Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
In dit artikel belichten we de recente golf van cyberaanvallen die wereldwijd de kop op hebben gestoken. Van Microsoft OneDrive dat getroffen wordt door DDoS-aanvallen waardoor het wereldwijd offline gaat, tot de waarschuwing van Landal GreenParks aan 12.000 gasten over een mogelijk datalek. Verder gaan we in op de bevestiging van een mega-hack bij Britse bedrijven met mogelijke Russische betrokkenheid en het onthutsende nieuws dat een half miljoen Belgische bedrijfsaccounts volledig blootliggen. In België zien we ook de impact van phishing, waarbij in 2022 bijna 40 miljoen euro verloren ging. Tot slot belichten we de groeiende dreiging van de SpinOk Android-malware, die op maar liefst 30 miljoen extra apparaten is geïnstalleerd. Hieronder vindt u het volledige overzicht van de cyberaanvallen van de afgelopen week.
Week overzicht slachtoffers
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb ↑ |
|---|---|---|---|---|---|
| Ueno Periodontics | BlackCat (ALPHV) | www.uenodentalcenter.com | USA | Health Services | 11-jun.-23 |
| Krack Zapaterías | BlackCat (ALPHV) | www.krackonline.com | Spain | Apparel And Accessory Stores | 11-jun.-23 |
| CEMAF PARTICIPACOES E ADMINISTRACAO DE BENS LTDA | 8BASE | Unknown | Brazil | Unknown | 11-jun.-23 |
| Defesa da Classe Trabalhadora (Declatra) | 8BASE | www.declatra.adv.br | Brazil | Health Services | 11-jun.-23 |
| LUZBOA S.A | 8BASE | Unknown | Unknown | Unknown | 11-jun.-23 |
| TECHCERT | 8BASE | techcert.com.br | Brazil | IT Services | 11-jun.-23 |
| PREMIER HOSPITAL DIA | 8BASE | www.premierhospitaldia.com.br | Brazil | Health Services | 11-jun.-23 |
| CLONARTE | 8BASE | www.clonarte.com.br | Brazil | Publishing, printing | 11-jun.-23 |
| SINTTEL | 8BASE | sinttelmg.org.br | Brazil | Membership Organizations | 11-jun.-23 |
| RJP MEDICAL LTDA | 8BASE | robertopolizzi.com.br | Brazil | Health Services | 11-jun.-23 |
| Tachi-S Engineering USA | Royal | www.tachi-s.com | USA | Transportation Equipment | 11-jun.-23 |
| St. Raphael Hospital (HSR) | 8BASE | Unknown | Unknown | Health Services | 11-jun.-23 |
| GAE Construction | Medusa | gae-construction.co.uk | UK | Construction | 11-jun.-23 |
| Comisión Nacional de Valores | Medusa | www.cnv.gov.py | Paraguay | Administration Of Economic Programs | 11-jun.-23 |
| Ampla Divisórias | 8BASE | www.ampladivisorias.com.br | Brazil | Construction | 11-jun.-23 |
| TAGAVIA | Black Basta | Unknown | Unknown | Unknown | 10-jun.-23 |
| FIIG | BlackCat (ALPHV) | www.fiig.com.au | Australia | Security And Commodity Brokers, Dealers, Exchanges, And Services | 10-jun.-23 |
| 0-jan.-00 | |||||
| Coca-Cola FEMSA | BlackCat (ALPHV) | coca-colafemsa.com | Mexico | Food Products | 10-jun.-23 |
| Ejercito de Chile | Rhysida | www.ejercito.cl | Chile | National Security And International Affairs | 9-jun.-23 |
| TAG Aviation | Unsafe | tagaviation.com | Switzerland | Transportation By Air | 9-jun.-23 |
| Caruso | Akira | caruso.com | USA | Real Estate | 9-jun.-23 |
| wsisd.net | LockBit | wsisd.net | USA | Educational Services | 9-jun.-23 |
| gruppomercurio.com | LockBit | gruppomercurio.com | Italy | Motor Freight Transportation | 9-jun.-23 |
| Columbus Regional Healthcare System | DAIXIN | crhealthcare.org | USA | Health Services | 9-jun.-23 |
| Ellis Patents | Akira | www.ellispatents.co.uk | UK | Electronic, Electrical Equipment, Components | 9-jun.-23 |
| ACI Advanced Chemical Industries | Akira | www.aci-bd.com | Bangladesh | Chemical Producers | 9-jun.-23 |
| A******* ***** ****** | BianLian | In progress | In progress | In progress | 9-jun.-23 |
| The Adams County Communication Center or ADCOM911 | Akira | adcom911.org | USA | Miscellaneous Services | 9-jun.-23 |
| Silicon Valley Mechanical | BlackCat (ALPHV) | www.svminc.com | USA | Construction | 9-jun.-23 |
| Del Bono Hotel | Qilin | delbonohotels.com | Argentina | Lodging Places | 9-jun.-23 |
| PENNCREST School District | Royal | www.penncrest.org | USA | Educational Services | 9-jun.-23 |
| marstrand.se | DarkRace | marstrand.se | Sweden | General Government | 9-jun.-23 |
| Kramer Enterprises | Medusa | www.kramerenterprises.com | USA | Construction | 9-jun.-23 |
| *** ******** ***** ** **u** *e******** | BianLian | Unknown | USA | Legal Services | 8-jun.-23 |
| Aeliusmd Medical Systems | BianLian | aeliusmd.com | USA | Health Services | 8-jun.-23 |
| M*** **** | BianLian | Unknown | USA | Insurance Carriers | 8-jun.-23 |
| cortinawatch.com | LockBit | cortinawatch.com | Singapore | Apparel And Accessory Stores | 8-jun.-23 |
| Clarity Water Technologies, LLC | Qilin | claritywatertech.com | USA | Chemical Producers | 8-jun.-23 |
| MICHENER.CA | CL0P | michener.ca | Canada | Educational Services | 8-jun.-23 |
| HCI.EDU | CL0P | hci.edu | USA | Educational Services | 8-jun.-23 |
| knipmeijerenblok.nl | LockBit | knipmeijerenblok.nl | Netherlands | Engineering Services | 7-jun.-23 |
| RoadSafe Traffic Systems | Black Basta | www.roadsafetraffic.com | USA | Construction | 7-jun.-23 |
| PONDCO | BlackCat (ALPHV) | www.pondco.com | USA | Construction | 7-jun.-23 |
| Tour Partner Group | Medusa | tourpartnergroup.com | UK | Miscellaneous Services | 7-jun.-23 |
| Harbro | Akira | www.harbro.co.uk | UK | Miscellaneous Manufacturing Industries | 7-jun.-23 |
| AWM Global Advisors | Qilin | awmga.com | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 7-jun.-23 |
| worldlearning.org | LockBit | worldlearning.org | USA | Educational Services | 7-jun.-23 |
| COOPERATIVETECH | DarkRace | www.cooperativetechnologies.com | USA | IT Services | 7-jun.-23 |
| vaud-promotion | DarkRace | vaud-promotion.ch | Switzerland | Business Services | 7-jun.-23 |
| aluminumsandcastingsfoundry.com | LockBit | aluminumsandcastingsfoundry.com | USA | Fabricated Metal Products | 7-jun.-23 |
| newhorizonsmedical.org | LockBit | newhorizonsmedical.org | UK | Health Services | 7-jun.-23 |
| realcomp.com | LockBit | realcomp.com | USA | Real Estate | 7-jun.-23 |
| billhurst.com | LockBit | billhurst.com | USA | Legal Services | 7-jun.-23 |
| newarka.edu | LockBit | newarka.edu | USA | Educational Services | 7-jun.-23 |
| pittsburg.k12.ca.us | LockBit | pittsburg.k12.ca.us | USA | Educational Services | 6-jun.-23 |
| screenline.co.za | LockBit | screenline.co.za | South Africa | Publishing, printing | 6-jun.-23 |
| birdair.com | LockBit | birdair.com | USA | Construction | 6-jun.-23 |
| progen.com.br | LockBit | progen.com.br | Brazil | Construction | 6-jun.-23 |
| pentechsolution.com.my | LockBit | pentechsolution.com.my | Malaysia | IT Services | 6-jun.-23 |
| payday.com.pa | LockBit | payday.com.pa | Panama | IT Services | 6-jun.-23 |
| mariohernandez.com.co | LockBit | mariohernandez.com.co | Colombia | Leather Products | 6-jun.-23 |
| dalvikurbyggd.is | LockBit | dalvikurbyggd.is | Iceland | General Government | 6-jun.-23 |
| WTI - Western Telematic | Akira | www.wti.com | USA | Machinery, Computer Equipment | 6-jun.-23 |
| fredfeet.com | LockBit | fredfeet.com | USA | Health Services | 6-jun.-23 |
| nosm.ca | LockBit | nosm.ca | Canada | Educational Services | 6-jun.-23 |
| trois-i.com | LockBit | trois-i.com | Luxembourg | Holding And Other Investment Offices | 6-jun.-23 |
