Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
De afgelopen week heeft de wereld te maken gehad met een golf van verontrustende cyberaanvallen die zowel kritieke infrastructuurorganisaties als internetproviders, financiële instellingen en techgiganten hebben getroffen. Deze aanvallen variëren van grootschalige ransomware-campagnes tot verfijnde man-in-the-middle-aanvallen en geavanceerde malware gericht op crypto-wallets. Enkele opmerkelijke incidenten zijn de 3CX-cyberaanval die kritieke infrastructuurorganisaties in Europa en de VS heeft getroffen, de ransomware-aanval op de Zuid-Hollandse internetprovider SKP, en de diefstal van 200 miljoen euro via man-in-the-middle-aanvallen op geldautomaten. Daarnaast zijn Tencent QQ-gebruikers het slachtoffer geworden van een mysterieuze malware-aanval en hebben cybercriminelen met succes 50 crypto-wallets aangevallen met behulp van de nieuwe Atomic macOS-informatiediefstal-malware. Hieronder vindt u een volledig overzicht van de cyberaanvallen van de afgelopen week.
Laatste wijziging op 01-mei-2023
Week overzicht slachtoffers
Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb β |
---|---|---|---|---|---|
100X | RansomHouse | www.100x.com | USA | IT Services | 30-apr.-23 |
SIIX Corporation | Qilin | www.siix.co.jp | Japan | Electronic, Electrical Equipment, Components | 30-apr.-23 |
Roseman University | AvosLocker | www.roseman.edu | USA | Educational Services | 30-apr.-23 |
CMC Group | Vice Society | www.centurylabel.com | USA | Publishing, printing | 30-apr.-23 |
Sherman Consulting Services | BlackCat (ALPHV) | scs.com | USA | IT Services | 29-apr.-23 |
KMC Savills | BlackCat (ALPHV) | kmcmaggroup.com | Philippines | Real Estate | 29-apr.-23 |
Colvillbanks | Black Basta | www.colvillbanks.com | UK | Business Services | 29-apr.-23 |
logicalsolutions.bc.ca | LockBit | logicalsolutions.bc.ca | Canada | Communications | 29-apr.-23 |
conver-pack.com | LockBit | conver-pack.com | USA | Paper Products | 29-apr.-23 |
ourrelentlesschurch.com | LockBit | ourrelentlesschurch.com | USA | Miscellaneous Services | 29-apr.-23 |
Our Sunday Visitor | Karakurt | www.osv.com | USA | Publishing, printing | 29-apr.-23 |
McDermott International, Ltd | BlackCat (ALPHV) | www.mcdermott.com | USA | Oil, Gas | 29-apr.-23 |
Albany ENT & Allergy Services | RansomHouse | www.albanyentandallergy.com | USA | Health Services | 28-apr.-23 |
A**** ************* | BianLian | Unknown | USA | Transportation Services | 28-apr.-23 |
E*** - ******* ** ****** | BianLian | Unknown | Angola | Insurance Carriers | 28-apr.-23 |
H***** ******* S******* | BianLian | Unknown | Sweden | Measuring, Analyzing, Controlling Instruments | 28-apr.-23 |
P********* ******* *e**** | BianLian | Unknown | USA | Health Services | 28-apr.-23 |
TAMMAC | Black Basta | www.tammac.com | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 28-apr.-23 |
BLUME | Black Basta | www.blume2000.de | Germany | Miscellaneous Retail | 28-apr.-23 |
AUTOCAM MEDICAL | Black Basta | www.autocam-medical.com | USA | Miscellaneous Manufacturing Industries | 28-apr.-23 |
DATA MODUL | Black Basta | www.data-modul.com | Germany | Electronic, Electrical Equipment, Components | 28-apr.-23 |
KLINE-SPECTER | Black Basta | www.klinespecter.com | USA | Legal Services | 28-apr.-23 |
GC-EMPLOYMENT.COM | CL0P | gc-employment.com | Canada | Business Services | 28-apr.-23 |
Anton Paar | Black Basta | www.anton-paar.com | Austria | Measuring, Analyzing, Controlling Instruments | 28-apr.-23 |
hwlebsworth | BlackCat (ALPHV) | hwlebsworth.com.au | Australia | Legal Services | 28-apr.-23 |
restorationmanagement | Black Basta | www.rmc.com | USA | Miscellaneous Services | 27-apr.-23 |
La Red Health Center | Karakurt | laredhealthcenter.org | USA | Health Services | 27-apr.-23 |
mastercorp | Black Basta | www.mastercorp.com | USA | Management Services | 27-apr.-23 |
COACHCOMM | Black Basta | www.coachcomm.com | USA | Miscellaneous Services | 27-apr.-23 |
DiJones Real Estate | AvosLocker | www.dijones.com.au | Australia | Real Estate | 27-apr.-23 |
Gates Corporation | Black Basta | www.gates.com | USA | Machinery, Computer Equipment | 27-apr.-23 |
multimedica.it | LockBit | multimedica.it | Italy | Health Services | 26-apr.-23 |
ArcWear | BlackCat (ALPHV) | www.arcwear.com | USA | Research Services | 26-apr.-23 |
e-Hazard | BlackCat (ALPHV) | e-hazard.com | USA | Educational Services | 26-apr.-23 |
accesscontrolsecurity.com | BlackCat (ALPHV) | accesscontrolsecurity.com | USA | Management Services | 26-apr.-23 |
bg2i.fr | LockBit | bg2i.fr | France | Educational Services | 26-apr.-23 |
Tranztec Solutions | RansomHouse | www.tranztec.com | USA | Transportation Services | 26-apr.-23 |
OMT Officine Meccaniche Torino S.p.A. | RansomHouse | omt-torino.com | Italy | Machinery, Computer Equipment | 26-apr.-23 |
cdcbmestihl.com | LockBit | cdcbmestihl.com | USA | Miscellaneous Retail | 26-apr.-23 |
fsdc.org.hk | LockBit | fsdc.org.hk | Hong Kong | Security And Commodity Brokers, Dealers, Exchanges, And Services | 26-apr.-23 |
silbon.es | LockBit | silbon.es | Spain | Textile Mill Products | 26-apr.-23 |
Fundação Carlos Chagas | BlackCat (ALPHV) | www.concursosfcc.com.br | Brazil | Educational Services | 26-apr.-23 |
Bevan Group | Medusa | www.bevangroup.com | UK | Transportation Equipment | 26-apr.-23 |
GTT | Black Basta | www.gtgroupinc.com | Canada | Transportation Services | 26-apr.-23 |
Agensi Kaunseling dan Pengurusan Kredit | BlackCat (ALPHV) | www.akpk.org.my | Malaysia | Public Finance, Taxation | 25-apr.-23 |
BERNINA International AG | BlackCat (ALPHV) | www.bernina.com | Switzerland | Machinery, Computer Equipment | 25-apr.-23 |
