Actuele aanvallen en cyberaanvallen nieuws - huidige week

Gepubliceerd op 25 maart 2024 om 15:44

EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Land Sector Publicatie darkweb ↑
Avant IT Norway Ransomhub In progress In progress 28-mrt-24
Lakes Precision Akira In progress In progress 28-mrt-24
Santa Cruz Seaside Akira In progress In progress 28-mrt-24
Neurobehavioral Medicine Consultants BianLian In progress In progress 28-mrt-24
Florida Memorial University INC Ransom In progress In progress 28-mrt-24
Exela Technologies Hunters International USA IT Services 28-mrt-24
Keboda Technology Co., Ltd. BianLian In progress In progress 28-mrt-24
Reeves-Wiedeman BianLian In progress In progress 28-mrt-24
PT Bank Pembangunan Daerah Banten Tbk Medusa Indonesia Depository Institutions 28-mrt-24
Primeimaging Everest USA Health Services 28-mrt-24
anovahealth.com LockBit South Africa Chemical Producers 27-mrt-24
Otolaryngology Associates INC Ransom USA Health Services 27-mrt-24
Boingo Graphics PLAY USA Publishing, printing 27-mrt-24
Pavilion Construction PLAY USA Construction 27-mrt-24
bulwarkpestcontrol.com Black Basta USA Miscellaneous Services 27-mrt-24
lagunitas.com Black Basta USA Food Products 27-mrt-24
carolinafoodsinc.com Black Basta USA Wholesale Trade-non-durable Goods 27-mrt-24
ero-etikett.com Black Basta Germany Publishing, printing 27-mrt-24
amerlux.com Black Basta USA Electronic, Electrical Equipment, Components 27-mrt-24
organizedliving.com Black Basta USA Miscellaneous Manufacturing Industries 27-mrt-24
mjcelco.com Black Basta USA Fabricated Metal Products 27-mrt-24
kmbdg.com Black Basta USA Engineering Services 27-mrt-24
pctinternational.com Black Basta USA Communications 27-mrt-24
theshootingwarehouse.com Black Basta USA Wholesale Trade-non-durable Goods 27-mrt-24
vilis.com Black Basta Australia Food Stores 27-mrt-24
pstrans.com Black Basta USA Motor Freight Transportation 27-mrt-24
fpdcompany.com Black Basta USA Aerospace 27-mrt-24
northamericansigns.com Black Basta USA Miscellaneous Manufacturing Industries 27-mrt-24
Mermet Akira USA Textile Mill Products 27-mrt-24
Tbr Kowalczyk PLAY Poland Accounting Services 27-mrt-24
JM Thompson PLAY USA Construction 27-mrt-24
Weld Plus PLAY USA Engineering Services 27-mrt-24
Festspielhaus Baden-Baden PLAY Germany Amusement And Recreation Services 27-mrt-24
West Monroe PLAY USA Business Services 27-mrt-24
Frawner PLAY USA Construction 27-mrt-24
Alber Law Group PLAY USA Legal Services 27-mrt-24
Hartz PLAY USA Miscellaneous Manufacturing Industries 27-mrt-24
Quality Enclosures PLAY USA Wholesale Trade-durable Goods 27-mrt-24
Lawrence Semiconductor Research Laboratory PLAY USA Electronic, Electrical Equipment, Components 27-mrt-24
Lambda Energy Resources PLAY USA Oil, Gas 27-mrt-24
qosina.com Cactus USA Measuring, Analyzing, Controlling Instruments 27-mrt-24
lifelinedatacenters.com LockBit USA IT Services 27-mrt-24
pcscivilinc.com LockBit USA Construction 27-mrt-24
krueth.de LockBit Germany Machinery, Computer Equipment 27-mrt-24
countryvillahealthservices.com LockBit USA Health Services 27-mrt-24
dkpvlaw.com LockBit USA Legal Services 27-mrt-24
tmt-mc.jp LockBit Japan Machinery, Computer Equipment 27-mrt-24
contenderboats.com Cactus USA Transportation Equipment 27-mrt-24
Lieberman LLP BianLian USA Accounting Services 27-mrt-24
HC Querétaro 8BASE Mexico Rubber, Plastics Products 27-mrt-24
UNDP 8BASE USA Membership Organizations 27-mrt-24
Lindos Group Of Companies 8BASE Bermuda Food Stores 27-mrt-24
isophon glas GmbH 8BASE Germany Miscellaneous Manufacturing Industries 27-mrt-24
Miki Travel Limited Snatch United Kingdom Transportation Services 27-mrt-24
Summer Fresh Qilin Canada Food Products 27-mrt-24
nampak.com LockBit South Africa Fabricated Metal Products 27-mrt-24
NHS Scotland INC Ransom United Kingdom Health Services 26-mrt-24
MarineMax Rhysida USA Automotive Dealers 26-mrt-24
El Debate Rhysida Mexico Publishing, printing 26-mrt-24
polycab.com LockBit India Electronic, Electrical Equipment, Components 26-mrt-24
Barrie and Community Family Health Team INC Ransom Canada Health Services 26-mrt-24
Tanis Brush Akira USA Miscellaneous Manufacturing Industries 26-mrt-24
Koi Design Akira USA Apparel And Accessory Stores 26-mrt-24
Crimsgroup Everest USA Oil, Gas 26-mrt-24
Affiliated Dermatologists and Dermatologic Surgeons BianLian USA Health Services 26-mrt-24
Bira 91 BianLian India Food Products 26-mrt-24
ptsmi.co.id Qilin Indonesia Security And Commodity Brokers, Dealers, Exchanges, And Services 26-mrt-24
Casa Santiveri Qilin Spain Chemical Producers 26-mrt-24
Burnham Wood Charter Schools Qilin USA Educational Services 26-mrt-24
Big Issue Group Qilin United Kingdom Publishing, printing 26-mrt-24
Woodsboro ISD Ransomhub USA Educational Services 26-mrt-24
flynncompanies.com Black Basta Canada Construction 26-mrt-24
regencymedia.com.au LockBit Australia Publishing, printing 26-mrt-24
wblight.com LockBit USA Wholesale Trade-durable Goods 25-mrt-24
CLARK Material Handling Company Hunters International USA Machinery, Computer Equipment 25-mrt-24
Dunbier Boat Trailers DragonForce Australia Transportation Equipment 25-mrt-24
Teton Orthopaedics DragonForce USA Health Services 25-mrt-24
Greenline Service DragonForce USA Miscellaneous Retail 25-mrt-24
European Centre for Compensation Akira Poland Legal Services 25-mrt-24
Vita IT Akira Belize IT Services 25-mrt-24
Calida Akira Australia Construction 25-mrt-24
SKS Bottle & Packaging Akira USA Rubber, Plastics Products 25-mrt-24
Viridi Parente Akira USA Electronic, Electrical Equipment, Components 25-mrt-24
kh.org ThreeAM USA Health Services 25-mrt-24
Y. Hata & Co., Ltd. Underground USA Wholesale Trade-non-durable Goods 25-mrt-24
Regina Dental Group Medusa Canada Educational Services 25-mrt-24
Impac Mortgage Holdings Medusa USA Non-depository Institutions 25-mrt-24
Ejército del Per INC Ransom Peru National Security And International Affairs 25-mrt-24
Law Offices of John V. Orrick, P.L. INC Ransom USA Legal Services 25-mrt-24
Pantana CPA INC Ransom USA Accounting Services 25-mrt-24
Law Offices of John V. Orrick INC Ransom USA Legal Services 25-mrt-24

