Overzicht van slachtoffers cyberaanvallen week 09-2023

Gepubliceerd op 6 maart 2023 om 15:00

Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


De afgelopen week zijn er diverse cyberaanvallen geweest die wereldwijd voor problemen hebben gezorgd. Zo zijn er phishingaanvallen geweest via sms, e-mail en telefoon waarbij gebruikers van Trezor zijn benaderd. Ook is de grootste boekenwinkelketen van Canada, Indigo, slachtoffer geworden van een ransomware-aanval waardoor de webshop en klantenbestellingen ontregeld zijn. Verder blijven de digitale problemen in Antwerpen aanhouden, drie maanden na de cyberaanval. Daarnaast heeft de Poolse Belastingdienst te maken gehad met een cyberaanval waarvan Rusland verantwoordelijk wordt gehouden. Ook is er een administratiekantoor in de val getrapt bij de zogenaamde 'CEO-fraude' en hebben ze maar liefst 1 miljoen euro overgemaakt. Tot slot heeft minister Hoekstra uitgesproken dat de Europese Unie wereldwijd een cybermacht moet worden. Hieronder volgt een gedetailleerd overzicht van alle genoemde cyberaanvallen van de afgelopen week.


Laatste wijziging op 06-maart-2023



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
HAW Hamburg Vice Society www.haw-hamburg.de Germany Educational Services 5-mrt.-23
AddWeb Solution Pvt Mallox www.addwebsolution.com India IT Services 5-mrt.-23
P* ***** **** L****** *** BianLian Unknown Indonesia Agriculture 5-mrt.-23
R**** BianLian Unknown Canada Fabricated Metal Products 5-mrt.-23
V******* **** BianLian Unknown Sweden Real Estate 5-mrt.-23
A***** ********* ********** BianLian Unknown USA Furniture 5-mrt.-23
S***** *********** BianLian Unknown USA Health Services 5-mrt.-23
S*********** ********** BianLian Unknown USA Educational Services 5-mrt.-23
T******** ***** ********** BianLian Unknown USA Educational Services 5-mrt.-23
SkyFiber Networks BlackCat (ALPHV) skyfiberinternet.com USA IT Services 4-mrt.-23
CMMG Inc BlackCat (ALPHV) cmmg.com USA Miscellaneous Retail 4-mrt.-23
Welty Building Company BlackCat (ALPHV) thinkwelty.com USA Construction 4-mrt.-23
blackswanhealth BlackCat (ALPHV) www.blackswanhealth.com.au Australia Health Services 4-mrt.-23
AICHELIN UNITHERM Mallox au-india.com India Miscellaneous Manufacturing Industries 4-mrt.-23
HUNOSA Vice Society www.hunosa.es Spain Mining 3-mrt.-23
AASP Ragnar_Locker www.aasp.org.br Brazil Legal Services 3-mrt.-23
ACCSC BianLian accsc.org USA Educational Services 3-mrt.-23
Zerbe Retirement Community BianLian zerbesisters.com USA Health Services 3-mrt.-23
PLP Architecture BianLian plparchitecture.com UK Construction 3-mrt.-23
M**** M************ BianLian Unknown USA Machinery, Computer Equipment 3-mrt.-23
Parques Reunidos BianLian parquesreunidos.com Spain Amusement And Recreation Services 3-mrt.-23
Open MRI Bala AvosLocker www.openmribala.com USA Health Services 2-mrt.-23
Title Cash Now AvosLocker titlecashnow.com USA Non-depository Institutions 2-mrt.-23
6connex Endurance www.6connex.com USA IT Services 2-mrt.-23
FIMM Royal fimm.fr France Miscellaneous Manufacturing Industries 2-mrt.-23
Oakland PLAY www.oaklandca.gov USA General Government 2-mrt.-23
Bettuzzi And Partners RansomEXX www.bettuzziandpartners.it Italy Accounting Services 2-mrt.-23
ascentengrs.com LockBit ascentengrs.com India Electronic, Electrical Equipment, Components 2-mrt.-23
The Metropolitan Opera Snatch metopera.org USA Amusement And Recreation Services 1-mrt.-23
Audio Video RansomHouse www.audiovideocorp.com USA IT Services 1-mrt.-23
E&S Heating & Ventilation Ltd RansomHouse www.esgroup.co.uk UK Construction 1-mrt.-23
Kimko Realty BlackCat (ALPHV) www.kimcorealty.com USA Real Estate 1-mrt.-23
Traffic Ticket Office BlackCat (ALPHV) www.trafficticketoffice.com USA Legal Services 1-mrt.-23
tjel.net LockBit tjel.net Thailand Construction 1-mrt.-23
Vesuvius Vice Society www.vesuvius.com UK Fabricated Metal Products 1-mrt.-23
Kenya Airports Authority Medusa www.kaa.go.ke Kenya Nonclassifiable Establishments 1-mrt.-23
egas.no LockBit egas.no Norway Miscellaneous Retail 1-mrt.-23
hico-ics.com LockBit hico-ics.com Austria IT Services 1-mrt.-23
laxmi.com LockBit laxmi.com India Chemical Producers 1-mrt.-23
indigo.ca LockBit indigo.ca Canada Miscellaneous Retail 28-feb.-23
hafele.com LockBit hafele.com Germany Furniture 28-feb.-23
thinkwelty.com BlackCat (ALPHV) thinkwelty.com USA Construction 28-feb.-23
INDIKA ENERGY GLOBAL BlackCat (ALPHV) www.indikaenergy.co.id Indonesia Mining 28-feb.-23
Coole Bevis Solicitors BlackCat (ALPHV) coolebevislaw.com UK Legal Services 28-feb.-23
haeco.com LockBit haeco.com Hong Kong Engineering Services 28-feb.-23
nokair.com LockBit nokair.com Thailand Transportation By Air 28-feb.-23
princepalace.co.th LockBit princepalace.co.th Thailand Lodging Places 28-feb.-23
globalcommunities.org LockBit globalcommunities.org USA Membership Organizations 28-feb.-23
cobcreditunion.com LockBit cobcreditunion.com Barbados Non-depository Institutions 28-feb.-23
wmich.edu LockBit wmich.edu USA Educational Services 28-feb.-23
georgeleslie.co.uk LockBit georgeleslie.co.uk UK Construction 28-feb.-23
df.senac.br LockBit df.senac.br Brazil Educational Services 28-feb.-23
lsa-international.com LockBit lsa-international.com UK Miscellaneous Retail 28-feb.-23
Ingenico Snatch ingenico.com France Security And Commodity Brokers, Dealers, Exchanges, And Services 27-feb.-23
MSX International Snatch msxi.com USA Transportation Equipment 27-feb.-23
hyosung.jp LockBit hyosung.jp Japan IT Services 27-feb.-23
rosenbauer.com LockBit rosenbauer.com Austria Transportation Equipment 27-feb.-23
pcproductsinter.com LockBit pcproductsinter.com Thailand Transportation Equipment 27-feb.-23
carveraero.com LockBit carveraero.com USA Transportation By Air 27-feb.-23
bocca-sacs.com LockBit bocca-sacs.com France Wholesale Trade-non-durable Goods 27-feb.-23
wcso.us LockBit wcso.us USA Justice, Public Order, And Safety 27-feb.-23
moci.gov.kw LockBit moci.gov.kw Kuwait Public Finance, Taxation 27-feb.-23
wsisd.com LockBit wsisd.com USA Educational Services 27-feb.-23
Chowtaifook Vendetta www.chowtaifook.com Hong Kong Apparel And Accessory Stores 27-feb.-23
ilfsindia.com LockBit ilfsindia.com India Security And Commodity Brokers, Dealers, Exchanges, And Services 27-feb.-23
cotteeparker.com.au LockBit cotteeparker.com.au Australia Construction 27-feb.-23

