. Deze techniek maakt het mogelijk om data onopgemerkt binnen normaal ogende bestanden te verstoppen, waardoor ze niet worden gedetecteerd door gebruikers en beveiligingsproducten. De groep, actief sinds 2018 en vooral gericht op de gastvrijheids- en toerismesector in Latijns-Amerika, heeft meer dan 320 organisaties aangevallen door middel van malafide e-mails met documenten die een bekende kwetsbaarheid in Microsoft Office misbruiken (CVE-2017-11882). De aanval begint met het openen van een document dat een script downloadt, welke op zijn beurt een afbeelding ophaalt met een verborgen kwaadaardige payload. Deze payload wordt vervolgens uitgevoerd om verschillende soorten malware te installeren, waaronder AgentTesla, FormBook, Remcos, LokiBot, Guloader, Snake Keylogger en XWorm. Deze malware varieert van spyware en keyloggers tot trojans die uitgebreide toegang tot de geïnfecteerde systemen mogelijk maken. De schadelijke bestanden worden vaak gehost op legitieme cloudservices zoals Google Drive, waardoor ze minder snel worden gemarkeerd door antivirusprogramma's. De gestolen gegevens worden vervolgens via gecompromitteerde legitieme FTP-servers verstuurd, waardoor het netwerkverkeer normaal lijkt. Door Microsoft Office te updaten kan men zich tegen dergelijke aanvallen beschermen, gezien de gebruikte kwetsbaarheid al jaren bekend en gepatcht is. [ptsecurity]
Datalek bij Cisco Duo door inbreuk op telecommunicatieleverancier
In april 2024 waarschuwde Cisco Duo, een dienst voor multi-factor authenticatie (MFA) en Single Sign-On, voor een datalek veroorzaakt door een cyberaanval op een van hun telecommunicatieleveranciers. Deze aanval resulteerde in de diefstal van SMS en VoIP logbestanden van MFA-berichten, die betrekking hebben op de periode van 1 tot en met 31 maart 2024. De indringer, die toegang verkreeg via gestolen werknemersgegevens uit een phishingaanval, kon hiermee gevoelige informatie downloaden. Hoewel de inhoud van de berichten zelf niet werd gecompromitteerd, bevatten de logbestanden gegevens zoals telefoonnummers, aanbieders, locatiegegevens, en tijdstippen die kunnen worden gebruikt voor gerichte phishingaanvallen. Na de ontdekking van de inbreuk, trof de leverancier onmiddellijk maatregelen door de gecompromitteerde inloggegevens te deactiveren, activiteitenlogboeken te analyseren en extra beveiligingsmaatregelen te implementeren. Cisco Duo heeft de getroffen klanten gewaarschuwd en geadviseerd waakzaam te zijn voor mogelijke phishing of sociale engineering aanvallen met behulp van de gestolen informatie. [securitymsp, duo, google]
Belangrijke inbreuk op Space-Eyes database legt gevoelige Amerikaanse overheidsdocumenten bloot
In april 2024 heeft een dreigingsactor genaamd IntelBroker vermoedelijk de database van Space-Eyes gehackt. Space-Eyes levert diensten die gerelateerd zijn aan de Synthetic Aperture Radar-satelliet en is voornamelijk gericht op het analyseren van bedreigingen in maritieme gebieden. De gelekte database bevatte uiterst gevoelige documenten die cruciaal zijn voor de nationale veiligheid van de Verenigde Staten. Onder de getroffen klanten bevinden zich grote Amerikaanse overheidsinstanties zoals het Ministerie van Justitie, het Ministerie van Binnenlandse Veiligheid, diverse takken van het Amerikaanse leger, het Defense Science and Technology Agency, de US Space Force en het National Geospatial-Intelligence Agency. Als bewijs van de inbreuk heeft IntelBroker stalen van twee CSV-bestanden gedeeld, met daarin gevoelige gegevens zoals persoonsgegevens van geweigerde personen en gebruikersinformatie zoals ID's, namen, titels, contactgegevens, wachtwoorden en organisatorische affiliaties. [darkweb]
