Overzicht van slachtoffers cyberaanvallen week 21-2023

Gepubliceerd op 29 mei 2023 om 15:00

Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


Het Belgische bedrijf SOVAC is slachtoffer geworden van de nieuwe ransomwaregroepering 8BASE, die afgelopen week gegevens van maar liefst 67 organisaties op het darkweb heeft gepubliceerd. Te midden van deze cyberchaos werd de dienstverlening van een regionaal ziekenhuis in Namen, België, beperkt door een cyberaanval. Het houdt echter niet op bij onze zuiderburen: in Nederland is er een digitale inbraak geweest bij de gemeente Asten, waarbij cybercriminelen toegang hebben gekregen tot tienduizenden gegevens. Ondertussen zorgt een massale compromittatie van Zyxel-firewalls door het Mirai-botnet voor groeiende zorgen bij beveiligingsexperts. De kers op de taart van deze week van digitale inbraken is een grootschalige aanval op de WordPress Cookie-Consent Plugin, waarbij maar liefst 1,5 miljoen sites bedreigd worden. Hieronder vindt u het volledige overzicht van de cyberaanvallen van afgelopen week.



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
grantierra.com LockBit grantierra.com Canada Oil, Gas 28-mei-23
voyageursdumonde.fr LockBit voyageursdumonde.fr France Miscellaneous Services 28-mei-23
Australian Universal Crane Leak Ragnar_Locker universalcranes.com Australia Engineering Services 28-mei-23
Fiduagraria Medusa fiduagraria.gov.co Colombia Public Finance, Taxation 27-mei-23
******MD BianLian Unknown USA Transportation By Air 27-mei-23
**G Inc. BianLian Unknown USA Engineering Services 27-mei-23
*a*** I********* BianLian Unknown India Chemical Producers 27-mei-23
H****** **e*** V******* **i** Project BianLian Unknown USA IT Services 27-mei-23
Servizi Omnia MONTI www.omniaservizi.com Italy Accounting Services 26-mei-23
fiduagraria.gov.co LockBit fiduagraria.gov.co Colombia Public Finance, Taxation 26-mei-23
arnoldoilco.com LockBit arnoldoilco.com USA Wholesale Trade-durable Goods 26-mei-23
watersaversinc.com LockBit watersaversinc.com USA Wholesale Trade-non-durable Goods 26-mei-23
floodlaw.com LockBit floodlaw.com USA Legal Services 26-mei-23
aimtron.com LockBit aimtron.com India Electronic, Electrical Equipment, Components 26-mei-23
Good Oil Company 8BASE goodoilcompany.com USA Gasoline Service Stations 26-mei-23
AFG Holdings Royal www.afgholdings.com USA Oil, Gas 26-mei-23
Volt Royal www.volt.com USA Business Services 26-mei-23
Groupe Sovitrat Interim and Recrutement Royal www.sovitrat.fr France Business Services 26-mei-23
BM Precision Royal www.bmprecision.com USA Miscellaneous Manufacturing Industries 26-mei-23
DirectViz Solutions Royal www.directviz.com USA IT Services 26-mei-23
The Best Connection Royal www.thebestconnection.co.uk UK Business Services 26-mei-23
Mitutoyo Royal www.mitutoyo.ch Japan Measuring, Analyzing, Controlling Instruments 26-mei-23
Grange Packing Solutions Royal www.co-pack.co.uk UK Miscellaneous Manufacturing Industries 26-mei-23
Marshall Construction Ltd Trigona marshallconstruction.co.uk UK Construction 26-mei-23
Colrich Royal www.colrich.com USA Real Estate 26-mei-23
Haworth Tompkins Royal www.haworthtompkins.com UK Construction 26-mei-23
Procurri BlackCat (ALPHV) www.procurri.com Singapore IT Services 26-mei-23
wiannoclub.com LockBit wiannoclub.com USA Lodging Places 26-mei-23
kyocera-avx.com LockBit kyocera-avx.com USA Electronic, Electrical Equipment, Components 26-mei-23
fams.net LockBit fams.net USA Business Services 26-mei-23
City of Augusta BlackByte www.augustaga.gov USA General Government 25-mei-23
Norton Healthcare BlackCat (ALPHV) nortonhealthcare.com USA Health Services 25-mei-23
sfponline.org LockBit sfponline.org USA Educational Services 25-mei-23
pneusbelislecarrieres.com LockBit pneusbelislecarrieres.com Canada Engineering Services 25-mei-23
affinityhealthservices.net LockBit affinityhealthservices.net USA Business Services 25-mei-23
Leidos Trigona leidos.com USA IT Services 25-mei-23
Stant BLACK SUIT www.stant.com USA Transportation Equipment 25-mei-23
globalinfovision.com LockBit globalinfovision.com India IT Services 24-mei-23
The Middleton Group BlackCat (ALPHV) themiddletongroup.net USA Construction 24-mei-23
Trabzonspor Football Club Medusa www.trabzonspor.org.tr Turkey Miscellaneous Services 24-mei-23
M******* ***** BianLian Unknown USA Fabricated Metal Products 24-mei-23
roha.com LockBit roha.com India Food Products 24-mei-23
Voxx Electronics BlackCat (ALPHV) www.voxxelectronics.com USA Electronic, Electrical Equipment, Components 24-mei-23
interstateplastics.com LockBit interstateplastics.com USA Rubber, Plastics Products 24-mei-23
Coos Bay Royal www.co.coos.or.us USA General Government 23-mei-23
Amaszonas S.A. Medusa www.amaszonas.com Bolivia Transportation By Air 23-mei-23
Leland Campbell LLP law firm Medusa www.lelandcampbell.com Canada Legal Services 23-mei-23
H***** BianLian Unknown South Korea Chemical Producers 23-mei-23
Rusan Pharma BianLian rusanpharma.com India Chemical Producers 23-mei-23
surfsidefoods.com LockBit surfsidefoods.com USA Food Products 23-mei-23
spectre.dk LockBit spectre.dk Denmark Apparel And Accessory Stores 23-mei-23
Dotcom Distribution Royal www.dotcomdist.com USA Motor Freight Transportation 23-mei-23
Chattanooga Heart Institute Karakurt www.chattanoogaheart.com USA Health Services 23-mei-23
The Travel Network Group D0N#T (Donut Leaks) www.thetravelnetworkgroup.co.uk UK Miscellaneous Services 23-mei-23
Jacklyn Dawson Solicitors D0N#T (Donut Leaks) www.jacklyndawson.co.uk UK Legal Services 23-mei-23
Southwest Healthcare Services D0N#T (Donut Leaks) swhealthcare.net USA Health Services 23-mei-23
JANUS Research Group D0N#T (Donut Leaks) www.janusresearch.com USA Defense industry 23-mei-23
Garden Hotel NARITA D0N#T (Donut Leaks) gardennarita.com Japan Lodging Places 23-mei-23
Montgomery General Hospital D0N#T (Donut Leaks) mghwv.com USA Health Services 23-mei-23
Nabtesco Motion Control D0N#T (Donut Leaks) www.nabtescomotioncontrol.com USA Machinery, Computer Equipment 23-mei-23
UnitedLex.com D0N#T (Donut Leaks) unitedlex.com USA Legal Services 23-mei-23
P1 Technical Services 8BASE p1-tech.com USA IT Services 23-mei-23
GIOTTO - COMÉRCIO DE VESTUÁRIO, UNIPESSOAL, LDA 8BASE Unknown Portugal Wholesale Trade-non-durable Goods 23-mei-23
ESSPEE 8BASE www.esspee.co.uk UK Electronic, Electrical Equipment, Components 23-mei-23
MTS Office 8BASE mtsoffice.com USA Miscellaneous Retail 23-mei-23
Concept Fasteners 8BASE conceptfasteners.com.au Australia Miscellaneous Manufacturing Industries 23-mei-23
Meklas Group 8BASE www.meklas.com Turkey Transportation Equipment 23-mei-23
AS Netz 8BASE www.as-netz.com Germany Communications 23-mei-23
THE HARCOURTS FOUNDATION (AUSTRALIA) PTY LTD 8BASE academyrealestatetraining.com USA Educational Services 23-mei-23
Butler and Gatz CPAs, LLC 8BASE www.garlandcpa.com USA Accounting Services 23-mei-23
LebensWohnArt 8BASE www.lebenswohnart.de Germany Home Furniture, Furnishings, And Equipment Stores 23-mei-23
Irmler Rechtsanwälte 8BASE www.irmler.org Germany Legal Services 23-mei-23
Innormax LLC 8BASE innormax.com USA IT Services 23-mei-23
Moore Global 8BASE www.moore-global.com UK Accounting Services 23-mei-23
Shipmate 8BASE sbntech.com India IT Services 23-mei-23
SOVAC 8BASE www.sovac.be Belgium Home Furniture, Furnishings, And Equipment Stores 23-mei-23
Intermountain Centers 8BASE www.intermountaincenters.org USA Health Services 23-mei-23
Grupo 2MGA 8BASE grupo-2mga.negocio.site Brazil Accounting Services 23-mei-23
Brandao 8BASE brandaoeendo.com.br Brazil Accounting Services 23-mei-23
DBT Druckluft 8BASE www.dbt-gmbh.de Germany Machinery, Computer Equipment 23-mei-23
Constantino Contabilidade E Comunicacao 8BASE constantinocontabilidade.com Brazil Accounting Services 23-mei-23
FrameOne 8BASE frameone.com.br Brazil Miscellaneous Services 23-mei-23
Watex Solutions 8BASE watexsolutions.com Egypt Wholesale Trade-durable Goods 23-mei-23
Lerch Bates 8BASE www.lerchbates.com USA Construction 23-mei-23
Clear Start Accountants 8BASE clearstartaccountants.co.uk UK Accounting Services 23-mei-23
CST Medicina do Trabalho 8BASE www.cstbh.com.br Brazil Health Services 23-mei-23
Semba 8BASE www.semba.mg Madagascar Paper Products 23-mei-23