| Asakura Robinson | Akira | asakurarobinson.com | USA | Construction | 6-jun.-23 |
| bintangindokaryagemilang.co.id | LockBit | bintangindokaryagemilang.co.id | Indonesia | Apparel And Other Finished Products | 6-jun.-23 |
| saragroup.in | LockBit | saragroup.in | India | Leather Products | 6-jun.-23 |
| jeloin.se | LockBit | jeloin.se | Sweden | IT Services | 6-jun.-23 |
| wjtowell.com | LockBit | wjtowell.com | Oman | Construction | 6-jun.-23 |
| stimgroup.it | LockBit | stimgroup.it | Italy | Construction | 6-jun.-23 |
| iprac.com | LockBit | iprac.com | Malaysia | Automotive Dealers | 6-jun.-23 |
| villemandeure.fr | LockBit | villemandeure.fr | France | General Government | 6-jun.-23 |
| icae.net | LockBit | ice-mena.com | United Arab Emirates | Educational Services | 6-jun.-23 |
| jacquart.fr | LockBit | jacquart.fr | France | Textile Mill Products | 6-jun.-23 |
| borwafs.co.za | LockBit | borwafs.co.za | South Africa | Security And Commodity Brokers, Dealers, Exchanges, And Services | 6-jun.-23 |
| 0-jan.-00 | |||||
| tmd.go.th | LockBit | tmd.go.th | Thailand | Administration Of Environmental Quality And Housing Programs | 6-jun.-23 |
| crosscity.com.au | LockBit | crosscity.com.au | Australia | Passenger Transportation | 6-jun.-23 |
| PICPLUS.COM | DarkRace | picplus.com | USA | Publishing, printing | 6-jun.-23 |
| rzepeckimroczkowski | DarkRace | rzepeckimroczkowski.pl | Poland | Automotive Dealers | 6-jun.-23 |
| Bibliotheek Gouda | 8BASE | www.bibliotheekgouda.nl | Netherlands | Miscellaneous Services | 6-jun.-23 |
| North West Paving Ltd | BlackCat (ALPHV) | www.northwestpaving.com | Canada | Construction | 5-jun.-23 |
| Stylish Fabric | BlackCat (ALPHV) | stylishfabric.com | USA | Wholesale Trade-non-durable Goods | 5-jun.-23 |
| adstradata.com | LockBit | adstradata.com | USA | IT Services | 5-jun.-23 |
| Farmacias Los Hidalgos | Medusa | farmaciasloshidalgos.com.do | Dominican Republic | Miscellaneous Retail | 5-jun.-23 |
| Concremat constructions | Medusa | www.concremat.com.br | Brazil | Construction | 5-jun.-23 |
| D&K Group, Inc | BlackCat (ALPHV) | www.dkgroup.com | In progress | Machinery, Computer Equipment | 5-jun.-23 |
| BOBST | Black Basta | bobst.com | Switzerland | Machinery, Computer Equipment | 5-jun.-23 |
| Robison Engineering | BlackCat (ALPHV) | www.robisonengineering.com | USA | Engineering Services | 5-jun.-23 |
| Beacon ABA Services | Karakurt | www.beaconservices.org | USA | Personal Services | 5-jun.-23 |
| etships.com | LockBit | etships.com | USA | Motor Freight Transportation | 5-jun.-23 |
| Malt Products | Akira | maltproducts.com | USA | Food Products | 5-jun.-23 |
| Haemokinesis | Rhysida | www.haemokinesis.com | Australia | Miscellaneous Manufacturing Industries | 5-jun.-23 |
| Amstutz Produkte | Rhysida | www.amstutz.ch | Switzerland | Chemical Producers | 5-jun.-23 |
| The Thomas Hardye School | Rhysida | www.thomas-hardye.net | UK | Educational Services | 5-jun.-23 |
| Collectivite Territoriale de Martinique | Rhysida | www.collectivitedemartinique.mq | France | General Government | 5-jun.-23 |
| ELITechGroup | Snatch | elitechgroup.com | France | Miscellaneous Manufacturing Industries | 5-jun.-23 |
| Mount Desert Island Hospital | Snatch | mdihospital.org | USA | Health Services | 5-jun.-23 |
| The Briars Group | Snatch | briarsgroup.com | UK | Business Services | 5-jun.-23 |
| Avant Grup | Snatch | avantgrup.com | Spain | Passenger Transportation | 5-jun.-23 |
Slachtoffers Belgie en Nederland
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum |
|---|---|---|---|---|---|
| knipmeijerenblok.nl | LockBit | knipmeijerenblok.nl | Netherlands | Engineering Services | 7-jun.-23 |
| Bibliotheek Gouda | 8BASE | www.bibliotheekgouda.nl | Netherlands | Miscellaneous Services | 6-jun.-23 |
In samenwerking met DarkTracer
Cyberaanvallen nieuws
12-juni-2023 om 09:41
Hackers stelen $3 miljoen door zich voor te doen als crypto-nieuwsjournalisten
Een hackersgroep, die bekend staat als 'Pink Drainer', doet zich voor als journalisten en voert phishingaanvallen uit om Discord- en Twitter-accounts te compromitteren voor het stelen van cryptocurrency. Volgens analisten van ScamSniffer is Pink Drainer erin geslaagd om de accounts van 1.932 slachtoffers over te nemen en ongeveer $2.997.307 aan digitale activa op de Mainnet en Arbitrum te stelen. De groep heeft recentelijk doelen aangevallen zoals de CTO van OpenAI, Mira Murati, Steve Aoki, Evmos, Pika Protocol, Orbiter Finance, LiFi, Flare Network, Cherry Network en Starknet. Pink Drainer gebruikt sociale manipulatie door zich enkele dagen voor te doen als journalisten van populaire media zoals Cointelegraph en Decrypt om nep-interviews met slachtoffers af te nemen. Ze overtuigen hun slachtoffers om een KYC (ken uw klant) validatie uit te voeren om hun identiteit te bewijzen en leiden hen naar websites die worden gebruikt om Discord-authenticatietokens te stelen. Hierbij worden kwaadaardige bots geïmpersonaliseerd en worden slachtoffers verleid om kwaadaardige JavaScript-code toe te voegen via een 'Drag Me'-knop op de kwaadaardige pagina. Met deze gestolen Discord-tokens kunnen de aanvallers de accounts overnemen zonder de gebruikersreferenties te kennen of de tweefactorauthenticatiecode te onderscheppen. De aanvallers stellen zichzelf in als beheerders en verwijderen andere beheerders om digitale activa en gevoelige informatie ongestoord te stelen. In gevallen waar het account toebehoort aan een bekend project of persoon met veel volgers, gebruiken de aanvallers hun toegang om valse weggeefacties, neppe munten, cryptocurrency-oplichting en phishingpagina's te promoten. Het is belangrijk voor hooggeplaatste houders van digitale activa om waakzaam te blijven en media-uitingen met argwaan te behandelen. Bij benadering door een journalist is het raadzaam om contact op te nemen met het mediabedrijf via de gegevens die op hun officiële website vermeld staan en te verifiëren of het bericht daadwerkelijk van hen afkomstig is. Cryptocurrency-investeerders moeten niet automatisch vertrouwen op promoties die worden gepost door legitieme accounts. In plaats daarvan moeten ze de authenticiteit van weggeefacties en token-drops bevestigen door de website van het platform en andere sociale media-kanalen te controleren.
🚨SCAM ALERT
— Cosmoshield (@cosmoshield_org) May 8, 2023
The @EvmosOrg Discord server has been hacked.
There is a fake airdrop announcement and all text channels have been restricted to read only.
DO NOT PRESS THE LINK pic.twitter.com/8oze8AGXto
Hackers uit Oekraïne halen dienstverlener voor Russische banken neer
In de turbulente wereld van cyberveiligheid hebben we de afgelopen jaren een aanzienlijke stijging van hacktivisme en cyberoorlogsvoering waargenomen. Een recent incident dat dit fenomeen benadrukt, betreft een groep Oekraïense hackers, bekend als de Cyber.Anarchy.Squad, die de Russische telecomaanbieder Infotel JSC heeft aangevallen. De invloed van deze actie was verreikend en stoorde een aanzienlijk deel van het Russische bankwezen, waarmee opnieuw wordt aangetoond dat cyberaanvallen een krachtig instrument kunnen zijn in geopolitieke conflicten.