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum

In samenwerking met DarkTracer


Cyberaanvallen nieuws


De grote cyberaanval bij LastPass werd mede mogelijk gemaakt door een kwetsbaarheid in Plex die al drie jaar oud was

De aanval op wachtwoordmanager LastPass waarbij kluisdata en gegevens van klanten werden gestolen kon mede plaatsvinden doordat een DevOps-engineer op zijn thuiscomputer een oude versie van Plex draaide waarin een drie jaar oude kwetsbaarheid zat. Een aanvaller maakte daar misbruik van om het systeem met malware te infecteren. Dat laat Plex tegenover PCMag weten. Plex biedt software voor het opzetten van een mediaserver om daarmee media te streamen. Het bedrijf claimt meer dan 25 miljoen gebruikers wereldwijd. Vorige week meldde LastPass dat een zeer gevoelig incident waarbij klant- en kluisdata werden gestolen mede plaatsvond via de thuiscomputer van een DevOps-engineer. Deze computer raakte via een kwetsbaarheid in een "third-party media software package", waardoor remote code execution mogelijk was, besmet met malware. Een aanvaller kon via het beveiligingslek een keylogger op de thuiscomputer van de engineer installeren en zijn master password stelen. Zo kreeg de aanvaller toegang tot de zakelijke LastPass-kluis van de DevOps-engineer. Vervolgens kon de aanvaller de inhoud van de LastPass-kluis stelen, waaronder notities met access en decryptiesleutels om toegang tot de AWS S3 LastPass productieback-ups en andere kritieke databaseback-ups van LastPass te krijgen. De "media software" in kwestie bleek Plex te zijn. In een reactie stelde Plex dat het niet bekend was met aanvallen waarbij er een onbekende kwetsbaarheid zou zijn gebruikt. Tegenover PCMag laat Plex nu weten dat de aanvaller gebruikmaakte van een beveiligingslek uit 2020, aangeduid als CVE-2020-5741. Het gaat om een kwetsbaarheid in Plex Media Server waardoor een aanvaller met toegang tot het beheerdersaccount van de Plex-server via de camera-uploadfeature een kwaadaardig bestand op de server kan uitvoeren. Het beveiligingslek werd begin mei 2020 door Plex via een beveiligingsupdate verholpen. Volgens Plex heeft de betreffende DevOps-engineer van LastPass de update nooit geïnstalleerd en drie jaar lang een kwetsbare versie van de software gedraaid. Hoe de aanvaller het Plex-beheerderswachtwoord van de LastPass-medewerker in handen heeft gekregen is niet bekend. Op 24 augustus vorig jaar waarschuwde Plex voor een datalek. Een aanvaller had toegang tot één van de databases van het bedrijf gekregen. Deze database bevatte e-mailadressen, gebruikersnamen en "versleutelde wachtwoorden". De wachtwoorden zijn volgens Plex gehasht, maar uit voorzorg werd besloten om voor alle Plex-accounts een wachtwoordreset te verplichten.