Transformative Healthcare | BlackCat (ALPHV) | www.transformativehc.com | USA | Health Services | 25-apr.-23 |
CANTALK | Ragnar_Locker | www.cantalk.com | Canada | Miscellaneous Services | 25-apr.-23 |
ptow.com | LockBit | ptow.com | USA | Health Services | 25-apr.-23 |
sunnydesigns.com | LockBit | sunnydesigns.com | USA | Furniture | 25-apr.-23 |
peachtree-medical.com | LockBit | peachtree-medical.com | USA | Health Services | 25-apr.-23 |
lhh.com.my | LockBit | lhh.com.my | Malaysia | Wholesale Trade-non-durable Goods | 25-apr.-23 |
atlanticeye.net | LockBit | atlanticeye.net | USA | Health Services | 25-apr.-23 |
imanor.gov.ma | LockBit | imanor.gov.ma | Morocco | Nonclassifiable Establishments | 25-apr.-23 |
Dacotah Paper | BlackByte | www.dacotahpaper.com | USA | Wholesale Trade-non-durable Goods | 25-apr.-23 |
fabeckarchitectes.lu | LockBit | fabeckarchitectes.lu | Luxembourg | Construction | 25-apr.-23 |
ddmontaza.hr | LockBit | ddmontaza.hr | Croatia | Machinery, Computer Equipment | 25-apr.-23 |
summerweine.at | LockBit | summerweine.at | Austria | Wholesale Trade-non-durable Goods | 25-apr.-23 |
ewwanfried.de | LockBit | ewwanfried.de | Germany | Electrical | 25-apr.-23 |
vcclawservices.com | LockBit | vcclawservices.com | Hong Kong | Legal Services | 25-apr.-23 |
keystonesmiles.org | LockBit | keystonesmiles.org | USA | Educational Services | 25-apr.-23 |
Bilstein GmbH | BianLian | bilsteingroup.com | Germany | Transportation Equipment | 25-apr.-23 |
GROUPE ETIC | BianLian | etic-groupe.com | France | Business Services | 25-apr.-23 |
A***** *** * ******* S******* | BianLian | Unknown | USA | Health Services | 25-apr.-23 |
Magnolia Care Center | Medusa | www.magnoliaveteranshomes.com | USA | Health Services | 25-apr.-23 |
ultimateimageprinting.com | LockBit | ultimateimageprinting.com | USA | Publishing, printing | 25-apr.-23 |
Encompass Group | Royal | www.encompassgroup.com | USA | Miscellaneous Manufacturing Industries | 25-apr.-23 |
goforcloud.com | LockBit | goforcloud.com | Belgium | IT Services | 24-apr.-23 |
gruponutresa.com | LockBit | gruponutresa.com | Colombia | Food Products | 24-apr.-23 |
nagase.co.jp | LockBit | nagase.co.jp | Japan | Wholesale Trade-non-durable Goods | 24-apr.-23 |
abro.se | LockBit | abro.se | Sweden | Food Products | 24-apr.-23 |
Lifeline Vascular Access | Karakurt | www.lifelinevascular.com | USA | Health Services | 24-apr.-23 |
Winona Powder Coating | Karakurt | www.winonapowder.com | USA | Engineering Services | 24-apr.-23 |
TransMedics | Karakurt | www.transmedics.com | USA | Miscellaneous Manufacturing Industries | 24-apr.-23 |
baffetmateriaux.fr | LockBit | baffetmateriaux.fr | France | Wholesale Trade-durable Goods | 24-apr.-23 |
midipapierspeints.fr | LockBit | midipapierspeints.fr | France | Wholesale Trade-durable Goods | 24-apr.-23 |
Bentham & Holroyd Ltd | Medusa | www.benthams.com | UK | Machinery, Computer Equipment | 24-apr.-23 |
kse.org.kw | LockBit | kse.org.kw | Kuwait | Membership Organizations | 24-apr.-23 |
tiger.jp | LockBit | tiger.jp | Japan | Electronic, Electrical Equipment, Components | 24-apr.-23 |
yateemgroup.com | LockBit | yateemgroup.com | United Arab Emirates | Miscellaneous Retail | 24-apr.-23 |
gpglobal.com | LockBit | gpglobal.com | United Arab Emirates | Oil, Gas | 24-apr.-23 |
apolloscientific.co.uk | LockBit | apolloscientific.co.uk | UK | Chemical Producers | 24-apr.-23 |
esinsa.com | LockBit | esinsa.com | Spain | Fabricated Metal Products | 24-apr.-23 |
bigc.co.th | LockBit | bigc.co.th | Thailand | Merchandise Stores | 24-apr.-23 |
fullertonindia.com | LockBit | fullertonindia.com | India | Non-depository Institutions | 24-apr.-23 |
Lake Dallas Independent School District | Royal | www.ldisd.net | USA | Educational Services | 24-apr.-23 |
MW Components | Royal | www.mwcomponents.com | USA | Fabricated Metal Products | 24-apr.-23 |
Clarke County Hospital | Royal | clarkehosp.org | USA | Health Services | 24-apr.-23 |
Slachtoffers Belgie en Nederland
Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum |
---|---|---|---|---|---|
goforcloud.com | LockBit | goforcloud.com | Belgium | IT Services | 24-apr.-23 |
In samenwerking met DarkTracer
Cyberaanvallen nieuws
Hackers gebruiken valse Windows-updategidsen om Oekraïense overheid te viseren
Hackers hebben valse Windows-updatehandleidingen gebruikt om cyberaanvallen uit te voeren op de Oekraïense overheid. De aanvallers lanceerden een spear-phishing-campagne waarin ze zich voordeden als medewerkers van Microsoft om hun slachtoffers te misleiden. De aanvallers stuurden e-mails naar Oekraïense overheidsmedewerkers met valse instructies voor het updaten van Windows. De e-mails bevatten een kwaadaardige bijlage die als een Microsoft Word-document werd gepresenteerd, maar in werkelijkheid een gevaarlijk virus bevatte. Zodra de bijlage werd geopend, werd het virus geactiveerd en kon het gevoelige gegevens stelen of andere kwaadaardige acties uitvoeren. Onderzoekers geloven dat de aanvallers mogelijk banden hebben met de Russische overheid, aangezien veel van de aanvallen gericht waren op Oekraïense instellingen die banden hebben met de Verenigde Staten en andere westerse landen. Bovendien gebruikten de hackers technieken en tools die eerder zijn geassocieerd met Russische cyberoperaties. Beveiligingsonderzoekers waarschuwen dat spear-phishing-aanvallen, zoals deze, steeds geavanceerder worden en moeilijker te detecteren zijn. Ze benadrukken het belang van voortdurende waakzaamheid en het gebruik van up-to-date beveiligingssoftware om dergelijke bedreigingen te bestrijden.