Slachtoffers België en Nederland

Slachtoffer Cybercriminelen Land Sector Publicatie datum darkweb ↑
Meetmoment Aantal organisaties waar data van gelekt is op het darkweb
01-05-2019 (eerste slachtoffer) 1
01-05-2020 85
01-05-2021 2.167
01-05-2022 5.565
01-05-2023 8.292
01-05-2024 ?
NU: 29-03-2024 12.936

Cybercrimeinfo update: We blijven tot 31 maart 2024 de overzichten van cybercriminaliteitsslachtoffers wiens gegevens zijn gelekt op het darkweb publiceren. Na deze datum moeten we, door financiële beperkingen, helaas stoppen met deze updates. Lees verder

Werkelijk | aantal organisaties waarvan alle gegevens gelekt zijn op het darkweb

Prognose | volgens statista.com

In samenwerking met StealthMole

Sponsor Cybercrimeinfo


Cyberaanvallen nieuws


Deze pagina wordt voortdurend bijgewerkt. Laatste update: 29-maart-2024


Hot Topic Getroffen door Herhaalde Credential Stuffing Aanvallen

In november zijn twee grote aanvallen van credential stuffing gericht geweest op de Amerikaanse detailhandelaar Hot Topic, waarbij persoonlijke gegevens en gedeeltelijke betaalinformatie van klanten zijn blootgesteld. Hot Topic, bekend om zijn fast-fashion keten, telt meer dan 10.000 werknemers verspreid over ruim 630 winkels in de VS en Canada, naast het hoofdkantoor en twee distributiecentra. Bij deze aanvallen maken cybercriminelen gebruik van geautomatiseerde tools om inlogpogingen te doen met eerder gelekte gebruikersnamen en wachtwoorden, een methode die effectief is wanneer gebruikers dezelfde inloggegevens op meerdere platforms gebruiken. De aanvallers hebben specifiek Hot Topic Rewards accounts getarget met inloggegevens van een onbekende externe bron. Ondanks het onderzoek kon Hot Topic niet vaststellen welke accounts daadwerkelijk door onbevoegden zijn benaderd. Potentieel blootgestelde informatie omvat namen, e-mailadressen, bestelgeschiedenis, telefoonnummers, geboortedata en adresgegevens, met slechts toegang tot de laatste vier cijfers van betalingskaarten. In reactie op de aanvallen heeft Hot Topic samen met cybersecurity experts botbeschermingssoftware geïmplementeerd en vereist het bedrijf van getroffen klanten om hun wachtwoorden te wijzigen. Dit incident volgt op vijf eerdere golven van credential stuffing aanvallen op Hot Topic klanten in het afgelopen jaar, wat de noodzaak onderstreept voor verbeterde beveiligingsmaatregelen en bewustwording rond het gebruik van unieke inloggegevens. [pdf]