Direct Cleaning Services 8BASE www.directcleaningservicesltd.co.uk UK Management Services 23-mei-23
Bronzino Engineering 8BASE bronzinoengineering.com USA Construction 23-mei-23
Grupo Rimet 8BASE gruporimet.com Guatemala Business Services 23-mei-23
Taylor Made Hose 8BASE taylormadehose.com USA Home Furniture, Furnishings, And Equipment Stores 23-mei-23
Formax Credit UK 8BASE www.formaxcredit.co.uk UK Security And Commodity Brokers, Dealers, Exchanges, And Services 23-mei-23
NORTCON 8BASE Unknown Unknown Accounting Services 23-mei-23
Redwood Lab Services 8BASE www.redwoodlabservices.com USA Research Services 23-mei-23
ER of Dallas 8BASE erofdallastx.com USA Health Services 23-mei-23
SMYRNAPEDIATRICS 8BASE www.smyrnapediatrics.com USA Health Services 23-mei-23
TTG Log 8BASE Unknown Brazil Electric, Gas, And Sanitary Services 23-mei-23
Colares Linhares 8BASE clinhares.com.br Brazil Engineering Services 23-mei-23
Ayers Mechanical Group 8BASE www.ayersmechanical.com USA Engineering Services 23-mei-23
FORMA ESPACOS IMOBILIARIOS LTDA 8BASE formaespacos.com.br Brazil Construction 23-mei-23
Conklin Benham 8BASE conklinbenham.com USA Legal Services 23-mei-23
China Export & Credit Insurance Corporation 8BASE www.sinosure.com.cn China Insurance Carriers 23-mei-23
Print Globe 8BASE www.printglobe.com USA Business Services 23-mei-23
Neighborhood Progress Fund 8BASE npfp.org USA Membership Organizations 23-mei-23
La Canastería 8BASE lacanasteria.com Peru Miscellaneous Retail 23-mei-23
Richard W. Fuller CPA 8BASE rickfullercpa.com USA Accounting Services 23-mei-23
MRO SUPPORT, INC 8BASE www.mrosupport.net USA Transportation By Air 23-mei-23
IMASA 8BASE imasa.com.mx Mexico Engineering Services 23-mei-23
Immobilienmakler in Oldenburg 8BASE immobilienpartner-claussen.de Germany Real Estate 23-mei-23
COREAL 8BASE www.michel-nutrition.fr France Food Products 23-mei-23
Veal and Prasad 8BASE www.vealandprasad.com.au Argentina Accounting Services 23-mei-23
HELPHONE 8BASE helphone.com Spain Business Services 23-mei-23
Thayer Academy 8BASE www.thayer.org USA Educational Services 23-mei-23
Midway Ford 8BASE www.midwaymiami.com USA Transportation Equipment 23-mei-23
Lake Cable 8BASE www.lakecable.com USA Electronic, Electrical Equipment, Components 23-mei-23
Zenex 8BASE www.zenexint.com USA Chemical Producers 23-mei-23
M Metzler & Associates 8BASE Unknown USA Accounting Services 23-mei-23
General de Alimentos Nisa C.A. (GENICA) 8BASE genica.com.ve Venezuela Food Products 23-mei-23
Ellard-Willson Engineering Ltd 8BASE Unknown Canada Engineering Services 23-mei-23
CONTASS 8BASE contassconsultoria.com.br Brazil Accounting Services 23-mei-23
Artconta - Contabilidade e. Assistência Fiscal 8BASE www.artconta.com.br Brazil Accounting Services 23-mei-23
Csc Baixo Sul Assessoria e Consultoria Empresarial e Contabil LTDA 8BASE csconline.com.br Brazil Accounting Services 23-mei-23
Just us lawyers 8BASE justuslaw.com Australia Legal Services 23-mei-23
Asbestos-Inspections-Solution-Management 8BASE www.a-i-s-m.net USA Miscellaneous Services 23-mei-23
SiComputer 8BASE sicomputer.com Italy Machinery, Computer Equipment 23-mei-23
Malkasian Accountancy 8BASE malkasian.com USA Accounting Services 23-mei-23
APIQROO 8BASE www.apiqroo.com.mx Mexico Water Transportation 23-mei-23
Inquirer Cuba www.inquirer.com USA Miscellaneous Services 23-mei-23
Black Cat Networks PLAY www.blackcat-networks.de Germany IT Services 22-mei-23
Paragon Software Lanka PLAY www.paragonsoft.net Sri Lanka IT Services 22-mei-23
Mayberry Investments PLAY www.mayberryinv.com Jamaica Holding And Other Investment Offices 22-mei-23
Grupo Corporacion Control PLAY www.ccontrol.com.mx Mexico Apparel And Accessory Stores 22-mei-23
Studioline Photography PLAY www.studioline.de Germany Miscellaneous Services 22-mei-23
Optimus Steel PLAY www.optimus-steelusa.com USA Metal Industries 22-mei-23
Chattanooga State Community College Snatch chattanoogastate.edu USA Educational Services 22-mei-23
Xplain PLAY www.xplain.ch Switzerland IT Services 22-mei-23
Aria Online PLAY www.ariaonline.com USA Apparel And Accessory Stores 22-mei-23
Royal Centre PLAY www.royalcentre.com Canada Merchandise Stores 22-mei-23
Poly PLAY www.poly.com USA Communications 22-mei-23
Cafpi Vice Society www.cafpi.fr France Non-depository Institutions 22-mei-23
Oppida Estates Limited Qilin oppida.com UK Real Estate 22-mei-23
SMDEA Qilin smdea09.fr France Miscellaneous Services 22-mei-23
** T**** *** BianLian Unknown USA Miscellaneous Manufacturing Industries 22-mei-23
Alconex Specialty Products BianLian alconex.com USA Metal Industries 22-mei-23
H****** **** BianLian Unknown UK Engineering Services 22-mei-23
Zoni Language Centers BianLian zoni.edu USA Educational Services 22-mei-23
Westside Royal westside-health.org USA Health Services 22-mei-23
Harmony Gold Akira www.harmony.co.za South Africa Mining 22-mei-23
rmc-canada.com LockBit rmc-canada.com Canada Unknown 22-mei-23
TA Supply Royal www.tasupply.com USA Wholesale Trade-durable Goods 22-mei-23
Agostini Insurance Brokers Royal www.agostini.com Trinidad and Tobago Insurance Carriers 22-mei-23
Trinity Exploration and Production Royal www.trinityexploration.com UK Oil, Gas 22-mei-23
Morris Hospital Royal morrishospital.org USA Health Services 22-mei-23
Atlas Commodities Royal www.atlascommodities.com UK Security And Commodity Brokers, Dealers, Exchanges, And Services 22-mei-23
Technology and Telecommunications Consultants Inc Trigona ttcin.com USA IT Services 22-mei-23
Loreto Normanhurst Medusa www.loretonh.nsw.edu.au Australia Educational Services 22-mei-23
SIGMA Medusa www.sigm.ca Canada IT Services 22-mei-23
Utah-Yamas Controls Royal www.utahyamas.com USA IT Services 22-mei-23
wenntownsend BlackCat (ALPHV) www.wenntownsend.co.uk UK Accounting Services 22-mei-23
Mazars Group BlackCat (ALPHV) www.mazars.com France Accounting Services 22-mei-23
hadefpartners.com LockBit hadefpartners.com United Arab Emirates Legal Services 22-mei-23
vdbassocies.fr LockBit vdbassocies.fr France Accounting Services 22-mei-23
softland.cl LockBit softland.cl Chile IT Services 22-mei-23
rapidmoldsolutions.com LockBit rapidmoldsolutions.com USA Rubber, Plastics Products 22-mei-23
siren-japan.com LockBit siren-japan.com Japan Miscellaneous Services 22-mei-23
Comoli Ferrari Snatch comoliferrari.it Italy Wholesale Trade-non-durable Goods 22-mei-23
Canadian Nurses Association Snatch cna-aiic.ca Canada Membership Organizations 22-mei-23
FRESCA Snatch fresca.com USA Food Products 22-mei-23
MSSNY Snatch mssny.org USA Membership Organizations 22-mei-23
LiveAction Snatch liveaction.com USA Membership Organizations 22-mei-23
Asia Vital Components Snatch avc.co Taiwan Electronic, Electrical Equipment, Components 22-mei-23

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum
SOVAC 8BASE www.sovac.be Belgium Home Furniture, Furnishings, And Equipment Stores 23-mei-23

In samenwerking met DarkTracer


Cyberaanvallen nieuws


29-mei-2023 om 08:38


Slimme phishing-techniek misleidt gebruikers met nep WinRAR-vensters in de browser via ZIP-domeinen

Een nieuwe phishing-kit genaamd "File Archivers in the Browser" manipuleert ZIP-domeinen door valse WinRAR- of Windows File Explorer-vensters in de browser te tonen. Het doel is om gebruikers te overtuigen om schadelijke bestanden te starten. Sinds Google de mogelijkheid heeft geboden om ZIP TLD-domeinen te registreren, zoals bleepingcomputer.zip, is er veel debat over of deze domeinen een potentiële bedreiging voor de cyberveiligheid vormen. Beveiligingsonderzoeker mr.d0x heeft een toolkit ontwikkeld die nep WinRAR-instanties en File Explorer Windows kan creëren in de browser op ZIP-domeinen. Dit leidt gebruikers tot de overtuiging dat ze een .zip-bestand hebben geopend. Dit kan worden misbruikt om gebruikersinformatie te stelen of malware te verspreiden. Bijvoorbeeld, een dubbele klik op een PDF in het nep WinRAR-venster kan de gebruiker omleiden naar een andere pagina die om inloggegevens vraagt. mr.d0x staat bekend om het ontwikkelen van slimme phishing-kits. Deze nieuwe techniek illustreert hoe ZIP-domeinen misbruikt kunnen worden voor het uitvoeren van geraffineerde phishing-aanvallen en het verspreiden van malware of het stelen van inloggegevens.