Aanvallen met Royal-ransomware voornamelijk via phishing en RDP

Sinds september zijn allerlei Amerikaanse bedrijven in vitale sectoren het doelwit geworden van aanvallen met de Royal-ransomware, zo stelt de FBI. De aanvallers weten daarbij vooral via phishing en het gebruik van RDP (remote desktop protocol) binnen te komen. Dat meldt de Amerikaanse opsporingsdienst in een aparte cybersecurity advisory over de Royal-ransomware. Onder andere ziekenhuizen, zorginstellingen, productiebedrijven, communicatieaanbieders en onderwijsinstellingen zijn het doelwit geweest. De aanvallers vragen losgeldbedragen die tot elf miljoen dollar kunnen oplopen. In twee derde van de gevallen zouden de aanvallers via phishingaanvallen zijn binnengekomen, gevolgd door RDP. Zodra de aanvallers eenmaal toegang hebben volgen ze de standaard werkwijze van ransomwaregroepen, waarbij er lateraal door het netwerk wordt bewogen en voor de uitrol van de ransomware gegevens worden gestolen. Om dergelijke aanvallen te voorkomen doet de FBI meerdere aanbevelingen, waaronder het maken van offline, versleutelde back-ups, het uitschakelen van command-line en scripting activiteiten en rechten, het uitschakelen van ongebruikte poorten, updaten van software, toepassen van netwerksegmentatie en multifactorauthenticatie en het verplichten van beheerdersrechten voor het kunnen installeren van software.


Rusland zit achter cyberaanval op Poolse Belastingdienst

Een cyberaanval op de website van de Poolse Belastingdienst is volgens Janusz Cieszynski, de Poolse staatssecretaris van Digitale Zaken, het werk van Rusland. Door de aanval was de website ontoegankelijk. Reuters citeert Cieszynski, die stelt dat Rusland achter de cyberaanval zit. "Russen zijn verantwoordelijk voor de aanval van gisteren, dat moet duidelijk zijn. We hebben informatie die het zeer aannemelijk maakt dat dit de aanvaller was", zegt Cieszynski tegen Polsat News. De Russische ambassade in het Poolse Warschau ontkent de betrokkenheid van Rusland. In een verklaring stelt de ambassade 'gewend te zijn aan het feit dat het Westen Rusland nu van alles kan beschuldigen, zonder bewijsmateriaal'. De aanval bestond uit een DDoS-aanval, waarbij een server wordt overspoeld met malafide verzoeken. De server raakt hierdoor overbelast, waardoor het geen legitieme verzoeken meer kan afhandelen. Er zijn volgens Cieszynski geen aanwijzigingen dat bij de aanval data van Poolse belastingbetalers is uitgelekt.

Killnet heeft hieronder ↓ opgeroepen tot een aanval door Russischgezinden op de Poolse overheid.


Indigo, de grootste boekenwinkelketen van Canada, blijft ontregeld na ransomware-aanval met gevolgen voor webshop en klantenbestellingen

Indigo, de grootste boekenwinkelketen van Canada, is bijna een maand na een ransomware-aanval nog steeds ontregeld, wat gevolgen heeft voor de webshop en bestellingen van klanten. Ook zijn gegevens van medewerkers bij de aanval buitgemaakt. Systemen van Indigo raakten op 8 februari besmet met de LockBit-ransomware. In eerste instantie sprak het bedrijf nog over een "cyberincident". Door het incident konden de boekenwinkels alleen nog maar contant geld accepteren. In een update over het incident laat Indigo nu weten dat het om een ransomware-aanval gaat en er gegevens van personeel zijn gestolen. De aanval is nog steeds merkbaar, want de webshop is nog altijd offline. In plaats daarvan heeft Indigo nu een tijdelijke online boekenwinkel die een zeer beperkt assortiment bevat. Daarnaast is ook de Indigo-app niet te gebruiken en kan er geen informatie aan klanten worden verstrekt die voor 8 februari een bestelling plaatsten. Het gaat dan om statusupdates over de bestelling of geschatte levertijden. Het is tevens niet mogelijk voor klanten om voor 8 februari geplaatste bestellingen te annuleren of van kortingscodes gebruik te maken. Ook is het niet mogelijk om in de beperkte online boekenwinkel bestellingen te plaatsen en die bij een lokale vestiging op te halen of een overzicht te krijgen van de voorraad bij de fysieke boekenwinkels. Indigo heeft zo'n honderdtachtig winkels in Canada.


Administratiekantoor tuint in ‘CEO-fraude’ en maakt 1 miljoen over

De exploitant van het bedrijventerrein Prisma ten oosten van Zoetermeer is voor 1 miljoen euro opgelicht. Een medewerker van het boekhoudkantoor maakte dit bedrag over omdat zij meende te zijn gebeld door een van de bestuurders. In werkelijkheid waren het fraudeurs. De fraude dateert uit 2020 maar komt pas nu naar buiten. De betrokken gemeenteraden waren wel op de hoogte maar hadden een geheimhoudingsplicht. De exploitant van het bedrijventerrein, een samenwerkingsverband van een aantal commerciële partijen en twee gemeenten, probeert de schade te verhalen op het administratiekantoor en de bank die de betaling aan de fraudeurs hebben gefaciliteerd. Zij wijzen echter elke aansprakelijkheid af. Op 8 maart 2023 doet de rechter uitspraak. De naam van het administratiekantoor is niet bekend gemaakt. Bij ‘CEO-fraude’ gaat het in feite om een aloude babbeltruc. De fraudeurs doen zich voor als een leidinggevende en bellen de financiële administratie met het verzoek snel een bepaald geldbedrag over te maken. Om druk te zetten komen de oplichters vaak met de smoes dat er haast geboden is, bijvoorbeeld omdat er anders schadeclaims kunnen komen of er op een andere manier schade ontstaat. Het bekendste voorbeeld van CEO-fraude vond plaats bij bioscoopketen Pathé die met de babbeltruc 19 miljoen euro lichter werd gemaakt. Het Rotterdamse staalbedrijf Jewometaal werd voor 11 miljoen euro oplicht nadat een fraudeur zich voordeed als de topman van het Duitse moederbedrijf. Meer info over CEO-Fraude.