Universiteit van Manchester zegt dat hackers waarschijnlijk gegevens hebben gestolen bij cyberaanval
De Universiteit van Manchester heeft haar medewerkers en studenten gewaarschuwd dat ze het slachtoffer zijn geworden van een cyberaanval, waarbij het waarschijnlijk is dat hackers gegevens hebben gestolen van het netwerk van de universiteit. De universiteit, die een publiek onderzoeksinsituut is en een van de grootste en meest succesvolle onderwijs- en onderzoekscentra in het Verenigd Koninkrijk, met meer dan 10.000 medewerkers en 45.000 studenten, ontdekte de inbreuk op dinsdag 6 juni en heeft onmiddellijk een onderzoek gestart. De universiteit heeft aangegeven dat sommige systemen zijn benaderd door een ongeautoriseerde partij en dat gegevens waarschijnlijk zijn gekopieerd. Interne experts en externe ondersteuning werken hard aan het herstellen van de situatie, het bepalen van de precieze omvang van de getroffen systemen en het herstellen van het systeem. De universiteit heeft relevante autoriteiten op de hoogte gesteld, waaronder de Information Commissioner's Office, het National Cyber Security Centre (NCSC) en de National Crime Agency. Er wordt benadrukt dat de universiteit zich inzet om het probleem op te lossen en zo snel mogelijk informatie te verstrekken aan de betrokkenen. Het is nog onduidelijk wie verantwoordelijk is voor de aanval en of gevoelige onderzoeks- of persoonlijke gegevens zijn gestolen. De universiteit heeft echter bevestigd dat het incident geen verband houdt met eerdere datadiefstalaanvallen. Hoewel er nog geen verdere details bekend zijn over de aanval, suggereren bronnen dat het om ransomware gaat. Het onderzoek loopt nog en er zal meer informatie worden verstrekt zodra deze beschikbaar is. De universiteit heeft een aparte FAQ-pagina opgezet met beveiligingsinstructies voor studenten en medewerkers en adviseert waakzaamheid tegen mogelijke phishingaanvallen.
BlackCat-ransomware slaagt er niet in Australisch commercieel juridisch reusachtig bedrijf af te persen
Het Australische advocatenkantoor HWL Ebsworth heeft bevestigd dat zijn netwerk is gehackt nadat de ransomwarebende ALPHV begon met het lekken van gegevens die zij beweren van het bedrijf te hebben gestolen. Het bedrijf, een van de grootste advocatenkantoren van Australië, met een jaarlijkse omzet van honderden miljoenen dollars en meer dan 2.000 werknemers, is het slachtoffer geworden van de ransomwarebende BlackCat. De cybercriminelen hebben 1,45 terabyte aan gegevens gepubliceerd, waaronder meer dan een miljoen documenten die vermoedelijk in april 2023 zijn gestolen. Ze dreigen meer gegevens vrij te geven als het bedrijf niet aan hun eisen voldoet. Ondanks de dreiging heeft HWL Ebsworth verklaard dat ze niet zullen toegeven aan de eisen van de criminelen, vanwege hun ethische en morele plicht om geen criminele activiteiten te ondersteunen. Er zijn zorgen dat de gelekte documenten gevoelige of vertrouwelijke informatie bevatten met betrekking tot staatsaangelegenheden, aangezien het advocatenkantoor ook zaken deed met de publieke sector. De gelekte documenten op de website van BlackCat zijn gemakkelijk te doorzoeken vanwege de geïndexeerde database van de dreigingsgroep.
FBI meldt dat CEO-fraude wereldwijd 50 miljard dollar heeft gekost
De FBI heeft onthuld dat criminelen in de afgelopen negen jaar meer dan 50 miljard dollar hebben gestolen door middel van CEO-fraude. Voornamelijk in de vastgoedsector zijn de criminelen actief geweest, volgens de Amerikaanse opsporingsdienst. CEO-fraude valt onder het containerbegrip Business Email Compromise (BEC), waar verschillende vormen van e-mailgerelateerde fraude onder vallen. De aanvallers verkrijgen toegang tot e-mailaccounts door middel van phishing, zwakke wachtwoorden of hergebruikte wachtwoorden. Vervolgens sturen ze malafide e-mails via gekaapte accounts, gespoofte e-mailadressen of typosquatting, waarbij ze domeinen registreren die lijken op die van legitieme organisaties. De oplichters doen zich voor als leveranciers en vragen afnemers om betalingen over te maken naar andere rekeningen. Ook wordt de financiële administratie van aangevallen organisaties gevraagd om facturen te betalen, waarbij het geld naar rekeningen van de aanvallers wordt overgemaakt. Na toegang te hebben verkregen tot het account, onderscheppen de aanvallers communicatie tussen het slachtoffer en een derde partij. Ze doen zich voor als het slachtoffer en sturen berichten naar deze derde partijen waarin staat dat het te betalen bedrag naar een andere rekening moet worden overgemaakt. Tussen oktober 2013 en december 2022 heeft de FBI bijna 278.000 BEC-incidenten geregistreerd, waarbij criminelen er met 50,8 miljard dollar vandoor zijn gegaan. BEC-fraude is waargenomen in 177 landen, en de frauduleuze transacties vonden plaats naar rekeningen in meer dan honderdveertig landen. Volgens de FBI zijn banken in China en Hong Kong de voornaamste bestemmingen voor BEC-transacties. Onlangs is de Brabantse gemeente Meierijstad voor 37.000 euro opgelicht via CEO-fraude.
Clop-ransomware test waarschijnlijk MOVEit zero-day sinds 2021
De Clop-ransomwarebende is sinds 2021 op zoek naar manieren om een nu gepatchte zero-day kwetsbaarheid in de MOVEit Transfer managed file transfer (MFT) oplossing te misbruiken, aldus beveiligingsexperts van Kroll. Uit onderzoek naar recente data-diefstal aanvallen van Clop, gericht op kwetsbare MOVEit Transfer-instanties, blijkt dat de bende kwaadaardige activiteiten heeft uitgevoerd om de nieuw ontdekte LemurLoot-webshell te implementeren. De aanvallen begonnen op grote schaal in mei 2023, kort voordat de massale exploitatie van de zero-day bug op 27 mei van start ging. De Clop-groep heeft beweerd dat ze MOVEit Transfer-servers van honderden bedrijven hebben gecompromitteerd en dreigt met het lekken van gegevens als er geen losgeld wordt betaald. Microsoft heeft de aanvallen toegeschreven aan de Lace Tempest-hackergroep, die bekend staat om ransomware-operaties en het runnen van de Clop-afpersingssite.
Microsoft is attributing attacks exploiting the CVE-2023-34362 MOVEit Transfer 0-day vulnerability to Lace Tempest, known for ransomware operations & running the Clop extortion site. The threat actor has used similar vulnerabilities in the past to steal data & extort victims. pic.twitter.com/q73WtGru7j
— Microsoft Threat Intelligence (@MsftSecIntel) June 5, 2023
Proof-of-Concept (PoC) vrijgegeven voor Windows Win32k-kwetsbaarheid die wordt misbruikt bij aanvallen
Onderzoekers hebben een proof-of-concept (PoC) exploit vrijgegeven voor een actief misbruikte Windows-kwetsbaarheid voor het verkrijgen van lokale systeemprivileges, die is verholpen als onderdeel van de Patch Tuesday van mei 2023. De kwetsbaarheid, bekend als CVE-2023-29336, werd ontdekt door cybersecurity bedrijf Avast. Hoewel Microsoft heeft bevestigd dat de kwetsbaarheid alleen van invloed is op oudere versies van Windows, blijft het een beveiligingsrisico voor oudere systemen. Het onderzoeksteam van Web3 cybersecurity bedrijf Numen heeft gedetailleerde technische informatie en een PoC-exploit vrijgegeven voor Windows Server 2016. Systembeheerders worden geadviseerd om verdachte geheugenlezingen en -schrijvingen met betrekking tot vensterobjecten in de gaten te houden, aangezien dit kan wijzen op actief misbruik van CVE-2023-29336 voor lokale privilege-escalatie. Het wordt aanbevolen dat alle Windows-gebruikers de patch van mei 2023 toepassen, omdat deze naast deze specifieke kwetsbaarheid nog twee zero-day-kwetsbaarheden oplost die actief werden misbruikt. Samenvatting (250 woorden): Onderzoekers hebben een proof-of-concept (PoC) exploit vrijgegeven voor een actief misbruikte Windows-kwetsbaarheid voor het verkrijgen van lokale systeemprivileges, die is verholpen als onderdeel van de Patch Tuesday van mei 2023. De kwetsbaarheid, bekend als CVE-2023-29336, werd ontdekt door cybersecurity bedrijf Avast.Het maakt het mogelijk voor gebruikers met lage privileges om Windows-systeemprivileges te verkrijgen, de hoogste gebruikersprivileges in Windows. Avast ontdekte de kwetsbaarheid nadat deze actief werd misbruikt als zero-day bij aanvallen. Details over hoe de kwetsbaarheid werd misbruikt, zijn echter niet vrijgegeven. Om bewustwording te creëren over deze actief misbruikte kwetsbaarheid en het belang van het toepassen van Windows-beveiligingsupdates, heeft CISA ook een waarschuwing gepubliceerd en deze toegevoegd aan zijn catalogus van "Bekende Misbruikte Kwetsbaarheden". Een maand na de beschikbaarheid van de patch hebben beveiligingsanalisten van het Web3 cybersecurity bedrijf Numen nu gedetailleerde technische informatie en een PoC-exploit vrijgegeven voor Windows Server 2016 met betrekking tot de CVE-2023-29336 kwetsbaarheid. Hoewel de kwetsbaarheid actief wordt misbruikt, heeft Microsoft bevestigd dat deze alleen van invloed is op oudere versies van Windows, waaronder oudere Windows 10-versies, Windows Server en Windows 8, en geen invloed heeft op Windows 11. Het is echter nog steeds een beveiligingsrisico voor oudere systemen. Numen stelt voor dat systeembeheerders verdachte geheugenlezingen en -schrijvingen met betrekking tot vensterobjecten in de gaten houden, omdat dit kan wijzen op actief misbruik van CVE-2023-29336 voor lokale privilege-escalatie. Het wordt sterk aanbevolen dat alle Windows-gebruikers de patch van mei 2023 toepassen, aangezien deze naast deze specifieke kwetsbaarheid nog twee zero-day-kwetsbaarheden oplost die actief werden misbruikt.