FBI waarschuwt voor crypto-gerelateerde mensenhandel en uitbuiting in Zuidoost-Azië

De Amerikaanse Federal Bureau of Investigation (FBI) heeft een waarschuwing uitgegeven voor crypto-gerelateerde mensenhandel. Volgens de veiligheidsdienst worden er nepadvertenties verspreid om te komen werken in de Zuidoost-Aziatische crypto-industrie, waarbij de slachtoffers vervolgens gedwongen worden om anderen op te lichten. De advertenties beloven flexibele banen met een goed salaris en een mooie werkomgeving. Echter, eenmaal aangekomen, worden de paspoorten ingenomen en worden de slachtoffers gedwongen tot oplichting via crypto-scams. De waarschuwing van de FBI is voornamelijk gericht op Amerikaanse burgers, maar volgens het rapport zijn de primaire slachtoffers van Aziatische afkomst. De nepvacatures worden vooral gedeeld op sociale media en vacaturesites, en beloven onder andere IT-services, callcenters, en technische ondersteuning in beautysalons. Om te voorkomen dat men ten prooi valt aan deze vorm van uitbuiting, raadt de FBI aan om grondig onderzoek te doen naar een bedrijf alvorens te solliciteren en om banen met ongeloofwaardig goede salarissen en faciliteiten te vermijden. Bij migratieplannen moeten kennissen en familie goed geïnformeerd worden en moeten contactgegevens van het bedrijf worden doorgespeeld.


Twitter-account van The Sandbox CEO gehackt; promotie van crypto scam

Het Twitter-account van Arthur Madrid, CEO van The Sandbox, een Minecraft-achtig metaverse-project, is gehackt. De hackers gebruikten het account om een valse 'airdrop' te promoten, waarbij gebruikers werden aangemoedigd om op een link te klikken die sterk op de officiële website leek. Madrid waarschuwde dat men nooit op links moet klikken die airdrops promoten en er verdacht uitzien. De frauduleuze website werd snel gerapporteerd en offline gehaald door het team van The Sandbox. Madrid heeft echter niet uitgelegd hoe zijn account was gehackt. Twitter-hacks zijn een veelvoorkomend probleem. In april 2023 werd het Twitter-account van de crypto-uitwisseling KuCoin ook gehackt. Andere prominente slachtoffers van dergelijke hacks zijn onder andere het Twitter-account van Latoken, Target, Google en zelfs de premier van India. Volgens het Federal Bureau of Investigation (FBI) verloren Amerikanen het afgelopen jaar 2,57 miljard dollar aan crypto fraude, wat aanzienlijk meer is dan in 2021.


"Hot Pixels" -aanval: Een nieuwe bedreiging voor gegevensbeveiliging ontdekt door onderzoekers

Een team van onderzoekers aan de Georgia Tech, de Universiteit van Michigan en de Ruhr University Bochum heeft een innovatieve aanvalsmethode ontwikkeld genaamd "Hot Pixels". Deze aanval kan pixelgegevens van getoonde browserinhoud verzamelen en de navigatiegeschiedenis afleiden. De techniek gebruikt gegevensafhankelijke berekeningstijden op moderne systemen op een chip (SoC's) en grafische verwerkingseenheden (GPU's) om stiekem informatie te extraheren uit bezochte webpagina's op Chrome en Safari. De onderzoekers ontdekten dat moderne processors worstelen met het in balans houden van energieverbruik en warmteafvoerbeperkingen, wat leidt tot herkenbare gedragspatronen die specifieke instructies en bewerkingen suggereren. Deze patronen zijn detecteerbaar via interne sensormetingen, die vaak toegankelijk zijn via software, en kunnen, afhankelijk van het apparaattype, onderscheiden wat er op het doelapparaat wordt bekeken met een nauwkeurigheid tot wel 94%. Het team experimenteerde met verschillende apparaten, zoals de Apple M1-chips en Qualcomm Snapdragon 8 Gen 1 op een OnePlus 10 Pro. De nauwkeurigheid van de aanval varieerde van 60% tot 94% en de tijd die nodig was om elke pixel te decoderen lag tussen 8,1 en 22,4 seconden. De resultaten van het onderzoek zijn gedeeld met Apple, Nvidia, AMD, Qualcomm, Intel en Google. Alle partijen hebben de problemen erkend en werken aan oplossingen. Meer details over de Hot Pixels-aanval zijn te vinden in het technische document dat de onderzoekers eerder deze week publiceerden.


Datalek bij VodafoneZiggo: Klantgegevens Gestolen en Gedeeld in Telegram-groep

VodafoneZiggo heeft tientallen klanten gewaarschuwd voor een datalek nadat een oud-medewerker van een callcenter hun gegevens in een Telegram-groep deelde. "Met onze leverancier van callcenterdiensten gaan we in gesprek over de mogelijkheden dit voortaan te voorkomen", aldus VodafoneZiggo tegenover het AD. Details over het datalek zijn niet gegeven, behalve dat er volgens de provider geen tekortkoming in de systemen was. De medewerker in kwestie is niet meer werkzaam bij het bedrijf dat de callcenterdiensten voor VodafoneZiggo verzorgt. Er is daarnaast aangifte bij de politie gedaan en melding bij de Autoriteit Persoonsgegevens gemaakt. Van in totaal zestig klanten zijn de gegevens gedeeld. Deze personen zijn inmiddels ingelicht.


Massale Compromittatie van Zyxel-Firewalls door Mirai-Botnet; Beveiligingsexperts Bezorgd

Firewalls van fabrikant Zyxel worden op grote schaal gecompromitteerd door een Mirai-botnet, zo stelt beveiligingsonderzoeker Kevin Beaumont. De aanvallers maken misbruik van een kritieke kwetsbaarheid waarvoor Zyxel eind april beveiligingsupdates uitbracht. Destijds werden klanten door de fabrikant opgeroepen om de patch ook te installeren. Via de kwetsbaarheid, aangeduid als CVE-2023-28771, kan een ongeauthenticeerde aanvaller door middel van speciaal geprepareerd netwerkverkeer OS-commando's op de firewall uit te voeren. Onlangs publiceerde securitybedrijf Rapid7 een proof-of-concept exploit op internet en waarschuwde dat er nog geen aanvallen waren waargenomen, maar dat dit waarschijnlijk slechts een kwestie van tijd was. Rapid7 detecteerde 42.000 Zyxel-firewalls waarvan de webinterface vanaf het internet toegankelijk is en mogelijk risico lopen, hoewel er ook grotere aantallen zijn genoemd. Volgens Beaumont is een Mirai-botnet nu begonnen om kwetsbare firewalls aan te vallen en die onderdeel van het botnet te maken. Door Mirai besmette apparaten worden onder andere voor het uitvoeren van ddos-aanvallen gebruikt. Deze week waarschuwde Zyxel ook voor twee andere kritieke kwetsbaarheden waardoor firewalls zijn over te nemen.


ABB Bevestigt Ransomware-aanval en Diefstal van Gegevens door Black Basta Ransomware Bende

Het Zwitserse technologische multinationale bedrijf ABB, dat ook als contractant voor de Amerikaanse overheid dient, heeft bevestigd dat een aantal van haar systemen zijn getroffen door een ransomware-aanval. Volgens het bedrijf heeft een ongeautoriseerde derde partij toegang gekregen tot specifieke ABB-systemen, een type ransomware geïnstalleerd dat zichzelf niet voortplant, en bepaalde gegevens geëxfiltreerd. Hoewel ABB de naam van de aanvallers niet heeft vrijgegeven, heeft BleepingComputer onafhankelijk bevestigd dat de aanval werd uitgevoerd door de Black Basta ransomware bende. Volgens meerdere medewerkers van ABB was de Windows Active Directory van het bedrijf het doelwit van de aanval, waardoor honderden Windows-systemen werden getroffen. Als reactie hierop heeft ABB onmiddellijk de VPN-verbindingen met haar klanten beëindigd om te voorkomen dat de dreigingsactoren toegang kregen tot andere netwerken. ABB heeft verzekerd dat tot op heden geen enkel klantsysteem direct is getroffen en dat geen enkele klant heeft gemeld dat dit is gebeurd. Het bedrijf is nog steeds bezig met het onderzoek naar de aanval en heeft extra beveiligingsmaatregelen geïmplementeerd om het netwerk tegen toekomstige aanvallen te beveiligen. De aanval vond plaats op 7 mei, wat leidde tot een verstoring van de activiteiten, vertragingen in projecten en een aanzienlijke impact op de fabrieken van ABB. Het Black Basta is een Ransomware-as-a-Service (RaaS) operatie die in april 2022 opdook en meteen vele bedrijfsslachtoffers in dubbele afpersingsaanvallen begon te richten. Sinds de lancering heeft Black Basta aanvallen uitgevoerd op onder meer de American Dental Association, Sobeys, Knauf, Yellow Pages Canada, UK outsourcing bedrijf Capita en, recentelijk, de Duitse defensiecontractant Rheinmetall.


