Overzicht van slachtoffers cyberaanvallen week 25-2023

Gepubliceerd op 26 juni 2023 om 15:00

Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


In de afgelopen week hebben er verschillende cyberaanvallen plaatsgevonden die de wereld van technologie en beveiliging hebben geraakt. De adjunct-directeur bevestigde een hack bij de bibliotheek in Gouda, terwijl de Clop-ransomwaregroep gegevens stal van moederbedrijven Norton, Avast, LifeLock, Avira en AVG. Ondertussen lijken Russische DDoS-aanvallen aan effectiviteit te verliezen.

Een andere verontrustende ontwikkeling was de diefstal van 101.000 ChatGPT-accounts door Infostealer-malware. Atomic Wallet, een populaire cryptocurrency wallet, werd ook gehackt, wat resulteerde in een verlies van meer dan $100 miljoen voor de gebruikers. Tot slot wees Microsoft een DDoS-aanval aan als de oorzaak van een storing in hun diensten, waaronder Outlook, Teams en OneDrive.

Hieronder vindt u een gedetailleerd overzicht van deze cyberaanvallen van de afgelopen week.



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
Universitas Matthiae Belii association Medusa umb.sk USA Educational Services 25-jun.-23
Real Estate Systems Integrator Medusa www.resionline.com USA Real Estate 25-jun.-23
Jacobs Farm RansomEXX www.jacobsfarm.com USA Agriculture 24-jun.-23
Tlantic Mallox www.tlantic.com Portugal IT Services 24-jun.-23
reutlingen.ihk.de Medusa Locker reutlingen.ihk.de Germany Business Services 24-jun.-23
Hausamman company Medusa Locker www.hausammann.com Switzerland Home Furniture, Furnishings, And Equipment Stores 24-jun.-23
kafflogistic.hu Medusa Locker kafflogistic.hu Hungary Motor Freight Transportation 24-jun.-23
www.creditteam.eu NoEscape www.creditteam.eu Italy Security And Commodity Brokers, Dealers, Exchanges, And Services 23-jun.-23
**** H**** BianLian Unknown India Unknown 23-jun.-23
*i***** ***** BianLian Unknown USA Unknown 23-jun.-23
The Akron-Summit County Public Library Akira www.akronlibrary.org USA Miscellaneous Services 23-jun.-23
Perpetual Group Akira www.perpetual.com.au Australia Security And Commodity Brokers, Dealers, Exchanges, And Services 23-jun.-23
Galveston College Akira gc.edu USA Educational Services 23-jun.-23
The City of Nassau Bay Akira www.nassaubay.com USA General Government 23-jun.-23
M&M Industries Black Basta www.ultimatepail.com USA Rubber, Plastics Products 23-jun.-23
GUSCANADA.CA CL0P guscanada.ca Canada Educational Services 23-jun.-23
PWC.COM CL0P pwc.com UK Security And Commodity Brokers, Dealers, Exchanges, And Services 23-jun.-23
EY.COM CL0P ey.com UK Accounting Services 23-jun.-23
SONY.COM CL0P sony.com Japan Electronic, Electrical Equipment, Components 23-jun.-23
ANDESASERVICES.COM CL0P andesaservices.com USA Insurance Carriers 23-jun.-23
Daiwa House Industry Co. Qilin daiwahouse.com Japan Construction 22-jun.-23
Hill International PLAY www.hillintl.com USA Construction 22-jun.-23
National Institutional Facilitation Technologies (Pvt.) Limited BlackCat (ALPHV) www.nift.pk Pakistan Security And Commodity Brokers, Dealers, Exchanges, And Services 22-jun.-23
Refractron Akira refractron.com USA Electronic, Electrical Equipment, Components 22-jun.-23
DBSA Akira www.dbsa.org South Africa Security And Commodity Brokers, Dealers, Exchanges, And Services 22-jun.-23
GC&E Akira www.gcesg.com USA IT Services 22-jun.-23
londonandcapital BlackCat (ALPHV) www.londonandcapital.com UK Security And Commodity Brokers, Dealers, Exchanges, And Services 22-jun.-23
Avannubo Rhysida www.avannubo.com Spain IT Services 21-jun.-23
CYBERFREIGHT SYSTEMS MARITIMES INC. 8BASE cybermaritimes.com Canada Transportation Services 21-jun.-23
Craig & Associates, LLC BlackCat (ALPHV) www.craigcpa.com USA Accounting Services 21-jun.-23
Yokohama-oht Akira yokohama-oht.com India Rubber, Plastics Products 21-jun.-23
Habasit Akira habasit.com Switzerland Machinery, Computer Equipment 21-jun.-23
Café Soluble Akira www.talentocafesoluble.com Nicaragua Food Products 21-jun.-23
Main Street Title and Settlement Services LLC BlackCat (ALPHV) www.mainsttitle.com USA Insurance Carriers 21-jun.-23
Kansas Joint & Spine Specialists BlackCat (ALPHV) www.kansasjointandspine.com USA Health Services 21-jun.-23
OMNIPOL PLAY www.omnipol.com Czech Republic Aerospace 21-jun.-23
Batra Group PLAY www.batragroup.com UK Business Services 21-jun.-23
Hi-tec PLAY www.hi-tec.co.uk Netherlands Apparel And Other Finished Products 21-jun.-23
Barentz North America PLAY www.barentz-na.com USA Chemical Producers 21-jun.-23
PWI Engineering PLAY www.pwius.com USA Construction 21-jun.-23
Federation Francaise de Rugby PLAY www.ffr.fr France Membership Organizations 21-jun.-23
Eastside Union School District Karakurt www.eastsideusd.org USA Educational Services 21-jun.-23
Luís Simoes PLAY www.luis-simoes.com Portugal Transportation Services 21-jun.-23
Allpro Consulting Group PLAY www.allprocgi.com USA Construction 21-jun.-23
Lorclon PLAY www.lorclon.com UK Construction 21-jun.-23
Wolfs Block Management Limited PLAY www.wolfsproperty.co.uk UK Management Services 21-jun.-23
Target-9 RA GROUP Unknown Unknown Unknown 21-jun.-23
EDG BlackCat (ALPHV) www.edg.net USA Oil, Gas 21-jun.-23
BGFIBank Group BianLian groupebgfibank.com Gabon Depository Institutions 21-jun.-23
T***** ***** *********t** *.*. BianLian Unknown Spain Electronic, Electrical Equipment, Components 21-jun.-23
The Sullivan Group of Court Reporters BianLian thesullivangroupofcourtreporters.com USA Legal Services 21-jun.-23
SITARA 8BASE www.sitara.com.pk Pakistan Chemical Producers 21-jun.-23
Beverly Hills Plastic Surgery BlackCat (ALPHV) www.beverlyhillsplasticsurgery.com USA Health Services 21-jun.-23
Medical University of the Americas Snatch www.mua.edu USA Educational Services 21-jun.-23
MICA ENVIRONNEMENT Mallox www.mica-environnement.com France Construction 20-jun.-23
COEX BlackCat (ALPHV) coex.com Canada Construction 20-jun.-23
SSV Architects Vice Society www.ssv-architekten.de Germany Construction 20-jun.-23
SAPROS Rhysida www.sapros.de Germany Food Products 20-jun.-23
Praxis Energy Agents Medusa www.praxisenergyagents.com USA Electronic, Electrical Equipment, Components 20-jun.-23
www.cjhire.co.uk NoEscape www.cjhire.co.uk UK Engineering Services 20-jun.-23
Strait & Lamp Group BlackCat (ALPHV) straitandlamp.com USA Building Materials, Hardware, Garden Supply, And Mobile Home Dealers 20-jun.-23
Mammoth Energy BlackCat (ALPHV) www.mammothenergy.com USA Oil, Gas 20-jun.-23
MORSEMOVING Black Basta www.morsemoving.com USA Transportation Services 20-jun.-23
www.pfcfulfills.com NoEscape www.pfcfulfills.com USA Transportation Services 20-jun.-23
hawaii.edu NoEscape hawaii.edu USA Educational Services 20-jun.-23
bbrook.org LockBit bbrook.org USA Educational Services 20-jun.-23
cornu.ch LockBit cornu.ch Switzerland Food Products 20-jun.-23
valleyoaks.org LockBit valleyoaks.org USA Health Services 20-jun.-23
The Akin Law LLC 8BASE theakinfirm.com USA Legal Services 20-jun.-23
MAXIMUM PRIME ALIMENTOS EIRELI 8BASE Unknown Brazil Wholesale Trade-non-durable Goods 20-jun.-23
ZURICH.COM.BR CL0P zurich.com.br Switzerland Insurance Carriers 20-jun.-23
CBESERVICES.COM CL0P cbeservices.com Australia Construction 20-jun.-23
EMSSHI.COM CL0P emsshi.com USA IT Services 20-jun.-23
BAESMAN.COM CL0P baesman.com USA Business Services 20-jun.-23
STOCKMANBANK.COM CL0P stockmanbank.com USA Depository Institutions 20-jun.-23
NORTONLIFELOCK.COM CL0P nortonlifelock.com USA IT Services 20-jun.-23
CREELIGHTING.COM CL0P creelighting.com USA Electronic, Electrical Equipment, Components 20-jun.-23
SKILLSOFT.COM CL0P skillsoft.com USA IT Services 20-jun.-23
SCU.EDU CL0P scu.edu USA Educational Services 20-jun.-23
TELOS.COM CL0P telos.com USA IT Services 20-jun.-23
GESA.COM CL0P gesa.com USA Depository Institutions 20-jun.-23
Telcoset Snatch telcoset.com.tr Turkey IT Services 20-jun.-23
absolutecal.co.uk LockBit absolutecal.co.uk UK Engineering Services 19-jun.-23
tilg.at LockBit tilg.at Austria Construction 19-jun.-23
Onsupport Corporation 8BASE onsupport.com USA IT Services 19-jun.-23
Texas Hotel and Lodging Association 8BASE texaslodging.com USA Membership Organizations 19-jun.-23
TARLE LAW, P.C. 8BASE www.tarlelaw.com USA Legal Services 19-jun.-23
PrintGlobe, Inc. 8BASE www.printglobe.com USA Wholesale Trade-non-durable Goods 19-jun.-23
BLUESAGE 8BASE www.bluesage.com USA IT Services 19-jun.-23
Printmarksolution Qilin printmarksolution.com Thailand Machinery, Computer Equipment 19-jun.-23
Ascendum Machinery BlackCat (ALPHV) ascendummachinery.com USA Engineering Services 19-jun.-23
FHR Electric Medusa fhrelectric.com USA Engineering Services 19-jun.-23
Futura Agronegócios 8BASE futuraagro.com.br Brazil Agriculture 19-jun.-23
LOONGSON 8BASE www.loongson.cn China Machinery, Computer Equipment 19-jun.-23
PORTBLUE 8BASE www.portbluehotels.com Spain Lodging Places 19-jun.-23
PALIG.COM (PANAMERICAN) CL0P palig.com USA Insurance Carriers 19-jun.-23
NUANCE.COM CL0P nuance.com USA IT Services 19-jun.-23
AON.COM CL0P aon.com UK Security And Commodity Brokers, Dealers, Exchanges, And Services 19-jun.-23
CEGEDIM.COM CL0P cegedim.com France IT Services 19-jun.-23
STIWA.COM CL0P stiwa.com Austria Machinery, Computer Equipment 19-jun.-23
CNCBINTERNATIONAL.COM CL0P cncbinternational.com Hong Kong Depository Institutions 19-jun.-23
BOSTONGLOBE.COM CL0P bostonglobe.com USA Publishing, printing 19-jun.-23
ARBURG.COM CL0P arburg.com Germany Machinery, Computer Equipment 19-jun.-23
ICSYSTEM.COM CL0P icsystem.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 19-jun.-23
UMSYSTEM.EDU CL0P umsystem.edu USA Educational Services 19-jun.-23
COLUMBIABANK.COM (UMPQUABANK.COM) CL0P umpquabank.com USA Depository Institutions 19-jun.-23
PRAGROUP.NO CL0P pragroup.no Norway Security And Commodity Brokers, Dealers, Exchanges, And Services 19-jun.-23
MARTI.COM CL0P marti.com Switzerland Construction 19-jun.-23