PyPI neemt maatregelen tegen malware-campagne

De Python Package Index (PyPI), een cruciale verzamelplaats voor Python-projecten, heeft de registratie van nieuwe gebruikers en het aanmaken van nieuwe projecten tijdelijk stopgezet. Deze actie is een directe reactie op een aanhoudende malware-campagne die het platform treft. PyPI, bekend om zijn uitgebreide verzameling van Python-pakketten, trekt kwaadwillenden aan die vervalste of typografisch gelijkende pakketten uploaden om softwareontwikkelaars en mogelijke supply-chain aanvallen te compromitteren. Recent heeft PyPI, na signalering van verdachte activiteiten, besloten alle nieuwe gebruikersregistraties te pauzeren om de kwaadaardige activiteiten te mitigeren. Een rapport van Checkmarx onthult dat bedreigers 365 pakketten met misleidende namen op PyPI hebben geüpload, bevattende schadelijke code in de 'setup.py' bestanden die een extra payload van een externe server probeert te halen. Deze payload, een info-stealer met mogelijkheden tot persistentie, richt zich op gegevens opgeslagen in webbrowsers, waaronder inlogwachtwoorden en cookies. Het incident benadrukt het belang voor softwareontwikkelaars en pakketbeheerders om de authenticiteit en veiligheid van gebruikte componenten in hun projecten nauwgezet te verifiëren. Dit is niet de eerste keer dat PyPI dergelijke strenge maatregelen neemt om zijn gemeenschap te beschermen tegen kwaadwillige inzendingen, een vergelijkbare actie werd vorig jaar ook ondernomen. [checkmarx, checkpoint]


Aanpak en Risico's van Password-Spraying Aanvallen op VPN-Diensten

Cisco heeft aanbevelingen gepubliceerd om de risico's van password-spraying aanvallen op Remote Access VPN (RAVPN) diensten, die geconfigureerd zijn op Cisco Secure Firewall apparaten, te beperken. Deze aanvallen, die ook andere remote access VPN-diensten targeten, maken deel uit van verkennende activiteiten waarbij aanvallers dezelfde wachtwoorden op meerdere accounts uitproberen om toegang te krijgen. Cisco identificeerde verschillende indicatoren van compromittering (IoCs) om deze aanvallen te detecteren en te blokkeren, waaronder de onmogelijkheid om VPN-verbindingen te vestigen met Cisco Secure Client (AnyConnect) wanneer Firewall Posture (HostScan) is ingeschakeld en een ongewoon aantal authenticatieverzoeken in systeemlogs. Als verdedigingsmaatregelen adviseert Cisco onder meer het inschakelen van logging naar een externe syslog-server, het beveiligen van standaard remote access VPN-profielen door ongebruikte standaardconnectieprofielen naar een sinkhole AAA-server te wijzen, het handmatig blokkeren van kwaadaardige IP's met TCP shun, het configureren van controlepaneel ACL's om ongeautoriseerde publieke IP-adressen te filteren, en het gebruik van op certificaten gebaseerde authenticatie. Beveiligingsonderzoeker Aaron Martin wijst op een verband tussen de waargenomen aanvallen en een niet-gedocumenteerd malwarenetwerk genaamd ‘Brutus’, gekenmerkt door specifieke doelwitten en aanvalspatronen. Dit netwerk maakt gebruik van 20.000 IP-adressen wereldwijd en heeft initieel SSLVPN-apparaten van Fortinet, Palo Alto, SonicWall, en Cisco getarget, en richt zich nu ook op webapps die Active Directory gebruiken voor authenticatie. Dit benadrukt de noodzaak van waakzaamheid en implementatie van Cisco's aanbevelingen om dergelijke geavanceerde aanvallen af te weren. [cisco]