Emby sluit gehackte gebruikersmediaservers af na cyberaanval

Emby heeft aangekondigd dat het op afstand een onbekend aantal door gebruikers gehoste mediaserverinstanties heeft afgesloten die onlangs zijn gehackt. De hackers exploiteerden een eerder bekend beveiligingslek en een onveilige configuratie van een beheerdersaccount. De aanval werd uitgevoerd door middel van een 'proxyheader'-kwetsbaarheid, die al bekend was sinds februari 2020 en onlangs is gepatcht. De aanvallers maakten gebruik van hun toegang tot de gehackte Emby-servers door een kwaadaardige plug-in te installeren, wat leidde tot het oogsten van inloggegevens van gebruikers. Emby besloot de getroffen servers af te sluiten als voorzorgsmaatregel om de kwaadaardige plug-in uit te schakelen en de escalatie van de situatie te verminderen. Emby heeft de beheerders geadviseerd om de bestanden van de kwaadaardige helper.dll of EmbuHelper.dll onmiddellijk te verwijderen uit de plug-ins map en de cache- en gegevenssubmappen voordat ze hun servers opnieuw starten. Het bedrijf is van plan om snel een beveiligingsupdate, Emby Server 4.7.12, uit te brengen om het probleem aan te pakken. Hoewel Emby niet heeft onthuld hoeveel servers werden getroffen door de aanval, heeft een Emby-ontwikkelaar een nieuwe community post toegevoegd getiteld "How we took down a BotNet of 1200 hacked Emby Servers within 60 seconds."


BlackByte Ransomware Valt City of Augusta Aan, Data Gelekt

De stad Augusta, gelegen in de Amerikaanse staat Georgia, heeft bevestigd dat de recente storing in hun IT-systeem het gevolg was van ongeoorloofde toegang tot hun netwerk. De aard van de cyberaanval is niet bekendgemaakt, maar de ransomware-groep BlackByte heeft Augusta op zijn lijst van slachtoffers gepubliceerd. Op zondag 21 mei begon de stad technische problemen te ervaren die sommige van haar computersystemen verstoorden. Deze storing staat los van de IT-storing die de voorgaande week plaatsvond. Er is een onderzoek gestart om de volledige impact van de cyberaanval te bepalen en de volledige functionaliteit van de systemen zo snel mogelijk te herstellen. Hoewel onduidelijk is of de bedreigingsactoren toegang hebben gekregen tot of gevoelige gegevens hebben gestolen, heeft BlackByte beweerd grote hoeveelheden gevoelige data te hebben gestolen van Augusta's computers en heeft als bewijs 10GB aan data gelekt. De gelekte documenten bevatten looninformatie, contactgegevens, persoonlijk identificeerbare informatie (PII), fysieke adressen, contracten, stadsbudgettoewijzingsgegevens en andere details. Er wordt echter benadrukt dat de oorsprong en authenticiteit van de gelekte gegevens niet zijn geverifieerd. De stad ontkent recente mediaberichten dat Augusta gegijzeld wordt voor een losgeld van $50 miljoen. Toch eist BlackByte een losgeld van $400.000 voor het verwijderen van de gestolen informatie en biedt ze ook aan om de data te verkopen aan geïnteresseerde derde partijen voor $300.000. Er hebben dit jaar al meerdere ransomware-aanvallen plaatsgevonden in grote steden in Noord-Amerika, wat in de meeste gevallen de levering van essentiële diensten aan burgers heeft verstoord.


Cyberaanval Beperkt Diensten van Regionaal Ziekenhuis in Namen (B)

Het Centre Hospitalier Régional Sambre et Meuse (CHRSM), een regionaal ziekenhuis in Namen, werd vrijdagochtend het doelwit van een cyberaanval. Als gevolg daarvan moest het ziekenhuis zijn diensten beperken, zo heeft het CHRSM zelf bekendgemaakt. Op de locatie Meuse in Namen is momenteel alleen de afdeling spoedeisende hulp geopend voor ernstige gevallen. Andere patiënten wordt verzocht het ziekenhuis niet te bezoeken, tenzij er sprake is van een bevalling. Volgens het management zijn de communicatiesystemen van het ziekenhuis getroffen door de cyberaanval, maar blijven patiënten die al zijn opgenomen veilig. Dit komt omdat de medische apparatuur naar behoren blijft functioneren. Daarnaast is het nog steeds mogelijk voor patiënten om zich aan te melden op de Sambre-locatie in Auvelais. Het zorgcentrum voor slachtoffers van seksueel geweld op de Meuse-site blijft ook operationeel ondanks de cyberaanval. Deze gebeurtenis toont eens te meer de kwetsbaarheid van vitale infrastructuur voor cyberaanvallen en de noodzaak van continue verbetering van cybersecurity in gezondheidsinstellingen. Het is van cruciaal belang om deze bedreigingen te anticiperen en te voorkomen om de continuïteit van de zorg voor patiënten te waarborgen.


Capita Getroffen Door Miljoenen Ransomware-aanval en Onbeveiligde Amazon S3-bucket: Privacywaakhond Stelt Onderzoek in

Twee beveiligingsincidenten bij de grote Britse dienstverlener Capita hebben in het Verenigd Koninkrijk tot een Nebu-achtige situatie geleid. Capita is één van de grootste outsourcers en dienstverleners van de Britse overheid en levert onder andere diensten aan de gezondheidszorg en de krijgsmacht. Eind maart werd het bedrijf slachtoffer van een ransomware-aanval, waarbij ook gegevens van klanten werden gestolen. Capita verwacht dat de aanval een kostenplaatje tot 23 miljoen euro met zich meebrengt. Daarnaast werd begin deze maand bekend dat Capita een S3-bucket van Amazons cloudopslagdienst, met drieduizend bestanden, sinds 2016 niet had beveiligd. Daardoor kon iedereen toegang tot de 655 gigabyte aan opgeslagen data krijgen. Naar aanleiding van de twee incidenten heeft de Britse privacytoezichthouder ICO een groot aantal meldingen van datalekken ontvangen en heeft het een onderzoek ingesteld. Daarnaast worden bedrijven die van Capita's diensten gebruikmaken opgeroepen om te kijken of zij ook geen datalek moeten melden.


Intellexa's Predator Spyware ontleed: Veelzijdige spionagefunctionaliteiten blootgelegd

Intellexa's Android-spyware 'Predator' en zijn lader 'Alien' zijn diepgaand geanalyseerd door beveiligingsonderzoekers van Cisco Talos en Citizen Lab, die hun gegevensdiefstalcapaciteiten en operationele details onthullen. De Predator-module van de spyware, die het voortouw neemt, komt op het apparaat aan als een ELF-bestand en creëert een Python-runtime-omgeving om diverse spionagefunctionaliteiten mogelijk te maken. De spyware controleert of het draait op een Samsung, Huawei, Oppo of Xiaomi. Indien dit het geval is, doorloopt het recursief de inhoud van mappen die gebruikersgegevens bevatten van email, berichten-, sociale media- en browser-apps. Het houdt ook de contactlijst van het slachtoffer bij en lijst privébestanden op in de mediamappen van de gebruiker, inclusief audio, afbeeldingen en video's. Predator maakt bovendien gebruik van 'certificate poisoning' om aangepaste certificaten te installeren bij de huidige door de gebruiker vertrouwde certificaatautoriteiten. Hierdoor kan Predator man-in-the-middle-aanvallen uitvoeren en TLS-versleutelde netwerkcommunicatie bespioneren. Hoewel er diepgaand onderzoek is gedaan naar de componenten van de spyware, ontbreken er nog details over twee modules, 'tcore' en 'kmem'. Deze worden geladen in de Python-runtime-omgeving van Predator. Er wordt vermoed dat tcore geolocatietracking, het maken van foto's met de camera of het simuleren van een apparaatuitschakeling uitvoert. De hypothese voor de kmem-module is dat deze willekeurige lees- en schrijftoegang biedt tot de kernel-adresruimte. Delen van Intellexa's Predator-spyware blijven echter onbekend.