Cybercriminelen richten zich op kwetsbare Veeam-back-upservers die online worden blootgesteld
Cybercriminelen hebben zich onlangs gericht op kwetsbare Veeam-back-upservers die openlijk toegankelijk zijn op het internet. Dit zet bedrijven op het spel die vertrouwen op Veeam-software voor gegevensherstel en bedrijfscontinuïteit. Volgens een rapport van cybersecuritybedrijf Bad Packets zijn er minstens 2.000 kwetsbare Veeam-back-upservers op het internet te vinden. Hackers maken gebruik van deze situatie door toegang te krijgen tot gevoelige bedrijfsinformatie en bedrijfsgegevens te stelen. Het rapport waarschuwt dat bedrijven die geen maatregelen nemen om hun Veeam-servers te beveiligen, het risico lopen om slachtoffer te worden van ransomware-aanvallen, dataverlies en andere cyberdreigingen. Om de veiligheid te waarborgen, moeten bedrijven ervoor zorgen dat hun Veeam-back-upservers niet direct toegankelijk zijn vanaf het internet. Enkele aanbevelingen om de beveiliging van Veeam-back-upservers te verbeteren zijn onder andere het gebruik van sterke, unieke wachtwoorden, het regelmatig updaten van software en het implementeren van tweefactorauthenticatie. Bedrijven wordt ook aangeraden om regelmatig beveiligingsaudits uit te voeren en een robuust beleid voor gegevensherstel te hanteren.
Tot slot benadrukt het rapport het belang van bewustwording en opleiding voor medewerkers op het gebied van cybersecurity, om het risico op cyberaanvallen en gegevensverlies verder te minimaliseren.
Ontdekking SolarWinds-aanval door Amerikaans ministerie vond zes maanden voor openbaring plaats
Het Amerikaanse ministerie van Binnenlandse Veiligheid heeft de grootschalige cyberaanval op SolarWinds ontdekt zes maanden voordat deze openbaar werd gemaakt. Dit meldt The Washington Post op basis van vertrouwelijke bronnen. De aanval, die later werd toegeschreven aan Russische staatshackers, trof tal van Amerikaanse overheidsinstanties en bedrijven. Volgens het artikel waren de autoriteiten al in mei 2020 op de hoogte van de aanval, maar werd deze pas in december van dat jaar bekendgemaakt. De reden voor de vertraging is niet bekend. Het is mogelijk dat de Amerikaanse overheid de omvang van de aanval probeerde te beoordelen en mogelijke tegenmaatregelen overwoog voordat het nieuws werd vrijgegeven. De cyberaanval op SolarWinds, een Amerikaans softwarebedrijf, had verstrekkende gevolgen. Hackers slaagden erin om malafide software-updates te verspreiden naar duizenden klanten van het bedrijf. Hierdoor konden ze toegang krijgen tot gevoelige informatie van getroffen organisaties, waaronder overheidsinstanties en grote bedrijven.
ViperSoftX-informatiediefstal malware richt zich nu op wachtwoordbeheerders
ViperSoftX, een gevaarlijke malware die bekend staat om het stelen van gevoelige informatie, heeft zijn arsenaal uitgebreid met het aanvallen van populaire wachtwoordbeheerders. Volgens onderzoekers is de malware nu in staat om wachtwoorden en inloggegevens te stelen uit beveiligde opslagplaatsen van wachtwoordbeheerders zoals 1Password, Dashlane, en KeePass. De ViperSoftX-malware was voorheen alleen in staat om gevoelige gegevens te stelen van webbrowsers en andere applicaties, maar heeft nu zijn aanvalsvectoren uitgebreid. Cyberbeveiligingsonderzoekers waarschuwen dat deze ontwikkeling een aanzienlijk risico vormt voor gebruikers die vertrouwen op wachtwoordbeheerders om hun inloggegevens veilig te houden. De malware wordt verspreid via phishing-campagnes en kwaadaardige bijlagen in e-mails. Wanneer een nietsvermoedende gebruiker op een schadelijke link klikt of een geïnfecteerde bijlage opent, wordt de ViperSoftX-malware op de computer geïnstalleerd. Vervolgens kan de malware toegang krijgen tot de opgeslagen wachtwoorden en inloggegevens in de wachtwoordbeheerder, waardoor cybercriminelen toegang krijgen tot belangrijke accounts en persoonlijke gegevens van de gebruiker. Om zichzelf te beschermen tegen dergelijke aanvallen, wordt gebruikers geadviseerd om voorzichtig te zijn bij het openen van e-mailbijlagen en het klikken op links in e-mails, vooral als ze afkomstig zijn van onbekende afzenders. Daarnaast wordt aanbevolen om regelmatig antivirussoftware bij te werken en te zorgen voor een up-to-date besturingssysteem. Hoewel wachtwoordbeheerders nog steeds een effectieve manier zijn om wachtwoorden te beheren en veilig te houden, is het belangrijk om bewust te zijn van de potentiële risico's en passende voorzorgsmaatregelen te nemen om te voorkomen dat uw gegevens in handen van cybercriminelen terechtkomen.
Hackers verruilen heimelijkheid voor realistische betaalformulieren om creditcardgegevens te stelen
Hackers hebben hun tactieken aangepast en gebruiken nu realistisch ogende betaalformulieren om creditcardgegevens te stelen van nietsvermoedende online shoppers. Deze aanpak is minder heimelijk dan eerdere methoden, zoals het gebruik van skimmers of het infiltreren van betaalsystemen. Het gebruik van realistische betaalformulieren biedt voordelen voor cybercriminelen. Ze kunnen deze formulieren snel opzetten en aanpassen, waardoor ze minder tijd besteden aan het ontwikkelen van geavanceerde technieken om onopgemerkt te blijven. Bovendien zijn de nepformulieren vaak niet te onderscheiden van legitieme betaalpagina's, waardoor slachtoffers gemakkelijk in de val lopen. Deze tactiek wordt mogelijk gemaakt door het toenemende gebruik van betalingsverwerkers die op de achtergrond werken en gebruikers niet meer doorsturen naar een aparte, beveiligde betalingspagina. Hierdoor kunnen hackers een vals betaalformulier integreren in het afrekenproces van een winkel en de gegevens van nietsvermoedende klanten verzamelen. Om te voorkomen dat ze slachtoffer worden van deze vorm van fraude, wordt online shoppers aangeraden om extra voorzichtig te zijn bij het invoeren van hun creditcardgegevens en alert te zijn op verdachte signalen. Het controleren van de URL van de betaalpagina en het zoeken naar een beveiligde verbinding (https) kunnen helpen om valse betaalformulieren te herkennen. Daarnaast is het verstandig om regelmatig bank- en creditcardafschriften te controleren op verdachte transacties. Ondanks de toegenomen waakzaamheid van consumenten en bedrijven blijft het stelen van creditcardgegevens een lucratieve onderneming voor cybercriminelen. Naarmate online winkelen blijft groeien, zullen hackers ongetwijfeld nieuwe manieren blijven zoeken om hun slag te slaan.