Asylum Ambuscade hackers combineren cybercriminaliteit met spionage
Een hackinggroep genaamd 'Asylum Ambuscade' is recentelijk waargenomen bij aanvallen op kleine en middelgrote bedrijven wereldwijd, waarbij ze cyberespionage combineren met cybercriminaliteit. Deze dreigingsgroep, vermoedelijk actief sinds minstens 2020, werd voor het eerst geïdentificeerd door Proofpoint in een rapport uit maart 2022 over een phishingcampagne gericht op organisaties die hulp boden aan Oekraïense vluchtelingen. ESET heeft vandaag een nieuw rapport gepubliceerd over deze groep, waarin meer details worden onthuld over de operaties van Asylum Ambuscade vorig jaar, evenals updates over hun doelwitten en tools. De groep lanceert hun aanvallen meestal met spear-phishing e-mails die kwaadaardige bijlagen bevatten, zoals documenten met kwaadaardige VBS-code en na juni 2022 een exploit voor CVE-2022-30190 (Follina). Ze maken gebruik van verschillende malware, zoals Sunseed en Akhbot, om toegang te krijgen tot geïnfecteerde systemen en verdere schadelijke activiteiten uit te voeren. Asylum Ambuscade richt zich op een breed scala aan doelwitten, waaronder bankklanten, cryptohandelaren, overheidsinstanties en verschillende kleine en middelgrote bedrijven in Noord-Amerika, Europa en Centraal-Azië. De specifieke operationele doelen van Asylum Ambuscade blijven echter onduidelijk.
Microsoft OneDrive wereldwijd offline na beweringen van DDoS-aanvallen
Microsoft onderzoekt een doorlopende storing die ervoor zorgt dat OneDrive-klanten wereldwijd geen toegang hebben tot de cloud-bestandshostingservice, precies op het moment dat een bedreigingsactor genaamd 'Anonymous Sudan' beweert de service te DDoSen. Gebruikers die de OneDrive-website proberen te openen, krijgen momenteel foutmeldingen te zien zoals "Sorry, er is een fout opgetreden" en "Deze pagina werkt momenteel niet". Microsoft heeft aangegeven dat ze het probleem onderzoeken en binnen 30 minuten een update zullen geven. Anonymous Sudan beweert verantwoordelijk te zijn voor de storing en heeft eerder deze week ook een aantal andere Microsoft-services aangevallen met DDoS-aanvallen. Microsoft bevestigt dat de storing alleen invloed heeft op het domein onedrive.live.com en dat andere toegangsmethoden, zoals de desktopclient, niet worden beïnvloed. Het bedrijf neemt maatregelen om klanten te beschermen en de stabiliteit van de diensten te waarborgen.
Japanse farmagigant Eisai onthult ransomware-aanval
Farmaceutisch bedrijf Eisai heeft onthuld dat het slachtoffer is geworden van een ransomware-aanval die impact heeft gehad op haar activiteiten. De aanvallers hebben toegegeven dat ze enkele van de servers van het bedrijf hebben versleuteld. Eisai is gevestigd in Tokio en heeft een jaarlijkse omzet van $5,3 miljard en meer dan 10.000 werknemers. Het bedrijf heeft negen productie-eenheden en vijftien medisch onderzoekseenheden in Japan, het Verenigd Koninkrijk, North Carolina en Massachusetts. Eisai ontwikkelt en produceert medicijnen voor verschillende vormen van kanker en de behandeling van bijwerkingen van chemotherapie, evenals anti-epileptica, neuropathie en dementie medicijnen. In een melding op hun website heeft Eisai bekendgemaakt dat ze tijdens het weekend slachtoffer zijn geworden van een ransomware-aanval, wat een typisch moment is voor aanvallers om encryptieprogramma's in te zetten. Het bedrijf heeft veel van zijn IT-systemen offline gehaald om de schade te beperken en verspreiding van de ransomware naar andere delen van het netwerk te voorkomen. Eisai heeft de incidenten gemeld aan de relevante wetshandhavingsautoriteiten en heeft externe cybersecurity-professionals ingeschakeld om het herstel te versnellen. Het bedrijf onderzoekt nog steeds de mogelijkheid van gegevenslekken en de impact van de aanval op de financiële prognose voor het lopende boekjaar. De daders van de aanval zijn nog onbekend, en geen van de grote ransomwaregroepen heeft verantwoordelijkheid opgeëist.
Weer malafide Chrome-extensies met miljoenen downloads ontdekt
In de Chrome Web Store zijn opnieuw malafide browser-extensies gevonden die miljoenen keren zijn gedownload. Sommige van deze extensies staan al jaren in de Store. De ontdekte extensies injecteren code op bezochte websites en sturen gebruikers door naar andere sites als onderdeel van "affiliate fraud". Uit onderzoek blijkt dat 102 van de 109 onderzochte extensies toegang vragen tot alle bezochte websites, waardoor ze fraude kunnen plegen. De extensies kunnen niet alleen een gedetailleerd profiel van de gebruikers' bezochte websites aanleggen, maar ook JavaScript injecteren. Bovendien overtreden de extensies het beleid van de Chrome Web Store door nagenoeg identiek te zijn en onnodige permissies aan te vragen. Het totale aantal gebruikers van deze malafide extensies bedraagt meer dan 62 miljoen.
Landal GreenParks waarschuwt 12.000 gasten voor mogelijk datalek door cybercriminelen
Landal GreenParks heeft twaalfduizend gasten gewaarschuwd voor een mogelijk datalek nadat cybercriminelen toegang hebben gekregen tot het MOVEit Transfer-systeem van het bedrijf. Het systeem wordt gebruikt voor het uitwisselen van gegevens. Bij de aanval zijn mogelijk persoonlijke gegevens zoals naam, geboortedatum, geslacht, adresgegevens en e-mailadres buitgemaakt. De aanvallers maakten gebruik van SQL Injection om ongeautoriseerde toegang tot de database te verkrijgen en installeerden een webshell om toegang te behouden. Landal GreenParks heeft het incident ontdekt, de MOVEit-server uitgeschakeld en volledig opnieuw opgebouwd. Het onderzoek naar de aanval is nog gaande. Andere organisaties, waaronder British Airways en de BBC, zijn ook getroffen door aanvallen op het MOVEit Transfer-systeem.