Gecodeerde RPMSG-bijlagen gebruikt in Microsoft 365 phishing-aanvallen

Aanvallers zijn begonnen met het gebruik van gecodeerde RPMSG-bestanden, ook bekend als berichten met beperkte toestemming, in phishing-aanvallen op Microsoft 365-accounts. Deze bestanden worden gecreëerd met Microsoft's Rights Management Services en bieden een extra beschermingslaag voor gevoelige informatie door alleen toegang te geven aan geautoriseerde ontvangers. Deze methode van aanval begint met een e-mail die afkomstig is van een gecompromitteerd Microsoft 365-account. Ontvangers worden gevraagd om op de knop "Lees het bericht" te klikken, wat hen omleidt naar een Office 365-webpagina waarin ze worden gevraagd in te loggen op hun Microsoft-account. Na authenticatie met deze legitieme Microsoft-service, zien de ontvangers de phishing-e-mail van de aanvallers die hen naar een nep SharePoint-document leidt, gehost op Adobe's InDesign-service. De aanvallers zijn vooral gericht op gebruikers op de factureringsafdeling van bedrijven. De gegevens die de aanvallers proberen te verzamelen omvatten bezoekers-ID, verbindingstoken en hash, informatie over videokaartrendering, systeemtaal, apparaatgeheugen, hardware-eindringing, geïnstalleerde browserplug-ins, browservensterdetails en OS-architectuur. Het detecteren en tegengaan van dergelijke phishing-aanvallen kan uitdagend zijn vanwege hun lage volume en gerichte aard. Bovendien voegt het gebruik van vertrouwde cloudservices door de aanvallers, zoals Microsoft en Adobe, een extra laag van complexiteit en betrouwbaarheid toe. Om Microsoft 365-accounts te beschermen tegen dergelijke aanvallen, wordt geadviseerd om Multi-Factor Authentication (MFA) in te schakelen. Gebruikers wordt ook geadviseerd om voorzichtig te zijn bij het decoderen of ontgrendelen van onverwachte berichten van externe bronnen.


Braziliaanse hackers targetten Portugese banken in 'Operatie Magalenha'

Sinds 2021 voert een Braziliaanse hackgroep een kwaadaardige campagne uit, genaamd 'Operatie Magalenha', gericht op dertig Portugese overheids- en particuliere financiële instellingen. De hackers maken gebruik van diverse methoden om malware te verspreiden, waaronder phishing-e-mails die zich voordoen als berichten van Energias de Portugal (ETP) en de Portugese belasting- en douaneautoriteit (AT). Ook maken ze gebruik van social engineering en kwaadaardige websites die deze organisaties imiteren. De infectie begint met het uitvoeren van een verduisterd VB-script dat een malware-loader ophaalt en uitvoert. Deze laadt vervolgens twee varianten van de 'PeepingTitle'-achterdeur op het systeem van het slachtoffer. Een variant wordt gebruikt om het scherm van het slachtoffer vast te leggen en de tweede om vensters en gebruikersinteracties te monitoren. De malware controleert op vensters die overeenkomen met een lijst van vooraf bepaalde financiële instellingen en, wanneer gevonden, logt deze alle gebruikersinvoer (inclusief inloggegevens) en stuurt deze naar de C2-server van de aanvaller. Het Sentinel Labs-rapport onthulde deze campagne en belichtte de tools die door de bedreigingsactor worden gebruikt, de verschillende infectievectoren en hun methoden voor malwaredistributie. Ze merkten ook op dat de groep in 2022 overschakelde van het misbruik van DigitalOcean Spaces naar obscure cloud service providers zoals het in Rusland gevestigde Timeweb, waarschijnlijk vanwege operationele problemen veroorzaakt door de zorgvuldigheid van DigitalOcean.


HVC Treft Cyberaanval: Klanten Gewaarschuwd Voor Verdachte Berichten

De afvalinzamelaar en energieleverancier HVC is getroffen door een cyberaanval, waardoor klanten tijdelijk niet konden inloggen op hun persoonlijke portaal. Het bedrijf ontdekte een storing in het systeem waarin de gegevens van de energieklanten zijn opgeslagen tijdens het weekend van 6 mei. Deze storing bleek veroorzaakt te zijn door een cyberaanval op het datacentrum van een IT-leverancier waarmee HVC samenwerkt. Hoewel de toegang tot het klantsysteem tijdelijk was verstoord, verwacht HVC dat de "Mijn HVC Energie"-omgeving van klanten binnenkort weer toegankelijk zal zijn, dankzij een back-up van het klantsysteem. Er is geen losgeld geëist in verband met de aanval. De getroffen IT-leverancier is momenteel in overleg met externe experts, de cybercriminelen en de politie. In een bericht aan haar klanten heeft HVC haar excuses aangeboden voor de overlast. Het bedrijf benadrukt dat de aanval geen invloed heeft gehad op de levering van warmte, stroom en gas. Hoewel HVC vermoedt dat klantgegevens niet zijn gelekt, kunnen zij dit op dit moment nog niet volledig uitsluiten. Het bedrijf is er echter wel zeker van dat er geen wachtwoorden in handen van derden zijn gekomen. Klanten zijn gewaarschuwd om extra alert te zijn op verdachte e-mails, app-berichten en telefoontjes. Ook de klanten die niet digitaal bereikt konden worden, zullen per brief worden geïnformeerd. Het incident is gemeld bij de Autoriteit Persoonsgegevens.


Potentiële Aanvalssoftware op Elektriciteitsnetwerk Gevonden - Mogelijk Gebruikt Voor Oefeningen, Zegt Beveiligingsbedrijf Mandiant

Onderzoekers hebben malware ontdekt die mogelijk is ontwikkeld voor het uitvoeren van oefenaanvallen op het elektriciteitsnet Dat meldt securitybedrijf Mandiant. De malware, die CosmicEnergy wordt genoemd, is niet bij daadwerkelijke aanvallen of op het netwerk van energiebedrijven aangetroffen, maar werd anderhalf jaar geleden geüpload naar een niet nader genoemde online virusscantool. Mandiant, dat onderdeel van Google is, vermoedt dat de malware is ontwikkeld voor red teaming-oefeningen, waarbij aanvallen worden uitgevoerd om de veiligheid van systemen en netwerk te testen. CosmicEnergy heeft overeenkomsten met malware zoals Industroyer die daadwerkelijk tegen energiesystemen is ingezet. De overeenkomsten willen niet zeggen dat CosmicEnergy door dezelfde mensen ontwikkeld is die ook achter Industroyer zaten, aldus Mandiant. Wel is de malware ontwikkeld om voor stroomstoringen te zorgen, door commando's uit te voeren op IEC 60870-5-104 (IEC-104) systemen die binnen de energievoorziening worden gebruikt. Het ontdekte CosmicEnergy-exemplaar is niet in staat om zelf aan te vallen systemen te ontdekken. Een aanvaller zou dan ook eerst informatie over deze systemen moeten verzamelen, zoals ip-adressen en MSSQL-inloggegevens. In de code van CosmicEnergy werd een naam aangetroffen van een bedrijf dat een subsidie van de Russische overheid kreeg voor het uitvoeren van noodoefeningen met stroomuitval, laat Mandiant verder weten. Dat wil niet zeggen dat dit bedrijf achter de malware zit. Mandiant heeft naar eigen zeggen onvoldoende bewijs om de herkomst of het doel van de malware te bepalen. "We denken dat de malware mogelijk is ontwikkeld door Rostelecom-Solar of een gelieerde partij voor het nabootsen van echte aanvalsscenario's tegen onderdelen van het elektriciteitsnetwerk. Het is mogelijk dat de malware is gebruikt bij oefeningen zoals degene die Rostelecom-Solar in 2021 organiseerde", zegt Ken Proska van Mandiant.


Zeroday-aanval op Barracuda Email Security Gateway door gemanipuleerd .tar-bestand

Bedrijven en organisaties die gebruikmaken van de Barracuda Email Security Gateway zijn het doelwit geworden van een zeroday-aanval met een .tar-bestand, waarmee aanvallers toegang tot de gateway kregen, zo heeft de netwerkbeveiliger bekendgemaakt. Barracuda ontdekte op 19 mei een kwetsbaarheid in de Email Security Gateway waarvoor het op 20 en 21 mei beveiligingsupdates uitbracht. Al voor het uitkomen van de patches maakten aanvallers misbruik van het beveiligingslek, dat wordt aangeduid als CVE-2023-2868. De kwetsbaarheid zorgt ervoor dat een aanvaller door het versturen van een speciaal geprepareerd .tar-bestand naar de e-mail gateway systeemcommando's op het apparaat kan uitvoeren. Het probleem wordt veroorzaakt doordat de gateway onvoldoende invoervalidatie uitvoert. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.4. Barracuda heeft de patches automatisch onder klanten uitgerold en zegt getroffen klanten te hebben geïnformeerd. Details over de aanvallen, het aantal getroffen klanten en in welke sectoren en regio's die zich bevinden zijn niet gegeven.


Buhti Ransomware-Groep Benut Leaks en Biedt Nieuwe Dreigingen

Een nieuwe ransomware-operatie, genaamd Buhti, die nu wordt gevolgd onder de naam 'Blacktail', benut gelekte codes van de LockBit- en Babuk-ransomwarefamilies om respectievelijk Windows- en Linux-systemen aan te vallen. Ondanks het hergebruik van malware, dat vaak wordt gezien als een teken van minder geavanceerde actoren, valt Blacktail op omdat ze niet alleen andermans tools met minimale aanpassingen gebruiken. Ze hebben namelijk ook een eigen op maat gemaakt hulpmiddel voor gegevensexfiltratie en een onderscheidende strategie voor netwerkinfiltratie ontwikkeld. Blacktail maakt misbruik van recent bekendgemaakte kwetsbaarheden, zoals de PaperCut NG en MF RCE, eerder uitgebuit door de LockBit en Clop groepen. De aanvallers vertrouwen op CVE-2023-27350 om Cobalt Strike, Meterpreter, Sliver, AnyDesk en ConnectWise te installeren op doelcomputers. Deze tools worden gebruikt om inloggegevens te stelen, zijdelings te bewegen in gecompromitteerde netwerken, bestanden te stelen, aanvullende payloads te lanceren en meer. Het gebruik door Blacktail van snel geadopteerde exploits voor recent onthulde kwetsbaarheden maakt ze een potentiële dreiging, die vraagt om verhoogde waakzaamheid en proactieve verdedigingsstrategieën, zoals tijdig patchen. De Buhti-operatie illustreert hoe gemakkelijk het is voor aspirant-bedreigingsactoren om in actie te komen met behulp van effectieve malware-tools en zo aanzienlijke schade aan organisaties aan te richten. Bovendien kan de gelekte LockBit- en Babuk-broncode worden gebruikt door bestaande ransomwarebendes die onder een andere naam willen opereren, zonder enige connectie met eerdere encryptors.