Ransomware-aanval bij Amerikaanse satelliet-tv-aanbieder Dish Network leidt tot grote netwerkstoring en gegevensdiefstal

Een grote netwerkstoring bij de Amerikaanse satelliet-tv-aanbieder Dish Network is veroorzaakt door een ransomware-aanval. Daarnaast zijn ook gegevens buitgemaakt, zo heeft het bedrijf laten weten. De aanval vond plaats op 23 februari en raakte interne communicatie, servers, callcenters en de websites van het bedrijf. Hierdoor kunnen klanten geen contact opnemen met het bedrijf, inloggen op hun accounts of betalen. Werknemers kunnen niet werken. In eerste instantie sprak Dish over een "systeemprobleem", maar In een verklaring aan de Amerikaanse beurswaakhond SEC wordt echter over een ransomware-aanval gesproken. Verder stelt de tv-aanbieder dat het op 27 februari ontdekte dat er ook gegevens zijn buitgemaakt. Of het om persoonsgegevens van klanten of personeel gaat is op dit moment nog onbekend. Ook zijn de financiële gevolgen van de aanval nog onduidelijk. Hoe de aanval kon plaatsvinden en wanneer Dish verwacht volledig te zijn hersteld laat het bedrijf niet weten. Sinds de aankondiging van de het incident is de koers van het aandeel van Dish met twintig procent gedaald, aldus persbureau AP.


WH Smith meldt cyberbeveiligingsincident met ongeoorloofde toegang tot bedrijfsgegevens van medewerkers

WH Smith PLC is een Britse retailketen die gespecialiseerd is in boeken, tijdschriften, kranten en kantoorbenodigdheden. Het bedrijf heeft vestigingen in winkelstraten en op reislocaties zoals luchthavens en treinstations over de hele wereld. WH Smith is opgericht in 1792 en heeft zijn hoofdkantoor in Swindon, Engeland.

Op donderdag meldde WH Smith PLC dat het slachtoffer was geworden van een cyberbeveiligingsincident, wat heeft geleid tot ongeoorloofde toegang tot bepaalde bedrijfsgegevens, inclusief gegevens van huidige en voormalige medewerkers. Het bedrijf is een retailer van boeken en kantoorbenodigdheden met vestigingen in Britse winkelstraten en op reislocaties wereldwijd, zoals luchthavens en treinstations. WH Smith heeft onmiddellijk een onderzoek ingesteld en gespecialiseerde ondersteuningsdiensten ingeschakeld, evenals incidentbestrijdingsplannen uitgevoerd en de relevante autoriteiten op de hoogte gesteld. Het bedrijf heeft benadrukt dat het de kwestie van cyberveiligheid zeer serieus neemt en dat het onderzoek naar het incident nog aan de gang is. Alle getroffen medewerkers zijn op de hoogte gesteld en er zijn maatregelen genomen om hen te ondersteunen. De website, klantenrekeningen en klantendatabases staan op een apart systeem en zijn niet getroffen door het incident. WH Smith meldde ook dat de "sterke handel" sinds de update van de markt in januari is voortgezet. Het bedrijf zal op 20 april zijn resultaten bekendmaken voor het halfjaar tot 28 februari. Op de ochtend van de melding daalden de aandelen van WH Smith met 1,0% tot 1.568,50 pence per stuk op de Londense beurs.


Trezor waarschuwt gebruikers voor phishingaanvallen via sms, e-mail en telefoon en benadrukt dat het nooit telefonisch of via sms zal benaderen

Leverancier van cryptowallets Trezor waarschuwt gebruikers via Twitter voor phishingaanvallen die op dit moment plaatsvinden. Gebruikers worden via sms, e-mail en telefonisch benaderd dat er een beveiligingsincident bij Trezor heeft plaatsgevonden en gebruikers via een meegestuurde link een "beveiligingsprocedure" moeten doorlopen voor het beveiligen van hun cryptovaluta. Trezor stelt dat er geen aanwijzingen zijn dat er recentelijk een datalek bij het bedrijf heeft plaatsgevonden waarbij gegevens van gebruikers zijn buitgemaakt. Daarnaast laat het bedrijf weten dat het gebruikers nooit telefonisch of via sms zal benaderen. Vorig jaar april liet Trezor weten dat een aanvaller erin was geslaagd om toegang te krijgen tot een interne tool van e-mailmarketingplatform MailChimp. Trezor gebruikt het platform van MailChimp voor het versturen van nieuwsbrieven. De aanvaller kreeg via MailChimp toegang tot de gegevens van Trezor-gebruikers die zich voor de nieuwsbrief hadden opgegeven. Vervolgens werden buitgemaakte e-mailadressen door de aanvaller gebruikt voor een phishingaanval. Trezor-gebruikers zijn een geliefd doelwit van aanvallers. In 2021 wist een aanvaller via een malafide Trezor-app, die twee weken in de Apple App Store stond, 1,6 miljoen dollar aan cryptovaluta van slachtoffers te stelen.