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum
Hi-tec PLAY www.hi-tec.co.uk Netherlands Apparel And Other Finished Products 21-jun.-23

In samenwerking met DarkTracer


Cyberaanvallen nieuws


26-juni-2023 om 10:43


Trojanized Super Mario-spel verspreidt Windows-malware naar nietsvermoedende spelers

Een getrojaniseerd installatieprogramma van het populaire Super Mario 3: Mario Forever-spel voor Windows infecteert onschuldige spelers met verschillende Windows-malwarefamilies. Het spel, ontwikkeld door Buziol Games en uitgebracht in 2003, heeft een grote fanbase. Kwaadwillende actoren verspreiden een aangepaste versie van het installatieprogramma via gamingforums, sociale mediagroepen en malvertisements. Het installatiearchief bevat drie uitvoerbare bestanden, waarvan er twee discreet worden geïnstalleerd in de AppData-map van het slachtoffer. Deze kwaadaardige bestanden activeren een Monero-mijnwerker en een info-stealer genaamd Umbral Stealer. Umbral Stealer verzamelt gegevens van het geïnfecteerde Windows-apparaat, waaronder opgeslagen wachtwoorden, cookies, cryptocurrency-portefeuilles en referenties voor verschillende platforms. De malware kan antivirusprogramma's omzeilen en verstoort de communicatie van populaire antivirusproducten met bedrijfssites. Gebruikers wordt aangeraden hun computers te scannen op malware, wachtwoorden te resetten en alleen software te downloaden van officiële bronnen.