Bevestiging van mega-hack bij Britse bedrijven, mogelijke betrokkenheid van Rusland
Verschillende Britse bedrijven, waaronder British Airways, drogisterijketen Boots en de BBC, zijn slachtoffer geworden van een hack door de Russische hackersgroep Clop. De hack heeft mogelijk een grote omvang en er wordt vermoed dat Rusland erachter zit. De getroffen bedrijven hebben een week de tijd gekregen om losgeld te betalen. De hack is uitgevoerd via de software MOVE-it, die bedoeld is voor veilige gegevensoverdracht. Hierdoor is het waarschijnlijk dat gevoelige gegevens, zoals persoonlijke informatie, zijn gegijzeld. Het exacte aantal getroffen bedrijven is nog onbekend, maar gezien het feit dat meer dan 2000 systemen kwetsbaar bleken te zijn, kan het mogelijk om duizenden bedrijven gaan. De directeur van cybersecuritybedrijf ESET Nederland vergelijkt de situatie met een "digitale Jenga-toren", waarbij de volledige impact van de hack nog onbekend is. De hackergroep Clop heeft banden met Rusland, en gezien de huidige geopolitieke spanningen en de oorlog in Oekraïne, is het aannemelijk dat de Russische staat hierbij betrokken is. Het is belangrijk om dergelijke groepen nauwlettend in de gaten te houden vanwege de potentiële dreiging die ze vormen.
Royal ransomware-bende voegt BlackSuit encryptor toe aan hun arsenaal
De Royal ransomware-bende is begonnen met het testen van een nieuwe encryptor genaamd BlackSuit, die veel overeenkomsten vertoont met de gebruikelijke encryptor van de operatie. Royal is gelanceerd in januari 2023 en wordt beschouwd als de directe opvolger van de beruchte Conti-operatie, die in juni 2022 werd stopgezet. Deze groep is een particuliere ransomware-operatie bestaande uit pentesters, partners van 'Conti Team 1' en partners die ze hebben gerekruteerd uit andere ransomware-bendes die zich richten op bedrijven. Sinds de lancering is Royal Ransomware een van de meest actieve operaties geworden en verantwoordelijk voor talrijke aanvallen op bedrijven. De bende begint met het testen van BlackSuit, nadat er geruchten waren ontstaan dat Royal zich klaarmaakte om zich onder een nieuwe naam te rebranden. Deze geruchten namen toenadat ze onder druk kwamen te staan van de wetshandhaving nadat ze de stad Dallas in Texas hadden aangevallen. In mei werd een nieuwe ransomware-operatie genaamd BlackSuit ontdekt, die zijn eigen merkencryptor en Tor-onderhandelingssites gebruikte. Er werd gedacht dat dit de ransomware-operatie was waarin de Royal-bende zich zou rebranden. Een rebrand vond echter nooit plaats en Royal blijft actief bedrijven aanvallen terwijl ze BlackSuit in beperkte aanvallen gebruiken. Het is mogelijk dat Royal eenvoudigweg een nieuwe encryptor aan het testen is, zoals ze hebben gedaan met andere tools die door de groep worden gebruikt. Het is echter nog onduidelijk hoe BlackSuit precies zal worden gebruikt. Hoewel er nog veel onzekerheid is over BlackSuit, wordt de ransomware al in een klein aantal aanvallen gebruikt. Er zijn ten minste drie aanvallen bekend waarbij de BlackSuit-encryptor is gebruikt, waarbij het losgeld tot nu toe onder de $1 miljoen blijft. Het is onduidelijk of BlackSuit een mislukt experiment is of het begin van een nieuwe subgroep, vergelijkbaar met wat Conti had met Diavol. Hoe dan ook, netwerkverdedigers moeten weten dat deze nieuwe operatie wordt ondersteund door Royal, die bewezen heeft expertise te hebben in het binnendringen van netwerken en het implementeren van hun encryptors.
Banken kwetsbaar voor cybercriminelen, waarschuwt DNB
De toezichthouder, De Nederlandsche Bank (DNB), heeft geconstateerd dat banken kwetsbaar zijn voor cybercriminelen vanwege tekortkomingen in hun IT-beveiliging. Een van de problemen die worden benadrukt, is het gebruik van standaardwachtwoorden, wat nog steeds voorkomt. DNB heeft aangegeven dat banken hun beveiligingsmaatregelen moeten verbeteren om zich beter te beschermen tegen cyberaanvallen en de gevolgen ervan. Deze waarschuwing benadrukt het belang van adequate cybersecurity-maatregelen in de bankensector om klantgegevens en financiële systemen te beschermen tegen kwaadwillende actoren.
Barracuda waarschuwt voor onmiddellijke vervanging van gehackte ESG-apparaten
Barracuda, een bedrijf dat gespecialiseerd is in e-mail- en netwerkbeveiliging, heeft klanten gewaarschuwd dat gehackte Email Security Gateway (ESG) apparaten onmiddellijk moeten worden vervangen. Deze waarschuwing komt naar aanleiding van aanvallen op de ESG-apparaten met behulp van een nu gepatchte zero-day-kwetsbaarheid. Barracuda benadrukt dat de apparaten moeten worden vervangen, ongeacht het patchniveau. Klanten die hun apparaten nog niet hebben vervangen, worden dringend verzocht contact op te nemen met de ondersteuning via e-mail. De ESG-bug werd sinds oktober 2022 misbruikt en werd gebruikt om aangepaste malware te installeren en gegevens te stelen. Barracuda vermeldt dat meer dan 200.000 organisaties, waaronder bekende bedrijven zoals Samsung, Delta Airlines, Mitsubishi en Kraft Heinz, gebruik maken van hun producten.
Lazarus-hackers gelinkt aan diefstal van $35 miljoen aan cryptocurrency in Atomic Wallet
Samenvatting: De beruchte Noord-Koreaanse hackgroep genaamd Lazarus is in verband gebracht met de recente hack van de Atomic Wallet, waarbij meer dan $35 miljoen aan crypto gestolen is. Blockchain-experts van Elliptic hebben de gestolen fondsen gevolgd en ontdekt dat de aanval het werk was van de Lazarus-groep. De hackers hebben een witwasstrategie gebruikt die overeenkomt met eerdere aanvallen van de groep, en hebben de gestolen fondsen via de Sinbad mixer witgewassen. Een aanzienlijk deel van de gestolen cryptocurrency is terechtgekomen in wallets die verband houden met eerdere Lazarus-hacks. Deze nieuwe hack toont aan dat de groep zich blijft richten op monetaire doelen, waarbij experts suggereren dat de opbrengsten worden gebruikt om het wapenontwikkelingsprogramma van Noord-Korea te financieren. Het opsporen en witwassen van gestolen activa wordt echter steeds moeilijker door de opkomst van blockchain-monitoringbedrijven en de verbeterde capaciteiten van wetshandhavingsinstanties.
Update: A new largest victim was found on Tron with 7.95M USDT stolen,
— ZachXBT (@zachxbt) June 4, 2023
The five biggest losses account for $17M.
My graph has now surpassed $35M in total stolen. pic.twitter.com/eqfXkm9vlL
Nieuwe Fractureiser-malware verspreidt zich via CurseForge Minecraft-mods naar Windows en Linux
Hackers hebben gebruikgemaakt van de populaire Minecraft-moddingplatforms Bukkit en CurseForge om een nieuwe malware genaamd 'Fractureiser' te verspreiden. Ze hebben kwaadaardige code geïnjecteerd in bestaande plug-ins en mods, die vervolgens werden opgenomen in populaire modpacks zoals 'Better Minecraft'. Miljoenen gebruikers hebben mogelijk geïnfecteerde mods gedownload. De malware is in staat om gevoelige informatie te stelen, zoals accountreferenties, cookies en cryptocurrency-walletadressen. Minecraft-spelers worden geadviseerd voorzichtig te zijn bij het downloaden van mods en worden aangeraden om de CurseForge launcher en de Bukkit plugin repositories te vermijden totdat de situatie is opgelost.
We are looking into an incident where a malicious user uploaded projects to the platform. This is relevant only to Minecraft users and we have banned all accounts involved.