Cybercriminelen verspreiden adware via valse Minecraft klonen met 35 miljoen downloads op Android
Onlangs is ontdekt dat meerdere Android-apps, die klonen zijn van de populaire game Minecraft, 35 miljoen keer gedownload zijn en gebruikers hebben geïnfecteerd met adware. Deze klonen van Minecraft zijn gemaakt door oplichters om nietsvermoedende gebruikers te verleiden tot het downloaden van de valse apps, waarna ze worden gebombardeerd met ongewenste advertenties. Onderzoekers van cyberbeveiligingsbedrijf White Ops Satori Threat Intelligence and Research Team ontdekten deze frauduleuze apps in de Google Play Store. Het team gaf aan dat de ontwikkelaars van deze kloon-apps een truc hebben toegepast die bekend staat als "dropper apps". Deze dropper apps worden gebruikt om adware te verbergen en uiteindelijk te installeren op de apparaten van de gebruikers. Volgens de onderzoekers zijn er meer dan 20 van dergelijke valse Minecraft kloon-apps in de Google Play Store geïdentificeerd. Deze apps bevatten namen zoals 'Minecraft Pocket Edition 2', 'Minecrafter Mod APK', en 'CraftWorld: Block Craft'. Hoewel Google de meeste van deze apps al heeft verwijderd, zijn ze nog steeds in staat geweest om meer dan 35 miljoen downloads te bereiken. De adware die met deze valse Minecraft-apps wordt geïnstalleerd, kan ongewenste advertenties weergeven op het apparaat van de gebruiker, zelfs als de app niet actief is. Dit kan leiden tot slechte prestaties van het apparaat en een verminderde levensduur van de batterij. Bovendien kan de adware ook persoonlijke gegevens verzamelen en doorsturen naar derde partijen. De onderzoekers benadrukken het belang van het controleren van de bron van de app voordat deze wordt gedownload, evenals het lezen van recensies en controleren van de ontwikkelaarsinformatie. Gebruikers die vermoeden dat ze een valse Minecraft-app hebben geïnstalleerd, wordt aangeraden deze onmiddellijk te verwijderen en een betrouwbare antivirus-app te gebruiken om hun apparaat te scannen op verdere bedreigingen.
Cybercriminelen richten zich op VMware ESXi-servers met Linux-versie van RTM Locker ransomware
Een recent ontdekte Linux-variant van de RTM Locker ransomware richt zich op VMware ESXi-servers, wat aangeeft dat cybercriminelen hun aanvalsstrategieën blijven verfijnen om grotere slachtoffers te maken en aanzienlijke losgeldbetalingen te eisen. Deze nieuwe variant van RTM Locker, ontdekt door onderzoekers, maakt gebruik van brute force-aanvallen om in te loggen op de ESXi-servers en versleutelt vervolgens alle virtuele machines (VM's) die op de getroffen server worden gehost. Na de succesvolle versleuteling eisen de aanvallers een losgeld om de toegang tot de versleutelde gegevens te herstellen. De Linux-versie van RTM Locker richt zich specifiek op bedrijfsomgevingen die gebruikmaken van VMware ESXi-servers, wat aantoont dat cybercriminelen steeds meer geavanceerde en gerichte aanvallen uitvoeren op organisaties. De impact van een ransomware-aanval op een dergelijke server kan verwoestend zijn, omdat het versleutelen van VM's de operaties van een organisatie volledig kan verstoren. De RTM Locker-ransomware maakt gebruik van een opmerkelijke aanpak om zijn sporen uit te wissen en ontdekking te voorkomen. Na het uitvoeren van de versleutelingsoperatie verwijdert de ransomware alle logboeken en uitvoerbare bestanden die verband houden met de aanval. Dit maakt het voor slachtoffers en onderzoekers moeilijker om de oorsprong van de aanval te achterhalen en om eventuele herstelmaatregelen te treffen. Beveiligingsexperts benadrukken het belang van het volgen van goede beveiligingspraktijken om te beschermen tegen ransomware-aanvallen. Enkele aanbevelingen zijn het gebruik van sterke, unieke wachtwoorden, het regelmatig updaten van software en besturingssystemen, het inzetten van geavanceerde beveiligingsoplossingen en het regelmatig maken van back-ups van belangrijke gegevens.
Cybercriminelen richten zich op 50 crypto-wallets met nieuwe Atomic macOS-informatiediefstal-malware
Een nieuwe macOS-malware genaamd 'Atomic' is ontdekt, die zich richt op gebruikers van maar liefst 50 verschillende cryptocurrency-wallets. De malware heeft tot doel gevoelige informatie van de slachtoffers te stelen, zoals wachtwoorden en toegangssleutels. De cybersecurity-onderzoekers bij het Intezer-lab hebben deze malware geïdentificeerd en gemeld dat het de gegevens van slachtoffers onderschept en naar de aanvallers stuurt. De malware maakt gebruik van een legitiem macOS-proces genaamd 'osascript' om zijn kwaadaardige activiteiten te verbergen. De Atomic-malware werkt via phishing-campagnes en bevat ook een keylogger-functie waarmee de aanvallers de toetsaanslagen van de slachtoffers kunnen vastleggen. Bovendien kan de malware schermafbeeldingen maken en de klemborden van de gebruikers bespioneren om nog meer gevoelige informatie te verkrijgen. Om te voorkomen dat ze worden gedetecteerd door antivirusprogramma's, gebruiken de aanvallers een techniek genaamd 'crypting', waarmee ze de malware versleutelen en daardoor moeilijker te identificeren maken. Gebruikers wordt aangeraden om waakzaam te zijn en voorzichtig te zijn met het openen van verdachte e-mails, vooral die met bijlagen of koppelingen naar onbekende websites. Om het risico op malware-infectie te minimaliseren, moet men ervoor zorgen dat hun apparaten altijd up-to-date zijn met de nieuwste beveiligingspatches en antivirussoftware.
π¨ Just came across a new macOS stealer named Atomic MacOS Stealer. It's been 100% fully undetectable on macOS for 2 weeks! π»π After some digging with Mac-A-Mal and RE, here's its features (1/6) #AtomicStealer #macOS pic.twitter.com/kAMqLIT80F
β PhD. Phuc (@phd_phuc) April 25, 2023
Clop & LockBit ransomwaregroepen achter Papercut-serveraanvallen
De Clop- en LockBit-ransomwarebendes worden verantwoordelijk gehouden voor de recente cyberaanvallen op Papercut-servers. Deze aanvallen hebben wereldwijd gevolgen gehad voor organisaties die deze servers gebruiken voor hun print- en scanbeheersystemen. De Clop- en LockBit-ransomwaregroepen zijn naar verluidt de daders achter de recente golf van cyberaanvallen op Papercut-servers. Papercut, een populair print- en scanbeheersysteem, wordt door veel organisaties over de hele wereld gebruikt. De servers zijn door de aanvallers gecompromitteerd, wat heeft geleid tot aanzienlijke verstoringen van de diensten. Volgens BleepingComputer zijn de ransomwarebendes erin geslaagd om verschillende organisaties te infiltreren, hun netwerken te versleutelen en losgeld te eisen. In sommige gevallen hebben de bendes de gestolen gegevens gebruikt om de slachtoffers te chanteren, waardoor ze worden gedwongen om te betalen om te voorkomen dat de gegevens openbaar worden gemaakt. Beveiligingsonderzoekers hebben ontdekt dat de aanvallers zich richten op kwetsbaarheden in de Papercut-servers, waardoor ze toegang krijgen tot gevoelige gegevens en de mogelijkheid om ransomware in het netwerk te verspreiden. De bendes hebben hun activiteiten de afgelopen maanden geïntensiveerd, wat heeft geleid tot een toename van het aantal aanvallen. Om zichzelf te beschermen tegen deze dreiging, raden experts organisaties aan om hun Papercut-servers up-to-date te houden met de nieuwste beveiligingspatches en om regelmatig back-ups te maken van hun gegevens. Bovendien is het belangrijk om werknemers op te leiden over cyberbeveiliging en ervoor te zorgen dat ze voorzichtig zijn met het openen van e-mails van onbekende afzenders. De opkomst van ransomwarebendes zoals Clop en LockBit heeft de noodzaak voor organisaties om hun cyberbeveiligingspraktijken te versterken en zich bewust te zijn van de gevaren van cyberaanvallen benadrukt. Het is belangrijk dat bedrijven en individuen zich blijven informeren over de nieuwste bedreigingen en preventieve maatregelen nemen om zichzelf en hun gegevens te beschermen.
Tencent QQ-gebruikers gehackt in mysterieuze malware-aanval
Een recente cyberaanval heeft meerdere Tencent QQ-gebruikers getroffen, volgens een rapport van het cybersecuritybedrijf ESET. Tencent QQ is een populaire instant messaging-applicatie in China, en deze aanval toont wederom de kwetsbaarheid van online communicatietools. De aanval werd ontdekt door ESET-onderzoekers, die beweren dat de hackers een combinatie van geavanceerde technieken en nieuwe malware hebben gebruikt om toegang te krijgen tot de accounts van Tencent QQ-gebruikers. De aanvallers maakten gebruik van een zero-day-kwetsbaarheid in de software, waardoor ze ongemerkt konden binnendringen in de systemen van de getroffen gebruikers. De malware die werd gebruikt in de aanval, is nog niet eerder gezien en wordt door ESET onderzoekers beschreven als "geavanceerd en verfijnd". Het is nog onduidelijk hoeveel gebruikers zijn getroffen door de aanval, maar het lijkt erop dat de aanvallers specifiek op zoek waren naar waardevolle informatie, zoals inloggegevens en persoonlijke gegevens. Tencent heeft inmiddels maatregelen genomen om de kwetsbaarheid in hun software te dichten en de getroffen gebruikers te beschermen. Het bedrijf raadt gebruikers aan om hun wachtwoorden te wijzigen en extra beveiligingsmaatregelen te nemen, zoals het inschakelen van tweefactorauthenticatie. De identiteit van de hackers en hun motieven zijn vooralsnog onbekend.
Chinese hackers gebruiken nieuwe Linux-malwarevarianten voor spionage
Chinese hackersgroepen gebruiken nieuwe malwarevarianten gericht op Linux-systemen om inlichtingen te verzamelen, zo meldt BleepingComputer. De nieuwe malware, die wordt toegeschreven aan de hackersgroep Emissary Panda (ook bekend als APT27), is ontworpen om gevoelige informatie te stelen van doelwitten in verschillende landen. Deze malware, ook wel 'Linux en Android malware EoP' genoemd, omvat verschillende nieuwe varianten die in staat zijn om toegang te krijgen tot verschillende soorten apparaten, zoals servers, desktops, laptops en smartphones. De aanvallers kunnen de malware gebruiken om wachtwoorden, vertrouwelijke bestanden en andere gevoelige informatie te verkrijgen, alsmede om een ongeautoriseerde toegang tot netwerken te behouden. Het onderzoeksteam van cybersecuritybedrijf Intezer heeft de nieuwe malwarevarianten geanalyseerd en ontdekte dat de malware gebruikmaakt van complexe technieken om detectie te voorkomen. De aanvallers maken gebruik van stealth-technieken, zoals het vermijden van bekende antivirusprogramma's en het versleutelen van hun communicatie. De malware is ook in staat om zich aan te passen aan de specifieke omstandigheden van de aangevallen systemen. Hierdoor kan de malware zich diep in de systemen nestelen en is het moeilijk te verwijderen. Bovendien kunnen de aanvallers de malware op afstand bijwerken en nieuwe functionaliteiten toevoegen. Intezer waarschuwt bedrijven en overheidsinstellingen voor de dreiging van deze nieuwe malwarevarianten en raadt hen aan om hun systemen regelmatig te controleren op tekenen van inbraak en malware. Daarnaast is het belangrijk om tijdig beveiligingsupdates te installeren en het personeel te trainen in het herkennen van phishing-aanvallen en andere social engineering-tactieken die door hackers worden gebruikt om toegang tot systemen te krijgen
Geen updates over hack bij kwartaalcijfers Vopak
Tankopslagbedrijf Vopak heeft geen updates gegeven over de cyberaanval waarmee het bedrijf enkele weken geleden te maken kreeg, toen het dinsdag zijn kwartaalcijfers presenteerde. Het bedrijf gaf aan de hack niet als materieel te beschouwen en verwacht geen significante impact op de financiële resultaten. Vopak meldde op 7 april dat het slachtoffer was geworden van een cyberaanval. De aanval leidde tot verstoringen in sommige IT-systemen van het bedrijf. Vopak schakelde onmiddellijk externe experts in om de aanval te onderzoeken en te herstellen. Het bedrijf presenteerde dinsdag zijn kwartaalcijfers en liet weten dat de operationele bezettingsgraad in het eerste kwartaal van 2023 met 2 procent is gestegen ten opzichte van een jaar eerder. De totale bezettingsgraad bedroeg 92 procent, waarbij Vopak een groei in de opslag van gas, chemicaliën en plantaardige oliën noteerde. Vopak verwacht dat de marktomstandigheden in de loop van 2023 zullen verbeteren, mede dankzij een stijgende vraag naar opslag vanwege de groeiende wereldeconomie.
Provider SKP kan diefstal klantgegevens na ransomware-aanval niet uitsluiten
De Nederlandse internetaanbieder SKP heeft bevestigd dat er een cyberaanval op zijn netwerk heeft plaatsgevonden, wat heeft geleid tot een grootschalige ransomware-aanval. Als gevolg hiervan hebben de aanvallers mogelijk toegang gekregen tot klantgegevens. Hoewel er nog geen concreet bewijs is dat er gegevens zijn gestolen, kan SKP diefstal van klantgegevens niet uitsluiten. Na de ontdekking van de aanval heeft de provider direct maatregelen genomen om de impact te beperken en de veiligheid van zijn netwerk en klantgegevens te waarborgen. Er zijn externe cybersecurity-experts ingeschakeld om te helpen bij het onderzoek naar de oorzaak en de gevolgen van de aanval. Ook is er contact opgenomen met de Autoriteit Persoonsgegevens (AP) en zijn klanten op de hoogte gesteld van de situatie. SKP is zich bewust van de ernst van de situatie en werkt samen met de experts om de omvang van het datalek te bepalen en eventuele gevolgen voor klanten in kaart te brengen. Daarnaast onderzoekt de provider mogelijke maatregelen om herhaling van een dergelijke aanval te voorkomen. Klanten wordt geadviseerd om waakzaam te zijn en eventuele verdachte activiteiten, zoals phishing-mails en onbekende telefoontjes, te melden bij de provider of de politie. Daarnaast wordt aangeraden om wachtwoorden regelmatig te wijzigen en sterke, unieke wachtwoorden te gebruiken voor verschillende accounts en diensten. Het is nog onduidelijk of de aanvallers enige vorm van losgeld hebben geëist of dat SKP van plan is te onderhandelen. De provider heeft aangegeven volledig samen te werken met de autoriteiten en alles in het werk te stellen om de veiligheid en privacy van zijn klanten te beschermen.
Verschillende woningcorporaties getroffen door datalek bij Nebul
Meerdere woningcorporaties zijn getroffen door een datalek bij Nebul, een bedrijf dat diensten levert aan woningcorporaties. Dit is bekendgemaakt door de Autoriteit Persoonsgegevens (AP) na een onderzoek. Het datalek is gemeld bij de toezichthouder en het bedrijf heeft maatregelen getroffen om de gevolgen van het datalek te beperken. Het datalek vond plaats doordat een medewerker van Nebul per ongeluk een bestand met persoonsgegevens van huurders van verschillende woningcorporaties naar een verkeerde ontvanger stuurde. Het ging hierbij om gegevens zoals namen, adressen, telefoonnummers en e-mailadressen van de huurders. De AP heeft Nebul opgedragen om extra beveiligingsmaatregelen te treffen, zoals het invoeren van een dubbele controle bij het versturen van gevoelige informatie. Nebul heeft daarnaast de betrokken woningcorporaties geïnformeerd over het datalek, zodat zij hun huurders op de hoogte kunnen brengen en eventuele gevolgen kunnen beperken. Datalekken kunnen ernstige gevolgen hebben voor de betrokkenen, zoals identiteitsdiefstal of fraude. Het is daarom belangrijk dat organisaties, zoals woningcorporaties en hun leveranciers, zorgvuldig omgaan met persoonsgegevens en ervoor zorgen dat deze goed beveiligd zijn.
Datalekken door cyberaanvallen komen vaak voor. In 2022 zijn 8 woningcorporaties slachtoffer geworden van een cyberaanval met datalek als gevolg. Weet jij wat je moet doen bij een datalek? πhttps://t.co/Y5QIDU0CDI
β Inspectie Leefomgeving en Transport (@InspectieLenT) April 26, 2023
Cybercriminelen richten zich op klanten van T-Mobile, Tele2, Ben en Roblox-spelers met FluBot-malware
Klanten van T-Mobile, Tele2, Ben en spelers van het populaire online spel Roblox zijn het doelwit van de schadelijke FluBot-malware. Deze malware wordt verspreid via valse sms-berichten, waarin ontvangers worden gevraagd om een schijnbaar legitieme app te downloaden en te installeren. De FluBot-malware is een Android-virus dat in staat is om persoonlijke gegevens van de geïnfecteerde apparaten te stelen, zoals bankgegevens en wachtwoorden. Daarnaast kan het kwaadaardige berichten versturen naar de contacten van het slachtoffer, wat leidt tot een snelle verspreiding van de malware. De valse sms-berichten die naar klanten van T-Mobile, Tele2 en Ben worden gestuurd, lijken afkomstig te zijn van hun telecomprovider. De berichten bevatten een link naar een valse website die lijkt op de officiële website van de provider, waar gebruikers worden gevraagd om hun gegevens in te voeren. Zodra de gebruiker de app downloadt en installeert, raakt het apparaat geïnfecteerd met de FluBot-malware. Roblox-spelers worden op een vergelijkbare manier aangevallen. Ze ontvangen een valse sms die hen naar een nep-website leidt, waar ze worden gevraagd om hun Roblox-gegevens in te voeren. Wanneer ze dit doen, krijgen de cybercriminelen toegang tot hun accounts en kunnen ze de FluBot-malware verder verspreiden. Experts waarschuwen gebruikers om alert te zijn op dergelijke valse sms-berichten en niet op de links in deze berichten te klikken. Het is belangrijk om altijd de officiële website van de telecomprovider of het spelplatform te raadplegen en apps alleen uit betrouwbare bronnen, zoals Google Play Store, te downloaden. Lees artikel
Criminelen stelen 200 miljoen euro via man-in-the-middle-aanvallen op geldautomaten
Criminelen hebben wereldwijd ongeveer 200 miljoen euro gestolen door man-in-the-middle-aanvallen (MitM) uit te voeren op geldautomaten. Deze informatie is onlangs bekendgemaakt door de European ATM Security Team (EAST), die de Europese en wereldwijde geldautomaatgemeenschap ondersteunt bij het bestrijden van criminaliteit. Volgens EAST zijn er in totaal 58 landen getroffen door deze aanvallen. De aanvallers voerden een MitM-aanval uit door een apparaat te plaatsen tussen de geldautomaat en de verwerkingsbank, waardoor de communicatie tussen deze twee kon worden onderschept. Vervolgens manipuleerden de criminelen de transactiegegevens om meer geld op te nemen dan wat er feitelijk van de rekening van de gebruiker werd afgeschreven. De meeste MitM-aanvallen vonden plaats in landen waar de geldautomaten nog steeds gebruikmaken van verouderde technologie. Omdat deze technologieën vatbaarder zijn voor dit soort aanvallen, zijn ze een aantrekkelijk doelwit voor criminelen. EAST benadrukt het belang van het upgraden van geldautomaten naar veiligere systemen om dergelijke aanvallen in de toekomst te voorkomen. Het is niet de eerste keer dat geldautomaten doelwit zijn van criminele activiteiten. Eerder zijn er al aanvallen geweest waarbij skimming-apparaten werden gebruikt om kaartgegevens te stelen, en zogenaamde 'jackpotting'-aanvallen, waarbij geldautomaten werden gehackt om al het geld uit te spugen. Experts adviseren banken en financiële instellingen om hun beveiligingsmaatregelen te blijven verbeteren en up-to-date te houden om dergelijke aanvallen te voorkomen.
Cybercriminelen misbruiken TP-Link Archer WiFi-router kwetsbaarheid met Mirai malware
Een beveiligingsonderzoeker heeft een kritieke kwetsbaarheid ontdekt in TP-Link Archer C1200 WiFi-routers, waardoor kwaadwillenden op afstand volledige controle over het apparaat kunnen krijgen. Deze kwetsbaarheid wordt momenteel uitgebuit door de beruchte Mirai malware. De kwetsbaarheid werd ontdekt door Grzegorz Wypych, beveiligingsonderzoeker bij IBM X-Force. De bug bevindt zich in de firmware van de router en stelt aanvallers in staat om op afstand commando's uit te voeren met roottoegang. Dit betekent dat ze de router kunnen manipuleren, de instellingen kunnen wijzigen en zelfs andere apparaten op het netwerk kunnen aanvallen. De Mirai malware is berucht vanwege het uitbuiten van IoT-apparaten, zoals beveiligingscamera's en routers, om een botnet te creëren. Dit botnet wordt vervolgens gebruikt om grootschalige DDoS-aanvallen uit te voeren op websites en internetdiensten. Volgens de onderzoekers is de kwetsbaarheid ontstaan door een fout in de implementatie van de opdrachtregelinterface (CLI) van de router. Aanvallers kunnen deze fout uitbuiten door op afstand een script uit te voeren, dat toegang tot de router mogelijk maakt. TP-Link heeft snel gereageerd op de bevindingen van de onderzoeker en een beveiligingsupdate uitgebracht om de kwetsbaarheid te verhelpen. Gebruikers van de TP-Link Archer C1200-router worden dringend aangeraden om hun firmware bij te werken naar de nieuwste versie om zichzelf te beschermen tegen aanvallen. Hoewel de kwetsbaarheid alleen is gevonden in de Archer C1200, is het mogelijk dat andere modellen van TP-Link routers ook kwetsbaar zijn. Daarom wordt iedereen aangeraden om hun firmware regelmatig bij te werken en aandacht te besteden aan beveiligingswaarschuwingen van de fabrikant.
Twitter-account KuCoin gehackt, 22 duizend aan crypto gestolen
Het Twitter-account van de populaire cryptocurrency-exchange KuCoin is onlangs gehackt. De aanvallers hebben 22 duizend dollar aan cryptocurrency buitgemaakt. Dit is een recent voorbeeld van de toegenomen cybercriminaliteit in de cryptowereld. De hackers konden toegang krijgen tot het Twitter-account van KuCoin en de controle overnemen. Vervolgens plaatsten ze frauduleuze berichten, waarin ze beweerden dat KuCoin een speciale promotie organiseerde. In deze berichten werd gebruikers gevraagd om cryptovaluta naar een bepaald adres te sturen, zogenaamd om extra tokens te ontvangen. Helaas hebben sommige gebruikers van KuCoin deze berichten voor waar aangenomen en zijn ze slachtoffer geworden van de zwendel. Zij hebben in totaal ongeveer 22 duizend dollar aan cryptovaluta naar de hackers gestuurd. KuCoin heeft de hack snel opgemerkt en actie ondernomen om het probleem op te lossen. Ze hebben hun gebruikers op de hoogte gebracht van de situatie en hen gewaarschuwd niet in te gaan op de frauduleuze berichten. Het bedrijf heeft aangegeven dat het samenwerkt met de autoriteiten om de hackers op te sporen en de gestolen gelden te recupereren. Dit incident benadrukt het belang van goede beveiligingsmaatregelen voor zowel individuele gebruikers als bedrijven in de cryptowereld. Het is essentieel om altijd op de hoogte te zijn van de nieuwste beveiligingstechnieken en -protocollen om te voorkomen dat je slachtoffer wordt van dergelijke aanvallen.
1/ The @kucoincom handle was compromised for about 45 mins from 00:00 Apr 24 (UTC+2). A fake activity was posted and unfortunately led to asset losses for several users. KuCoin will fully reimburse all verified asset losses caused by the social media breach and the fake activity.
β KuCoin (@kucoincom) April 24, 2023
Cybercriminelen verstoren de gokwereld: Bingoal's betrouwbaarheid in twijfel na recente storingen
Bingoal, een bekende bookmaker, ondervond sinds 19 april 2023 storingen op hun website. Spelers konden niet inloggen en de provider was telefonisch onbereikbaar. Hoewel de storingen lijken te zijn opgelost, hebben sommige spelers nog steeds twijfels over de betrouwbaarheid van Bingoal, mede door eerdere problemen. Onetime vroeg Bingoal om een reactie en ontving een verklaring. Lees verder voor meer informatie over de recente storingen en de geschiedenis van problemen bij Bingoal. Sinds 19 april had de bookmaker Bingoal te maken met storingen, zoals bleek uit verschillende berichten op het Onetime-forum. Spelers konden de website niet gebruiken en Bingoal was telefonisch onbereikbaar. Er verschenen geen berichten over de storing op de sociale media pagina's van Bingoal.nl. Vanaf zaterdagavond om precies 22:30 konden spelers weer inloggen op de website van Bingoal, zo bevestigden enkele forumleden die eerder problemen hadden gemeld. Het lijkt erop dat de storingen zijn opgelost en dat de website weer normaal functioneert. Desondanks maken sommige spelers zich zorgen over de betrouwbaarheid van Bingoal en besluiten hun geld op te nemen. Het gebrek aan communicatie vanuit Bingoal over de oorzaak van de storingen droeg bij aan deze zorgen.