Gevaarlijke Zero-Click RCE Exploit Te Koop Voor Android en iOS Apparaten
Een dreigingsactor beweert een zeer ernstige beveiligingskwetsbaarheid te verkopen die Android- en iOS-apparaten kan aanvallen, wat een ernstige bedreiging vormt voor de privacy en veiligheid van gebruikers. Deze kwetsbaarheid maakt externe code-uitvoering (Remote Code Execution, RCE) mogelijk, waardoor aanvallers volledige controle over de getroffen apparaten kunnen krijgen. De verkoper van de exploit heeft echter geen bewijs of concept geleverd, wat twijfels oproept over de echtheid van het aanbod. De exploit maakt gebruik van zowel zero-click als one-click aanvalsscenario's. In het zero-click scenario kan kwaadaardige code worden uitgevoerd zonder enige interactie van de gebruiker, mogelijk getriggerd door eenvoudige acties zoals het ontvangen van een bericht of het bekijken van een afbeelding. Zelfs wanneer enige interactie van de gebruiker noodzakelijk is in het one-click scenario, blijft de exploit effectief door veelvoorkomende vectoren zoals SMS-berichten of afbeeldingsbestanden te misbruiken. Eenmaal uitgebuit, kunnen aanvallers een reeks kwaadaardige activiteiten uitvoeren, van het exfiltreren van gegevens tot het installeren van extra malware. Bovendien kunnen aanvallers gecompromitteerde apparaten gebruiken om verdere aanvallen te lanceren, wat een aanzienlijk risico vormt voor zowel individuele gebruikers als de bredere netwerkveiligheid. [darkweb]
Ongeautoriseerde Toegang tot Snapchat's OKTA Portal Aangeboden
Een cybercrimineel biedt ongeautoriseerde toegang aan tot de OKTA Portal van Snapchat. Deze portal is essentieel voor medewerkers om verschillende functies van SNAP te beheren, inclusief Spotlight. Volgens berichten heeft de aanvaller volledige toegang verkregen tot het Okta-systeem, de bedrijfsemail en het twee-stapsverificatieproces, dat momenteel gebruik maakt van Duo Mobile zonder een gekoppelde telefoon. Deze toegang zou de aanvaller in staat stellen om gebruikersauthenticatie voor applicaties te beheren en beveiligen, en stelt ontwikkelaars in staat om identiteitscontroles in te bouwen in applicaties, webdiensten en apparaten. Okta Inc., gevestigd in San Francisco, is een Amerikaans bedrijf gespecialiseerd in identiteits- en toegangsbeheer en biedt cloudsoftware die helpt bij het beheren van gebruikersauthenticatie en het beveiligen van toegang tot applicaties. [Darkweb]
🇳🇱 Groot Datalek bij Nexperia: 1TB Gevoelige Informatie Op Darkweb
Op 10 april 2024 onthulden cybercriminelen van Dunghill Leak een massief datalek bij Nexperia, een Nederlandse fabrikant van elektronische componenten. Het lek omvat 1 terabyte aan gevoelige data, waaronder kwaliteitscontrolegegevens, klantendossiers van grote merken zoals SpaceX en Apple, en gedetailleerde projectdata. Ook bevat het industriële productie-instructies en vertrouwelijke informatie over halfgeleidertechnologieën. Persoonlijke gegevens van medewerkers en uiterst geheime ontwerptekeningen van halfgeleiders werden eveneens blootgesteld. Gelukkig hebben nog maar weinig hackers de data ontdekt; toen ik het ontdekte, stond de teller slechts op één. [ccinfo]
Mijn gegevens staan op darkweb, wat nu?
Het is belangrijk om snel en zorgvuldig te handelen als je persoonlijke gegevens gestolen zijn door een hack. Hier zijn enkele stappen die je kunt nemen:
-
Informeer je werkgever: Zorg ervoor dat je werkgever op de hoogte is van het feit dat jouw gegevens gestolen zijn, ook al is de hack bij hen bekend. Vraag naar de maatregelen die zij nemen en welke hulp zij bieden, zoals identiteitsbescherming of juridische bijstand.
-
Contact opnemen met de bank: Als financiële informatie of identiteitsgegevens zijn gestolen, informeer dan je bank of financiële instellingen. Zij kunnen je account monitoren op verdachte activiteiten en waar nodig preventieve maatregelen nemen.
-
Waarschuw de autoriteiten: Doe aangifte bij de politie. Dit is belangrijk voor het officiële onderzoek en kan ook van belang zijn voor eventuele verzekeringsclaims of schadevergoedingen.
-
Fraude alert plaatsen: Overweeg om een fraude alert te plaatsen op je naam bij kredietregistratiebureaus. Dit waarschuwt kredietverstrekkers om extra controles uit te voeren voordat ze krediet verlenen in jouw naam.
-
Paspoort en identiteitsfraude: Meld het verlies van je paspoort bij de gemeente en vraag een nieuw paspoort aan. Het is ook verstandig om een melding te maken bij het Centraal Meldpunt Identiteitsfraude en -fouten (CMI) van de Rijksoverheid.
-
Monitoring en bescherming: Blijf waakzaam op tekenen van identiteitsdiefstal. Overweeg je aan te melden voor een dienst die je identiteit en kredietstatus monitort. Controleer regelmatig je bankrekeningen en volg je credit score.
-
Verander wachtwoorden en beveiligingsinstellingen: Als inloggegevens zijn gecompromitteerd, wijzig dan onmiddellijk je wachtwoorden voor alle relevante accounts, met name je e-mailaccounts en accounts die linken naar financiële informatie.
-
Blijf geïnformeerd: Blijf op de hoogte van het laatste nieuws over de hack van je werkgever, en volg alle aanbevolen stappen van zowel je werkgever als de autoriteiten.
Het is cruciaal om actie te ondernemen om verdere schade te voorkomen en je rechten te beschermen.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Week overzicht slachtoffers
Cybercrimeinfo update: Tot en met 31 maart 2024 publiceren we dagelijks realtime overzichten van slachtoffers van cybercriminaliteit wiens gegevens zijn gelekt op het darkweb. Na deze datum schakelen we over naar een wekelijkse update. Vanaf dan bieden we elke maandag een totaaloverzicht van de gebeurtenissen van de afgelopen week. Lees verder
Slachtoffer | Cybercriminelen | Land | Sector | Publicatie darkweb ↑ |
---|---|---|---|---|
Ranzijn | RA World | Netherlands | Garden-pet retail | 18-mrt-24 |
Slachtoffers België en Nederland
Slachtoffer | Cybercriminelen | Land | Sector | Publicatie datum darkweb ↑ |
---|---|---|---|---|
Ranzijn | RA World | Netherlands | Garden-pet retail | 18-mrt-24 |
Meetmoment | Aantal organisaties waar data van gelekt is op het darkweb |
---|---|
01-05-2019 (eerste slachtoffer) | 1 |
01-05-2020 | 85 |
01-05-2021 | 2.167 |
01-05-2022 | 5.565 |
01-05-2023 | 8.292 |
01-05-2024 | ? |
NU: 15-04-2024 | 13.166 |
In samenwerking met StealthMole
Sponsor Cybercrimeinfo
Meer weekoverzichten
Overzicht cyberaanvallen week 47-2022
First click here and then choose your language with the Google translate bar at the top of this page ↑
Overzicht cyberaanvallen week 46-2022
First click here and then choose your language with the Google translate bar at the top of this page ↑
Overzicht cyberaanvallen week 45-2022
First click here and then choose your language with the Google translate bar at the top of this page ↑
Overzicht cyberaanvallen week 44-2022
First click here and then choose your language with the Google translate bar at the top of this page ↑
Overzicht cyberaanvallen week 43-2022
First click here and then choose your language with the Google translate bar at the top of this page ↑
Overzicht cyberaanvallen week 42-2022
First click here and then choose your language with the Google translate bar at the top of this page ↑