— CurseForge (@CurseForge) June 7, 2023
CurseForge itself is not compromised in any way! Please follow the thread below for more information 👇
Amerikaanse overheid waarschuwt voor risico's van remote access software bij aanvallen
De Amerikaanse overheid heeft organisaties gewaarschuwd voor de gevaren van het gebruik van legitieme remote access software door aanvallers. Tools zoals TeamViewer, LogMeIn en AnyDesk, die vaak door beheerders worden gebruikt om op afstand in te loggen op systemen, kunnen ook aantrekkelijk zijn voor kwaadwillenden. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security benadrukt dat antivirus- of beveiligingssoftware deze software vaak niet als verdacht detecteert. Aanvallers hoeven geen eigen malware te ontwikkelen en kunnen firewall-regels en -beleid omzeilen. Daarnaast kunnen deze tools worden gebruikt voor meerdere inbraken, waarbij een toegangsmakelaar toegang tot gecompromitteerde netwerken verkoopt aan criminelen. Om organisaties te helpen, heeft het CISA een handleiding uitgebracht voor het beveiligen van remote access software (pdf). De adviezen zijn gericht op organisaties, klanten van SaaS- en managed serviceproviders, en ontwikkelaars van software met remote access functionaliteit. Het CISA benadrukt het belang van het opstellen van een baseline van normale netwerkactiviteit en het monitoren van afwijkend gedrag of verkeer. Daarnaast wordt aanbevolen om inkomend en uitgaand verkeer naar veelgebruikte poorten en protocollen door remote access software op de netwerkperimeter te blokkeren. Het advies van de Amerikaanse overheidsinstantie is om remote access software niet over HTTPS-poort 443 te gebruiken, maar in plaats daarvan toegang via een VPN of virtual desktop interface te laten verlopen. Voor organisaties die hun netwerk door een managed serviceprovider laten beheren, adviseert het CISA onder andere om het gebruik van remote access software te loggen en zelf directe toegang tot de logserver te behouden, buiten het bereik van de remote access software. Ook raadt het CISA managed serviceproviders aan om wachtwoorden niet voor meerdereklanten te hergebruiken. Deze waarschuwing komt nadat de Autoriteit Persoonsgegevens onlangs heeft gemeld dat veel ICT-leveranciers vorig jaar het slachtoffer waren van cyberaanvallen als gevolg van ontoereikende beveiligingsmaatregelen.
500.000 Belgische bedrijfsaccounts open en bloot
Uitgelekte gegevens van een opgedoekt hackersforum bevatten e-mailadressen en wachtwoorden van 500.000 Belgen, waardoor extra waakzaamheid geboden is. De gegevens zijn afkomstig uit een database van RaidForums, een online marktplaats waar hackers gestolen data kunnen verkopen. Hoewel het platform vorig jaar werd opgedoekt, zijn de gegevens toch buitgemaakt en gepubliceerd door een hackerscollectief. De gelekte gegevens omvatten ook bedrijfsmailadressen en -wachtwoorden. Organisaties zoals VRT, KUL en UGent zijn getroffen. Het is mogelijk dat de gelekte gegevens oudere wachtwoorden of inactieve accounts bevatten. Om de beveiliging van accounts te waarborgen, wordt aangeraden om nieuwe wachtwoorden in te stellen, bedrijfswachtwoorden niet te hergebruiken voor privéaccounts en indien mogelijk Multi-Factor Authentication (MFA) in te schakelen. Het risico op spear phishing neemt toe met uitgelekte e-mailadressen, en phishing in het algemeen is sterk toegenomen in België. De overheid werkt aan phishingfilters in samenwerking met het CCB en telecomoperators om mensen te waarschuwen voor frauduleuze links. Verdachte e-mails of sms-berichten kunnen gemeld worden via verdacht@safeonweb.be.
Cisco waarschuwt: Netwerken steeds vaker gecompromitteerd via leveranciersaccounts
Aanvallers maken steeds vaker gebruik van leveranciers- en 'contractors'accounts om toegang te krijgen tot netwerken van organisaties, aldus Cisco. Het netwerkbedrijf benadrukt dat misbruik van accounts van derde partijen vaak over het hoofd wordt gezien, terwijl dit een handige methode is voor aanvallers. Leveranciers kunnen op onregelmatige en ongebruikelijke tijden inloggen, waardoor het lastig is om een basislijn voor dergelijke accounts op te stellen. Daarnaast kan het moeilijk zijn om afwijkende inloglocaties te detecteren wanneer freelance consultants vanuit andere gebieden of landen inloggen. Cisco adviseert om ongebruikte leveranciersaccounts uit te schakelen, deze accounts minimale rechten te geven en leveranciers op te nemen in "remote access health checks". Daarnaast wordt aanbevolen om de toegang van leveranciers te regelen via een "jump box" of aparte applicatie.
FBI waarschuwt voor toenemende trend van sextortionisten die AI-naaktfoto's maken van social media-afbeeldingen
Het Federal Bureau of Investigation (FBI) waarschuwt voor een stijgende trend van kwaadwillende personen die deepfake naaktfoto's maken van afbeeldingen op sociale media om sextortion-aanvallen uit te voeren. Sextortion is een vorm van online chantage waarbij de daders dreigen expliciete beelden en video's openbaar te maken die ze gestolen hebben of hebben verkregen via hacken of dwang. Het FBI meldt dat sextortionisten nu openbaar beschikbare afbeeldingen van hun doelwitten verzamelen, zoals onschuldige foto's en video's die op sociale mediaplatforms zijn geplaatst. Deze afbeeldingen worden vervolgens gebruikt in deepfake-tools die ze veranderen in AI-gegenereerde seksueel expliciete content. Hoewel de geproduceerde beelden of video's niet echt zijn, zien ze er zeer realistisch uit, waardoorze het blackmaildoel van de dader kunnen dienen. Het FBI adviseert ouders om het online gedrag van hun kinderen te monitoren en met hen te praten over de risico's van het delen van persoonlijke media online. Bovendien moeten ouders online zoekopdrachten uitvoeren om de blootstelling van hun kinderen online vast te stellen en indien nodig actie te ondernemen om inhoud te laten verwijderen. Volwassenen die afbeeldingen of video's online plaatsen, moeten de toegang beperken tot een kleine privékring van vrienden om blootstelling te verminderen.
Meer dan 60.000 Android-apps installeren stiekem adware op mobiele apparaten
Meer dan 60.000 Android-apps hebben zich gedurende de afgelopen zes maanden vermomd als legitieme applicaties en stilletjes adware op mobiele apparaten geïnstalleerd. Het Roemeense cyberbeveiligingsbedrijf Bitdefender heeft deze ontdekking gedaan en waarschuwt dat er mogelijk nog veel meer kwaadaardige apps in omloop zijn. De campagne begon in oktober 2022 en verspreidt zich via nepbeveiligingssoftware, game-cracks, cheats, VPN-software, Netflix en hulpprogramma-apps op websites van derden. De malware richt zich voornamelijk op gebruikers in de Verenigde Staten, Zuid-Korea, Brazilië, Duitsland, het Verenigd Koninkrijk en Frankrijk. De kwaadaardige apps worden niet gehost op Google Play, maar op websites van derden die APK's pushen. Ze maken gebruik van verschillende technieken om detectie te omzeilen, zoals het niet automatisch configureren van zichzelf en het vermijden van het tonen van een pictogram. De apps zijn momenteel gericht op het weergeven van advertenties, maar Bitdefender waarschuwt dat de aanvallers gemakkelijk kunnen overschakelen naar meer kwaadaardige websites. Gebruikers worden aangeraden om apps alleen te installeren vanuit de officiële Android-winkel, aangezien appsvan derden vaak malware bevatten.
Outlook.com wordt getroffen door storingen, aangezien hacktivisten beweren DDoS-aanvallen uit te voeren
Outlook.com kampt vandaag met een reeks storingen, nadat de service gisteren meerdere keren offline was, waarbij hacktivisten die bekendstaan als Anonymous Sudan beweren dat ze DDoS-aanvallen op de service uitvoeren. Deze storingen volgen op twee grote storingen van gisteren, die wereldwijde hinder veroorzaakten voor Outlook-gebruikers, waardoor ze geen betrouwbare toegang tot e-mail en het gebruik van de mobiele Outlook-app hadden. Gebruikers van Outlook hebben hun frustraties geuit op Twitter, waarbij ze aangeven dat deze problemen hun productiviteit beïnvloeden. Microsoft meldt dat deze storingen worden veroorzaakt door een technisch probleem en heeft updates op Twitter geplaatst waarin staat dat ze de problemen hebben aangepakt, maar dat het probleem zich opnieuw voordoet. Hoewel Microsoft beweert dat de storingen het gevolg zijn van technische problemen, beweert Anonymous Sudan dat zij erachter zitten. Ze waarschuwen dat ze DDoS-aanvallen op Microsoft uitvoeren als protest tegen de betrokkenheid van de Verenigde Staten bij binnenlandse aangelegenheden in Soedan. Hoewel deze claims nog niet zijn geverifieerd, heeft de service de afgelopen 24 uur te maken gehad met traagheid en een reeks storingen.
We’ve identified that the impact has started again, and we’re applying further mitigation. Telemetry indicates a reduction in impact relative to earlier iterations due to previously applied mitigations. Further details about the workstreams are in the admin center via MO572252.