Britse overheid adviseert om alternatieven te overwegen voor sms-gebaseerde tweefactorauthenticatie, maar benadrukt dat het nog altijd beter is dan helemaal geen 2FA te gebruiken.

Tweefactorauthenticatie (2FA) via sms kan kwetsbaarder voor aanvallen zijn dan andere 2FA-methodes, maar is nog altijd beter dan niets, zo stelt het Britse National Cyber Security Centre (NCSC). De Britse overheidsdienst kwam met een reactie op de aankondiging van Twitter dat tweefactorauthenticatie via sms voortaan alleen nog voor betalende gebruikers beschikbaar is. "Als je je in een situatie bevindt waar een dienst ondersteuning van sms-codes voor 2FA stopt, adviseren we je om het met een andere 2FA-methode te vervangen, bij voorkeur een betere als dat mogelijk is, in plaats van dat je jezelf mogelijk kwetsbaar maakt", zo laat het NCSC weten. Daarbij benadrukt de overheidsdienst dat 2FA via sms nog altijd beter is dan helemaal geen tweefactorauthenticatie te gebruiken. Ook voor gebruikers waarvan de 2FA-opties niet veranderen adviseert het Britse NCSC om de mogelijke opties langs te gaan om te kijken of de veiligste optie wat betreft gebruiksvriendelijkheid en gemak is gekozen. Het NCSC heeft ook een online uitleg hoe 2FA voor verschillende diensten is in te stellen. Een van de gevaren bij SMS 2FA is simswapping.


Drie maanden na de cyberaanval houden digitale problemen in Antwerpen aan: ‘Ik mag over een halfjaar langskomen met mijn papieren’

Zondagnacht zal het exact drie maanden geleden zijn dat de stad Antwerpen gehackt werd. Toch is lang niet alle hinder weggewerkt. Voor containerparken en parkeervergunningen houden de problemen aan. En wie van het buitenland naar Antwerpen wil verhuizen, heeft beter veel geduld. Lees verder


Informatie over verdachten buitgemaakt bij aanval op US Marshals Service

De US Marshals Service (USMS) is getroffen door een cyberaanval, waarbij ook systemen met gevoelige informatie zijn getroffen. Het gaat onder meer om informatie gerelateerde aan uitgevoerde en lopende onderzoeken van de USMC, waarbij het onder meer gaat om persoonsgegevens van verdachte, derde partijen en werknemers van USMS. Dit meldt onder meer NBC News. De Amerikaanse opsporingsinstantie is getroffen door ransomware, waarbij de aanvallers ook data hebben buitgemaakt.De aanval is op 17 februari ontdekt en komt nu naar buiten. In een verklaring aan NBC News meldt een woordvoerder van de USMS dat onder meer uitkomsten van juridische procedures, administratieve informatie en persoonlijk identificeerbare informatie over onder meer verdachten van USMS-onderzoeken, derde partijen en bepaalde USMS-werknemers. Het USMS benadrukt dat het zogeheten Witness Security Program niet is getroffen. Via dit programma kan getuigen in Amerikaanse rechtszaken bescherming worden geboden. De veiligheid van deelnemers aan dit programma is dan ook niet in geding, bevestigd de woordvoerder. Het getroffen systeem is losgekoppeld van het netwerk. Het Amerikaanse ministerie van Justitie is een forensisch onderzoek begonnen. Het cyberincident is als een omvangrijk incident geclassificeerd door Amerikaanse ambtenaren.


Plex ontkent bekendheid van zerodaylekken na mogelijke betrokkenheid bij aanval op LastPass-medewerker

Plex, de leverancier van mediaserversoftware, heeft verklaard dat het niet op de hoogte is van het bestaan van zerodaylekken in de software. Dit komt nadat er berichten waren verschenen dat een kwetsbaarheid in Plex was gebruikt voor een aanval op een medewerker van wachtwoordmanager LastPass. Eerder deze week meldde LastPass dat een DevOps-engineer slachtoffer was geworden van een aanval waarbij klant- en kluisdata waren gestolen, en dat deze aanval was begonnen door middel van een kwetsbaarheid in een "third-party media software package". ArsTechnica meldde op basis van een anonieme bron dat deze software Plex was. Plex biedt software waarmee gebruikers een mediaserver kunnen opzetten om media te streamen. Het bedrijf claimt meer dan 25 miljoen gebruikers wereldwijd te hebben. Vorig jaar werd het bedrijf geconfronteerd met een datalek, waarbij een aanvaller toegang had gekregen tot een database met e-mailadressen, gebruikersnamen en "versleutelde wachtwoorden". Hoewel de wachtwoorden gehasht waren, besloot Plex toch om voor alle accounts een wachtwoordreset te verplichten. Het is echter onbekend of er een verband bestaat tussen deze inbraak bij Plex en de aanval op LastPass. Een medewerker van Plex heeft verklaard dat het bedrijf niet op de hoogte is van kritieke kwetsbaarheden die nog niet zijn gepatcht. Wanneer kwetsbaarheden via "responsible disclosure" worden gemeld, lost Plex deze snel en grondig op, aldus de medewerker. De Amerikaanse overheid houdt een overzicht bij van actief aangevallen kwetsbaarheden, maar daar komt de software van Plex niet in voor. LastPass heeft volgens de medewerker van Plex geen contact opgenomen met het bedrijf over deze kwestie.