Nieuwe Golf van Android-bankmalware Verspreid via Vervalste McAfee Security-app

Criminelen hebben een ingenieuze methode ontwikkeld om Android-gebruikers te richten met bankmalware, door een geïnfecteerde variant van McAfee Security te gebruiken. De aanval start met een sms die beweert dat er een grote geldtransactie is uitgevoerd. Wanneer de ontvanger vervolgens het verstrekte nummer belt, ontvangt deze tijdens het gesprek een link naar de malafide McAfee-app. Deze app dient als een 'dropper' voor de Vultur-bankmalware, terwijl het tegelijkertijd de functies van de legitieme security-app nabootst om detectie te vermijden. De Vultur-malware stelt aanvallers in staat om volledige controle over de geïnfecteerde telefoon te krijgen, waardoor ze frauduleuze activiteiten kunnen uitvoeren, zoals het op afstand bedienen van het toestel, het registreren van toetsaanslagen en het uitvoeren van commando's zoals scrollen, swipen, en klikken. Bovendien kan de malware bepaalde apps blokkeren, wijzigingen in de statusbalk aanbrengen en zelfs de schermvergrendeling omzeilen. De aanvallers misbruiken specifiek de Accessibility Service permissies, die bedoeld zijn om gebruikers te ondersteunen maar ook kunnen worden uitgebuit voor malafide doeleinden zoals keylogging en het uitvoeren van phishingaanvallen. Securitybedrijf Fox-IT heeft onlangs een nieuwe, geavanceerdere versie van deze malware ontdekt, waarmee nog meer schadelijke activiteiten mogelijk zijn. [fox-it]


Ransomware-aanval leidt tot publicatie patiëntgegevens door Schotse gezondheidsdienst

De National Health Service (NHS) Dumfries and Galloway, verantwoordelijk voor gezondheidszorg in de Schotse regio Dumfries and Galloway, meldt dat een ransomwaregroep patiëntgegevens heeft gepubliceerd. Deze actie volgt op een eerdere aanval deze maand, waarbij de groep toegang verkreeg tot aanzienlijke hoeveelheden data, waaronder gevoelige patiënt- en personeelsinformatie. De criminelen beweren meer dan drie terabyte aan data in handen te hebben. Jeff Ace, directeur van NHS Dumfries and Galloway, bevestigt dat patiëntgegevens zijn gelekt en zegt dat alle getroffen personen geïnformeerd zullen worden. De gezondheidsdienst werkt nauw samen met de Schotse politie, het Britse National Cyber Security Centre en de Schotse overheid om de situatie te monitoren. Vanwege het lopende onderzoek zijn details over de oorzaak van de systeemcompromittatie nog onbekend. Dit incident benadrukt de voortdurende bedreiging van cybercriminaliteit voor de gezondheidszorg en de noodzaak voor verbeterde beveiligingsmaatregelen. [nhsdg]


Nieuwe Phishing-as-a-Service 'Darcula' Richt Zich op iPhone-gebruikers via iMessage

Een recent ontdekte Phishing-as-a-Service (PhaaS), genaamd 'Darcula', vormt een groeiende bedreiging voor zowel Android- als iPhone-gebruikers wereldwijd. Met een arsenaal van 20.000 domeinen, die merken nabootsen om inloggegevens te stelen, heeft Darcula zich in meer dan 100 landen gemanifesteerd. Dit platform onderscheidt zich door gebruik te maken van moderne communicatieprotocollen zoals Rich Communication Services (RCS) voor Google Messages en iMessage in plaats van de traditionele SMS. Hierdoor lijken de phishingberichten betrouwbaarder voor de ontvanger. Darcula biedt cybercriminelen meer dan 200 templates om uit te kiezen, die verschillende sectoren nabootsen, waaronder de post-, financiële en overheidssectoren. De landingpagina's zijn van hoge kwaliteit en passen zich aan de lokale taal, logo's en content aan.Uniek is dat Darcula gebruikmaakt van geavanceerde technologieën zoals JavaScript en React, waardoor het platform zichzelf kan bijwerken zonder dat gebruikers phishingkits opnieuw moeten installeren. Dit platform wijkt af van SMS-gebaseerde tactieken door in plaats daarvan RCS en iMessage te gebruiken, waardoor het moeilijker wordt om de phishingberichten op inhoud te blokkeren. Desondanks ondervinden cybercriminelen uitdagingen door beperkingen van deze protocollen, zoals het verbod van Apple op accounts die massaal berichten versturen. Darcula probeert deze beperkingen te omzeilen door meerdere accounts te gebruiken en instructies in de phishingberichten op te nemen die ontvangers aanzetten tot interactie. De Netcraft onderzoekers adviseren gebruikers om waakzaam te blijven en elk ongevraagd bericht dat aandringt op het klikken op links met argwaan te behandelen. [linkedin, netcraft]