— Microsoft 365 Status (@MSFT365Status) June 6, 2023
Nieuwe 'PowerDrop' PowerShell-malware richt zich op Amerikaanse lucht- en ruimtevaartindustrie
Er is een nieuwe PowerShell-malware ontdekt genaamd 'PowerDrop', die wordt gebruikt bij aanvallen op de Amerikaanse lucht- en ruimtevaartindustrie. PowerDrop maakt gebruik van PowerShell en Windows Management Instrumentation (WMI) om een persistente Remote Access Trojan (RAT) te creëren op geïnfecteerde netwerken. De aanvalstactieken van de malware bevinden zich tussen "off-the-shelf" malware en geavanceerde APT-technieken, wat suggereert dat de aanvaller waarschijnlijk door de staat wordt gesponsord. Het kwaadaardige script wordt uitgevoerd met behulp van WMI-eventfilters en consumenten, en communiceert via gecodeerde AES-communicatie en het ICMP-protocol om detectie te vermijden. Organisaties in de lucht- en ruimtevaartindustrie worden aangeraden om waakzaam te blijven, PowerShell-uitvoering temonitoren en ongebruikelijke WMI-activiteit te onderzoeken.
Phishing kostte Belgen in 2022 bijna 40 miljoen euro
In 2022 hebben cybercriminelen via phishing in België bijna 40 miljoen euro buitgemaakt, een aanzienlijke toename ten opzichte van 2021, toen er 25 miljoen euro werd verdiend. Dit blijkt uit gegevens van Febelfin, de Belgische federatie van de financiële sector. Phishing is een vorm van internetfraude waarbij criminelen zich voordoen als banken, overheidsinstellingen of andere bedrijven om gevoelige informatie, zoals bankgegevens, te verkrijgen. De stijging van de phishingfraude wordt toegeschreven aan de toename van het aantal verstuurde phishingberichten. Recent onderzoek toont aan dat 69% van de Belgen in de afgelopen zes maanden minstens één phishingbericht heeft ontvangen en 8% aangeeft slachtoffer te zijn geweest van phishing. Het Centrum voor Cybersecurity België bevestigt deze trend, met meldingen van 6 miljoen verdachte berichten in 2022, een toename van anderhalf miljoen berichten ten opzichte van het jaar ervoor. Cybercriminelen speelden ook in op de actualiteit, zoals de energiecrisis, en stuurden frauduleuze berichten die overheidssteun beloofden. Febelfin benadrukt dat banken erin slagen om driekwart van alle frauduleuze overschrijvingen door phishing te detecteren en te blokkeren of terug te vorderen.
Cyberaanval op MCNA Dental treft 8,9 miljoen Amerikaanse tandartspatiënten
Samenvatting: Bij een cyberaanval op de Amerikaanse verzekeringsmaatschappij MCNA Dental zijn de gegevens van 8,9 miljoen Amerikaanse tandartspatiënten gestolen. Het bedrijf heeft de datalek gemeld en meldt dat de aanvallers 10 miljoen dollar losgeld eisen. Als het losgeld niet wordt betaald, dreigen de aanvallers de gestolen gegevens te publiceren.
Groeiende dreiging: SpinOk Android-malware geïnstalleerd op 30 miljoen extra apparaten
De SpinOk-malware is ontdekt in een nieuwe groep Android-apps op Google Play, waardoor het aantal installaties met nog eens 30 miljoen is gestegen. Het beveiligingsteam van CloudSEK ontdekte 193 apps met de kwaadaardige Software Development Kit (SDK), waarvan 43 actief warenop Google Play toen ze vorige week werden ontdekt. Deze malware werd voor het eerst ontdekt door Dr. Web in een groep van honderd apps die in totaal meer dan 421 miljoen keer waren gedownload. SpinOk werd verspreid via een aanval op de SDK-toeleveringsketen, wat resulteerde in infecties van talrijke apps en veel Android-gebruikers. Hoewel de SDK aan de oppervlakte legitiem leek door minigames met dagelijkse beloningen te bieden, kon het op de achtergrond gebruikt worden om bestanden te stelen en de inhoud van het klembord te vervangen. Ondanks het feit dat Google door CloudSEK is geïnformeerd over de nieuwe kwaadaardige apps, zijn velen nog steeds beschikbaar op Google Play. De complexiteit van het volledig in kaart brengen van toeleveringsketenaanvallen op grote software distributieplatformen zoals Google Play zorgt voor ernstige vertragingen in het risicobestrijdingsproces.
British Airways en BBC getroffen door datalek bij salarisverwerker: Gevoelige Persoonsgegevens Mogelijk Gestolen
Op 5 juni werd bekend dat British Airways en de BBC slachtoffer zijn geworden van een grote hack bij hun salarisverwerker. Deze cyberaanval heeft mogelijk geleid tot het stelen van gevoelige persoonsgegevens van medewerkers, waaronder hun namen en bankgegevens. Het exacte aantal getroffen individuen is momenteel onbekend, maar de potentiële gevolgen van deze cyberinbraak zijn aanzienlijk. Gevoelige informatie, zoals bankgegevens, kunnen worden misbruikt voor identiteitsdiefstal en financiële fraude. De autoriteiten zijn inmiddels op de hoogte gebracht en er is een onderzoek gestart naar deze ernstige inbreuk op de gegevensbeveiliging. Het is nog onduidelijk wie achter de aanval zit. Zowel British Airways als de BBC werken nauw samen met het onderzoeksteam en de salarisverwerker om de omvang van het datalek vast te stellen en te zorgen dat er passende maatregelen worden genomen om de getroffen individuen te helpen en verdere inbreuken in de toekomst te voorkomen.
Cyberaanval raakt IAG, Walgreens Boots en potentieel duizenden andere bedrijven
Een reeks bedrijven, waaronder International Consolidated Airlines Group's (IAG) British Airways en Walgreens Boots Alliance, zijn getroffen door een cyberaanval die persoonlijke gegevens van werknemers heeft blootgesteld aan hackers. Volgens Sky News, die dit op maandag rapporteerde, kunnen nog "duizenden" andere bedrijven getroffen worden. De hackers maakten vorige week misbruik van een kwetsbaarheid in MOVEit Transfer software. Hoewel de BBC, een van de getroffen bedrijven, heeft aangegeven dat de bankgegevens van zijn werknemers niet waren blootgesteld, werden bedrijfs-ID's en nationale verzekeringsnummers wel gecompromitteerd. De cyberaanval volgt op een recente golf van aanvallen die verband houden met de Russische staat sinds het begin van het conflict in Oekraïne.
Toename in afpersing met deepfake-technologie meldt FBI
De Amerikaanse Federal Bureau of Investigation (FBI) meldt een toename van afpersingsgevallen waarbij gebruik wordt gemaakt van deepfake-video's en -foto's. Afpersers gebruiken publiekelijk beschikbare of door slachtoffers gedeelde foto's, die vervolgens worden bewerkt met deepfake-technologie om naaktfoto's en pornovideo's te creëren. Deze worden op social media of pornosites geplaatst, of ingezet voor afpersing. De FBI zegt sinds april meer meldingen te hebben ontvangen van "sextortion" waarbij deepfake technologie wordt gebruikt. De opsporingsdienst roept op om voorzichtig te zijn met het delen van persoonlijke foto's en video's op internet en om regelmatig de privacyinstellingen van social media te controleren en aan te passen.
Clop-ransomwaregroep verdacht van zeroday-aanval op MOVEit Transfer, stelt Microsoft
Microsoft beweert dat de criminelen achter de Clop-ransomware, eerder verantwoordelijk voor een aanval op de Universiteit Maastricht, ook betrokken zijn bij zeroday-aanvallen via een kwetsbaarheid in MOVEit Transfer. Deze groep heeft in het verleden ook zerodays gebruikt in Fortra GoAnywhere en Accellion File Transfer Appliance (FTA), en een bekende kwetsbaarheid in PaperCut om gegevens te stelen en organisaties te chanteren. Terwijl ransomwaregroepen vaak bekende kwetsbaarheden misbruiken voor hun aanvallen, gebruikte deze groep zerodays in de genoemde applicaties, waar op het moment van de aanvallen nog geen updates voor beschikbaar waren. Het is nog onduidelijk hoeveel organisaties getroffen zijn door de zeroday in MOVEit Transfer.
Microsoft is attributing attacks exploiting the CVE-2023-34362 MOVEit Transfer 0-day vulnerability to Lace Tempest, known for ransomware operations & running the Clop extortion site. The threat actor has used similar vulnerabilities in the past to steal data & extort victims. pic.twitter.com/q73WtGru7j
— Microsoft Threat Intelligence (@MsftSecIntel) June 5, 2023
Antwerpen worstelt nog steeds met gevolgen ransomware-aanval na halfjaar
De gemeente Antwerpen, die begin december vorig jaar een ransomware-aanval onderging, heeft nog steeds moeite met het volledig herstellen van haar diensten. Essentiële diensten zoals het boeken van afspraken voor milieustraten, het opladen van sorteerstraatpassen, het reserveren van computers in bibliotheken en het ontvangen van meldingen over parkeren en verkeer zijn nog steeds niet mogelijk. De herstelde diensten kampen met achterstanden. Systemen en applicaties worden alleen online teruggeplaatst na strenge veiligheidschecks en aanpassingen aan nieuwe veiligheidsnormen. Ter preventie van toekomstige aanvallen, wordt er gewerkt aan het veilig terugzetten van back-ups en het herstellen van connecties met andere systemen, wat aanzienlijke tijd kost. Als reactie op de aanval zijn enkele geplande maatregelen, zoals de uitrol van Microsoft 365 en multifactorauthenticatie, versneld geïmplementeerd. De stad hoopt de meest urgente diensten voor burgers deze zomer weer online te hebben.
Cyberaanval treft Bibliotheek Gouda: Gevoelige Data Gelekt
In een verontrustende ontwikkeling is de Bibliotheek in Gouda het nieuwste slachtoffer geworden van cybercriminelen. De groep, bekend als 8BASE, heeft vandaag gevoelige data gelekt op het darkweb, waardoor de privacy van gebruikers en de integriteit van de bibliotheek in gevaar zijn gebracht. Deze aanval markeert een toenemende trend van cybercriminaliteit gericht op openbare instellingen, waarbij bibliotheken, vanwege hun uitgebreide databanken, aantrekkelijke doelwitten zijn. Het is nog onduidelijk welke specifieke gegevens zijn gelekt, maar de implicaties kunnen verstrekkend zijn, gezien de persoonlijke informatie die bibliotheken vaak bewaren. De Bibliotheek Gouda heeft nog niet gereageerd op de situatie, maar het is te verwachten dat er maatregelen zullen worden genomen om de schade te beperken en toekomstige aanvallen te voorkomen. Dit incident benadrukt het belang van robuuste cybersecuritymaatregelen, vooral voor instellingen met gevoelige gebruikersinformatie. Het is een ernstige herinnering aan de realiteit van de digitale wereld waarin we leven. Cyberveiligheid is niet langer een luxe, maar een noodzaak. Het is van cruciaal belang dat instellingen zoals de Bibliotheek Gouda investeren in sterke beveiligingsprotocollen om de privacy en veiligheid van hun gebruikers te waarborgen.
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum |
|---|---|---|---|---|---|
| Bibliotheek Gouda | 8BASE | In progress | Netherlands | In progress | 6-jun.-23 |
Bijna 12.000 klachten over phishing bij Economische Inspectie te Belgie in 2022
In 2022 ontving de Economische Inspectie van de FOD Economie bijna 52.000 meldingen over misleidende handelspraktijken en oplichting. Van deze meldingen ging bijna een kwart over phishing, een stijging van 7 procent ten opzichte van het voorgaande jaar. Phishing is een vorm van internetfraude waarbij oplichters proberen persoonlijke gegevens zoals inloggegevens, creditcardinformatie en pincodes te achterhalen. Ook waren er veel meldingen over ongewenste telefoontjes (20 procent) en verkoopfraude (15 procent). Lien Meurisse van de FOD Economie merkt op dat fraudeurs steeds vaker inspelen op de actualiteit. Zo werden er in 2022 veel meldingen gedaan over valse webshops die brandhout en pellets verkochten, profiterend van de sterk stijgende energieprijzen. Daarnaast kwamen er opvallend veel meldingen binnen over de niet-levering van concerttickets via sociale media of verkoopplatforms. Om consumenten te helpen valse webshops te herkennen, start de FOD Economie deze zomer een sensibiliseringscampagne. Meer informatie en tips zijn te vinden op de website www.veiligewebshops.be. Meldingen bij het Meldpunt van de FOD Economie worden zorgvuldig geanalyseerd. Als er voldoende aanleiding is, kan de Economische Inspectie een onderzoek openen. Overtreders worden opgespoord en er wordt geprobeerd frauduleuze websites te sluiten. Afhankelijk van de ernst van de overtreding kunnen overtreders een waarschuwing, een proces-verbaal of een boete ontvangen. In sommige gevallen wordt het dossier overgedragen aan het parket, dat beslist over gerechtelijke vervolging.
NSA waarschuwt voor spionage via macro's en bestanden in de cloud
De Amerikaanse geheime dienst NSA, samen met de FBI en de Zuid-Koreaanse inlichtingendienst, waarschuwt voor een spionagegroep die vanuit Noord-Korea opereert. Deze groep richt zich op denktanks, academici en mediaorganisaties. De aanvallers doen zich voor als bekende journalisten, medewerkers van denktanks en televisieprogramma's om malafide bestanden te laten openen door hun doelwitten. De initiële e-mails bevatten geen links of bijlagen en zijn vaak verstuurd vanaf domeinnamen die lijken op die van de imiterende organisatie. De bijlagen en links in de e-mails bevatten in werkelijkheid malafide documenten met macro's. Deze documenten zijn vaak beveiligd met een wachtwoord om detectie door antivirussoftware te voorkomen. Wanneer de macro's worden ingeschakeld, wordt er malware geïnstalleerd op het systeem van het slachtoffer. De NSA, FBI en Zuid-Koreaanse inlichtingendienst adviseren dan ook om geen macro's in documenten in te schakelen, tenzij de bron is geverifieerd. Daarnaast wordt ook afgeraden om documenten in de cloud te openen waarnaar wordt gelinkt in e-mails, tenzij de bron opnieuw is geverifieerd. De Amerikaanse autoriteiten hebben een beloning van 5 miljoen dollar uitgeloofd voor informatie over het cyberspionageprogramma van de Noord-Koreaanse overheid.
Spaanse bank Globalcaja getroffen door ransomware-aanval
De Spaanse coöperatieve bank Globalcaja is slachtoffer geworden van een ransomware-aanval. Lokale computers binnen de bank raakten besmet met de malware. Na de ontdekking van de ransomware heeft de bank haar beveiligingsprotocol geactiveerd, waardoor bepaalde kantoorfuncties werden uitgeschakeld en de dienstverlening werd beïnvloed. De bank heeft verklaard dat de transacties en rekeningen van klanten niet zijn gecompromitteerd. Momenteel werkt Globalcaja aan het herstel van haar systemen, maar er is geen verdere informatie verstrekt. De aanval is opgeëist door de criminelen achter de Play-ransomware, die beweren vertrouwelijke informatie van klanten en personeel te hebben gestolen, zoals kopieën van paspoorten en contracten. Als het gevraagde losgeld niet wordt betaald, dreigen de criminelen de gegevens op 11 juni openbaar te maken. De wijze waarop de aanvallers toegang hebben gekregen tot de systemen van de bank is nog onbekend.
COMUNICADO OFICIAL
— Globalcaja (@SomosGlobalcaja) June 2, 2023
En el día de ayer, registramos un
ciberincidente, consistente en un ataque informático a algunos equipos locales a través de un virus tipo #ransomware.
El mismo no ha afectado al transaccional de la entidad (ni las cuentas ni los acuerdos de los clientes se… pic.twitter.com/LeQdNN8r1i
PLAY #ransomware group has added Globalcaja (https://t.co/FBZJ9unLHV) to their victim list. They claim to have access to private and personal confidential data, client and employee documents, passports, contracts, etc.#Spain #DarkWeb #CyberRisk #DeepWeb pic.twitter.com/MC8qEY9vKV
— FalconFeedsio (@FalconFeedsio) June 2, 2023
Zyxel adviseert uitschakelen beheerinterface op WAN-kant van firewall vanwege recente aanvallen
Zyxel, een fabrikant van firewalls, adviseert organisaties om de beheerinterface aan de WAN-kant van hun apparaten uit te schakelen vanwege recente aanvallen op Zyxel-firewalls. Eind mei werden beveiligingsupdates uitgebracht voor twee kritieke kwetsbaarheden die het overnemen van firewalls op afstand mogelijk maakten. Een botnet heeft vervolgens op grote schaal kwetsbare firewalls gecompromitteerd. Volgens beveiligingsbedrijf Rapid7 zijn er ongeveer 42.000 Zyxel-apparaten vanaf internet benaderbaar. Zyxel adviseert klanten om HTTP/HTTPS-services die voor het beheer van de apparaten worden gebruikt aan de WAN-kant uit te schakelen en, indien niet nodig, UDP-poorten 500 en 4500 uit te schakelen. Securitybedrijf Censys meldt dat er op internet nog eens ruim 24.000 potentieel kwetsbare firewalls en vpn's van Zyxel te vinden zijn. Deze adviezen moeten helpen om de blootstelling van deze apparaten aan potentiële aanvallers te verminderen.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 16-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 15-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 14-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 13-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 12-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 11-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