Documenten vrijgegeven over ransomware-aanval op ID-ware: 1300 pasgebruikers van Eerste en Tweede Kamer getroffen

Staatssecretaris Van Huffelen van Digitalisering heeft allerlei documenten vrijgegeven over de ransomware-aanval op ID-ware die vorig jaar september plaatsvond. De aanval raakte dertienhonderd pasgebruikers van de Eerste en Tweede Kamer, alsmede 3200 Rijksambtenaren. ID-Ware levert toegangssystemen aan bedrijven en overheden, inclusief de Eerste en Tweede Kamer. Het gaat om de Rijkspas, die leden van de Eerste en Tweede Kamer, de staf van die organisaties, en rijksambtenaren toegang verschaft tot de Kamergebouwen en rijkspanden. Het ministerie van Binnenlandse Zaken ontving een verzoek op basis van de Wet open overheid (Woo) om documenten over de aanval vrij te geven. De documenten gaan vooral over de coördinatie rond de aanval en hoe er naar buiten over het incident wordt gerapporteerd. De aanval op ID-ware was het werk van de groep achter de ALPHV-ransomware. Hoe de aanvallers toegang wisten te krijgen wordt niet duidelijk uit de vrijgegeven documenten. ID-ware zegt dat het de bron van het incident heeft geïdentificeerd om zo herhaling in de toekomst te voorkomen, maar details worden niet gegeven. De aanvallers wisten ruim tweehonderd gigabyte aan data bij het bedrijf te stelen, waarvan een deel op internet werd geplaatst. Het bedrijf kon dankzij een recente back-up de servers tijdig herstellen, zo blijkt uit de nu vrijgegeven documenten. ID-ware besloot de criminelen geen losgeld te betalen. Verder blijkt dat er binnen de overheid een Signal-groep werd aangemaakt voor de coördinatie rond het incident.

Besluit Op Woo Verzoek Over Bestuurlijke Aangelegenheid Van De Hack Bij ID Ware
PDF – 3,0 MB 114 downloads
Lijst Van Documenten En Bijlagen Bij Besluit Op Woo Verzoek Over Bestuurlijke Aangelegenheid Van De Hack Bij ID Ware
PDF – 11,8 MB 114 downloads

Samuel Cogolati, een kamerlid van de Belgische partij Ecolo, is het slachtoffer geworden van een cyberaanval uitgevoerd door China

Het Franstalige groene partij- en kamerlid Samuel Cogolati is het doelwit geworden van een cyberaanval, zo meldde Ecolo vanochtend via Belga. Het officiële communiqué geeft niet veel details over de aard van de aanval, maar de beschuldigende vinger wordt zonder aarzeling gewezen naar de Chinese overheid. In het persbericht reageert Ecolo dat als de Chinese communistische partij denkt dat ze op deze manier kunnen intimideren, ze zich vergissen. Cogolati heeft zich actief ingezet tegen de onderdrukking van de Oeigoeren in China. Het parlementslid eist dat België dringend een diepgaand onderzoek doet naar de omvang van cyberaanvallen die worden uitgevoerd door de Chinese overheid en andere vijandelijke staten in ons land. Cogolati stelt dat er een methodiek achter de cyberaanvallen zit, gericht tegen mensenrechtenverdedigers en georganiseerd voor rekening van het Chinese regime. Hij pleit voor volledige duidelijkheid over de duur, aard en slachtoffers van de cyberaanvallen tegen België. Deze cyberaanval op Cogolati komt na een reeks van cyberaanvallen op het Belnet-netwerk, het ministerie van Binnenlandse Zaken en Defensie in 2021, die voor veel ophef zorgden. Het ministerie van Buitenlandse Zaken beweerde vorige zomer voldoende bewijs te hebben verzameld om de aanvallen te linken aan het Chinese regime, dat dit echter heeft ontkend. Cogolati vindt dat de Belgische overheid dit incident via diplomatieke wegen moet aankaarten en als een aanval duidelijk kan worden gelinkt aan een overheidsinstantie, dan moet dat regime instaan voor de herstellingskosten.


Losgeld betalen bij ransomwareaanvallen voedt criminele cyberactiviteiten

Een rapport van Trend Micro wijst uit dat het losgeld dat bedrijven betalen om hun computers vrij te krijgen na een ransomware-aanval, meestal wordt gebruikt om nog meer criminele cyberactiviteiten te financieren. Cybercriminelen die erin slagen losgeld te krijgen van hun slachtoffers, gebruiken dit niet om persoonlijke aankopen te doen, maar investeren het geld in hun toekomstige activiteiten. Slechts 16% van de ransomwareslachtoffers betaalt het gevraagde losgeld, en in de meeste gevallen wordt het losgeldbedrag vervolgens gebruikt voor nieuwe ransomwareaanvallen. Hierdoor dragen betalende slachtoffers bij aan een groeiend systeem van cybermisdaad. Trend Micro raadt dan ook aan om niet te betalen en in plaats daarvan te investeren in een betere infrastructuur om buitenstaanders buiten te houden.