PowerExchange, nieuwe gevaarlijke malware, valt Microsoft Exchange Servers aan

Een nieuwe malware genaamd PowerExchange, gebaseerd op PowerShell, wordt gebruikt in aanvallen die worden toegeschreven aan de Iraanse staatshackers APT34. Deze malware is specifiek gericht op lokale Microsoft Exchange-servers. Na het infiltreren van de mailserver via een phishing-e-mail met een gearchiveerd kwaadaardig uitvoerbaar bestand, implementeerden de aanvallers een webshell genaamd ExchangeLeech, die gebruikersreferenties kan stelen. Opmerkelijk is dat deze malware communiceert met zijn commando-en-controleserver (C2) via e-mails die worden verzonden met de Exchange Web Services (EWS) API. Deze malware kan zo gestolen informatie verzenden en base64-gecodeerde opdrachten ontvangen via tekstbijlagen in e-mails met als onderwerp "Microsoft Edge bijwerken". Door de Exchange-server van het slachtoffer te gebruiken voor het C2-kanaal, kan de achterdeur zich vermommen als goedaardig verkeer. Dit stelt de aanvaller in staat bijna alle netwerkgebaseerde detecties en herstelmaatregelen binnen en buiten de infrastructuur van de doelorganisatie te omzeilen. De ExchangeLeech-webshell verzamelt de gebruikersnamen en wachtwoorden van degenen die inloggen op de gecompromitteerde Exchange-servers. Dit doet het door duidelijke tekst HTTP-verkeer te monitoren en de referenties van webformuliergegevens of HTTP-headers vast te leggen. De aanvallers kunnen ook de webshell instrueren om het legitimatielogboek via cookieparameters te verzenden. FortiGuard Labs heeft deze aanvallen gelinkt aan de Iraanse door de staat gesteunde hackgroep APT34, op basis van overeenkomsten tussen PowerExchange en de eerder gebruikte TriFive-malware. APT34 gebruikt ook phishing-e-mails als een initiële infectievector bij hun aanvallen.


Chinese cyberspionagegroep zet de Amerikaanse kritieke infrastructuur op het spel

Een Chinese cyberspionagegroep genaamd Volt Typhoon wordt door Microsoft in de gaten gehouden omdat ze sinds medio 2021 gericht zijn op cruciale infrastructuurorganisaties in de Verenigde Staten. Microsoft denkt dat deze campagne de capaciteit ontwikkelt om de kritieke communicatie-infrastructuur tussen de VS en Azië te verstoren bij toekomstige crises. De hackers hebben netwerken geschonden en "living-off-the-land" aanvallen gelanceerd, met gebruik van tools zoals PowerShell, Certutil, Netsh en Windows WMIC, en ook open-source tools zoals Fast Reverse Proxy, Mimikatz en Impacket-netwerkraamwerk. De groep heeft netwerkapparatuur van merken zoals ASUS, Cisco, D-Link en Netgear gecompromitteerd om detectie te omzeilen. Volgens Mandiant Intelligence-analist, John Hultquist, is deze inbreuk waarschijnlijk een gezamenlijke inspanning om China toegang te verlenen in geval van toekomstige conflicten tussen de twee landen. In reactie hierop heeft Microsoft actief contact opgenomen met alle getroffen klanten om hen te voorzien van de benodigde informatie om hun netwerken tegen toekomstige hackpogingen te beveiligen.

CSA Living Off The Land PDF
PDF – 722,8 KB 73 downloads

Grootschalige Hackeraanvallen Gericht op WordPress Cookie-Consent Plugin, 1,5 Miljoen Sites Bedreigd

Er is een grootschalige hackercampagne gaande die zich richt op een beveiligingslek in een WordPress-plugin genaamd 'Beautiful Cookie Consent Banner'. Deze plugin, die door meer dan 40.000 websites wordt gebruikt, heeft een niet-geverifieerde cross-site scripting (XSS) kwetsbaarheid die hackers kunnen misbruiken. Het beveiligingsbedrijf Defiant, dat de aanvallen signaleerde, meldt dat dit lek niet-geverifieerde aanvallers de mogelijkheid biedt om frauduleuze beheerdersaccounts aan te maken op WordPress-sites met niet-gepatchte pluginversies, tot versie 2.10.1. De huidige aanvallers lijken een verkeerd geconfigureerde exploit te gebruiken, wat betekent dat ze waarschijnlijk geen schadelijke lading kunnen inzetten, zelfs niet bij het aanvallen van een WordPress-site met een kwetsbare plug-inversie. Ondanks deze tekortkoming wordt beheerders en website-eigenaren die de Beautiful Cookie Consent Banner-plugin gebruiken sterk aangeraden deze te updaten naar de nieuwste versie. Dit om te voorkomen dat zelfs een mislukte aanval de opgeslagen pluginconfiguratie beschadigt. De bedreigingsacteur achter deze campagne heeft echter de mogelijkheid om dit probleem op elk moment te corrigeren en alle nog kwetsbare sites te infecteren. Hoewel de huidige golf van aanvallen mogelijk geen websites met een schadelijke lading kan injecteren, kunnen de gevolgen desastreus zijn als de aanvaller zijn exploit aanpast. Gezien de omvang van de aanval wordt het belang van het updaten van de plugin naar de nieuwste versie benadrukt.


Iraanse Hackers Gebruiken Nieuwe Ransomware, Moneybird, om Israëlische Bedrijven te Verstoren

De Iraanse hackersgroep, bekend als 'Agrius', zet een nieuwe ransomware genaamd 'Moneybird' in tegen Israëlische organisaties. Volgens Check Point Research is deze ransomware specifiek gericht op het verstoren van bedrijfsactiviteiten in plaats van computers te blokkeren. Moneybird lijkt namelijk alleen het gedeelde map "F:\User Shares" op bedrijfsnetwerken aan te vallen, een plek waar vaak bedrijfsdocumenten, databases en andere samenwerkingsbestanden worden opgeslagen. Dataherstel en bestandsontcijfering na een Moneybird-aanval zijn uitermate uitdagend. Dit komt doordat de privésleutels die worden gebruikt voor de versleuteling van elk bestand, worden gegenereerd op basis van data uit de systeem GUID, bestandsinhoud, bestandspad en willekeurige nummers. Na de versleuteling worden losgeldnota's achtergelaten op de getroffen systemen, waarin het slachtoffer wordt aangespoord om binnen 24 uur een link te volgen voor instructies over het herstellen van hun data. Anders dan eerdere aanvallen van Agrius, is Moneybird naar verluidt bedoeld als ransomware in plaats van een 'wiper' (een tool die gegevens wist), met als doel om inkomsten te genereren om de kwaadwillige operaties van de dreigingsactoren te financieren. Echter, de losgeldeis in het geval dat door Check Point Research werd gezien, was zo hoog dat er vanaf het begin werd aangenomen dat er waarschijnlijk geen betaling zou worden gedaan, wat de aanval in wezen destructief maakt. Moneybird mist command-line parsing mogelijkheden die slachtoffer-specifieke configuraties en meer implementatie veelzijdigheid mogelijk maken. De gedragsparameters van de ransomware zijn vooraf gedefinieerd en kunnen niet gemakkelijk worden aangepast voor elk doel of omstandigheid, waardoor de stam ongeschikt is voor massale campagnes. Echter, voor Agrius blijft Moneybird een effectief middel voor bedrijfsverstoring, en verdere ontwikkeling zou het een geduchte bedreiging kunnen maken voor een breder scala aan Israëlische organisaties.


Cyberaanval brengt de operaties van Suzuki Motorcycle India tot stilstand

De productieactiviteiten van Suzuki Motorcycle India zijn sinds 10 mei onderbroken als gevolg van een cyberaanval, wat naar schatting heeft geleid tot een productieverlies van meer dan 20.000 voertuigen. De onderneming heeft niet onthuld waar de aanval vandaan kwam of wanneer de productie hervat zal worden. Suzuki Motorcycle India heeft onlangs aan zijn stakeholders laten weten dat het zijn jaarlijkse leveranciersconferentie, die gepland stond voor de volgende week, heeft uitgesteld vanwege een "ongekende bedrijfsvereiste" als onderdeel van haar inspanningen om de huidige ongekende situatie aan te pakken. In een e-mailreactie aan ETAuto zei een woordvoerder van Suzuki Motorcycle India: “We zijn op de hoogte van het incident en hebben dit onmiddellijk gemeld aan het betrokken overheidsdepartement. De zaak is momenteel in onderzoek, en om veiligheidsredenen kunnen we op dit moment geen verdere details verstrekken.” Het is nog niet bekend wanneer de productie zal worden hervat en waar de aanval vandaan kwam. Met een productie van ongeveer een miljoen eenheden was Suzuki Motorcycle de vijfde grootste producent van tweewielers in het land in FY23.