Wat is Smishing


Dreiging van Datalek Zet NHS Schotland onder Druk

De INC Ransom afpersingsbende heeft gedreigd drie terabyte aan gegevens te publiceren die naar eigen zeggen zijn gestolen bij een inbraak op het National Health Service (NHS) van Schotland. Deze cybercriminelen hebben meerdere afbeeldingen met medische details online gezet en beweren binnenkort meer gegevens te lekken tenzij er een losgeld wordt betaald. De NHS in Schotland, die een breed scala aan gezondheidsdiensten biedt, waaronder eerstelijnszorg, ziekenhuiszorg en tandheelkundige zorg, is hiermee onder enorme druk gezet. INC Ransom, actief sinds juli 2023, richt zich op organisaties in zowel de publieke als de private sector, waaronder onderwijs-, gezondheidszorg- en overheidsorganisaties. Het incident met de NHS in Schotland kwam aan het licht rond 15 maart, vermoedelijk het moment van de cyberaanval. In een recente verklaring gaf een woordvoerder van de Schotse overheid aan dat de aanval beperkt bleef tot NHS Dumfries en Galloway, een van de regionale gezondheidsraden. De overheid werkt samen met diverse instanties, waaronder de politie en de National Cyber Security Centre, om de impact en mogelijke gevolgen voor betrokkenen te beoordelen. NHS Dumfries en Galloway heeft bevestigd dat als gevolg van de cyberaanval gevoelige klinische data van een klein aantal patiënten is gelekt. De organisatie benadrukt dat ondanks deze inbreuk op hun systemen, patiëntgerichte diensten normaal functioneren en dat betrokken patiënten direct zullen worden geïnformeerd over de gelekte informatie. [nhsdg]


De Dynamische Wereld van Ransomware-as-a-Service

In 2024 ondergaat de wereld van ransomware significante veranderingen door grootschalige ontwrichtingen en het uiteenvallen van grote criminele bendes. LockBit's blog over ransomware is offline gehaald, BlackCat heeft de ransomware-ecosysteem verlaten, en er zijn verschillende kleinere ransomwaregroepen opgekomen. Deze ontwikkelingen belichten de complexiteit van de ransomware-ecosysteem, waarbij groepen en hun affiliates samenwerken binnen een gecompliceerde toeleveringsketen. Ransomware-as-a-Service (RaaS) is een dominante bedrijfsmodel geworden, waarbij groepen innovatieve ransomwarecode ontwikkelen en affiliates werven voor het compromitteren van IT-infrastructuren. Deze affiliates zijn vaak afhankelijk van andere duistere webactoren voor toegang tot doelnetwerken. De strijd om de beste affiliates aan te trekken is intens, aangezien groepen concurreren op basis van uitbetalingen en voorwaarden om topaffiliates aan te trekken. Recente takedowns van prominente groepen zoals LockBit en BlackCat hebben de vertrouwensbanden binnen deze criminele netwerken verzwakt, wat leidt tot onzekerheid en mogelijk een verschuiving naar kleinere, onafhankelijke operaties. Deze veranderingen kunnen op korte termijn de dreiging van ransomware verminderen, maar de basisaanbevelingen voor beveiligingsteams blijven essentieel: uitgebreide monitoring, het patchen van bekende kwetsbaarheden, en het gebruik van multifactorauthenticatie. De toekomst van ransomware blijft onzeker, met potentiële fragmentatie van het ecosysteem als reactie op rechtshandhavingsacties. [bleepingcomputer]


Toename Zero-Day Exploits in 2023 met Focus op Spyware

In 2023 werd een aanzienlijke stijging waargenomen in het aantal zero-day kwetsbaarheden die werden uitgebuit bij aanvallen, waarbij 50% direct gelinkt kon worden aan leveranciers van spyware en hun klanten. Dit werd geconstateerd door Google's Threat Analysis Group (TAG) en dochteronderneming Mandiant. Er werden in totaal 97 zero-day exploits geregistreerd, een toename van meer dan 50% ten opzichte van de 62 kwetsbaarheden in het voorgaande jaar, hoewel dit aantal nog steeds lager is dan de piek van 106 in 2021. Uit de bevindingen bleek dat 61 van deze kwetsbaarheden gericht waren op producten en platformen voor eindgebruikers zoals mobiele apparaten en browsers, terwijl de overige 36 zich richtten op technologieën voor bedrijven. Bijzonder was dat commerciële surveillancebedrijven (CSV's) verantwoordelijk waren voor 75% van de bekende zero-day exploits gericht op Google-producten en -apparaten binnen het Android ecosysteem. Deze groep was ook gelinkt aan 48 van de zero-day exploits gebruikt in aanvallen in 2023, wat neerkomt op ongeveer 50% van alle dergelijke kwetsbaarheden. Meer dan 60% van de 37 zero-day kwetsbaarheden in browsers en mobiele apparaten werd gelinkt aan CSV's die spywarecapaciteiten verkopen aan overheidsklanten. Om zich te verdedigen tegen zero-day aanvallen, gaf Google advies over het inschakelen van specifieke beveiligingsfuncties voor gebruikers met een hoog risico en kondigde het sancties aan tegen operators van Predator spyware en het invoeren van visabeperkingen voor individuen gelinkt aan commerciële spyware.