What Decision Makers Need To Know About Ransomware Risk
PDF – 3,8 MB 157 downloads

Minister Hoekstra: Europese Unie moet wereldwijde cybermacht worden

De Europese Unie moet een wereldwijde cybermacht worden die in staat is tot vergelding, afschrikking en attributie, zo heeft minister Hoekstra van Buitenlandse Zaken tijdens het Europacollege in Brugge laten weten. Het Europacollege is een universitair instituut dat verschillende masters in gespecialiseerde Europese studies aanbiedt. Tijdens zijn speech ging Hoekstra in op de toekomst van Europa en benoemde daarbij ook cyberspace. "Er is een strijd gaande. Een onzichtbare strijd, die zich hier en nu afspeelt. Een strijd in de Europese cyberspace", aldus de minister. "Dagelijks worden cyberaanvallen uitgevoerd op onze instellingen, universiteiten, banken, ziekenhuizen, infrastructuur, bedrijven en burgers. In heel Europa. De schade loopt in de miljarden euro's per jaar." De verontwaardiging over deze aanvallen is echter beperkt, ging Hoekstra verder. "Daar moeten we dus gewoon verandering in brengen." Hij pleitte voor een veel gecoördineerder, coherenter en proactiever Europees optreden. "We moeten als Europeanen alle middelen gebruiken die we ter beschikking hebben. Daarom is het essentieel dat de EU een wereldwijde cybermacht wordt - met een capaciteit voor attributie, afschrikking en zo nodig vergelding." De minister merkte op dat een aanval op de EU zo hoog moet zijn, dat ze in feite onhaalbaar worden. "Het moet glashelder zijn dat de kosten om ons aan te vallen prohibitief zijn. We moeten dit doen door gebruik te maken van alle economische, financiële, politieke en offensieve cybermogelijkheiden die we ter beschikking hebben." Volgens Hoekstra beschikken de EU en haar lidstaten over een indrukwekkende reeks opties om tegenstanders in het cyberdomein aan te pakken. "Zoals sancties, het uitzetten van diplomaten en cybervergelding. Laten we die dus zo effectief mogelijk inzetten, om de daders af te schrikken en ervoor te zorgen dat iedereen die ons aanvalt de prijs kent."


Ierse universiteit slachtoffer van Russische hackers

Tijdens de tweede week van februari 2023 werd de Munster Technological University (MTU) het slachtoffer van een Russische cyberaanval. De hackers slaagden erin om verschillende gigabytes aan informatie over personeel en studenten buit te maken. Ze vroegen vervolgens de universiteit om losgeld te betalen voor de geheimhouding ervan. De universiteit weigerde op die eis in te gaan, waarna de data gelekt werden op het internet. Informatie over loonbetalingen, werkcontracten, beroepsprocedures, studentenbegeleiding en academisch materiaal werd zo vrij beschikbaar. De universiteit trachtte op het laatste moment nog om de informatie te beschermen met een rechterlijk bevel, maar dat schrok de hackers niet af.


Valse waarschuwing voor luchtaanval door cyberaanval op Russische regionale omroepen

Als gevolg van een cyberaanval hebben enkele Russische regionale omroepen vandaag een foutieve waarschuwing voor een luchtaanval uitgestuurd. Mensen werden op radio- en televisiezenders opgeroepen te schuilen voor een raketaanval, maar hier was geen reden toe, aldus het Russische ministerie belast met NoodhulpverleningGazprom Media, de beheerder van een aantal regionale televisiezenders, zei tegen persbureau RIA Novosti dat de infrastructuur van het bedrijf is aangevallen. Eerder deze maand lagen enkele websites die door Gazprom Media worden gerund ook al plat tijdens de jaarlijkse speech van president Poetin, als gevolg van een ddos-aanval. ‘Zulke aanvallen op ons satellietnetwerk worden onderdeel van ons dagelijkse werk’, aldus een woordvoerder. De waarschuwing werd vandaag onder andere verspreid via regionale media op de Krim. In beeld is een symbool te zien van een rennende man die dekking probeert te zoeken voor inkomende raketten. Volgens beelden op sociale media stond daarbij de tekst: 'Iedereen naar de schuilkelders, nu.' Op radiozenders was een luide sirene te horen, gevolgd door de boodschap: 'Attentie, attentie. Er wordt een luchtalarm afgegeven. Iedereen naar de schuilkelders, nu. Attentie, attentie. Raketdreiging.' Moskou verdenkt Oekraïne van de cyberaanvallen op Russische media. Kyiv heeft nog niet gereageerd op de beschuldigingen.


LastPass-incident: Aanval op wachtwoordmanager via gecompromitteerde thuiscomputer van DevOps-engineer leidt tot diefstal van klantgegevens