FBI en NSA Brengen Bijgewerkte Gids uit om Ransomware-aanvallen te Betwisten

De Amerikaanse Federal Bureau of Investigation (FBI) en de National Security Agency (NSA) hebben een bijgewerkte handleiding gepubliceerd om ransomware-aanvallen te beteugelen. De handleiding, die voor het eerst in 2020 werd uitgebracht, is bijgewerkt naar aanleiding van de veranderingen in de tactieken en technieken van aanvallers. De handleiding adviseert verschillende preventieve maatregelen tegen ransomware. Deze omvatten het voorbereiden op een aanval door middel van het maken van back-ups, het opzetten en onderhouden van een cyber incident response plan, en het toepassen van een zero trust-architectuur. Specifieke aanbevelingen zijn het uitschakelen van Server Message Block (SMB) v1 en v2, het beperken van het gebruik van het Remote Desktop Protocol (RDP), het gebruik van wachtwoorden met minstens vijftien karakters, en het vermijden van dagelijkse taken met accounts met roottoegang. Het Nationaal Cyber Security Centrum (NCSC), de centrale kennisautoriteit en responsorganisatie voor cybersecurity in Nederland, werkt samen met overheidsorganisaties en vitale sectoren om de digitale weerbaarheid van Nederland te versterken. Door hun krachten te bundelen, streeft de organisatie naar een veiliger digitaal Nederland.

Stop Ransomware Guide 508 C
PDF – 915,8 KB 68 downloads

Cybercriminelen Verstoppen Nieuwe AhRat Android-Malware in Populaire App

ESET malware-onderzoekers hebben een nieuwe Remote Access Trojan (RAT), genaamd AhRat, ontdekt in de Google Play Store, verstopt in een Android schermopname-app met meer dan 50.000 installaties. De malware heeft een breed scala aan functies, waaronder het volgen van de locatie van geïnfecteerde apparaten, het stelen van oproeplogboeken, contacten en sms-berichten, het verzenden van sms'jes, het maken van foto's en het opnemen van achtergrondgeluid. Hoewel de malware-applicatie een breed scala aan mogelijkheden heeft, ontdekte ESET dat de geïnfecteerde schermopname-app slechts een deel van deze mogelijkheden gebruikte. De app werd voornamelijk gebruikt om omgevingsgeluidsopnames te maken en te exporteren, evenals het stelen van bestanden met specifieke extensies, wat duidt op mogelijke spionageactiviteiten. Eerder werd de open-source AhMyth, waar AhRat op gebaseerd is, gebruikt door Transparent Tribe, een cyber spionagegroep bekend om zijn uitgebreide gebruik van sociale manipulatie technieken en gericht op overheids- en militaire organisaties in Zuid-Azië. Echter, ESET kon de huidige monsters niet toeschrijven aan een specifieke groep en er waren geen aanwijzingen dat ze geproduceerd werden door een bekende geavanceerde aanhoudende dreigingsgroep (APT). Google heeft verklaard dat wanneer ze apps vinden die hun beleid overtreden, ze passende maatregelen nemen. Gebruikers worden ook beschermd door Google Play Protect, dat gebruikers kan waarschuwen voor geïdentificeerde kwaadaardige apps op Android-apparaten. Desondanks benadrukt deze vondst het voortdurende risico dat cybercriminelen vormen door het verbergen van malware in schijnbaar onschadelijke apps.


Cybercriminelen van Cuba-ransomware richten zich op The Philadelphia Inquirer

De Cuba-ransomwarebende heeft de verantwoordelijkheid opgeëist voor een recente cyberaanval op The Philadelphia Inquirer, de grootste krant in Philadelphia. De aanval, die plaatsvond in mei 2023, verstoordde de distributie van de krant en had invloed op sommige bedrijfsactiviteiten. Om de verspreiding van de aanval te voorkomen, moest het IT-team van de krant hun computersystemen offline halen. Ook werden forensische experts van Kroll ingeschakeld om de ongewone activiteit te onderzoeken. De cyberaanval is de grootste verstoring van de krant sinds de sneeuwstorm in 1996. De aanval komt op een gevoelig moment, net na de voorverkiezingen voor de 100ste burgemeestersverkiezingen in Philadelphia. De Cuba-ransomwarebende heeft op hun afpersingswebsite openbaar gemaakt dat ze financiële documenten, correspondentie met bankmedewerkers, accountbewegingen, balansen, belastingdocumenten, compensatie en broncode hebben gestolen van de krant. Het lijkt erop dat de krant heeft geweigerd losgeld te betalen, omdat alle gestolen bestanden nu gratis beschikbaar zijn op de afpersingswebsite van de bende. De FBI heeft gerapporteerd dat deze ransomwarebende, ondanks hun relatief lage activiteit, toch 60 miljoen dollar heeft verdiend uit 100 aanvallen tot augustus 2022. De bende is tevens in verband gebracht met aanvallen op Oekraïense overheidsinstanties, waarbij de 'ROMCOM RAT' malware werd verspreid via phishing e-mails.


Cybercriminelen leggen website Spaarne Gasthuis plat met DDoS-aanval, patiëntenzorg onaangetast

De website van het Spaarne Gasthuis in Haarlem en Hoofddorp was afgelopen dinsdag voor lange tijd onbereikbaar als gevolg van een DDoS-aanval, uitgevoerd door kwaadwillende cybercriminelen. De site was vanaf 12 uur 's middags tijdelijk uit de lucht, maar is inmiddels weer volledig operationeel. Bij een DDoS-aanval genereren kwaadwillenden een enorme hoeveelheid dataverkeer naar een bepaalde website, met als doel deze te overbelasten. Dit wordt gedaan door het simuleren van honderdduizenden gelijktijdige bezoeken aan de site, iets wat de hostingservers niet aankunnen waardoor de site onbereikbaar wordt. Ondanks de aanval benadrukte het ziekenhuis dat de patiëntenzorg op geen enkel moment in gevaar was. Het elektronisch patiëntendossier, het ziekenhuisinformatiesysteem en het patiëntenportaal stonden volledig los van de aangetaste website en bleven gewoon beschikbaar voor patiënten en medisch personeel. Echter, enkele administratieve processen ondervonden wel hinder van de aanval. Hieronder viel onder andere het aanmelden voor patiëntenbijeenkomsten en het versturen van sollicitaties. Het Spaarne Gasthuis informeerde het publiek over de aanval via hun social media kanalen, waarin ze de details van de DDoS-aanval en de impact daarvan uitlegden. Ze gaven ook aan dat maatregelen zijn genomen om herhaling in de toekomst te voorkomen.


Cybercriminelen vallen satelliet-tv-aanbieder Dish aan: 300.000 medewerkers getroffen door datalek

De Amerikaanse satelliet-tv-aanbieder Dish Network heeft 300.000 huidige en voormalige medewerkers gewaarschuwd voor een omvangrijk datalek, veroorzaakt door een ransomware-aanval. Gevoelige gegevens zoals namen en persoonlijke identificatienummers zijn bij de aanval gestolen. De cyberaanval, die eind februari plaatsvond, had grote gevolgen voor de interne communicatie, servers, callcenters en websites van het bedrijf. Klanten konden geen contact opnemen, inloggen op hun accounts of betalen, terwijl medewerkers niet in staat waren om te werken. Het heeft volgens Dish enkele maanden geduurd om vast te stellen welke gegevens precies door de cybercriminelen zijn buitgemaakt. In de nasleep van de ransomware-aanval zijn er zes collectieve claims tegen Dish ingediend. De claimanten beweren dat Dish misleidende informatie heeft verstrekt over zijn cybersecurity, waardoor de diensten van het bedrijf kwetsbaar werden voor uitval. Deze problemen hebben uiteindelijk geleid tot een daling van de beurskoers van het bedrijf. De eisers proberen nu via een collectieve claim de geleden schade bij Dish te verhalen. Ondanks de uitdagingen blijft Dish zich inzetten om de gevolgen van de aanval te beperken en de beveiliging van hun systemen te versterken. De zaak onderstreept het toenemende belang van robuuste cybersecuritymaatregelen voor bedrijven in alle sectoren.


Rheinmetall bevestigt aanval door Black Basta-ransomware; Impact onduidelijk

Het Duitse defensiebedrijf Rheinmetall heeft bevestigd dat het vorige maand is aangevallen door de Black Basta-ransomware. Volgens een woordvoerder van Rheinmetall vond de aanval plaats op 14 april en werd alleen de civiele tak van het bedrijf getroffen, dat gebruikmaakt van een afzonderlijke IT-infrastructuur. Het bedrijf heeft ook industriële klanten, voornamelijk in de auto-industrie. De criminelen achter de Black Basta-ransomware hebben vorige week op hun eigen website bevestigd dat zij verantwoordelijk waren voor de aanval. Ze publiceerden ook screenshots van documenten die naar verluidt bij het bedrijf zijn gestolen. Desondanks zijn er geen details bekendgemaakt over het aantal getroffen systemen, de impact van de aanval, de hoeveelheid gestolen data en hoe de aanval heeft kunnen plaatsvinden. Rheinmetall is nog bezig met het oplossen van de gevolgen van de aanval. Dit incident vestigt opnieuw de aandacht op de toenemende dreiging van ransomware-aanvallen en de noodzaak voor bedrijven om hun cybersecurity te verbeteren om zichzelf te beschermen.