American Airlines en Southwest Airlines melden gegevensinbreuken die piloten treffen door hack van derde partij

American Airlines en Southwest Airlines, twee van 's werelds grootste luchtvaartmaatschappijen, hebben gegevensinbreuken gemeld die piloten treffen. De inbreuken werden veroorzaakt door de hack van Pilot Credentials, een derde partij die meerdere luchtvaartmaatschappijen beheert en pilotenaanvragen en wervingsportalen verzorgt. Onbevoegde individuen kregen toegang tot de systemen van Pilot Credentials en stalen documenten met persoonlijke informatie van sollicitanten in het aannameproces voor piloten en cadetten. American Airlines meldde dat de inbreuk gevolgen had voor 5745 piloten en sollicitanten, terwijl Southwest Airlines een totaal van 3009 getroffen personen rapporteerde. Hoewel er geen bewijs is dat de persoonlijke informatie van de piloten specifiek werd gericht of misbruikt voor frauduleuze doeleinden, zullen de luchtvaartmaatschappijen vanaf nu alle piloten- en cadetsollicitanten doorverwijzen naar intern beheerde portals. Beide luchtvaartmaatschappijen hebben de relevante wetshandhavingsinstanties op de hoogte gebracht en werken volledig mee aan het lopende onderzoek naar de inbreuk. Deze gegevensinbreuk is een herinnering aan de voortdurende dreiging van cybercriminelen in de luchtvaartindustrie.

Southwest Data Breach Notification Letters
PDF – 290,6 KB 73 downloads

Universiteit van Manchester bevestigt gegevensdiefstal na cyberaanval

De Universiteit van Manchester heeft bevestigd dat gegevens van alumni en huidige studenten zijn gestolen tijdens een cyberaanval die in juni werd onthuld. Hackers beweerden dat ze 7 TB aan vertrouwelijke gegevens, waaronder persoonlijke informatie, onderzoeksgegevens en financiële documenten, hadden buitgemaakt. De universiteit heeft bevestigd dat een klein deel van de gegevens is gekopieerd en dat ze samenwerken met autoriteiten en experts om het incident aan te pakken. Er is geen ongeoorloofde toegang tot bankgegevens of betalingsgegevens vastgesteld, en de gemeenschap wordt gewaarschuwd voor verdachte e-mails in verband met het incident.


Miljoenen slachtoffers van gegevensdiefstal: PBI Research Services getroffen door MOVEit-inbreuk

PBI Research Services heeft te maken gehad met een datalek waarbij de gegevens van 4,75 miljoen mensen zijn gestolen tijdens recente aanvallen op het MOVEit Transfer-systeem. Drie klanten van PBI hebben onthuld dat deze aanvallen hebben geleid tot blootstelling van gevoelige informatie. Genworth Financial, een levensverzekeringsdienstverlener in Virginia, schat dat 2,5 tot 2,7 miljoen klanten en medewerkers getroffen zijn. Wilton Reassurance, een verzekeringsmaatschappij in New York, meldt dat gegevens van 1.482.490 klanten zijn gestolen. CalPERS, het grootste openbare pensioenfonds in de VS, informeert ongeveer 769.000 gepensioneerden en begunstigden over het datalek. De getroffen personen zullen kennisgevingsbrieven ontvangen en kunnen zich inschrijven voor gratis kredietmonitoring- en identiteitsdiefstalbeschermingsdiensten. PBI Research Services is nog niet vermeld op de dataleksite van de daders, wat kan betekenen dat er onderhandelingen gaande zijn.


Dole slachtoffer van ransomware: Persoonlijke gegevens van 3900 medewerkers in gevaar

Bij een ransomware-aanval op fruitgigant Dole die eerder dit jaar plaatsvond zijn de gegevens van 3900 medewerkers gestolen, zo heeft het bedrijf bekendgemaakt in een datalekmelding aan de procureur-generaal van de Amerikaanse staat Maine. Het gaat om naam, adres, telefoonnummer, kopie van rijbewijs, social-securitynummer, paspoortnummer, geboortedatum en andere werkgerelateerde informatie. Ondanks de diefstal van gegevens stelt Dole dat er geen aanleiding is om te denken dat de persoonlijke gegevens van medewerkers is of zal worden misbruikt. Getroffen medewerkers kunnen een jaar lang kosteloos hun krediet laten monitoren. Dole werd begin februari het slachtoffer van een ransomware-aanval waarop het meerdere fabrieken in Noord-Amerika uitschakelde en voedselleveringen aan supermarkten opschortte. De fruitgigant stelde dat de aanval met name grote gevolgen had voor de verse groenten die het in Chili verwerkt. Tijdens een conference call met beursanalisten over de jaar- en kwartaalcijfers liet het bedrijf weten dat het de schade van de ransomware-aanval niet via de verzekering vergoed krijgt. Hoe groot de schade precies is, is nog niet bekendgemaakt.


Malware verspreidt zich in Europees ziekenhuis via geïnfecteerde usb-stick van conferentie

Een Europees ziekenhuis is eerder dit jaar via een usb-stick die op een conferentie was gebruikt besmet geraakt met malware, zo meldt securitybedrijf Check Point. De naam van het ziekenhuis is niet bekendgemaakt, alsmede de impact, maar onderzoekers konden wel "patient zero" achterhalen. Het bleek om een ziekenhuismedewerker te gaan die een conferentie in Azië had bijgewoond. Via de usb-stick deelde hij zijn eigen presentatie met andere bezoekers. De computer van een van zijn collega's op de conferentie was echter besmet, waardoor ook zijn usb-stick geïnfecteerde raakte. De ziekenhuismedewerker nam de usb-stick vervolgens mee naar het ziekenhuis, waardoor de malware zich verder kon verspreiden. Op besmette usb-sticks worden alle bestanden van de gebruiker verborgen. Het slachtoffer ziet alleen een malafide launcher die de naam van de usb-stick heeft. Zodra het slachtoffer de launcher start worden de verborgen gemaakte bestanden zichtbaar en in de achtergrond een backdoor geïnstalleerd waarmee de aanvallers toegang tot het systeem krijgen. Daarnaast wordt er gemonitord op nieuw aangesloten usb-sticks, om die vervolgens ook te infecteren. Ook netwerkschijven die op een besmet systeem worden toegevoegd kunnen besmet raken. Volgens Check Point is het belangrijk dat organisaties hun personeel voorlichten over het gebruik van usb-sticks afkomstig van onbekende of onbetrouwbare bronnen. Daarnaast moeten er duidelijke richtlijnen voor het gebruik van de datadragers zijn. Zo zou het gebruik moeten worden beperkt of verboden, tenzij usb-sticks afkomstig zijn van betrouwbare bronnen en gecontroleerd op malware. Tevens kunnen organisaties kijken naar alternatieven voor het gebruik van usb-sticks.


Gevaarlijke smartwatches ongevraagd bezorgd bij Amerikaanse militairen

Het Amerikaanse leger heeft militairen gewaarschuwd voor smartwatches die men ongevraagd opgestuurd krijgt. Meerdere soldaten lieten de Criminal Investigation Division van het leger weten dat ze de horloges hadden ontvangen. Eenmaal ingeschakeld maken de smartwatches automatisch verbinding met wifi-netwerken en mobiele telefoons, waarbij er toegang tot allerlei gebruikersgegevens wordt verkregen, aldus de waarschuwing. "Deze smartwatches kunnen ook malware bevatten, die de afzender toegang tot opgeslagen data geeft, waaronder bankgegevens, contacten en accountgegevens, zoals gebruikersnamen en wachtwoorden", stelt de Criminal Investigation Division. De malware zou ook toegang tot microfoon en camera's kunnen hebben, waardoor militairen zijn af te luisteren, zo laat de waarschuwing verder weten. Een andere mogelijkheid is dat er sprake is van een "brushing scam". Daarbij versturen vaak internationale verkopers producten naar personen van wie ze het adres op internet hebben gevonden. Vervolgens schrijven ze in naam van de ontvanger een positieve review over het product, om zo voor een positieve beoordeling op verkoopsites te zorgen en het aantal verkochte producten kunstmatig op te hogen. Daarbij gaat het vaak om goedkope producten. Militairen die de smartwatches hebben ontvangen wordt aangeraden die niet aan te zetten.


Dreiging van BlackLotus-malware nog steeds aanwezig na inspanningen van Microsoft, volgens NSA

De dreiging van de BlackLotus-malware is nog niet volledig door Microsoft weggenomen en beschikbaar gestelde beveiligingsupdates kunnen organisaties een vals gevoel van veiligheid geven, zo stelt de Amerikaanse geheime dienst NSA. BlackLotus maakt gebruik van een kwetsbaarheid in Windows (CVE-2022-21894) voor het omzeilen van UEFI Secure Boot en het plaatsen van malafide bestanden in de EFI-systeempartitie (ESP) die door de UEFI-firmware worden geladen. Hierdoor kan de bootkit onder andere BitLocker en Microsoft Defender uitschakelen. Secure Boot moet er juist voor zorgen dat alleen software wordt geladen die de fabrikant vertrouwt. Tijdens het starten van de pc controleert de firmware de digitale handtekening van de bootsoftware, firmware-drivers, EFI-applicaties en het besturingssysteem. Door de controle moet de installatie van bijvoorbeeld rootkits worden voorkomen. Microsoft kwam met beveiligingsupdates om de kwetsbaarheid in de bootloader te verhelpen. Er zijn echter geen patches uitgebracht om het vertrouwen in ongepatchte bootloaders via de Secure Boot Deny List Database (DBX) in te trekken. De dreiging is dan ook nog niet volledig verholpen, aldus de NSA, aangezien kwetsbare bootloaders gebruikt voor het opstarten van het systeem nog steeds door Secure Boot worden vertrouwd. "Het beschermen van systemen tegen BlackLotus is geen eenvoudige fix", zegt Zachary Blum van de NSA. "Patchen is een goede eerste stap, maar we adviseren afhankelijk van de configuratie van je systemen en gebruikte beveiligingssoftware om hardening acties te nemen." Zo kan beveiligingssoftware de installatie van de malware detecteren en voorkomen. In een adviesdocument over de malware stelt de NSA verder dat de uitgebrachte patches voor sommige omgevingen "een vals gevoel van veiligheid" kunnen geven (pdf). Om zo goed mogelijk beschermd te zijn doet de geheime dienst verschillende aanbevelingen, waaronder het updaten van herstelmedia, monitoren van aanpassingen aan de EFI-bootpartitie en het aanpassen van UEFI Secure Boot.

CSI Black Lotus Mitigation Guide PDF
PDF – 376,0 KB 104 downloads

Adjunct-directeur bevestigt hack bij bibliotheek in Gouda

De Chocoladefabriek, de bibliotheek in Gouda, is het doelwit geworden van een hackaanval waarbij persoonlijke gegevens van leden in handen zijn gevallen van onbevoegden. Ondanks de sterke beveiliging heeft er een cyberincident plaatsgevonden, zoals adjunct-directeur Marloes Middeldorp benadrukt. Leden worden op de hoogte gesteld en gewaarschuwd voor mogelijke risico's. Het precieze aantal getroffen leden is echter niet bekendgemaakt. Cybercrimeinfo onthulde op 6 juni dat cybercriminelen van 8BASE data hadden buitgemaakt.


Hackers kapen Linux-systemen met een gemanipuleerde OpenSSH-versie

Microsoft heeft onthuld dat hackers momenteel Linux- en Internet of Things (IoT)-apparaten die aan het internet zijn blootgesteld, kapen door middel van brute-force-aanvallen. Dit maakt deel uit van een recent waargenomen cryptojacking-campagne. Nadat de aanvallers toegang hebben gekregen tot een systeem, installeren ze een gemanipuleerd OpenSSH-pakket dat hen helpt om de geïnfecteerde apparaten over te nemen en SSH-referenties te stelen om persistentie te behouden. Deze patches installeren haken die wachtwoorden en sleutels van SSH-verbindingen onderscheppen. De aanvallers kunnen hiermee root login via SSH mogelijk maken en hun aanwezigheid verbergen door de logging van SSH-sessies te onderdrukken. Ze maken ook gebruik van achterdeurshellscripts om andere mijnwerkers te elimineren en kwaadaardige activiteiten te verbergen. Deze aanval benadrukt de technieken en volharding van de aanvallers die proberen kwetsbare apparaten binnen te dringen en te controleren. Microsoft waarschuwt dat de gemanipuleerde OpenSSH-versie een grotere uitdaging kan vormen voor detectie dan andere schadelijke bestanden.


Mysterie rondom datalek: Nebu weet niet welke gegevens zijn buitgemaakt

Softwarebedrijf Nebu waar criminelen toegang tot de systemen kregen weet niet welke data is gestolen en van wie, zo stelt de gemeente Woerden. Wel is bekend geworden hoe de aanval ongeveer is verlopen. Nebu levert software waar bedrijven voor het uitvoeren van marktonderzoek gebruik van maken. Eind maart werd bekend dat aanvallers toegang tot systemen van Nebu hadden gekregen en dat daarbij mogelijk ook gegevens van klanten van marktonderzoekers zijn buitgemaakt. Blauw, één van de getroffen marktonderzoekers, spande een kortgeding aan tegen Nebu omdat het meer informatie over de aanval en omvang van het datalek wilde hebben. De rechter gaf Blauw gelijk en oordeelde dat Nebu de informatie moest verstrekken. Begin april waarschuwde de gemeente Woerden duizenden inwoners die meededen aan een onderzoek van marktonderzoeksbureau Dimensus voor het datalek bij softwareleverancier Nebu. Daarbij zouden mogelijk ook hun gegevens zijn gelekt. Net als Blauw maakte ook Dimensus gebruik van de software van Nebu. "Nebu (het bedrijf dat daadwerkelijk is gehackt) heeft een onderzoek laten doen naar het datalek. Uit dat onderzoek blijkt hoe de cyberaanval ongeveer is verlopen. Het is uiteindelijk niet bekend geworden welke data is gestolen en van wie", laat de gemeente Woerden vandaag in een update over het incident weten. Volgens de onderzoekers zijn er geen aanwijzingen dat gestolen data is aangeboden op internet’. Ook is er geen losgeld geëist. Aan de hand hiervan stellen de onderzoekers naar het datalek dat de risico's beperkt zijn. Nu het onderzoek naar is afgerond heeft de gemeente Woerden besloten de zaak te sluiten. "Het blijft onduidelijk of gegevens van Woerdenaren gestolen zijn", zo concludeert de gemeente op Twitter. Details over hoe de aanval is verlopen zijn niet door de gemeente gegeven.


Mirai-malware maakt gebruik van TP-Link en LB-LINK routers voor ddos-botnets

Er is op dit moment malware actief die kwetsbare wifi-routers van fabrikanten TP-Link en LB-LINK onderdeel van ddos-botnets maakt, zo waarschuwen onderzoekers van Akamai en Fortinet. De routers van LB-LINK worden aangevallen via een kwetsbaarheid (CVE-2023-26801) waardoor een aanvaller willekeurige commando's op de router kan uitvoeren. Het versturen van een speciaal geprepareerd request naar kwetsbare routers is hiervoor voldoende. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De kwetsbaarheid werd afgelopen maart ontdekt. Securitybedrijf Palo Alto Networks meldde eind mei dat er al sinds 10 april misbruik van het beveiligingslek plaatsvindt. Akamai zag het eerste misbruik op 13 juni. De aanvallen zijn het werk van een variant van de Mirai-malware, die besmette routers gebruikt voor het uitvoeren van ddos-aanvallen. Het is onduidelijk of LB-LINK al firmware-updates heeft uitgebracht om de problemen te verhelpen. Fortinet waarschuwt voor een malware-exemplaar genaamd Condi dat kwetsbare TP-Link Archer AX21 (AX1800) routers infecteert. Hiervoor wordt gebruikgemaakt van een kwetsbaarheid (CVE-2023-1389) waardoor command injection via de webinterface mogelijk is. Vervolgens is het mogelijk om malware te installeren. Dit beveiligingslek werd eerder al door een Mirai-variant gebruikt, maar wordt nu ook door de Condi-malware ingezet. Ook dit botnet voert ddos-aanvallen uit. Eind april maakte TP-Link bekend dat voor het beveiligingslek firmware-updates beschikbaar zijn.


Klantgegevens gestolen bij UPS Canada gebruikt voor sms-phishing

UPS Canada heeft klanten gewaarschuwd voor een datalek nadat criminelen gestolen klantgegevens voor sms-phishing gebruikten. De manier waarop UPS klanten informeerde zorgde echter voor felle kritiek. Het transportbedrijf stuurde getroffen klanten namelijk een brief over phishing en smishing. Pas in de vierde paragraaf van de brief wordt echter duidelijk gemaakt dat het om een datalek gaat. Volgens UPS is er misbruik gemaakt van de online tool waarmee klanten informatie over hun pakketten kunnen opzoeken. Het bleek echter ook mogelijk om informatie over de bezorging van pakketten van andere personen op te vragen en zo hun telefoonnummer te achterhalen. Die informatie zou vervolgens voor "smishing-aanvallen" zijn gebruikt. Na ontdekking hiervan zegt UPS maatregelen te hebben genomen om toegang tot de informatie te beperken. "Dit is niet hoe een datalekmelding eruit hoort te zien. Ze zouden meteen duidelijk moeten maken wat ze zijn, anders zullen mensen doen wat ik bijna deed, ze namelijk ongelezen weggooien", zegt Brett Callow, beveiligingsonderzoeker van antivirusbedrijf Emsisoft, die de brief via Twitter deelde.


iOttie waarschuwt voor gegevensinbreuk na hack van website om creditcardgegevens te stelen

iOttie, een fabrikant van autohouders en mobiele accessoires, heeft gewaarschuwd dat hun website bijna twee maanden lang is gecompromitteerd om creditcardgegevens en persoonlijke informatie van online shoppers te stelen. De inbreuk vond plaats tussen 12 april 2023 en 2 juni 2023, waarbij kwaadaardige scripts werden gebruikt. Hoewel de schadelijke code op 2 juni 2023 werd verwijderd, bestaat de mogelijkheid dat de aanvallers creditcardinformatie hebben verkregen. Klanten die tussen 12 april en 2 juni 2023 een product hebben gekocht, wordt geadviseerd hun creditcardafschriften en bankrekeningen te controleren op frauduleuze activiteiten. De aanval maakt gebruik van de MageCart-methode, waarbij hackers kwaadaardige JavaScript invoegen op de afrekenpagina's van online winkels om creditcardgegevens te stelen. Het is nog onbekend hoeveel klanten precies zijn getroffen.


Noord-Koreaanse hackersgroep APT37 gebruikt nieuwe 'FadeStealer'-malware met afluisterfunctie

Noord-Koreaanse hackergroep APT37 implementeert een nieuwe informatie-stelende malware genaamd "FadeStealer" met een afluisterfunctie. Hiermee kunnen bedreigingsactoren afluisteren en opnemen via de microfoon van slachtoffers. APT37, ook bekend als StarCruft, Reaper of RedEyes, is vermoedelijk een door de staat gesponsorde hackergroep die zich richt op cyberspionage in overeenstemming met de Noord-Koreaanse belangen. Ze hebben in het verleden aangepaste malware zoals "Dolphin" en "M2RAT" gebruikt om gegevens, inloggegevens en screenshots te stelen van Windows-apparaten en mobiele telefoons. De FadeStealer-malware wordt verspreid via phishing-e-mails met bijlagen die met een wachtwoord beveiligde documenten bevatten, samen met een Windows CHM-bestand. Bij het openen van het CHM-bestand wordt een achterdeurfunctionaliteit geactiveerd, waardoor een PowerShell-script wordt gedownload en uitgevoerd. Deze achterdeur communiceert met de commando- en besturingsservers van de aanvallers en voert opdrachten uit. Het installeert vervolgens een GoLang-achterdeur om privileges te verhogen, gegevens te stelen en verdere malware te leveren. FadeStealer wordt geïnjecteerd in het legitieme proces "ieinstall.exe" van Internet Explorer en verzamelt gegevens van het apparaat, inclusief screenshots, getypte toetsaanslagen en opgenomen audio van de microfoon. De verzamelde gegevens worden opgeslagen in RAR-archieven. APT37 is niet de enige Noord-Koreaanse groep die CHM-bestanden gebruikt voor malware-aanvallen. De Kimsuky-hackergroep maakt ook gebruik van CHM-bestanden in phishingaanvallen. Het gebruik van spear-phishing-e-mails en het gebruik van het Ably-platform als commando- en controleserver maken deze aanvallen moeilijk op te merken.


UPS waarschuwt voor datalek en phishingaanvallen na blootstelling van klantinformatie

UPS, de multinational in transport en logistiek, heeft Canadese klanten gewaarschuwd dat hun persoonlijke gegevens mogelijk zijn blootgesteld via de online pakketzoektools en misbruikt zijn in phishingaanvallen. Wat aanvankelijk leek op een waarschuwing tegen phishing blijkt eigenlijk een melding van een datalek te zijn. UPS heeft meldingen ontvangen van frauduleuze sms-berichten waarin ontvangers worden gevraagd om betaling te verrichten voordat een pakket wordt afgeleverd. Na onderzoek heeft UPS ontdekt dat de aanvallers gebruikmaakten van de pakketzoektools om toegang te krijgen tot verzendinformatie, inclusief persoonlijke contactgegevens, gedurende de periode van februari 2022 tot april 2023. UPS heeft maatregelen genomen om de toegang tot gevoelige gegevens te beperken en getroffen personen worden op de hoogte gebracht. Klanten wereldwijd zijn getroffen door deze phishingaanvallen, waarbij de aanvallers namen, telefoonnummers, postcodes en informatie over recente bestellingen gebruiken. Het is belangrijk voor gebruikers om waakzaam te blijven en nooit op verdachte links te klikken of gevoelige informatie te verstrekken als reactie op verdachte berichten.


Kankercentrum in de VS slachtoffer van ransomware: Ministerie VS geeft dringende waarschuwing aan zorginstellingen

Het Amerikaanse ministerie van Volksgezondheid heeft een waarschuwing aan zorginstellingen afgegeven nadat een kankercentrum in de VS deze maand het slachtoffer van een ransomware-aanval werd, wat gevolgen had voor de behandeling van patiënten (pdf). De aanval op het niet nader genoemde centrum was het werk van een ransomwaregroep die zichzelf TimiSoaraHackerTeam noemt. De groep bestaat al sinds 2018. Vanwege de aanval op het Amerikaanse kankercentrum is er nu een waarschuwing voor de groep afgegeven. Volgens het ministerie zorgde de aanval ervoor dat de behandeling van patiënten ernstig werd beperkt, digitale diensten niet beschikbaar waren en persoonlijke gezondheidsgegevens en persoonsgegevens waren gestolen, waarbij de groep die dreigde openbaar te maken. De groep zou in 2021 ook verantwoordelijk zijn geweest voor een aanval op een Frans ziekenhuis. Om toegang tot de netwerken van slachtoffers te krijgen maakt de groep gebruik van slecht beveiligde RDP-toegang en bekende kwetsbaarheden in de vpn-oplossing van Fortinet en Microsoft Exchange Server. Voor het versleutelen van bestanden maakt de groep onder andere gebruik van Microsoft BitLocker en encryptiesoftware BestCrypt. Het Amerikaanse ministerie adviseert om de Fortinet- en Microsoft-producten up-to-date te houden en te monitoren op ongewone activiteit.

Healthcare Public Health Sector Cybersecurity Notification
PDF – 562,2 KB 78 downloads

Chinese hackers van APT15 duiken opnieuw op met nieuwe Graphican-malware

De Chinese staatsondersteunde hackersgroep die bekend staat als APT15 is tussen eind 2022 en begin 2023 waargenomen bij een nieuwe campagne waarbij ze een nieuwe achterdeur genaamd 'Graphican' gebruiken. APT15, ook wel bekend als Nickel, Flea, Ke3Chang en Vixen Panda, richt zich sinds ten minste 2004 op belangrijke publieke en private organisaties wereldwijd. De groep heeft in de loop der jaren verschillende malware-implantaten en op maat gemaakte achterdeuren gebruikt, waaronder RoyalCLI en RoyalDNS, Okrum, Ketrum en Android-spyware genaamd SilkBean en Moonshine. De nieuwe Graphican-achterdeur is een evolutie van een oudere malware die eerder door de hackers werd gebruikt, in plaats van een nieuw ontwikkeld gereedschap. Opvallend is dat Graphican gebruikmaakt van de Microsoft Graph API en OneDrive om op geraffineerde wijze de adressen van zijn command and control (C2) infrastructuur in gecodeerde vorm te verkrijgen, waardoor het flexibiliteit en weerstand tegen takedown-pogingen krijgt. De operatie van Graphican op het geïnfecteerde apparaat omvat onder andere het uitschakelen van de eerste-run wizard en welkomstpagina van Internet Explorer 10 met behulp van registervermeldingen, het verifiëren of het proces 'iexplore.exe' actief is, en het genereren van een unieke Bot ID met behulp van informatie zoals de hostnaam, het lokale IP-adres, de Windows-versie en de procesbitheid (32/64-bits). Vervolgens kan de bedreigingsacteur verschillende commando's sturen naar geïnfecteerde apparaten via de C&C-server, waaronder het starten van programma's en het downloaden van nieuwe bestanden. Naast Graphican hebben Symantec's onderzoekers ook andere tools waargenomen die in de recente campagne van APT15 worden gebruikt, zoals EWSTEW (een aangepaste APT15-achterdeur voor het extraheren van e-mails van geïnfecteerde Microsoft Exchange-servers), Mimikatz, Pypykatz, Safetykatz (tools voor het dumpen van inloggegevens die gebruikmaken van Windows Single Sign-On om geheimen uit het geheugen te halen), en diverse andere tools voor privilege-escalatie, wachtwoordkraken en kwetsbaarheidsbenutting. De recente activiteiten van APT15 en de vernieuwing van hun op maat gemaakte achterdeur laten zien dat deze Chinese hackersgroep een bedreiging blijft vormen voor organisaties wereldwijd. Ze blijven hun gereedschappen verbeteren en werken aan het stealthier maken van hun operaties. Hoewel phishing-e-mails een initiële infectieroute zijn, staan ze er ook om bekend kwetsbare via internet toegankelijke endpoints uit te buiten en VPN's als initiële toegangsroutes te gebruiken.


iPhone-spyware brengt mogelijk ook macOS-gebruikers in gevaar

Begin deze maand waarschuwde antivirusbedrijf Kaspersky voor een wereldwijde aanval waarbij iPhones al jarenlang onopgemerkt via een zeroclick-aanval met spyware worden geïnfecteerd. De virusbestrijder heeft nu meer informatie over de "TriangleDB" spyware gegeven en suggereert dat er ook een versie voor macOS bestaat. De zeroclick-aanval op iPhones vindt plaats via een onzichtbare iMessage met een malafide bijlage, die verschillende kwetsbaarheden in iOS gebruikt voor het installeren van spyware, liet de virusbestrijder eerder al weten. Voor de aanval is geen enkele interactie van gebruikers vereist. Vervolgens verstuurt de spyware privégegevens naar de aanvallers. Het gaat om opnames via de microfoon, foto's van chatapps, locatiegegevens en data over verschillende andere activiteiten van de eigenaar van de besmette iPhone. Na het uitvoeren van de aanval worden zowel het bericht als de bijlage verwijderd en blijven er weinig sporen op de telefoon achter die op de aanwezigheid van de malware duiden. Deze sporen zijn echter wel via een back-up van de iPhone te achterhalen. Kaspersky ontdekte de spyware na verdacht verkeer op het eigen netwerk. Volgens Eugene Kaspersky, oprichter van het antivirusbedrijf, zijn tientallen iPhones van het middenmanagement en de directie besmet geraakt. Het bedrijf zou echter niet het primaire doelwit van de aanval zijn. In een vandaag verschenen update over de spyware stelt Kaspersky dat die wordt geïnstalleerd nadat de aanvallers, door misbruik te maken van een kwetsbaarheid in de kernel, rootrechten op de iPhone hebben gekregen. Verder draait de spyware volledig in het geheugen van de telefoon, wat inhoudt dat die volledig wordt verwijderd na het herstarten van de telefoon. In het geval de telefoon niet wordt herstart zal de spyware zichzelf na dertig dagen verwijderen, tenzij de aanvallers deze periode verlengen. Verder blijkt dat de spyware een commando kan krijgen om gestolen gegevens alleen via wifi te versturen. Ook worden permissies van het besturingssysteem gevraagd om toegang tot de camera, microfoon en adresboek te krijgen, of via Bluetooth verbonden apparaten te kunnen gebruiken. Welke kwetsbaarheden de aanvallers voor het infecteren van iPhones gebruiken wordt niet door Kaspersky gemeld. Tijdens de analyse van de spywarecode vonden de onderzoekers ook een klasse die wordt gebruikt voor de opslag van de spywareconfiguratie. Daarin wordt ook een methode genoemd genaamd "populateWithFieldsMacOSOnly". Deze methode wordt echter nergens in de iOS-spyware aangeroepen. "Het bestaan betekent dat macOS-apparaten ook via soortgelijke spyware kunnen worden aangevallen", aldus onderzoeker Georgy Kucherin. Verdere details over de vermeende macOS-spyware worden echter niet gegeven. Kaspersky is naar eigen zeggen nog bezig met het onderzoek naar de aanval.


Clop-ransomwaregroep steelt gegevens van moederbedrijven Norton, Avast, LifeLock, Avira en AVG

Gen Digital, het moederbedrijf van Norton, Avast, LifeLock, Avira, AVG, ReputationDefender en CCleaner, is getroffen door een datalek nadat criminelen achter de Clop-ransomware de gegevens van medewerkers wisten te stelen. Hiervoor werd gebruikgemaakt van een zerodaylek in MOVEit Transfer, een applicatie voor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. De Clop-ransomwaregroep zou sinds 2021 over een kwetsbaarheid hebben beschikt waarmee het mogelijk is om MOVEit-servers te infecteren en data te stelen. Tijdens het Memorial Day weekend in de Verenigde Staten vorige maand vond er grootschalig misbruik van het lek plaats. Voor dit beveiligingslek, aangeduid als CVE-2023-34362, kwam Progress eind mei met een update. Ondertussen hadden de aanvallers al bij tal van organisaties toegeslagen, zo blijkt uit dit overzicht. De Clop-groep beheert een eigen website waarop het de namen van slachtoffers plaatst en dreigt gestolen gegevens openbaar te maken als er geen losgeld wordt betaald. Afgelopen maandag verscheen de naam van NortonLifeLock op de website. In een reactie tegenover SecurityWeek bevestigt Gen Digital dat het slachtoffer is geworden. De aanval zou geen gevolgen hebben gehad voor de vitale it-systemen en diensten, en er zijn ook geen gegevens van klanten of partners buitgemaakt. Wel is persoonlijke informatie van het personeel gestolen. Het gaat onder andere om naam, zakelijk e-mailadres, personeelsnummer en in een aantal gevallen ook adresgegevens en geboortedatum. Gen Digital zegt inmiddels alle relevante privacytoezichthouders en getroffen personeelsleden te hebben ingelicht.


Nieuwe Condi-malware bouwt DDoS-botnet uit TP-Link AX21-routers

In mei 2023 is er een nieuw DDoS-as-a-Service-botnet genaamd "Condi" ontdekt. Dit botnet maakt gebruik van een kwetsbaarheid in TP-Link Archer AX21 Wi-Fi-routers om een leger van bots te creëren voor het uitvoeren van aanvallen. De AX21 is een populaire Wi-Fi 6-router die veel gebruikt wordt door thuisgebruikers en kleine kantoren. Condi streeft ernaar nieuwe apparaten in te schakelen en verkoopt zelfs de broncode van de malware. De malware maakt gebruik van een fout in de webbeheerinterface van de router en kan zich verspreiden via openbare IP-adressen met poorten 80 of 8080. Het botnet ondersteunt verschillende DDoS-aanvalsmethoden en heeft mechanismen om concurrentbotnets uit te schakelen. TP-Link heeft een beveiligingsupdate uitgebracht voor de kwetsbaarheid. Geïnfecteerde routers vertonen tekenen zoals oververhitting, netwerkstoringen en onverklaarbare wijzigingen in de netwerkinstellingen.


Hackers waarschuwen voor dreigend datalek bij Universiteit van Manchester

Een ransomware-operatie heeft de Universiteit van Manchester getroffen, waarbij de hackers studenten per e-mail waarschuwen dat hun gegevens binnenkort zullen worden gelekt als er geen losgeld wordt betaald. De aanvallers beweren 7 TB aan gegevens te hebben gestolen, waaronder vertrouwelijke persoonlijke informatie, onderzoeksgegevens, medische gegevens en meer. De universiteit heeft bevestigd dat er waarschijnlijk gegevens zijn gestolen, maar heeft geen details verstrekt over de aanval. Ransomware-aanvallen omvatten vaak het stelen van gegevens en het dreigen met lekken als losgeld niet wordt betaald. Er is nog geen ransomware-groep geïdentificeerd als verantwoordelijke voor de aanval.