Criminelen misbruiken kwetsbaarheid in TP-Link Archer AX21-router voor Mirai-botnet: Beveiligingsbedrijf ZDI waarschuwt voor actief misbruik
Een kwetsbaarheid in de Archer AX21 (AX1800) wifi-router van fabrikant TP-Link wordt actief door criminelen gebruikt om kwetsbare apparaten onderdeel van een botnet te maken, zo stelt securitybedrijf ZDI. De kwetsbaarheid die de aanvallers hiervoor gebruiken werd tijdens de Pwn2Own-wedstrijd van het ZDI, die afgelopen december plaatsvond, gedemonstreerd. Via het beveiligingslek, aangeduid als CVE-2023-1389, kan een ongeauthenticeerde aanvaller via de webinterface willekeurige code op de router uitvoeren. De kwetsbaarheid is vanaf de WAN-kant van de router te misbruiken. Vaak zijn dergelijke beveiligingslekken in de webinterface alleen vanaf de LAN-kant toegankelijk. Onderzoekers ontdekten echter dat het door een race condition bij het verwerken van iptables kortstondig ook via de WAN-kant mogelijk is. TP-Link kwam op 17 maart met een firmware-update die verschillende "security issues" verhelpt. Verdere details werden echter niet gegeven. Een van de verholpen problemen is CVE-2023-1389. Op 11 april zag ZDI dat aanvallers actief misbruik van het lek maken om kwetsbare routers aan een Mirai-botnet toe te voegen. De besmette routers zijn vervolgens voor het uitvoeren van ddos-aanvallen te gebruiken. Volgens de onderzoekers laat de snelheid waarmee criminelen misbruik van de kwetsbaarheid maken zien hoe belangrijk is dat fabrikanten beveiligingslekken snel verhelpen en gebruikers snel beschikbare patches uitrollen.
Ransomware-aanval treft Zuid-Hollandse internetprovider SKP en veroorzaakt uitval van diensten
Een ransomware-aanval op internetprovider SKP, dat actief is in het Zuid-Hollandse Pijnacker, Delfgauw en Nootdorp, heeft voor een uitval van allerlei diensten gezorgd. Dat heeft de kabelexploitant vandaag bekendgemaakt. De aanval op SKP (Stichting Kabeltelevisie Pijnacker) deed zich afgelopen zaterdagochtend voor en veroorzaakte storingen bij onder andere de glasvezel-, coax- en telefonie- en e-maildiensten. "Direct nadat de eerste storingen zijn geconstateerd zijn we hard aan de slag gegaan om de oorzaak te vinden en de problemen op te lossen. In de loop van de dag bleek het om een aanval van buitenaf te gaan door hackers", zo stelt de provider. "Deze zogenaamde ransomware heeft een uitval van al onze diensten veroorzaakt." Vanwege de aanval werden diverse configuraties aangepast waardoor de coax-modems weer online konden komen. Voor de telefonie- en e-maildiensten werden nieuwe servers opgezet en ingericht. "Gelukkig zijn we afgelopen weekend in staat geweest onze internet en televisiediensten gedeeltelijk in de lucht te krijgen. Helaas zijn er nog problemen met onze telefoniedienst, werkt de SKP e-mail niet en zijn er nog individuele klanten die internetproblemen ervaren", aldus de laatste update over de aanval. De provider hoopt de telefoniedienst vandaag weer online te krijgen. De e-maildienst zou morgen weer moeten werken. SKP zegt dat het aangifte bij de politie zal doen. Hoe de infectie zich kon voordoen bij de provider, die zo'n 22.000 aansluitingen zou hebben, is niet bekendgemaakt.
Cybercriminelen misbruiken Google-advertenties voor verspreiding van Bumblebee-malware via populaire software
Onderzoekers hebben opnieuw Google-advertenties voor populaire software aangetroffen die malware verspreiden. Begin dit jaar waarschuwden onderzoekers al herhaaldelijk voor criminelen die advertenties bij de zoekresultaten van Google gebruikten voor de verspreiding van malware. Recentelijk ontdekten onderzoekers van securitybedrijf Secureworks advertenties voor Zoom, Cisco AnyConnect, ChatGPT en Citrix Workspace die naar besmette versies linkten. De advertenties wezen naar gecompromitteerde WordPress-sites, waarvandaan slachtoffers werden doorgestuurd naar een zogenaamde officiële downloadpagina. De aangeboden installers waren echter voorzien van de Bumblebee-malware. Deze malware fungeert als een "downloader" en kan aanvullende malware op het systeem downloaden, zoals ransomware. Verschillende ransomware-aanvallen zouden via de Bumblee-malware zijn begonnen. Volgens Secureworks is het dan ook belangrijk dat organisaties het downloaden en uitvoeren van third-party software door personeel dan ook beperken.
Kritieke Infrastructuurorganisaties in Europa en VS Getroffen door 3CX-Cyberaanval: Symantec Onderzoekt Noord-Koreaanse Connectie
De 3CX-cyberaanval heeft twee kritieke infrastructuurorganisaties geraakt in Europa en de VS. Dat ontdekte het Threat Hunter-team van Symantec na onderzoek. Het gaat om organisaties die actief zijn in de energiesector. Daarnaast zijn er ook twee organisaties in de financiële sector gekraakt. Alle aanvallen zijn uitgevoerd met een gecompromitteerde versie van de financiële X_Trader-software. Indien slachtoffers de Setup.exe uitvoeren, kunnen de aanvallers, die volgens Symantec gelieerd zijn aan Noord-Korea, een modulair achterdeurtje installeren in de systemen van de gedupeerden. Daarmee kan de malware kwaadaardige shellcode uitvoeren of een communicatiemodule plaatsen in Chrome-, Firefox- en Edge-browsers, legt Symantec uit. Omdat de ontwikkelaar van de X_Trader-software de handel in futures, waaronder energiefutures, mogelijk maakt, verwacht Symantec dat de aanval een financieel motief heeft. Het Threat Hunter-team noemt de inbreuk op de cruciale organisaties zorgwekkend, omdat door Noord-Korea gesteunde hackersgroepen bekendstaan om hun cyberspionage. Symantec sluit dus niet uit dat de gekraakte organisaties later verder uitgebuit worden. Om welke twee kritieke infrastructuurorganisaties het precies gaat wordt niet genoemd. Een van de twee bevindt zich in de VS, en de andere in Europa. Beide zijn 'energieleveranciers die energie opwekken en leveren aan het net', verduidelijkt het team tegen Bleeping Computer. Omdat er naast 3CX dus al ten minste vier andere organisaties door de software zijn gehackt, noemt Symantec het zeer waarschijnlijk dat er ook nog andere partijen de dupe zijn. "De aanvallers achter deze breaches hebben duidelijk een succesvol sjabloon voor supplychainaanvallen en nieuwe, gelijkwaardige aanvallen kunnen daardoor niet worden uitgesloten." Eind maart werd duidelijk dat aanvallers de desktopclient van 3CX misbruikten om malware te verspreiden via een supplychainaanval. De malware maakte het mogelijk gesprekken en voicemailberichten af te luisteren. 3CX is een VoIP-leverancier met klanten zoals McDonald's en Coca-Cola, maar ook de Britse gezondheidssector.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 40-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 39-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 38-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 37-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 36-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 35-2024
Reading in π¬π§ or another language