De aanval op wachtwoordmanager LastPass waarbij allerlei klantgegevens werden gestolen, waaronder kluisdata zoals versleutelde wachtwoorden, gebruikersnamen en notities, vond mede plaats via een gecompromitteerde thuiscomputer van een DevOps-engineer. Dat heeft LastPass in een update over het incident bekendgemaakt. LastPass kreeg vorig jaar met meerdere incidenten te maken. In augustus werd bekend dat de broncode en technische informatie uit de ontwikkelomgeving van LastPass bij een aanval was buitgemaakt. De aanvaller gebruikte deze informatie voor een aanval op een LastPass-medewerker, waarbij inloggegevens en keys werden verkregen waarmee kon worden ingelogd op een cloudomgeving waar LastPass back-ups van productiedata bewaart. Bij de tweede aanval, die tussen 12 augustus en 26 oktober plaatsvond, werden de klantgegevens uit de cloudomgeving van LastPass gestolen. Hierbij gebruikte de aanvaller inloggegevens van een senior DevOps-engineer om toegang tot de cloudomgeving te krijgen. Volgens LastPass had de aanvaller, om toegang tot de S3 cloudopslag van Amazon te krijgen, de AWS access keys en door LastPass gegenereerde decryptiesleutels nodig. De cloudopslag bevat de klantgegevens en versleutelde kluisdata. De aanvaller had echter geen toegang tot de decryptiesleutels. Om die te verkrijgen richtte de aanvaller zich op een senior DevOps-engineer en dan specifiek de thuiscomputer van deze medewerker. Hierbij gebruikte de aanvaller een kwetsbaarheid in een niet nader genoemde "third-party media software package" waardoor remote code execution mogelijk was. De aanvaller kon zo een keylogger op de thuiscomputer van de engineer installeren en het master password van de medewerker stelen. Zo kreeg de aanvaller toegang tot de zakelijke LastPass-kluis van de DevOps-engineer. Vervolgens kon de aanvaller de inhoud van de LastPass-kluis stelen, waaronder notities met acces en decryptiesleutels om toegang tot de AWS S3 LastPass productieback-ups en andere kritieke databaseback-ups van LastPass te krijgen. Naar aanleiding van het incident heeft LastPass mede het thuisnetwerk en persoonlijke apparaten van de aangevallen DevOps-engineer beter beveiligd. Verder meldt LastPass dat er verschillende maatregelen worden genomen om klanten te


WordPress-sites van makelaars en vastgoedbedrijven doelwit van aanvallen door kwetsbaarheden in Houzez-theme

WordPress-sites van makelaars en vastgoedbedrijven zijn het doelwit van aanvallen waarbij gebruik wordt gemaakt van twee kwetsbaarheden in het Houzez-theme. Houzez biedt een theme speciaal gericht op vastgoed, zoals de verhuur of verkoop van woningen. Volgens de ontwikkelaars maken meer dan 35.000 klanten gebruik van het theme. Houzez biedt via het theme ook een optie dat gebruikers zich op de website kunnen registreren, bijvoorbeeld als koper, eigenaar of verkoper. Securitybedrijf Patchstack ontdekte dat gebruikers die zich registeren zich ook als administrator kunnen opgeven, om vervolgens beheerder van de betreffende website te worden. Daarnaast zit een soortgelijke kwetsbaarheid ook in de plug-in van het Houzez-theme. Patchstack informeerde Houzez over de beveiligingsproblemen, dat vervolgens met een beveiligingsupdate kwam. De impact van beide kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Aanvallers maken inmiddels actief misbruik van de beveiligingslekken, aldus Patchstack, dat over een "groot aantal aanvallen" spreekt.


Tak van Amerikaanse politie gehackt: ‘Enorm incident’

De Marshals Service, een belangrijke tak van het Amerikaanse ministerie van Justitie, is het slachtoffer geworden van een grootschalige aanval met ransomware. Ingewijden zeggen tegen persbureau Bloomberg dat het om een "enorm incident" gaat waarbij ook persoonsgegevens van verdachten en medewerkers op straat zijn beland. De Marshals Service is, net zoals bijvoorbeeld de FBI, een federale politiedienst. Marshals arresteren verdachten en nemen onder meer bezittingen van criminelen in beslag. Een woordvoerder van de dienst meldt dat gevoelige informatie is getroffen door de cyberaanval, die anderhalve week geleden werd uitgevoerd maar maandag door NBC News naar buiten werd gebracht. Er is een onderzoek ingesteld naar de cyberaanval. Vaak willen criminelen met een aanval met ransomware losgeld, waarna bedrijven de gegevens terugkrijgen. Het is niet bekend of dat hier ook het geval is.


Besmette advertenties en websites infecteren dagelijks duizenden IE-gebruikers met RIG-exploitkit

Besmette advertenties en gecompromitteerde websites infecteren dagelijks duizenden gebruikers van Internet Explorer, waarbij aanvallers gebruikmaken van bekende kwetsbaarheden, zo stelt securitybedrijf Prodaft op basis van eigen onderzoek. De IE-gebruikers zijn slachtoffers van de RIG-exploitkit, die gebruikers met een kwetsbare browser ongemerkt met malware kan infecteren. Alleen het te zien krijgen van een besmette advertentie of bezoeken van een gecompromitteerde website is voldoende. Daarbij richt de RIG-exploitkit zich volledig op Internet Explorer en maakt gebruik van verschillende bekende kwetsbaarheden. Het gaat met name om de beveiligingslekken aangeduid als CVE-2020-0674 en CVE-2021-26411, waarvoor Microsoft op respectievelijk op 11 februari 2020 en 9 maart 2021 beveiligingsupdates uitbracht. Ondanks de beschikbaarheid van deze patches raakte vorig jaar dertig procent van de IE-gebruikers die via een besmette advertentie of gecompromitteerde website naar de RIG-exploitkit werd geleid besmet met malware. Het gaat dan met name om malware ontwikkeld voor het stelen van wachtwoorden en andere gegevens, zoals RedlineStealer, Dridex en RaccoonStealer, of het installeren van aanvullende malware. Hoewel het aandeel van Internet Explorer de afgelopen jaren sterk is gedaald, wordt de browser vooral nog binnen bedrijven gebruikt. Dat blijkt ook uit het aantal exploit-pogingen, die met name op dinsdag, woensdag en donderdag een piek vertonen.

RIG RIG Exploit Kit In Depth Analysis
PDF – 2,4 MB 156 downloads

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten