Overzicht van slachtoffers cyberaanvallen week 20-2023

Gepubliceerd op 22 mei 2023 om 15:47

Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


In deze editie van de weekoverzichten van cyberaanvallen hebben we een scala aan cyberdreigingen en -incidenten te rapporteren. Gekloonde CapCut-websites verspreiden malware, terwijl cybercriminelen onvermoeibaar blijven in hun pogingen om gebruikers te bedreigen. In een recente aanval hebben cybercriminelen bijna $3 miljoen buitgemaakt in een Rug Pull op Arbitrum DEX.

In andere gevallen maken cybercriminelen gebruik van .zip-domeinnamen voor phishingaanvallen en hebben kwetsbare WordPress Elementor-plugins geviseerd na de vrijgave van een PoC. Het niveau van verfijning neemt toe, zoals blijkt uit een geval waarin cybercriminelen €37.200 hebben buitgemaakt via CEO-fraude bij Gemeente Meierijstad.

Ondertussen blijven cybercriminelen innovatieve aanvalsmethoden hanteren, zoals het inzetten van een open-source Cobalt Strike-poort 'Geacon' voor aanvallen op macOS. Stealthy MerDoor-malware bleef gedurende vijf jaar ongedetecteerd terwijl het aanvallen uitvoerde op overheids-, luchtvaart- en telecomorganisaties.

Het hoogtepunt van de week was echter een cyberaanval die The Philadelphia Inquirer platlegde, waardoor er voor het eerst in 27 jaar geen papieren uitgave was.

Hieronder vindt u een volledig overzicht van de cyberaanvallen van de afgelopen week. Lees verder om meer te weten te komen over elk van deze incidenten en blijf op de hoogte van de nieuwste ontwikkelingen in het cyberlandschap.



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
Atlas Commodities Royal In progress In progress In progress 22-mei-23
Technology and Telecommunications Consultants Inc Trigona ttcin.com In progress In progress 22-mei-23
Loreto Normanhurst Medusa In progress In progress In progress 22-mei-23
SIGMA Medusa In progress In progress In progress 22-mei-23
Utah-Yamas Controls Royal In progress In progress In progress 22-mei-23
wenntownsend BlackCat (ALPHV) In progress In progress In progress 22-mei-23
Confidential and High Sensitive Data BlackCat (ALPHV) In progress In progress In progress 22-mei-23
hadefpartners.com LockBit In progress In progress In progress 22-mei-23
vdbassocies.fr LockBit In progress In progress In progress 22-mei-23
softland.cl LockBit In progress In progress In progress 22-mei-23
rapidmoldsolutions.com LockBit In progress In progress In progress 22-mei-23
siren-japan.com LockBit In progress In progress In progress 22-mei-23
Comoli Ferrari Snatch comoliferrari.it Italy Wholesale Trade-non-durable Goods 22-mei-23
Canadian Nurses Association Snatch cna-aiic.ca Canada Membership Organizations 22-mei-23
FRESCA Snatch fresca.com USA Food Products 22-mei-23
MSSNY Snatch mssny.org USA Membership Organizations 22-mei-23
LiveAction Snatch liveaction.com USA Membership Organizations 22-mei-23
Asia Vital Components Snatch avc.co Taiwan Electronic, Electrical Equipment, Components 22-mei-23
diasporacs.org LockBit diasporacs.org USA Membership Organizations 22-mei-23
FajarPaper BlackCat (ALPHV) www.fajarpaper.com Indonesia Paper Products 21-mei-23
abe-brands.de LockBit abe-brands.de Germany Miscellaneous Retail 21-mei-23
Reach Cooling Group BlackCat (ALPHV) www.reachcooling.com USA Transportation Equipment 21-mei-23
ebdlab.com LockBit ebdlab.com USA Miscellaneous Manufacturing Industries 21-mei-23
Rheinmetall AG Black Basta www.rheinmetall.com Germany Defense industry 21-mei-23
Kannangara Thomson Qilin www.ktlaw.co.nz New Zealand Legal Services 20-mei-23
Maier Sanitär-Technik GmbH Qilin www.maier-sanitaer.de Germany Engineering Services 19-mei-23
Al Tamimi Law Firm Medusa www.tamimi.com United Arab Emirates Legal Services 19-mei-23
csagh.org LockBit csagh.org USA Educational Services 19-mei-23
Rolser Trigona rolser.com Spain Miscellaneous Retail 19-mei-23
City of Dallas Royal www.dallascityhall.com USA General Government 19-mei-23
HECTOR MARTINEZ SOSA Y CIA SA Qilin hmsosa.com Argentina Insurance Carriers 19-mei-23
It Works Global BlackCat (ALPHV) www.itworks.com USA Miscellaneous Retail 19-mei-23
Harita Group MalasLocker In progress In progress In progress 19-mei-23
Fort Rolins Collection Agency MalasLocker In progress In progress In progress 19-mei-23
Compañía Agricola San Felipe MalasLocker In progress In progress In progress 19-mei-23
Defaulters MalasLocker In progress In progress In progress 19-mei-23
Anstel MalasLocker anstel.it Italy Wholesale Trade-non-durable Goods 19-mei-23
BeeVoip MalasLocker beevoip.it Italy IT Services 19-mei-23
AViSTO MalasLocker avisto.com France IT Services 19-mei-23
IPG Automotive GmbH MalasLocker ipg-automotive.com In progress In progress 19-mei-23
еКредит MalasLocker e-credit.one In progress In progress 19-mei-23
ISG Software Group MalasLocker isgsoftware.net In progress In progress 19-mei-23
MetaContratas MalasLocker metacontratas.com In progress In progress 19-mei-23
Propac S.r.l. MalasLocker propac.it In progress In progress 19-mei-23
Dalim Software GmbH MalasLocker dalim.com Germany IT Services 19-mei-23
Chernoff Thompson Architects MalasLocker cta.bc.ca Canada Construction 19-mei-23
Livitek MalasLocker livitek.com In progress In progress 19-mei-23
Км Профиль MalasLocker km-profil.ru In progress In progress 19-mei-23
Preference Portugal MalasLocker preferencebss.com In progress In progress 19-mei-23
AMET MalasLocker amet.it Italy Engineering Services 19-mei-23
Mangum Construction MalasLocker mangum-construction.com In progress In progress 19-mei-23
Orcutt Winslow MalasLocker orcuttwinslow.com In progress In progress 19-mei-23
Мебельснаб MalasLocker mebelsnab.com In progress In progress 19-mei-23
Spectris Business Systems MalasLocker gospectris.com In progress In progress 19-mei-23
Wpat MalasLocker wpat.com In progress In progress 19-mei-23
radiosvet MalasLocker radiosvet.org In progress In progress 19-mei-23
Chiltern Networks MalasLocker chiltern-networks.co.uk UK Unknown 19-mei-23
Hotel Smeraldo MalasLocker smeraldoroma.com In progress In progress 19-mei-23
reg22 MalasLocker reg22.ru In progress In progress 19-mei-23
Studio Papa MalasLocker studiopapa.net In progress In progress 19-mei-23
Etanova MalasLocker etanova.com Canada IT Services 19-mei-23
Гудвин-Нева MalasLocker goodwin-neva.ru In progress In progress 19-mei-23
Business Travel Solutions MalasLocker btsolutions.ru Russia Business Services 19-mei-23
Wishmaster MalasLocker wishmaster.me In progress In progress 19-mei-23
Next Generation Srl MalasLocker nextgenerationsrl.it In progress In progress 19-mei-23
RusExport Ltd MalasLocker rus-export.biz In progress In progress 19-mei-23
FinRe Consulting MalasLocker finreconsulting.it Italy Real Estate 19-mei-23
JvG Consulting MalasLocker jvg.be In progress In progress 19-mei-23
TBIT Services MalasLocker tbitservices.com In progress In progress 19-mei-23
Confindustria Energia MalasLocker confindustriaenergia.org Italy Membership Organizations 19-mei-23
Altarix MalasLocker altarix.ru Russia IT Services 19-mei-23
NTA srl MalasLocker ntanet.it In progress In progress 19-mei-23
International Cargo Equipment MalasLocker icedepot.com In progress In progress 19-mei-23
NEXT OS MalasLocker nextos.it In progress In progress 19-mei-23
Boarding Concept MalasLocker easybc.be Belgium Publishing, printing 19-mei-23
Legato MalasLocker legato.ru In progress In progress 19-mei-23
Loeje Trust SA MalasLocker loejetrust.lu In progress In progress 19-mei-23
happy-snack.ru MalasLocker happy-snack.ru In progress In progress 19-mei-23
Omniglobe Business Solutions MalasLocker omniglobebusiness.com In progress In progress 19-mei-23
Evology Manufacturing MalasLocker evologymfg.com USA Electronic, Electrical Equipment, Components 19-mei-23
INFINREAL Immobilien GmbH MalasLocker infinreal.com In progress In progress 19-mei-23
Accurate Section Benders MalasLocker www.accuratesectionbenders.co.uk UK Machinery, Computer Equipment 19-mei-23
Villa Grazioli MalasLocker villa-grazioli.it In progress In progress 19-mei-23
Qball Technologies MalasLocker qballtech.net In progress In progress 19-mei-23
TitanPower MalasLocker titanpower.ca In progress In progress 19-mei-23
Rivas Boquete SL MalasLocker rivasboquete.com In progress In progress 19-mei-23
SA.FI MalasLocker sa-fi.net In progress In progress 19-mei-23
Winner Italia MalasLocker winneritalia.it In progress In progress 19-mei-23
SBG Global MalasLocker sbgglobal.com In progress In progress 19-mei-23
ВК Логистик MalasLocker linia-logistic.ru In progress In progress 19-mei-23
BMW Алдис MalasLocker bmw-aldis.ru Russia Automotive Dealers 19-mei-23
Froese & Partner MalasLocker rafroese.de Germany Legal Services 19-mei-23
KomGarant MalasLocker komgarant.ru In progress In progress 19-mei-23
Commerciale Ferramenta MalasLocker commercialeferramenta.it Italy Fabricated Metal Products 19-mei-23
Гис Нефтесервис MalasLocker gisnk.ru In progress In progress 19-mei-23
Onubo s.r.l. MalasLocker onubo.com In progress In progress 19-mei-23
Answerpro MalasLocker answerpro.ru Russia Business Services 19-mei-23
ATE Elettronica MalasLocker atesistemi.it Italy Electronic, Electrical Equipment, Components 19-mei-23
NTD SA MalasLocker ntd.ch In progress In progress 19-mei-23
Невский Альянс MalasLocker nev-al.ru In progress In progress 19-mei-23
Iris Key Solutions MalasLocker iriskeysolutions.com In progress In progress 19-mei-23
Asanger Modellbau MalasLocker asanger-modellbau.at Austria Fabricated Metal Products 19-mei-23
BenarIT MalasLocker benarit.ru Russia IT Services 19-mei-23
Азимут НТ MalasLocker azimuth-nt.ru In progress In progress 19-mei-23
Терра-Минора MalasLocker terra-minora.ru In progress In progress 19-mei-23
ISONA GmbH MalasLocker isona.de In progress In progress 19-mei-23
OPIT Solutions MalasLocker opit.ch In progress In progress 19-mei-23
Axon MalasLocker axoncs.net USA IT Services 19-mei-23
PMP Meccanica MalasLocker pmp-meccanica.it In progress In progress 19-mei-23
TCG MalasLocker tcg.com In progress In progress 19-mei-23
Универсалресурс MalasLocker tcpetrovskiy.ru In progress In progress 19-mei-23
Астра MalasLocker astra66.ru In progress In progress 19-mei-23
СК БлагоДать MalasLocker sk-blagodat.ru In progress In progress 19-mei-23
Totality Solutions MalasLocker totalitysolutions.net In progress In progress 19-mei-23
Specialinsert MalasLocker In progress In progress In progress 19-mei-23
ТрансКом-Авиа MalasLocker transcomavia.ru In progress In progress 19-mei-23
AVM Software & Technology MalasLocker avm-it.com USA IT Services 19-mei-23
Vegliolux MalasLocker veglio.com In progress In progress 19-mei-23
Fresh-Heads IT MalasLocker f-heads.ru Russia IT Services 19-mei-23
Tycoon Group MalasLocker tycoongroup.it In progress In progress 19-mei-23
Grassi srl MalasLocker grassionline.com Italy IT Services 19-mei-23
FEA srl MalasLocker feasrl.it Italy Wholesale Trade-non-durable Goods 19-mei-23
Mobalpa Biarritz MalasLocker mobalpa-biarritz.fr In progress In progress 19-mei-23
ICT-LabS MalasLocker ict-labs.it In progress In progress 19-mei-23
Cosmos Hotel Group MalasLocker cosmos-hotels.ru Russia Lodging Places 19-mei-23
Псковпассажиравтотранс MalasLocker pskovbus.ru In progress In progress 19-mei-23
Evropoly MalasLocker evropoly.com Russia Wholesale Trade-durable Goods 19-mei-23
Gallagher & Co Consultants MalasLocker c-justice.com USA Legal Services 19-mei-23
3Punto6 MalasLocker 3punto6.com Italy IT Services 19-mei-23
Studio Consulenza MalasLocker studioconsulenza.it In progress In progress 19-mei-23
meta-spb MalasLocker meta-spb.com In progress In progress 19-mei-23
Riboli srl MalasLocker riboli.it In progress In progress 19-mei-23
Studio Rossetti e Partners MalasLocker rossettidallagata.it In progress In progress 19-mei-23
Axon Certified Auditors MalasLocker axonaudit.gr Greece Security And Commodity Brokers, Dealers, Exchanges, And Services 19-mei-23
Studio Eco Perucca MalasLocker ecosas.it In progress In progress 19-mei-23
Nu-Pro Group MalasLocker nupro.co.za In progress In progress 19-mei-23
paulmitchell.ru MalasLocker paulmitchell.ru In progress In progress 19-mei-23
Herold Druck MalasLocker herold.cc In progress In progress 19-mei-23
Pasquetti Sarti & Partners MalasLocker pspartners.it In progress In progress 19-mei-23
Формекс MalasLocker formeks-opt.ru In progress In progress 19-mei-23
Трансбалт MalasLocker tblt.ru In progress In progress 19-mei-23
Zite Media MalasLocker zite.nl In progress In progress 19-mei-23
Horseman Sim MalasLocker horsemansim.com.au In progress In progress 19-mei-23
BE.iT SA MalasLocker beitsa.ch Switzerland IT Services 19-mei-23
Johnston Technical Services MalasLocker jts.net In progress In progress 19-mei-23
Kouros MalasLocker kourossa.gr In progress In progress 19-mei-23
DSSL MalasLocker dssl.ru Russia IT Services 19-mei-23
СКППК MalasLocker skppk.ru In progress In progress 19-mei-23
Steelgroup MalasLocker steelgroup.com In progress In progress 19-mei-23
Balbi Srl MalasLocker viteriebalbi.com Italy Wholesale Trade-durable Goods 19-mei-23
SkyFORS MalasLocker skyfors.ru In progress In progress 19-mei-23
InfinCE MalasLocker infince.com In progress In progress 19-mei-23
Grupo Fatecsa MalasLocker fatecsa.com Spain Paper Products 19-mei-23
Baur Hausverwaltung MalasLocker baur-verwaltung.de Germany Real Estate 19-mei-23
Ямалтелеком MalasLocker ytc.ru In progress In progress 19-mei-23
Hardman's MalasLocker hardmans.com In progress In progress 19-mei-23
KriaaNet Inc MalasLocker kriaanet.com In progress In progress 19-mei-23
Bleu Blanc MalasLocker bleublanc.fr France Miscellaneous Retail 19-mei-23
cashbackAPP MalasLocker cashbackapp.com Kenya Security And Commodity Brokers, Dealers, Exchanges, And Services 19-mei-23
Mappy Italia MalasLocker mappyitalia.com In progress In progress 19-mei-23
spw.ru MalasLocker spw.ru In progress In progress 19-mei-23
Transitus Group MalasLocker transitus-group.com In progress In progress 19-mei-23
Bicom MalasLocker bicom.ru Russia Miscellaneous Manufacturing Industries 19-mei-23
BEI Srl MalasLocker beisrl.it Italy Engineering Services 19-mei-23
Sallemi Carburanti MalasLocker sallemicarburanti.it In progress In progress 19-mei-23
RepcoLite MalasLocker repcolite.com In progress In progress 19-mei-23
D&G impianti elettrici MalasLocker degimpiantielettrici.it Italy Engineering Services 19-mei-23
Fraport Skyliners MalasLocker fraport-skyliners.de Germany Amusement And Recreation Services 19-mei-23
Exset MalasLocker exset.com UK Communications 19-mei-23
Sita Software MalasLocker sitasoftware.lu In progress In progress 19-mei-23
HostingPerTe MalasLocker hostingperte.it In progress In progress 19-mei-23
Hoteles Globales MalasLocker hotelesglobales.com In progress In progress 19-mei-23
Studio Negri e Associati MalasLocker negriassociati.com In progress In progress 19-mei-23
Amersport MalasLocker amersport.ru Russia Apparel And Accessory Stores 19-mei-23
Сервиста MalasLocker mailsta.ru In progress In progress 19-mei-23
ConnectTo MalasLocker connectto.com USA Communications 19-mei-23
Azzurra Group MalasLocker azzurra-group.com Italy Furniture 19-mei-23
Oasis Ads Media MalasLocker oasisads.com In progress In progress 19-mei-23
LunarWeb MalasLocker lunarweb.io In progress In progress 19-mei-23
Гласс Фурнитура MalasLocker glassfurnitura.ru In progress In progress 19-mei-23
ArCloud MalasLocker ar-cloud.ru Russia IT Services 19-mei-23
Копчёнов MalasLocker kopchenow.ru In progress In progress 19-mei-23
Custom Manufacturing & Engineering, Inc MalasLocker custom-mfg-eng.com USA Electronic, Electrical Equipment, Components 19-mei-23
ФГУП "ЦНИИХМ" MalasLocker cniihm.ru In progress In progress 19-mei-23
KondorCS MalasLocker kondorcs.com In progress In progress 19-mei-23
Aster Cucine MalasLocker astercucine.it Italy Furniture 19-mei-23
Евроэкспо MalasLocker euroexpo.ru In progress In progress 19-mei-23
Altia MalasLocker altia.es Spain IT Services 19-mei-23
Имеди MalasLocker imedi-group.ru In progress In progress 19-mei-23
Pergler MalasLocker pergler-it.com In progress In progress 19-mei-23
MHWEB MalasLocker mhweb.it In progress In progress 19-mei-23
Fitser MalasLocker fitser.com India IT Services 19-mei-23
Diete-Siepmann MalasLocker diete-siepmann.de Germany Construction 19-mei-23
Город Кафе MalasLocker gorodcafe.com In progress In progress 19-mei-23
ЖБИ2-Инвест MalasLocker zbi2.ru In progress In progress 19-mei-23
Baggio MalasLocker baggio.com.ar Argentina Food Products 19-mei-23
nanoCAD MalasLocker nanocad.ru In progress In progress 19-mei-23
Petromiralles MalasLocker petromiralles.com In progress In progress 19-mei-23
Красный Восток Агро MalasLocker krvostok.ru In progress In progress 19-mei-23
Angle Metal Mfg. MalasLocker controlledpower.com USA Fabricated Metal Products 19-mei-23
The Sound Organisation MalasLocker soundorg.com In progress In progress 19-mei-23
Utair MalasLocker In progress In progress In progress 19-mei-23
Ларина MalasLocker larina-k.ru In progress In progress 19-mei-23
Banco Azzoaglio MalasLocker azzoaglio.it Italy Depository Institutions 19-mei-23
antea.es LockBit antea.es Spain IT Services 19-mei-23
Autlan Metallorum Ragnar_Locker www.autlan.com.mx Mexico Mining 18-mei-23
enovationcontrols.com LockBit enovationcontrols.com USA Electronic, Electrical Equipment, Components 18-mei-23
shoreregional.org LockBit shoreregional.org USA Educational Services 18-mei-23
metalnet.nl LockBit metalnet.nl Netherlands Machinery, Computer Equipment 18-mei-23
E4NET BlackCat (ALPHV) www.e4net.net South Korea IT Services 18-mei-23
NASHUA SCHOOL DISTRICT Royal www.nashua.edu USA Educational Services 18-mei-23
Lolaico Impianti Trigona lolaico.info Italy Construction 18-mei-23
*a***** ***** BianLian Unknown Canada Unknown 18-mei-23
ENSA - Seguros de Angola BianLian ensa.co.ao Angola Insurance Carriers 18-mei-23
Z*** ******** ******s BianLian Unknown USA Educational Services 18-mei-23
TaslyUS BlackCat (ALPHV) www.taslyus.com USA Chemical Producers 18-mei-23
AVIAREPS Black Basta www.aviareps.com Germany Business Services 18-mei-23
Aneka Tambang Vice Society www.antam.com Indonesia Metal Industries 17-mei-23
Magic-Aire BlackByte www.magicaire.com USA Machinery, Computer Equipment 17-mei-23
plastictecnic.com LockBit plastictecnic.com Malaysia Rubber, Plastics Products 17-mei-23
PM Medical Billing BlackCat (ALPHV) www.pmbiller.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 17-mei-23
Electrostim Medical Services BlackCat (ALPHV) www.wecontrolpain.com USA Miscellaneous Manufacturing Industries 17-mei-23
BAMSI Medusa www.bamsi.org USA Personal Services 17-mei-23
Accudo Investments LTD Trigona accudo.co.uk UK Security And Commodity Brokers, Dealers, Exchanges, And Services 17-mei-23
Feit Electric Trigona feit.com USA Electronic, Electrical Equipment, Components 17-mei-23
ance.org.mx LockBit ance.org.mx Mexico Membership Organizations 17-mei-23
wings.travel LockBit wings.travel UK Miscellaneous Services 16-mei-23
SOWITEC PLAY www.sowitec.com Germany Electrical 16-mei-23
ORION BlackCat (ALPHV) www.orionworld.com South Korea Food Products 16-mei-23
airtac.com LockBit airtac.com Taiwan Machinery, Computer Equipment 16-mei-23
chinadailyhk.com LockBit chinadailyhk.com China Publishing, printing 16-mei-23
IXPERTA Snatch www.ixperta.com Czech Republic IT Services 16-mei-23
PCS Wireless BlackCat (ALPHV) pcsww.com USA Miscellaneous Services 15-mei-23
Parker Drilling Royal www.parkerwellbore.com USA Oil, Gas 15-mei-23
norcorp.com LockBit norcorp.com USA Fabricated Metal Products 15-mei-23
Group DIS (Direct Info Services) BlackCat (ALPHV) www.group-dis.com Russia IT Services 15-mei-23
QUORUMIS BlackCat (ALPHV) quoruminformationsystems.com Canada IT Services 15-mei-23
York County School of Technology Karakurt www.ytech.edu USA Educational Services 15-mei-23
euskaltel.com LockBit euskaltel.com Spain Communications 15-mei-23
mundo-r.com LockBit mundo-r.com Spain Communications 15-mei-23
Bluefield University AvosLocker www.bluefield.edu USA Educational Services 15-mei-23
RIC Electronics Rancoz ricelectronics.com Canada Electronic, Electrical Equipment, Components 15-mei-23
TrueLogic Rancoz truelogiccompany.com USA IT Services 15-mei-23

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum
Boarding Concept MalasLocker easybc.be Belgium Publishing, printing 19-mei-23
metalnet.nl LockBit metalnet.nl Netherlands Machinery, Computer Equipment 18-mei-23

In samenwerking met DarkTracer


Cyberaanvallen nieuws


22-mei-2023 om 13:54


Digitale inbraak bij gemeente Asten: Cybercriminelen krijgen toegang tot tienduizenden gegevens

De gemeente Asten is eind vorig jaar slachtoffer geworden van een digitale inbraak, waarbij aanvankelijk gedacht werd aan factuurfraude. Later is gebleken dat ongeveer 23.000 persoonlijke gegevens en andere bestanden ongeoorloofd zijn benaderd. De daders achter de hack zijn nog onbekend. Het lot van de persoonsgegevens blijft onduidelijk, inclusief of ze openbaar zijn gemaakt of op het darkweb zijn beland. De gemeente heeft aangifte gedaan en het gegevenslek gemeld bij de Autoriteit Persoonsgegevens. Veiligheidsmaatregelen zijn aangescherpt om herhaling te voorkomen. Criminelen hebben mogelijk namen, adressen, financiële gegevens en kopieën van identiteitsdocumenten kunnen inzien. Een gespecialiseerd bureau onderzoekt welke gegevens precies zijn gecompromitteerd. De gemeente roept inwoners, bedrijven en medewerkers op om waakzaam te zijn. Het incident is recentelijk naar buiten gebracht, nadat vermoedens van factuurfraude waren gerezen.


Cybercriminelen Vallen Duitse Werkplaatsketen ATU Aan, Resulterend in Langere Wachttijden

ATU, één van de grootste werkplaatsketens van Duitsland en Oostenrijk, is onlangs het slachtoffer geworden van een cyberaanval, gepleegd door cybercriminelen. De aanval had een brede impact, met de website van het bedrijf dat onder andere getroffen werd. Het bedrijf is momenteel bezig met het analyseren van de aanval en werkt aan tegenmaatregelen. Hoewel de duur van de IT-systeemstoringen momenteel onbekend is, blijft ATU operationeel in heel Duitsland. Desondanks worden klanten verzocht om geduld te hebben vanwege verschillende beperkingen die hebben geleid tot langere wachttijden in de filialen. Klanten die al een afspraak hebben, worden aangeraden telefonisch contact op te nemen met het betreffende filiaal om een soepele voortgang te waarborgen. ATU, dat deel uitmaakt van de Franse Mobivia Groupe - de grootste exploitant van autowerkplaatsen in Europa, heeft verschillende servers die door de cyberaanval zijn getroffen. Hierdoor werken sommige systemen niet of slechts in beperkte mate, terwijl andere systemen preventief zijn uitgeschakeld. Het bedrijf heeft beloofd om updates te geven zodra er nieuwe informatie beschikbaar is over de aanval en de getroffen maatregelen.


Android-telefoons kwetsbaar voor brute-force-aanvallen met vingerafdrukken, waardoor cybercriminelen de controle kunnen overnemen

Onderzoekers hebben een nieuwe aanval genaamd 'BrutePrint' ontdekt, waarmee cybercriminelen vingerafdrukken op moderne Android-telefoons kunnen omzeilen en de controle over het apparaat kunnen overnemen. De aanval maakt gebruik van zero-day kwetsbaarheden en manipuleert beveiligingsmechanismen, waardoor ze oneindige pogingen kunnen doen zonder dat mislukte pogingen worden geregistreerd. Hoewel iOS-apparaten minder kwetsbaar zijn, roept dit de vraag op naar privacyrechten en ethiek bij het omzeilen van apparaatbeveiliging. Deze aanvalstechniek vormt een potentieel risico, aangezien cybercriminelen gestolen apparaten kunnen ontgrendelen en waardevolle privégegevens kunnen extraheren.

2305 10791
PDF – 3,4 MB 97 downloads

Cyberaanvallen via webshells stijgen in Q1 2023, cybercriminelen experimenteren met nieuwe aanvalsvector

Uit het Cisco Talos-rapport blijkt dat het aantal cyberaanvallen via webshells in het eerste kwartaal van 2023 aanzienlijk is gestegen. Webshells waren verantwoordelijk voor 25% van alle onderzochte incidenten, terwijl het aandeel gedetecteerde ransomware-aanvallen daalde van 20% naar 10%. De rapportresultaten benadrukken het belang van multifactorauthenticatie en sterke wachtwoorden bij de beveiliging van webapplicaties. Daarnaast blijft de dreiging van ransomware hoog, waarbij "pre-ransomware" activiteiten ongeveer 20% van alle aanvallen uitmaken. Cybercriminelen experimenteren ook met nieuwe aanvalsvector, zoals het gebruik van kwaadaardige OneNote-documenten. Het rapport benadrukt dat de cyberweerbaarheid versterkt moet worden om succesvolle aanvallen te voorkomen.


Gekloonde CapCut-websites verspreiden malware; cybercriminelen bedreigen gebruikers

Een nieuwe malwaredistributiecampagne doet zich voor als de populaire CapCut-videoverwerkingstool en stuurt verschillende malwarevarianten naar nietsvermoedende slachtoffers. CapCut is een officiële video-editor van ByteDance, bekend van TikTok, en heeft meer dan 500 miljoen downloads op Google Play. Omzeiling van verboden in bepaalde landen heeft gebruikers aangespoord om alternatieve manieren te zoeken om de app te downloaden. Cybercriminelen hebben hier misbruik van gemaakt door kwaadaardige websites te maken die zich voordoen als CapCut-installatieprogramma's. De malwarecampagnes hebben verschillende malwaresoorten verspreid. Slachtoffers werden waarschijnlijk bereikt via zwarte hoed SEO, zoekadvertenties en sociale media. In de eerste campagne gebruikten ze een nep CapCut-website om de Offx Stealer te verspreiden, terwijl in de tweede campagne een bestand met de naam 'CapCut_Pro_Edit_Video.rar' werd gedropt, dat de Redline Stealer en een .NET executable bevatte. De gestolen gegevens werden naar de aanvallers verzonden via een privé Telegram-kanaal en AnonFiles-bestandshosting werd gebruikt voor redundantie. Gebruikers moeten voorzichtig zijn en software alleen downloaden van officiële bronnen om zichzelf te beschermen tegen dergelijke malwarecampagnes van cybercriminelen.


Beruchte FIN7-cybercriminelen keren terug met Clop ransomware-aanvallen

Een financieel gemotiveerde cybercriminele groep genaamd FIN7 is recentelijk opnieuw opgedoken. Microsoft-analisten hebben deze groep gekoppeld aan aanvallen waarbij Clop ransomware-payloads werden ingezet op de netwerken van slachtoffers. De criminelen maakten gebruik van verschillende tools, waaronder de op PowerShell gebaseerde POWERTRASH malware-druppelaar en de Lizar-post-exploitatietool. Deze aanvallen markeren de eerste ransomwarecampagne van FIN7 sinds eind 2021. Hoewel enkele leden van de groep in de afgelopen jaren zijn gearresteerd, blijft de hackgroep actief en krachtig.


Luxottica bevestigt datalek in 2021 met gegevens van 70 miljoen klanten

Luxottica, 's werelds grootste brillenbedrijf en eigenaar van populaire merken zoals Ray-Ban en Oakley, heeft bevestigd dat een van zijn partners in 2021 slachtoffer is geworden van een datalek. Het lek heeft de persoonlijke informatie van maar liefst 70 miljoen klanten blootgelegd. Een database met deze gegevens werd deze maand gratis op hackforums geplaatst. Het betreft onder andere namen, e-mailadressen, telefoonnummers, adressen en geboortedata. Het bedrijf onderzoekt het incident en heeft de autoriteiten ingeschakeld. Hoewel Luxottica stelt dat hun systemen niet zijn gehackt en het netwerk veilig blijft, blijven klanten bezorgd over de beveiliging van hun gegevens. Cybercriminelen maken steeds vaker gebruik van dergelijke gegevenslekken om identiteitsdiefstal en andere vormen van fraude te plegen.


Cybercriminelen maken bijna $3 miljoen buit bij Rug Pull op Arbitrum DEX

Cybercriminelen hebben onlangs bijna $3 miljoen aan cryptocurrency gestolen in een "rug pull" oplichting op de gedecentraliseerde beurs (DEX) Swaprun op Arbitrum. Een rug pull is een beruchte oplichtingsmethode waarbij ontwikkelaars de liquiditeit van een project intrekken en ermee weglopen, waardoor investeerders achterblijven met waardeloze tokens. Het Swaprun-team verwijderde de liquiditeit die was toegekend tegen hun eigen munt, SAPR, en verkocht vervolgens de tokens voor ETH, wat leidde tot een instorting van de SAPR koers. Het beveiligingsbedrijf PeckShield ontdekte de fraude en onthulde dat het gestolen bedrag in totaal 1.628 ETH bedroeg, dat via het Ethereum-netwerk was verzonden en witgewassen via Tornado Cash, een cryptomixer. Beveiligingsanalisten van Beosin ontdekten later dat het door Swaprun gebruikte slimme contract een verborgen achterdeurmechanisme bevatte. Veel kritiek werd geuit op het op blockchain gerichte beveiligingsbedrijf CertiK, dat op 5 mei een audit van het platform had uitgevoerd. Ondanks hun audit heeft CertiK niet kunnen voorkomen dat de frauduleuze actie plaatsvond, wat de discussie over de effectiviteit van dergelijke controles binnen de cryptowereld verder aanwakkert.


Cybercriminelen maken gebruik van .zip-domeinnamen voor phishingaanvallen

In de afgelopen maand zijn er meldingen geweest van de eerste phishingaanvallen vanuit .zip-domeinnamen. Deze nieuwe top-level domains (TLD's) werden onlangs door Google geïntroduceerd, waaronder ook de .zip TLD. Volgens internetbedrijf Netcraft maken cybercriminelen nu misbruik van deze .zip-domeinen om phishingaanvallen uit te voeren. De aanvallen zijn inmiddels ook bevestigd door beveiligingsexpert Silent Push. Als reactie hierop adviseren zij organisaties om .zip-domeinen op hun netwerk te blokkeren. Beveiligingsexperts hebben al eerder gewaarschuwd voor het risico van phishing en andere aanvallen via de .zip-TLD. Google heeft in een reactie aan The Register gezegd dat ze de ontwikkelingen rondom het .zip domein nauwlettend in de gaten zullen houden.


Cybercriminelen Infecteren Miljoenen Androidtoestellen Met Malware Vooraf, Waarschuwt Trend Micro

Volgens het antivirusbedrijf Trend Micro hebben cybercriminelen miljoenen Androidtelefoons en andere apparaten vooraf geïnfecteerd met malware. Deze malware maakt het mogelijk om sms-berichten te onderscheppen en te lezen, toegang te krijgen tot WhatsApp en Facebook-apps van de gebruiker om ongewenste berichten te sturen, en het apparaat als proxy te gebruiken. Bovendien worden besmette toestellen ook ingezet voor advertentiefraude. Trend Micro meldt dat de malware aanwezig is in een aangepaste bibliotheek die deel uitmaakt van de Android-image en extra malware kan downloaden en uitvoeren. Het bedrijf heeft meer dan vijftig verschillende Android-images van verschillende leveranciers gevonden die de "Guerrilla" malware bevatten. Hoewel het antivirusbedrijf beweert dat miljoenen apparaten zijn besmet, inclusief telefoons, smartwatches en tv's, blijft de vraag onbeantwoord hoe de cybercriminelen erin slagen de Androidtoestellen te infecteren voordat ze bij de gebruiker terechtkomen. Trend Micro heeft ook geen specifieke namen van besmette telefoons, fabrikanten of modellen vrijgegeven. Reacties op de site variëren van bezorgdheid over de veiligheid van smartphones als banktools tot scepticisme over het ontbreken van specifieke informatie. De algehele consensus lijkt echter te zijn dat gebruikers zich bewust moeten zijn van de risico's en fabrikanten hun beveiliging moeten verbeteren.


Cybercriminelen viseren kwetsbare WordPress Elementor-plugin na vrijgave PoC

Cybercriminelen zijn momenteel actief op zoek naar kwetsbare versies van de Essential Addons for Elementor-plugin op duizenden WordPress-websites via grootschalige internet scans. Ze proberen een kritisch beveiligingslek voor het opnieuw instellen van accountwachtwoorden te misbruiken, dat eerder deze maand bekend werd gemaakt. Het beveiligingslek, bekend als CVE-2023-32243, heeft betrekking op Essential Addons for Elementor-versies 5.4.0 tot 5.7.1. Het stelt niet-geverifieerde aanvallers in staat om willekeurig wachtwoorden van beheerdersaccounts opnieuw in te stellen en de controle over de websites over te nemen. Het beveiligingslek werd ontdekt op 8 mei 2023 en op 11 mei 2023 gepatcht met de release van versie 5.7.2 van de plugin. Op 14 mei 2023 werd een proof-of-concept (PoC) exploit op GitHub gepubliceerd, waardoor de tool breed beschikbaar werd voor aanvallers. Er zijn miljoenen pogingen waargenomen om te zoeken naar de aanwezigheid van de plugin op websites, waarbij minstens 6.900 misbruikpogingen zijn geblokkeerd. Website-eigenaren wordt dringend aangeraden om de beschikbare beveiligingsupdate onmiddellijk te installeren door versie 5.7.2 of later te gebruiken. Het is ook raadzaam om de indicatoren van compromis in het rapport van Wordfence te gebruiken en de betrokken IP-adressen toe te voegen aan een blokkeerlijst om deze en toekomstige aanvallen te stoppen. Gebruikers van het gratis beveiligingspakket van Wordfence zullen op 20 juni 2023 beschermd zijn tegen CVE-2023-32243, dus op dit moment zijn ze kwetsbaar.


Unieke MalasLocker Ransomware Eist Goede Doelen Donaties in Plaats van Losegeld

Zie voor overzicht slachtoffers hierboven

Een nieuwe ransomware-operatie, genaamd MalasLocker, hackt Zimbra-servers, steelt e-mails en versleutelt bestanden. Opmerkelijk is dat de cybercriminelen geen traditioneel losgeld eisen, maar in plaats daarvan een donatie aan een door hen goedgekeurde liefdadigheidsinstelling vragen. De groep beweert tegen bedrijven en economische ongelijkheid te zijn en stelt dat hun acties win-win zijn, omdat slachtoffers waarschijnlijk belastingaftrek en positieve PR kunnen krijgen van hun donatie. De ransomware begon eind maart 2023 met het versleutelen van Zimbra-servers. Bij het coderen van e-mails wordt geen extra bestandsextensie toegevoegd aan de bestandsnaam. De bedreigingsactoren laten een losgeldbericht achter met de instructie om een donatie te doen en het bevestigingsmailtje van de donatie naar hen te sturen. Ze controleren de DKIM-handtekening van het email om te verifiëren dat de donatie echt is. Deze ongewone eis wordt beschouwd als hacktivisme. De encryptie-methode die MalasLocker gebruikt, is de Age encryptie-tool, ontwikkeld door Filippo Valsorda van Google. Dit is ongebruikelijk en wordt enkel door enkele andere ransomware-operaties gebruikt die geen Windows-apparaten targeten. Ondanks zwakke linken, zou het kunnen wijzen op een mogelijke relatie tussen deze operaties. Er is nog niet bevestigd of de groep echt decryptors verstrekt na een liefdadigheidsdonatie.


Kwaadaardige Microsoft VSCode-extensies Stelen Wachtwoorden en Openen Externe Shells

Cybercriminelen beginnen de VSCode Marketplace van Microsoft aan te vallen, waarbij drie kwaadaardige Visual Studio-extensies zijn geüpload die al 46.600 keer door Windows-ontwikkelaars zijn gedownload. De ontdekte extensies waren onder andere 'Thema Darcula donker', dat basisinformatie over het systeem van de ontwikkelaar stal en 'python-vscode', een C# shell injector. Een andere gevaarlijke extensie, 'prettiest java', bootste een populaire codeformatting tool na, maar stal in werkelijkheid opgeslagen inloggegevens of authenticatietokens van Discord, Google Chrome, Opera, Brave Browser en Yandex Browser. Check Point ontdekte ook meerdere verdachte extensies die mogelijk onveilig gedrag vertoonden, zoals het ophalen van code uit privérepositories of het downloaden van bestanden. Dit illustreert het inherente risico van software repositories, zoals NPM en PyPi, die bijdragen van gebruikers toestaan en vaak het doelwit zijn van bedreigingsactoren. Deze incidenten tonen aan dat kwaadwillenden actief proberen om Windows-ontwikkelaars te besmetten met kwaadaardige bijdragen, vergelijkbaar met andere software repositories. Gebruikers van de VSCode Marketplace, en alle door gebruikers ondersteunde repositories, wordt aangeraden alleen extensies te installeren van vertrouwde uitgevers met veel downloads en community ratings. Ze moeten ook gebruikersreviews lezen en altijd de broncode van de extensie inspecteren voordat ze deze installeren.


Ransomware-aanval treft technologiebedrijf ScanSource: dienstverlening mogelijk vertraagd

ScanSource, een in de VS gevestigde technologieprovider, heeft aangekondigd slachtoffer te zijn van een omvangrijke ransomware-aanval. De cyberaanval, die plaatsvond op 14 mei 2023, heeft een impact gehad op verschillende systemen, bedrijfsactiviteiten en klantenportalen van het bedrijf. ScanSource biedt cloud- en SaaS-connectiviteits- en netwerkcommunicatiediensten, naast speciale Point-of-Sale (PoS) en beveiligingsoplossingen en oplossingen voor automatische identificatie en gegevensverzameling (AIDC). De aanval veroorzaakte een meerdaagse uitval, waardoor klanten geen toegang hadden tot de klantenportalen en websites van het bedrijf. Na de aanval heeft het bedrijf onmiddellijk zijn incidentresponsplan geïmplementeerd, inclusief het waarschuwen van wetshandhavers en het inroepen van hulp van forensische en cybersecurityprofessionals. Deze experts helpen bij het lopende onderzoek en bij het implementeren van strategieën om de operationele verstoringen als gevolg van het incident te minimaliseren. ScanSource waarschuwt dat er de komende periode vertragingen kunnen optreden in de dienstverlening aan klanten, met mogelijke impact op de activiteiten in Noord-Amerika en Brazilië. Het bedrijf werkt actief aan het herstellen van de getroffen systemen en minimaliseren van de impact op de bedrijfsvoering. Op het moment van publicatie is nog niet bekend welke ransomware-operatie verantwoordelijk is voor de aanval, noch of er gegevens zijn gestolen. ScanSource is benaderd voor meer details over de aanval en verdere updates zullen volgen zodra meer informatie beschikbaar is.


Cybercriminelen Verschuiven Focus: FBI Bevestigt BianLian-ransomware Overschakelt naar Afpersing

Het Amerikaanse FBI, de Cybersecurity and Infrastructure Security Agency (CISA) en het Australische Cyber Security Centre (ACSC) hebben gezamenlijk gewaarschuwd voor de nieuwe tactieken en procedures die door de cybercriminele groep BianLian worden gebruikt. Om detectie te voorkomen, gebruikt BianLian PowerShell en de Windows Command Shell om processen die gerelateerd zijn aan antivirusprogramma's uit te schakelen. Ze manipuleren ook het Windows-register om de fraudebeveiliging van Sophos-beveiligingsproducten te neutraliseren. Als verdediging adviseren deze organisaties om het gebruik van externe desktopdiensten zoals RDP te beperken en strikte beveiligingsmaatregelen te handhaven. Het gebruik van PowerShell moet worden beperkt en er moet worden bijgewerkt naar de nieuwste versie. Regelmatige audits van administratieve accounts en het toepassen van het principe van minimale bevoegdheden zijn ook aangeraden. Een herstelplan met meerdere kopieën van gegevens, veilig en offline opgeslagen, is essentieel. Ze benadrukken het belang van het naleven van NIST-normen voor wachtwoordbeheer en het regelmatig updaten van software en firmware. Het segmenteren van netwerken voor verbeterde beveiliging en het actief monitoren van netwerkactiviteiten is ook cruciaal. Het FBI, CISA en ACSC moedigen kritieke infrastructuurorganisaties en kleine en middelgrote organisaties aan om deze aanbevelingen te implementeren om de waarschijnlijkheid en impact van BianLian en andere ransomware-incidenten te verminderen.


Cybercriminelen maken €37.200 buit via CEO-fraude bij Gemeente Meierijstad

De Gemeente Meierijstad is het slachtoffer geworden van een aanzienlijke CEO-fraude, uitgevoerd door cybercriminelen. Via deze fraude hebben de oplichters een bedrag van €37.200 weten te ontvreemden. CEO-fraude is een vorm van oplichting waarbij cybercriminelen zich voordoen als een topfunctionaris van een organisatie, in dit geval, de CEO of CFO, om zo medewerkers te manipuleren en geld over te laten maken. De fraudeurs deden meerdere pogingen om het geld van de gemeente afhandig te maken. Echter, toen een alerte medewerker een telefonische verificatie aanvroeg, werd de fraude ontdekt. De criminelen hadden zich voorgedaan als hooggeplaatste personen binnen de financiële afdeling van de gemeente en stuurden e-mails met betaalverzoeken. Deze e-mails leken afkomstig te zijn van de directie, terwijl ze in werkelijkheid van de cybercriminelen kwamen. Burgemeester Kees van Rooij reageerde op het incident en zei: "Criminaliteit is van alle tijden. Iedereen weet dat criminelen op allerlei manieren actief zijn, maar je hoopt dat het je niet persoonlijk zal treffen." Hij voegde eraan toe dat er bij CEO-fraude vaak sprake is van tijdsdruk, omdat het gevraagde bedrag snel overgemaakt moet worden en dat er nadruk wordt gelegd op het vertrouwelijke karakter van de betaling. De gemeente betreurt het incident ten zeerste en heeft aangegeven nazorg te bieden aan de medewerkers die het slachtoffer zijn geworden van deze cybercriminaliteit.


Cybercriminelen richten zich op Autoriteit Persoonsgegevens in social engineering-aanval

De Autoriteit Persoonsgegevens (AP) was vorig jaar doelwit van een social engineering-aanval uitgevoerd door cybercriminelen. Deze aanval werd uitgevoerd via een ogenschijnlijk legitiem pdf-bestand dat naar de AP was verzonden. Het openen van de link naar het pdf-bestand resulteerde in een poortscan van de systemen van de AP. De AP heeft in 2022 te maken gehad met in totaal vijftig beveiligingsincidenten, volgens hun jaarverslag. Van deze incidenten betrof het in 26 gevallen een datalek, aangezien persoonsgegevens waren betrokken. Vier van deze datalekken zijn zelf door de toezichthouder gemeld. De meeste datalekken ontstonden door foutief geadresseerde brieven en e-mails.

Er is een specifiek datalek dat ontstond op de Dag van de FG-website, waar derden plug-ins op de pagina hadden die gegevens naar Google stuurden. Op verzoek van de AP zijn deze plug-ins verwijderd en Google heeft bevestigd dat de persoonsgegevens bij Google Fonts en reCaptcha zijn verwijderd. Na de social engineering-aanval heeft de AP extra aandacht besteed aan de ‘security awareness’ van hun medewerkers. Ondanks dat de poortscan specifieke netwerkpoorten scande die niet in gebruik zijn bij de AP, geeft dit incident de noodzaak weer om constant alert te blijven op mogelijke cyberaanvallen. Het vergroten van de 'security awareness' is een essentieel onderdeel om de digitale weerbaarheid van organisaties te versterken tegen cybercriminelen.

Ap Jaarverslag 2022
PDF – 2,4 MB 59 downloads

Cybercriminelen leggen productie Lacroix stil met ransomware-aanval

De elektronicafabrikant Lacroix heeft drie van haar fabrieken in Duitsland, Frankrijk en Tunesië voor een week gesloten na een gerichte ransomware-aanval, die werd ontdekt in de nacht van 12 op 13 mei. Lacroix, dat apparatuur produceert voor onder andere de automobiel-, domotica-, luchtvaart-, industriële- en gezondheidssector, is momenteel bezig met onderzoek naar de aanval, het herstellen van systemen via beschikbare back-ups en het controleren of de aanval volledig onder controle is. Het is op dit moment nog onbekend wanneer de productie precies zal worden hervat, maar Lacroix hoopt in de week van 22 mei de activiteiten te kunnen hervatten. De drie getroffen fabrieken vertegenwoordigden vorig jaar 19 procent van de totale omzet van het bedrijf. Ondanks de aanval en de tijdelijke sluiting van de fabrieken, verwacht Lacroix niet dat deze gebeurtenis een grote impact zal hebben op de eerder aangekondigde verwachtingen voor dit jaar, mede vanwege de feestdagen in deze periode.


Chinese staatshackers infecteren TP-Link-routerfirmware om EU-entiteiten aan te vallen

Een Chinese staatshackergroep genaamd "Camaro Dragon" heeft residentiële TP-Link-routers geïnfecteerd met aangepaste malware genaamd "Horse Shell". Deze malware wordt gebruikt om Europese organisaties voor buitenlandse zaken aan te vallen. De hackers maken gebruik van een kwaadaardige firmware die specifiek is ontworpen voor TP-Link-routers en stellen hen in staat om aanvallen uit te voeren die lijken te komen van residentiële netwerken. De malware geeft de hackers volledige toegang tot de geïnfecteerde apparaten en stelt hen in staat om shell-opdrachten uit te voeren, bestanden te uploaden en te downloaden, en communicatie tussen apparaten door te geven. Het is belangrijk voor gebruikers om de nieuwste firmware-updates te installeren, het standaardwachtwoord van hun router te wijzigen en externe toegang tot het beheerpaneel uit te schakelen om zichzelf te beschermen tegen deze aanvallen van cybercriminelen.


Russische ransomware-partner aangeklaagd voor aanvallen op kritieke infrastructuur in de VS

Samenvatting: Het Amerikaanse ministerie van Justitie heeft aanklachten ingediend tegen een Russische burger genaamd Mikhail Pavlovich Matveev, ook bekend als Wazawaka of Boriselcin. Hij wordt beschuldigd van betrokkenheid bij drie ransomware-operaties die gericht waren op slachtoffers in de Verenigde Staten. Matveev wordt geassocieerd met ransomwarevarianten zoals Hive, LockBit en Babuk, die wereldwijd aanzienlijke financiële verliezen hebben veroorzaakt. Hij heeft zich actief gericht op Amerikaanse bedrijven en kritieke infrastructuur. Matveev is ook gesanctioneerd door het Department of the Treasury's Office of Foreign Assets Control (OFAC). Het Amerikaanse ministerie van Buitenlandse Zaken heeft een beloning van $10 miljoen uitgeloofd voor informatie die kan leiden tot zijn arrestatie of veroordeling. De VS benadrukken de ernstige gevolgen van ransomware-aanvallen en noemen Rusland een veilige haven voor cybercriminelen.

Mikhail Pavlovich Matveev
PDF – 402,2 KB 96 downloads

Cybercriminelen gebruiken Azure Serial Console voor heimelijke toegang tot virtuele machines

Een financieel gemotiveerde cybergang, bekend als 'UNC3944' en gevolgd door Mandiant, gebruikt phishing en SIM-swapping aanvallen om Microsoft Azure-beheerdersaccounts te kapen en toegang te krijgen tot virtuele machines. De aanvallers maken misbruik van de Azure Serial Console om op afstand beheersoftware te installeren en maken gebruik van Azure Extensions voor heimelijke surveillance. Mandiant meldt dat UNC3944 actief is sinds minstens mei 2022 en dat hun campagne gericht is op het stelen van gegevens van slachtofferorganisaties via de cloudcomputingdienst van Microsoft. De criminelen tonen diepgaande kennis van de Azure-omgeving en weten ingebouwde tools te gebruiken om detectie te ontlopen. Door hun technische kennis te combineren met geavanceerde sociale technieken zoals SIM-swapping, vergroten ze het risico. Organisaties die ontoereikende beveiligingsmaatregelen, zoals op SMS gebaseerde tweefactorauthenticatie, implementeren, bieden mogelijkheden voor deze geavanceerde dreigingsactoren.


Cybercriminelen zetten open-source Cobalt Strike-poort 'Geacon' in voor aanvallen op macOS

Open-source Cobalt Strike-port 'Geacon' wordt in toenemende mate gebruikt bij aanvallen op macOS-apparaten. Geacon en Cobalt Strike zijn tools die legitieme organisaties gebruiken om aanvallen op hun netwerken te simuleren en hun verdediging te verbeteren, maar ze worden ook gebruikt voor aanvallen door bedreigingsactoren. Cobalt Strike is al jaren misbruikt door bedreigingsactoren om Windows-systemen te compromitteren. Beveiligingsonderzoekers bij SentinelOne hebben de activiteit van Geacon in het wild gemonitord en hebben onlangs een verhoogd aantal payloads opgemerkt op VirusTotal. Wanneer Geacon voor het eerst op GitHub verscheen als een beloftevolle port voor Cobalt Strike voor macOS, leek het weinig aandacht van hackers te trekken. In april veranderde dit echter toen anonieme Chinese ontwikkelaars op GitHub twee Geacon-forks publiceerden: Geacon Plus, die gratis en openbaar beschikbaar is, en de privé, betaalde versie, Geacon Pro. Deze ontwikkeling heeft de populariteit van de Geacon-fork vergroot en lijkt de aandacht van kwaadwillige gebruikers te hebben getrokken. Er zijn twee gevallen van kwaadaardige Geacon-implementatie gevonden in twee VirusTotal-inzendingen. SentinelOne waarschuwt dat er een goede kans is dat echte tegenstanders de openbare en mogelijk zelfs de privé-versies van Geacon zullen gebruiken. Ter ondersteuning van deze conclusie wordt erop gewezen dat het aantal Geacon-samples in de afgelopen maanden is toegenomen. Gezien deze toenemende dreiging, raden ze beveiligingsteams aan om adequate verdedigingsmaatregelen te implementeren. SentinelOne heeft een lijst van indicatoren van compromittering (IoC's) geleverd die bedrijven kunnen gebruiken om passende bescherming tegen de Geacon-dreiging te creëren. Beveiligingsteams kunnen deze tools gebruiken om hun netwerken te verdedigen door gesimuleerde aanvallen uit te voeren en zo zwakke punten te identificeren. Het gebruik van Geacon is recentelijk toegenomen, met een verhoogd aantal payloads gedetecteerd op VirusTotal. Hoewel sommige van deze payloads deel uitmaakten van legitieme rode teamoperaties, hadden anderen de kenmerken van kwaadaardige aanvallen. Geacon werd voor het eerst geïntroduceerd op GitHub als een beloftevolle port voor Cobalt Strike voor macOS, maar trok in eerste instantie weinig aandacht van hackers. Dit veranderde in april toen anonieme Chinese ontwikkelaars twee Geacon-vorken op GitHub publiceerden: Geacon Plus, die gratis en publiekelijk beschikbaar is, en Geacon Pro, een privé, betaalde versie. De Geacon-vork is toegevoegd aan het '404 Starlink-project', een openbare GitHub-repository die sinds 2020 wordt onderhouden door het Zhizhi Chuangyu-laboratorium en zich richt op pen-testtools voor rode teams. Een van de recente aanvallen betrof een AppleScript-appletbestand genaamd "Xu Yiqing's Resume_20230320.app," ontworpen om te bevestigen dat het op een macOS-systeem draait voordat een niet-ondertekende Geacon Plus-lading wordt opgehaald van een commando- en controleserver (C2) met een Chinees IP-adres. Het is belangrijk op te merken dat het specifieke C2-adres (47.92.123.17) eerder geassocieerd werd met Cobalt Strike-aanvallen op Windows-machines. Deze ontwikkelingen onderstrepen het belang van constante waakzaamheid en voortdurende verbetering van cyberbeveiligingsmaatregelen.


Opkomst van Nieuwe Informatiestelende Malware: Titan, LummaC2 en WhiteSnake Bieden Verhoogd Risico

De markt voor informatie-stelende malware is continu in beweging, met diverse malware-organisaties die concurreren voor cybercriminele klanten. Ze promoten betere ontwijkingstactieken en een verhoogde capaciteit om data van slachtoffers te stelen. Het cybersecurity intelligence bedrijf KELA heeft een rapport opgesteld waarin de toename van varianten en malware-as-a-service (MaaS) operaties worden belicht. Deze zijn in het eerste kwartaal van 2023 aanzienlijk gegroeid, waardoor het bijbehorende risico voor organisaties en individuen toeneemt. In dit rapport focust KELA op nieuwe informatie-dieven zoals Titan, LummaC2, WhiteSnake en anderen die recentelijk opgedoken zijn vanuit de ondergrondse cybercriminaliteit en al snel populair zijn geworden bij bedreigingsactoren. Cyber Threat Intelligence analist Yael Kishon deelde deze informatie. Titan, die voor het eerst verscheen op Russisch sprekende hackerforums in november 2022, wordt gepromoot als een op Go-gebaseerde informatie-dief die zich richt op gegevens opgeslagen in 20 webbrowsers. Het bijbehorende Telegram-kanaal heeft meer dan 600 abonnees. LummaC2 heeft een wederverkoopprogramma, waardoor agenten 20% korting krijgen op nieuwe abonnementen die ze aanbrengen op het platform. Daarnaast is er Stealc, eerst geanalyseerd door SEKOIA in februari 2023, een lichtgewicht stealer met geautomatiseerde exfiltratie die zich richt op meer dan 22 webbrowsers, 75 plugins en 25 desktop wallets. BlackGuard stealer richt zich nu op 57 crypto wallets en extensies. De informatie-dieven LummaC2, Stealc, Titan en WhiteSnake zijn momenteel actief. Bill Toulas, een technologie-schrijver en infosec-nieuwsverslaggever met meer dan een decennium aan ervaring in verschillende online publicaties, heeft dit artikel geschreven. Hij is een voorstander van open source en een Linux-enthousiast en volgt actief hacks, malware-campagnes en datalek-incidenten.


Enorme Data-inbraak bij PharMerica: Medische Gegevens van 5,8 Miljoen Patiënten in Handen van Ransomware-bende

PharMerica, een aanbieder van apotheekdiensten, heeft een enorme datalek bekendgemaakt die meer dan 5,8 miljoen patiënten heeft getroffen en hun medische gegevens heeft blootgesteld aan hackers. Volgens een melding van een datalek ingediend bij het Bureau van de Procureur-Generaal van Maine, hebben hackers op 12 maart 2023 het systeem van PharMerica geschonden. Ze hebben volledige namen, adressen, geboortedata, burgerservicenummers, medicatie en informatie over ziektekostenverzekeringen van 5.815.591 mensen gestolen. PharMerica biedt de getroffen individuen een jaar lang fraudebestrijdingsdiensten voor identiteitsbescherming via Experian aan. Het wordt hen aangeraden dit aanbod te accepteren om het risico en de impact van kwaadaardige aanvallen te minimaliseren. Hoewel PharMerica niet vermeldt wat voor soort hackincident er heeft plaatsgevonden, claimde de losgeldbende van Money Message de aanval op 28 maart 2023. Ze begonnen toen met het publiceren van de gestolen gegevens. Op 9 april 2023 liep de timer af en publiceerden de dreigingsactoren wat volgens hen alle gestolen gegevens waren op hun afpersingssite. Helaas zijn de bestanden op dit moment nog steeds beschikbaar om te downloaden. Om de situatie nog erger te maken, heeft een dreigingsactor de volledige datadump al op een clearnet-hackforum gepost, waarbij het bestand in 13 delen is gebroken om het gemakkelijker te downloaden. Money Message is een nieuwe ransomware-operatie die in maart 2023 werd gelanceerd en die media-aandacht krijgt vanwege zijn inbreuk op de Taiwanese fabrikant van pc-onderdelen, MSI (Micro-Star International).

Pharmerica Sample Letter
PDF – 128,7 KB 88 downloads

Stealthy MerDoor-malware: Vijf Jaar van Ongedetecteerde Aanvallen op Overheids-, Luchtvaart- en Telecomorganisaties

Een nieuwe geavanceerde persistente dreiging (APT) hackgroep, Lancefly genaamd, maakt gebruik van een op maat gemaakte 'Merdoor'-achterdeurmalware om doelwitten te treffen zoals overheidsinstanties, luchtvaartmaatschappijen en telecommunicatiebedrijven in Zuid- en Zuidoost-Azië. Volgens de Symantec Threat Labs, die vandaag hun bevindingen onthulden, heeft Lancefly de onopvallende achterdeur van Merdoor sinds 2018 ingezet in zeer gerichte aanvallen. Het doel van deze aanvallen is om aanwezigheid in netwerken te vestigen, commando's uit te voeren en keylogging uit te voeren op bedrijfsnetwerken. Symantec-onderzoekers merkten op dat de malware in enkele activiteiten in 2020 en 2021 werd gebruikt, evenals in een recentere campagne die doorging in het eerste kwartaal van 2023. Beide campagnes lijken gericht te zijn op het verzamelen van inlichtingen. Lancefly richt zich voornamelijk op cyber-spionage, met het doel om gedurende lange perioden inlichtingen te verzamelen van de netwerken van de doelwitten. Symantec heeft de initiële infectieroute die door Lancefly wordt gebruikt niet kunnen identificeren. Eenmaal aanwezig op het doelsysteem, injecteren de aanvallers de Merdoor-achterdeur via DLL-zijladen in 'perfhost.exe' of 'svchost.exe'. Beide zijn legitieme Windows-processen die de malware helpen om detectie te ontwijken. Merdoor ondersteunt gegevensuitwisseling met de C2-server en kan ook opdrachten accepteren door naar lokale poorten te luisteren. Specifieke voorbeelden hiervan zijn echter niet door Symantec gegeven. De aanvallers proberen inloggegevens te stelen door het geheugen van het LSASS-proces te dumpen of door de SAM- en SYSTEM-registry hives te stelen. Tot slot versleutelt Lancefly gestolen bestanden met een vermomde versie van het WinRAR-archiveringstool en voert vervolgens de gegevens af, waarschijnlijk met behulp van Merdoor. In de aanvallen van Lancefly is ook het gebruik van een nieuwere, lichtere en meer functierijke versie van de ZXShell rootkit waargenomen.