Binnenkort verschijnt een uitgebreid artikel op Cybercrimeinfo.


Actief Misbruik van Kritieke Kwetsbaarheid in SharePoint Server

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security waarschuwt voor actief misbruik van een kritieke kwetsbaarheid in Microsoft SharePoint Server. Deze kwetsbaarheid, bekend als CVE-2023-24955, maakt het voor aanvallers mogelijk om op afstand code uit te voeren op systemen waar SharePoint Server op draait, mits zij over de juiste authenticatie beschikken. De kwetsbaarheid kwam aan het licht tijdens de Pwn2Own-hackwedstrijd in maart vorig jaar, waar onderzoekers van STAR Labs erin slaagden de beveiliging van SharePoint te doorbreken, wat hen een beloning van 100.000 dollar opleverde. Dit specifieke lek werd gecombineerd met een ander beveiligingslek voor het uitvoeren van aanvallen zonder authenticatie. Ondanks dat er sinds mei vorig jaar een beveiligingsupdate beschikbaar is gesteld door Microsoft, blijven er aanvallen plaatsvinden die gebruikmaken van deze kwetsbaarheden. Beheerders worden met klem aangeraden de updates zo snel mogelijk te installeren om hun systemen te beschermen tegen mogelijke aanvallen. [starlabs, cisa.gov]


Schaduwachtige Hackers Exploiteren Ray Framework en Kapen Bedrijfsservers

Een nieuwe hackercampagne, genaamd "ShadowRay", maakt misbruik van een ongepatchte kwetsbaarheid in Ray, een populair open-source AI-framework, om rekenkracht te kapen en gevoelige data van duizenden bedrijven te lekken. Deze aanvallen, gericht op sectoren zoals onderwijs, cryptocurrency en biopharma, vinden plaats sinds ten minste 5 september 2023. Ray, ontwikkeld door Anyscale, faciliteert het schalen van AI- en Python-applicaties over een cluster van machines en wordt wereldwijd gebruikt door organisaties zoals Amazon en Netflix. In november 2023 onthulde Anyscale vijf kwetsbaarheden in Ray, waarvan er vier werden gepatcht. De vijfde bug, een kritieke kwetsbaarheid voor het uitvoeren van externe code getracked als CVE-2023-48022, bleef onopgelost vanwege een ontwerpbeslissing zonder authenticatie. Ondanks deze keuze, hebben hackers CVE-2023-48022 actief uitgebuit in onbeveiligde omgevingen, wat leidde tot toegang tot gevoelige informatie zoals AI-modellen en productiedatabase credentials. In sommige gevallen gebruikten aanvallers deze toegang voor cryptomining met Monero. Oligo, een applicatiebeveiligingsbedrijf, ontdekte honderden publiekelijk blootgestelde Ray-servers die gecompromitteerd waren door CVE-2023-48022. Ze adviseerden bedrijven om Ray-implementaties te beveiligen door firewallregels te handhaven, autorisatie toe te voegen aan de Ray Dashboard-poort, en voortdurend te monitoren op anomalieën. [oligo, anyscale, github.com/ray-project]


TheMoon Malware Viseert 6.000 ASUS Routers voor Proxy Dienst

In slechts 72 uur hebben cybercriminelen middels een nieuwe variant van de TheMoon malware, ongeveer 6.000 ASUS routers in 88 landen geïnfecteerd. De malware maakt deel uit van het botnet dat gekoppeld is aan de Faceless proxy dienst, waardoor geïnfecteerde apparaten worden gebruikt om internetverkeer van cybercriminelen te routeren, met als doel hun kwaadaardige activiteiten te anonimiseren. Volgens onderzoekers van Black Lotus Labs, die de recente golf van aanvallen sinds begin maart 2024 hebben waargenomen, richt deze specifieke campagne zich voornamelijk op verouderde ASUS routers. De onderzoekers speculeren dat de aanvallers bekende kwetsbaarheden hebben uitgebuit of brute-force technieken hebben gebruikt om toegang te krijgen. Zodra binnen, installeert de malware zichzelf en treft maatregelen om externe interventies te voorkomen. Bovendien probeert het contact te maken met een commando- en controle-server voor verdere instructies, mogelijk inclusief het downloaden van aanvullende componenten voor verdere exploitatie. Om tegen dergelijke dreigingen te beschermen, adviseren experts het gebruik van sterke beheerderswachtwoorden en het up-to-date houden van firmware, of indien het apparaat niet meer wordt ondersteund, deze te vervangen door een model dat wel updates ontvangt. [asus]


Supply-chain aanval treft grootste Discord bot platform Top.gg

De Top.gg gemeenschap, een vooraanstaand platform voor Discord bots met meer dan 170.000 leden, is het slachtoffer geworden van een supply-chain aanval. Doelwit van deze aanval waren ontwikkelaars, met als opzet hen te infecteren met malware die gevoelige informatie steelt. De aanvallers pasten verschillende methoden toe, waaronder het kapen van GitHub-accounts, het verspreiden van kwaadaardige Python-pakketten, het opzetten van een nep Python infrastructuur, en social engineering. De campagne, ontdekt door Checkmarx onderzoekers, lijkt voornamelijk gericht op datadiefstal en het monetariseren van de gestolen informatie. De activiteiten begonnen al in november 2022 met het uploaden van kwaadaardige pakketten naar de Python Package Index (PyPI), en zetten zich voort met meer schadelijke uploads die populaire open-source tools nabootsten. In 2024 escaleerde de aanval met de opzet van een nep Python pakkettenmirror en het kapen van de GitHub-account van een belangrijke top.gg onderhouder. Dit leidde tot het wijzigen van projectbestanden om afhankelijkheden van de vervalste bron te gebruiken. De uiteindelijke malware richtte zich op het stelen van browsergegevens, Discord-tokens, cryptocurrency wallets, Telegram sessiegegevens, en meer, en zorgde voor persistentie op besmette machines. De impact van deze campagne is nog onbekend, maar het benadrukt de risico's verbonden aan de open-source supply chain en het belang voor ontwikkelaars om de veiligheid van hun bouwstenen te verifiëren. [checkmarx, github.com/Top-gg]


❗️Tycoon 2FA: Een Nieuwe Bedreiging Voor Online Veiligheid

Cybercriminelen maken steeds vaker gebruik van een nieuwe Phishing-as-a-Service (PhaaS) platform, genaamd 'Tycoon 2FA', om Microsoft 365 en Gmail accounts aan te vallen en de beveiliging van tweefactorauthenticatie (2FA) te omzeilen. Dit platform is actief sinds augustus 2023 en is ontdekt door Sekoia analisten tijdens routine bedreigingsonderzoeken. Tycoon 2FA maakt gebruik van een tactiek waarbij sessiecookies van gebruikers worden gestolen door middel van een reverse proxy server, die de invoer van het slachtoffer onderschept en doorstuurt naar de legitieme dienst. Zodra de gebruiker de MFA-uitdaging heeft voltooid, worden de sessiecookies door de aanvaller onderschept, waardoor de tweefactorauthenticatie wordt omzeild. De aanvallen verlopen in zeven stappen, beginnend met het verspreiden van kwaadaardige links en eindigend met het doorsturen van slachtoffers naar een legitiem ogende pagina om de phishingaanval te verbergen. Sekoia merkt op dat de meest recente versie van Tycoon 2FA, uitgebracht in 2024, aanzienlijke verbeteringen bevat om detectie te ontwijken en de effectiviteit van phishingaanvallen te vergroten. De operatie is aanzienlijk, met bewijs van een brede gebruikersbasis van cybercriminelen die momenteel Tycoon 2FA gebruiken voor hun phishingoperaties, waarbij de aan Tycoon 2FA gekoppelde Bitcoin-portemonnee sinds oktober 2019 meer dan 1.800 transacties heeft opgenomen. [sekoia, github.com/SEKOIA-IO]


VS legt sancties op aan Chinese hackers wegens aanvallen op kritieke infrastructuur

Het Amerikaanse ministerie van Financiën heeft sancties opgelegd aan een bedrijf uit Wuhan en twee Chinese burgers, die in verband worden gebracht met de Chinese staatsondersteunde hackergroep APT31. Dit bedrijf, gebruikt door het Chinese Ministerie van Staatsveiligheid als dekmantel, voerde aanvallen uit op organisaties binnen de kritieke infrastructuur van de VS. Deze acties maken deel uit van een gezamenlijke inspanning met het Amerikaanse ministerie van Justitie, de FBI, het ministerie van Buitenlandse Zaken en het Britse ministerie van Buitenlandse Zaken. De sancties richten zich op het bevriezen van Amerikaanse activa van de betrokken individuen en entiteiten, en verbieden transacties met hen, tenzij specifiek geautoriseerd door het Office of Foreign Assets Control. Naast de sancties in de VS heeft het Verenigd Koninkrijk ookactie ondernomen tegen dezelfde groep voor aanvallen op Britse parlementsleden en overheidsinstellingen. Deze maatregelen benadrukken de ernst waarmee de VS en haar bondgenoten de bedreigingen door staatsondersteunde cyberactiviteiten aanpakken, waarbij informatie wordt aangeboden voor tips die kunnen leiden tot meer inzicht in de operaties van deze hackersgroep. [treasury.gov, gov.uk, justice.gov]