Inferno Drainer: Cryptophishing-dienst berooft duizenden van $5.9 miljoen

Een cryptophishing- en scamdienst, genaamd 'Inferno Drainer', heeft naar verluidt meer dan $5,9 miljoen aan cryptovaluta gestolen van 4.888 slachtoffers. De dienst, actief sinds februari 2023, stimuleert multichain-fraude en het aftappen van diverse tokens. Web3Anti-Scam-bedrijf 'Scam Sniffer' ontdekte de service toen een Inferno Drainer-lid een screenshot op Telegram promootte van een diefstal ter waarde van $103.000. Inferno Drainer heeft minstens 689 nepwebsites gecreëerd, gericht op 229 populaire merken zoals MetaMask en OpenSea. Van het totale gestolen bedrag, $5,9 miljoen, werd het merendeel ($4,3 miljoen) van het hoofdnetwerk gehaald, gevolgd door $790.000 van Arbitrum, $410.000 van Polygon, en $390.000 van BNB. Eén van de grootste slachtoffers verloor $400.000 aan activa. Deze persoon probeerde de aanvallers te overtuigen om 50% van het bedrag niet juridisch te vervolgen, maar de daders negeerden deze berichten. Scam Sniffer meldt dat de dreigingsactoren de verzamelde aanvalsvergoedingen verdelen over vijf cryptoadressen, die momenteel tussen de 250 en 400 ETH bevatten. Ter verdediging tegen dergelijke aanvallen adviseren experts cryptohouders om waakzaam te zijn bij alle transacties, binnenkomende berichten sceptisch te behandelen, de identiteit van de afzender te verifiëren, multifactor-authenticatie te gebruiken en hun software up-to-date te houden.


BlackCat Ransomware Maakt Gebruik van Kwaadaardige Windows-Kernelstuurprogramma's om Beveiliging Te Omzeilen

De ALPHV-ransomwaregroep, beter bekend als BlackCat, is waargenomen bij het gebruik van ondertekende kwaadaardige Windows-kernelstuurprogramma's om detectie door beveiligingssoftware tijdens aanvallen te omzeilen. Deze aanpak vergroot hun privileges op gecompromitteerde machines en stopt processen die gerelateerd zijn aan beveiligingsagenten. Het gebruikte kernelstuurprogramma is een geüpdatete versie van de malware genaamd 'POORTRY'. Deze malware werd eerder waargenomen door Microsoft, Mandiant, Sophos en SentinelOne bij ransomware-aanvallen. De kwaadaardige stuurprogramma's werden eerst ingezet door de UNC3944-hackgroep, ook bekend als 0ktapus en Scattered Spider, om detectie door beveiligingssoftware op een Windows-apparaat te ontwijken. Het gebruikte stuurprogramma in de BlackCat-aanvallen, 'ktgn.sys', stelt een IOCTL-interface bloot die de gebruikersmodusclient, 'tjr.exe', opdrachten laat uitvoeren met Windows-kernelrechten. Echter, Trend Micro meldt dat bepaalde opdrachten, specifiek de Process/Thread Notification callbacks, momenteel niet werken. Dit suggereert dat de driver nog in ontwikkeling of in een testfase is. Systeembeheerders worden geadviseerd om de indicatoren van compromis die door Trend Micro zijn gedeeld te gebruiken en de kwaadaardige stuurprogramma's die door de ransomware-acteurs worden gebruikt, toe te voegen aan de Windows-stuurprogrammablokkeerlijst. Bovendien wordt aanbevolen dat Windows-beheerders ervoor zorgen dat de 'Driver Signature Enforcement' is ingeschakeld. Dit blokkeert de installatie van stuurprogramma's die niet over een geldige digitale handtekening beschikken.


Cybercriminelen misbruiken iPhone-bugs: CISA roept overheidsinstanties op tot actie

De Amerikaanse Cybersecurity & Infrastructure Security Agency (CISA) heeft federale agentschappen opgeroepen om drie recent gepatchte 'zero-day' fouten, bekend als CVE-2023-32409, CVE-2023-28204 en CVE-2023-32373, aan te pakken. Deze fouten, aanwezig in de WebKit-browser-engine, hebben invloed op iPhones, Macs en iPads en zijn al uitgebuit in aanvallen. Aanvallers kunnen met deze bugs uit de browser-sandbox ontsnappen, toegang krijgen tot gevoelige informatie op het gecompromitteerde apparaat en willekeurige code uitvoeren.

De beveiligingsproblemen zijn aan het licht gebracht door Clément Lecigne van Google's Threat Analysis Group en Donncha Ó Cearbhaill van Amnesty International's Security Lab. Deze onderzoekers brengen vaak informatie naar buiten over door de staat gesponsorde campagnes die zero-day kwetsbaarheden misbruiken om surveillance-spyware te installeren op de apparaten van politici, journalisten, dissidenten en andere gerichte individuen. Volgens de bindende operationele richtlijn (BOD 22-01), uitgegeven in november 2022, moeten de Federal Civilian Executive Branch Agencies (FCEB) patches toepassen op hun systemen voor alle beveiligingsbugs vermeld in CISA's Bekende Geëxploiteerde Kwetsbaarheden Catalogus. Met de update van vandaag moeten FCEB-bureaus hun iOS-, iPadOS- en macOS-apparaten uiterlijk op 12 juni 2023 beveiligen. Hoewel voornamelijk gericht op de Amerikaanse federale agentschappen, wordt sterk aangeraden dat ook particuliere bedrijven deze kwetsbaarheden met hoge prioriteit aanpakken.


Digitale inbraak bij gemeente Asten: Cybercriminelen krijgen toegang tot tienduizenden gegevens

De gemeente Asten is eind vorig jaar slachtoffer geworden van een digitale inbraak, waarbij aanvankelijk gedacht werd aan factuurfraude. Later is gebleken dat ongeveer 23.000 persoonlijke gegevens en andere bestanden ongeoorloofd zijn benaderd. De daders achter de hack zijn nog onbekend. Het lot van de persoonsgegevens blijft onduidelijk, inclusief of ze openbaar zijn gemaakt of op het darkweb zijn beland. De gemeente heeft aangifte gedaan en het gegevenslek gemeld bij de Autoriteit Persoonsgegevens. Veiligheidsmaatregelen zijn aangescherpt om herhaling te voorkomen. Criminelen hebben mogelijk namen, adressen, financiële gegevens en kopieën van identiteitsdocumenten kunnen inzien. Een gespecialiseerd bureau onderzoekt welke gegevens precies zijn gecompromitteerd. De gemeente roept inwoners, bedrijven en medewerkers op om waakzaam te zijn. Het incident is recentelijk naar buiten gebracht, nadat vermoedens van factuurfraude waren gerezen.


Cybercriminelen Vallen Duitse Werkplaatsketen ATU Aan, Resulterend in Langere Wachttijden

ATU, één van de grootste werkplaatsketens van Duitsland en Oostenrijk, is onlangs het slachtoffer geworden van een cyberaanval, gepleegd door cybercriminelen. De aanval had een brede impact, met de website van het bedrijf dat onder andere getroffen werd. Het bedrijf is momenteel bezig met het analyseren van de aanval en werkt aan tegenmaatregelen. Hoewel de duur van de IT-systeemstoringen momenteel onbekend is, blijft ATU operationeel in heel Duitsland. Desondanks worden klanten verzocht om geduld te hebben vanwege verschillende beperkingen die hebben geleid tot langere wachttijden in de filialen. Klanten die al een afspraak hebben, worden aangeraden telefonisch contact op te nemen met het betreffende filiaal om een soepele voortgang te waarborgen. ATU, dat deel uitmaakt van de Franse Mobivia Groupe - de grootste exploitant van autowerkplaatsen in Europa, heeft verschillende servers die door de cyberaanval zijn getroffen. Hierdoor werken sommige systemen niet of slechts in beperkte mate, terwijl andere systemen preventief zijn uitgeschakeld. Het bedrijf heeft beloofd om updates te geven zodra er nieuwe informatie beschikbaar is over de aanval en de getroffen maatregelen.


Android-telefoons kwetsbaar voor brute-force-aanvallen met vingerafdrukken, waardoor cybercriminelen de controle kunnen overnemen

Onderzoekers hebben een nieuwe aanval genaamd 'BrutePrint' ontdekt, waarmee cybercriminelen vingerafdrukken op moderne Android-telefoons kunnen omzeilen en de controle over het apparaat kunnen overnemen. De aanval maakt gebruik van zero-day kwetsbaarheden en manipuleert beveiligingsmechanismen, waardoor ze oneindige pogingen kunnen doen zonder dat mislukte pogingen worden geregistreerd. Hoewel iOS-apparaten minder kwetsbaar zijn, roept dit de vraag op naar privacyrechten en ethiek bij het omzeilen van apparaatbeveiliging. Deze aanvalstechniek vormt een potentieel risico, aangezien cybercriminelen gestolen apparaten kunnen ontgrendelen en waardevolle privégegevens kunnen extraheren.

2305 10791
PDF – 3,4 MB 67 downloads

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


Februari 2024
Januari 2024