RA Group Ransomware: Nieuwe Cyberdreiging Richt zich op Amerikaanse en Zuid-Koreaanse Industrieën

Een nieuwe ransomwaregroep, genaamd 'RA Group', heeft Amerikaanse bedrijven in het vizier, vooral in de farmaceutische, verzekerings-, vermogensbeheer- en productiesectoren, evenals in Zuid-Korea. Deze groep begon zijn operaties in april 2023, toen ze een datalekwebsite op het darkweb lanceerden om details en gestolen gegevens van slachtoffers te publiceren. Ze maakten gebruik van de 'dubbele afpersing'-techniek die typisch is voor de meeste ransomwarebendes. De afpersingswebsite werd gelanceerd op 22 april 2023 en de eerste set gegevens van slachtofferorganisaties werd gepubliceerd op 27 april. Deze gegevens omvatten voorbeeldbestanden, een beschrijving van het soort gestolen inhoud en links naar de gestolen gegevens. Volgens een nieuw rapport van Cisco Talos gebruikt RA Group een codering gebaseerd op de gelekte broncode van de Babuk-ransomware, een operatie die in 2021 werd stopgezet. Vorige week meldde Sentinel Labs dat minstens negen verschillende ransomware-operaties de Babuk-broncode gebruiken, die in september 2021 op een Russisch sprekend hackerforum is gelekt. Dit geeft dreigingsactoren een gemakkelijke manier om hun reikwijdte uit te breiden naar Linux en VMware ESXi. RA Group onderscheidt zich door elke aanval te voorzien van een gepersonaliseerde losgeldbrief die specifiek is geschreven voor de beoogde organisatie. Bovendien is het uitvoerbare bestand ook vernoemd naar het slachtoffer. De ransomware richt zich op alle logische schijven op de machine en netwerkshares van het slachtoffer, en probeert specifieke mappen te versleutelen, behalve die gerelateerd aan het Windows-systeem, opstarten, programmabestanden, enz. De codering van RA Group maakt gebruik van intermitterende codering, wat een techniek is waarbij wordt afgewisseld tussen het versleutelen en niet-versleutelen van secties van een bestand om de codering te versnellen. Gecodeerde bestanden krijgen de extensie ".GAGUP" en alle volumeschaduwkopieën en inhoud van de prullenbak worden gewist om gemakkelijk gegevensherstel te voorkomen. Het losgeldbriefje, getiteld Hoe u uw bestanden kunt herstellen', vereist dat het slachtoffer qTox-messenger gebruikt om contact op te nemen met de dreigingsactoren en losgeld te onderhandelen. De dreigingsactoren beweren slachtoffers drie dagen de tijd te geven voordat een steekproef van gestolen gegevens op afpersingssites wordt gepubliceerd, maar dit is waarschijnlijk onderhandelbaar. Het is nog onduidelijk hoe ze systemen binnendringen en zich lateraal verspreiden op een netwerk, aangezien dit een relatief nieuwe ransomware-operatie is met slechts een paar slachtoffers.


Cybercriminelen houden Dallas in hun greep: Herstel van ransomware-aanval kan weken duren

De Amerikaanse stad Dallas verwacht dat het nog weken nodig zal hebben om volledig van de ransomware-aanval te herstellen waar het begin deze maand door werd getroffen. De aanval raakte de dienstverlening aan inwoners en zorgde ervoor dat de website van het politiekorps van Dallas offline ging. Bij het herstel krijgen systemen gebruikt voor de openbare veiligheid en publieke diensten voorrang, om zo de overlast voor inwoners te beperken. De stad stelt in een verklaring dat er nog geen aanwijzingen zijn gevonden dat de aanvallers gegevens van inwoners, leveranciers of medewerkers hebben gestolen. "Gegeven de complexiteit van het controleren, opschonen en herstellen van interoperabiliteit voor de resterende systemen en applicaties, zal het waarschijnlijk weken duren om de volledige functionaliteit te herstellen." Inmiddels zijn onder andere de systemen voor het uitlezen van waterverbruik en betalen van de watervoorziening te betalen. Details over hoe de aanval kon plaatsvinden zijn niet gegeven.


Minimaal 2 tot 3 keer per week wordt er losgeld geëist van gehackte bedrijven in België

Zo'n honderd Belgische bedrijven lieten vorig jaar aan het Centrum voor Cybersecurity België (CCB) weten dat ze met ransomware te maken hadden gekregen. In de eerste drie maanden van dit jaar ontving de overheidsinstantie 27 meldingen. "Dit cijfer verbergt allicht nog een groter aantal Belgische slachtoffers. De impact van een ransomware-aanval op het slachtoffer is vaak zeer groot", aldus het CCB op de eigen website. België is sinds kort officieel vertegenwoordigd in de International Counter Ransomware Task Force (ICRTF), een samenwerkingsverband tussen 25 landen en Interpol. Ook Nederland maakt deel uit van de taskforce. "Dit is voor ons land een nieuwe stap in de bestrijding van ransomware. Dankzij de ICRTF worden over grenzen heen krachten gebundeld, kennis gedeeld en gezamenlijke acties opgezet. Geen enkel land is immers in staat om ransomware individueel doeltreffend te bestrijden", zo stelt het CCB verder. Het CCB waarschuwt al jaren voor de dreiging van ransomware en publiceert ook regelmatig waarschuwingen en beveiligingsadvies voor de bevolking, bedrijven en overheden. Dagelijks stuurt het ook gerichte waarschuwingen om potentiële slachtoffers te waarschuwen over gelekte inloggegevens en met malware besmette systemen. Volgens de overheidsinstantie zijn veel van de ransomware-aanvallen te voorkomen door bijvoorbeeld tweestapsverificatie. Het CCB start de komende weken een bewustzijnscampagne om bedrijven en organisaties hierop te wijzen, meldt VRT NWS.


Cybercriminelen treffen drie miljoen gebruikers met datalek bij saas-aanbieder Brightly Software

Een datalek bij de Amerikaanse saas-aanbieder Brightly Software raakt drie miljoen gebruikers, zo heeft het bedrijf bekendgemaakt. Brightly Software is een dochteronderneming van Siemens en levert "intelligent asset management solutions" voor het beheer van gebouwen en onderhoud. Daarnaast biedt het ook een online cloudplatform voor onderwijsinstellingen genaamd SchoolDude. Dat wordt onder andere gebruikt voor beheer, gebouwautomatisering, inventarismanagement, alarmautomatisering en andere zaken. Onlangs wist een aanvaller toegang tot de gegevens van SchoolDude-gebruikers te krijgen. Het gaat om naam, e-mailadres, accountwachtwoord, telefoonnummer en naam van schooldistrict. Uit een datalekmelding die bij de procureur-genaal van de Amerikaanse staat Maine werd gedaan blijkt dat van in totaal drie miljoen gebruikers de gegevens zijn gestolen. Hoe de aanval kon plaatsvinden laat Brightly Software niet weten. Vanwege het datalek heeft het bedrijf besloten om van alle gebruikers het wachtwoord te resetten.


Cyberaanval legt The Philadelphia Inquirer plat: geen papieren uitgave voor het eerst in 27 jaar

The Philadelphia Inquirer, één van de oudste en bekendste kranten in de Verenigde Staten, is gisteren wegens een cyberaanval niet op papier verschenen en het is op dit moment onbekend wanneer alle systemen zijn hersteld. De in 1829 opgerichte krant spreekt van de grootste verstoring in 27 jaar tijd. Om wat voor soort cyberaanval het gaat en wanneer die precies plaatsvond is onduidelijk. Het securitybedrijf dat het netwerk van de The Philadelphia Inquirer monitort meldde afgelopen donderdag verdachte activiteit. Aflopen zaterdag ontdekten medewerkers van de krant dat ze geen toegang meer tot het contentmanagementsysteem van de krant kregen. Vervolgens werd op meerdere systemen verdachte activiteit waargenomen, waarop werd besloten die systemen offline te halen. Daardoor was het niet mogelijk om de papieren versie van de zondageditie af te drukken. Vandaag zal de krant wel weer in papieren vorm verschijnen, maar zonder rubrieksadvertenties zoals overlijdensberichten. Die zullen woensdag weer in de krant zijn te vinden. Wanneer alle systemen van de krant zijn hersteld is ook nog onbekend. Vanwege de verstoringen door de aanval zal personeel vandaag niet in het kantoor worden toegelaten.


Cybercriminelen maken actief misbruik van XSS-lek in WordPress Custom Fields plug-in

Aanvallers maken actief misbruik van een kwetsbaarheid in de WordPress Advanced Custom Fields plug-in waardoor cross-site scripting (XSS) mogelijk is en aanvallers gegevens van ingelogde gebruikers kunnen stelen, zoals de beheerder, of code toevoegen die bezoekers naar andere websites doorstuurt. Dat laat internetbedrijf Akamai weten. Advanced Custom Fields is een plug-in voor WordPress die de mogelijkheden van het contentmanagementplatform verder uitbreidt, zodat gebruikers allerlei velden en andere onderdelen kunnen aanpassen. Op 5 mei berichtte securitybedrijf Patchstack dat er een XSS-kwetsbaarheid in de plug-in zit waardoor een ongeauthenticeerde aanvaller "gevoelige informatie" van ingelogde gebruikers zoals de beheerder kan stelen. Daarmee kan een aanvaller vergaande toegang tot de website krijgen. Voorwaarde is wel dat een aanvaller een ingelogde gebruiker van de website een speciaal geprepareerde url op de website laat bezoeken. Het kan dan bijvoorbeeld gaan om een reactie of een andere plek waar het mogelijk is voor een bezoeker om code in te voeren. Patchstack had het probleem op 2 mei aan de ontwikkelaars van de plug-in gemeld, die op 4 mei met een beveiligingsupdate kwamen. Vervolgens kwam Patchstack op 5 mei met een blogposting waarin het de details bekendmaakte en proof-of-concept exploitcode publiceerde. Nog geen 24 uur na het verschijnen van de details en code vonden de eerste aanvallen op kwetsbare websites plaats, aldus Akamai. Daarbij maken de aanvallers gebruik van de proof-of-concept exploit van Patchstack. Hoewel er inmiddels updates voor het probleem zijn verschenen, blijkt uit cijfers van WordPress dat een aanzienlijk aantal websites nog een kwetsbare versie van de plug-in draait.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


Februari 2024
Januari 2024