24 Cr 43 Indictment Redacted 0
PDF – 719,6 KB 5 downloads
APT 31 EN
Afbeelding – 307,4 KB 7 downloads

❗️Nieuwe ZenHammer-aanval treft AMD Zen CPU's

Academische onderzoekers van de ETH Zürich hebben ZenHammer ontwikkeld, de eerste variant van de Rowhammer DRAM-aanval die effectief is tegen CPU's gebaseerd op de recente AMD Zen-microarchitectuur. Deze CPU's gebruiken fysieke adressen op DDR4 en DDR5 geheugenchips. De bevindingen ondergraven de tot nu toe algemene aanname dat AMD Zen-chips en DDR5 RAM-modules minder vatbaar zijn voor Rowhammer-aanvallen. Rowhammer is een aanvalsmethode die gebruikmaakt van een fysieke eigenschap van modern DRAM om data te wijzigen door herhaaldelijk specifieke rijen geheugencellen te "hameren" met lees-/schrijfoperaties, waardoor bitwaarden binnenin veranderen. Dit kan leiden tot ongeautoriseerde toegang tot gevoelige data of privilege escalatie. De onderzoekers slaagden erin om deze aanval op AMD's Zen 2 en Zen 3 platformen met DDR4, en op een systeem met DDR5 op het Zen 4 platform, uit te voeren. Deze resultaten tonen aan dat bepaalde systemen, zelfs met verbeteringen in DDR5, zoals betere Rowhammer-mitigaties en on-die error correction code (ECC), nog steeds kwetsbaar kunnen zijn voor bitflips die de systeembeveiliging in gevaar brengen. AMD-gebruikers worden aangeraden om softwarepatches en firmware-updates toe te passen en te overwegen hardware te gebruiken met specifieke mitigaties tegen Rowhammer. AMD heeft in reactie op ZenHammer een beveiligingsbulletin gepubliceerd met advies voor mitigatie en updates beloofd.

Zenhammer Sec 24
PDF – 1,1 MB 7 downloads
Us 15 Seaborn Exploiting The DRAM Rowhammer Bug To Gain Kernel Privileges
PDF – 1,0 MB 5 downloads

St. Cloud (VS) Getroffen door Ransomware Cyberaanval

De stad St. Cloud in Florida is maandag getroffen door een cyberaanval, bevestigen stadsfunctionarissen. Het ging om een ransomware-aanval die diverse stadsdiensten en enkele telefoonlijnen heeft beïnvloed. De stad deelde dit nieuws via sociale media en gaf aan dat de aanval gevolgen had voor de betalingsmogelijkheden bij verschillende afdelingen. Zo kunnen betalingen voor Parks and Recreation en de Transfer Station momenteel alleen contant worden gedaan. Online betalingen voor faciliteitenregistratie en evenementenregistraties accepteren nog wel creditcardbetalingen. Externe nutsvoorzieningen en betalingen aan het belastingkantoor zijn niet getroffen door de cyberaanval. De stad werkt samen met staats- en lokale partners om het probleem zo snel mogelijk aan te pakken. Ondanks de aanval blijven politie en brandweer reageren op oproepen. Verdere details over de cyberaanval zijn niet vrijgegeven. [fox35orlando]


Google's AI-zoekresultaten bevorderen malafide websites

Google's nieuwe, op kunstmatige intelligentie (AI) gebaseerde zoekfunctie, de 'Search Generative Experience' (SGE), is in opspraak geraakt omdat het websites promoot die gebruikers omleiden naar ongewenste Chrome-extensies, valse iPhone-weggeefacties, abonnementen op browser spam, en technische ondersteuning scams. Sinds de introductie van deze functie eerder deze maand, is gebleken dat de SGE gesprekken voert en sites aanbeveelt die vaak spammy en kwaadaardig zijn, waardoor gebruikers gemakkelijker in de val van oplichters kunnen trappen. Deze aanbevolen sites gebruiken vaak dezelfde top-level domein (TLD), HTML-templates, en omleidingstechnieken, wat duidt op een gecoördineerde poging om de Google-index te vergiftigen via SEO. Wanneer gebruikers op een dergelijke link in de zoekresultaten klikken, worden ze door een reeks omleidingen geleid naar sites die proberen hen te misleiden met valse captcha's of YouTube-pagina's, met als doel hen te abonneren op browsermeldingen. Deze tactiek resulteert in een stortvloed aan ongewenste advertenties direct op het bureaublad van het besturingssysteem. Bovendien worden gebruikers misleid met advertenties die beweren dat hun systeem is geïnfecteerd met virussen, waarna ze worden aangemoedigd om neppe antivirussoftware te kopen, waardoor de fraudeurs commissie verdienen. Google heeft aangegeven zijn systemen en algoritmes voortdurend bij te werken om tegen spam te vechten, maar erkent ook de voortdurende strijd tegen spammers die hun technieken aanpassen. Het incident onderstreept het belang van waakzaamheid bij het vertrouwen van AI-gegenereerde zoekresultaten en de noodzaak om websites te verifiëren voordat ze worden bezocht. [searchengineland, google pdf]


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Meer weekoverzichten

Oktober 2023
September 2023