Hackers infecteren Linux SSH-servers met Tsunami botnet malware

Een onbekende bedreigingsacteur maakt gebruik van brute-force aanvallen op Linux SSH-servers om verschillende malware te installeren. De geïnstalleerde malware omvat de Tsunami DDoS-bot, ShellBot, log cleaners, privilege escalatietools en een XMRig coin miner. SSH wordt normaal gesproken gebruikt door netwerkbeheerders om op afstand Linux-apparaten te beheren, maar slecht beveiligde servers kunnen kwetsbaar zijn voor dergelijke aanvallen. De hackers scannen het internet op blootgestelde Linux SSH-servers en proberen vervolgens gebruikersnaam-wachtwoordcombinaties uit totdat ze een match vinden. Eenmaal ingelogd als admin-gebruiker, halen de aanvallers een verzameling malware op en voeren deze uit via een Bash-script. De malware omvat onder andere DDoS-botnets, log cleaners, cryptocurrency miners en privilege escalatietools. Om zich te verdedigen tegen deze aanvallen, wordt Linux-gebruikers aangeraden sterke wachtwoorden te gebruiken of, voor betere beveiliging, SSH-sleutels te vereisen om in te loggen op de SSH-server. Daarnaast wordt aanbevolen om root-login via SSH uit te schakelen, het bereik van IP-adressen die toegang hebben tot de server te beperken en de standaard SSH-poort te wijzigen naar iets ongebruikelijks voor geautomatiseerde bots en infectiescripts.


Russische APT28-hackers hacken Oekraïense overheids-e-mailservers

Een dreigingsgroep genaamd APT28, die in verband wordt gebracht met de Russische General Staff Main Intelligence Directorate (GRU), heeft Roundcube e-mailservers van meerdere Oekraïense organisaties, waaronder overheidsinstanties, gehackt. De hackers maakten gebruik van nieuws over het aanhoudende conflict tussen Rusland en Oekraïne om kwaadaardige e-mails te sturen die gebruikmaakten van kwetsbaarheden in de Roundcube Webmail-software. Nadat de e-mailservers waren gecompromitteerd, hebben de Russische hackers kwaadaardige scripts geïmplementeerd om inkomende e-mails om te leiden naar een door hen gecontroleerd e-mailadres. Het doel van de aanvallen was het verkrijgen van militaire inlichtingen ter ondersteuning van de Russische invasie in Oekraïne. De campagne begon waarschijnlijk in november 2021 en er is een overlap met eerdere aanvallen van APT28, inclusief het misbruik van een kwetsbaarheid in Microsoft Outlook. Dit incident benadrukt de voortdurende dreiging van cyber-spionage en het belang van beveiliging van e-mailservers.


Nieuwe RDStealer-malware steelt gegevens van gedeelde schijven via Remote Desktop

Bitdefender Labs heeft een cyberspionage- en hackcampagne genaamd 'RedClouds' ontdekt. De campagne maakt gebruik van aangepaste 'RDStealer'-malware om automatisch gegevens te stelen van schijven die worden gedeeld via Remote Desktop-verbindingen. Hoewel de specifieke bedreigingsactoren niet zijn geïdentificeerd, suggereren de belangen en verfijning van de aanvallers dat ze mogelijk gelieerd zijn aan China en opereerden op een door de staat gesponsord niveau. RDStealer infecteert remote desktop servers en maakt gebruik van de omleiding van apparatenfunctie om gegevens van lokale schijven te stelen zodra ze zijn verbonden met de RDP-server. De malware bevat verschillende modules, waaronder een keylogger, een module voor gegevensdiefstal en exfiltratie, en een tool voor het vastleggen van klembordinhoud. De campagnemaakt ook gebruik van een aangepaste backdoor genaamd Logutil, die de bedreigingsactoren in staat stelt op afstand commando's uit te voeren en bestanden te manipuleren op geïnfecteerde apparaten. Bitdefender heeft een lijst met indicatoren van compromissen gedeeld om verdedigers te helpen bij het detecteren en beschermen tegen deze aanvallen.


Aanvallers maken actief misbruik van kritiek lek in monitoringstool Aria/vRealize

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in VMware Aria Operations for Networks, een tool voor het monitoren van netwerken, dat voorheen bekend stond als vRealize Network Insight. Dat meldt VMware. Via de kwetsbaarheid, aangeduid als CVE-2023-20887, kan een aanvaller met toegang tot het systeem willekeurige code uitvoeren. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. VMware kwam op 7 juni met beveiligingsupdates voor de kwetsbaarheid. Op 13 juni meldde het bedrijf dat erop internet proof-of-concept exploitcode was verschenen om misbruik van het lek te maken. Gisterenavond berichtte VMware dat actief misbruik van CVE-2023-20887 is waargenomen. Op 15 juni liet securitybedrijf GreyNoise al weten dat het aanvallen had gezien waarbij de kwetsbaarheid werd ingezet. Organisaties worden opgeroepen om de updates te installeren mocht dit nog niet zijn gedaan. Vorig jaar kwam de Amerikaanse regering nog met een noodbevel dat overheidsinstanties dwong om aangevallen VMware-kwetsbaarheden te patchen.


Australische privacytoezichthouder getroffen door ransomware-aanval

Bij een ransomware-aanval op het Australische advocatenkantoor HWL Ebsworth zijn ook gegevens van de Australische privacytoezichthouder OAIC en andere overheidsinstanties buitgemaakt. De Australian Information Commissioner (OAIC) onderzoekt op dit moment of het om persoonsgegevens gaat en er sprake is van een datalek dat het bij de betreffende individuen moet melden. Eind april publiceerden de criminelen achter de ALPHV/BlackCat-ransomware op hun eigen website het bericht dat ze data van het Australische advocatenkantoor hadden buitgemaakt. Details over het incident, zoals hoe de aanvallers toegang konden krijgen en de omvang van het incident, zijn niet door HWL Ebsworth gegeven. Iets wat voor felle kritiek zorgde. Het advocatenkantoor doet zaken voor allerlei overheidsinstanties, organisaties en andere bedrijven, waaronder de National Australia Bank. Bij de aanval zijn ook gegevens van de Australian Information Commissioner buitgemaakt, zo heeft de toezichthouder zelf laten weten. Op dit moment wordt nog onderzocht om wat voor soort bestanden het gaat. Mocht blijken dat het om documenten met persoonsgegevens gaat zal de privacytoezichthouder naar eigen zeggen getroffen individuen inlichten.


Russische DDoS-aanvallen verliezen effectiviteit

Russische DDoS-aanvallen hebben steeds minder effect. Websites zijn tegenwoordig minder lang offline, maar we moeten nog steeds waakzaam blijven voor exploit-aanvallen op niet-gepatchte updates, zoals die van MOVEit. Bovendien merken we dat DDoS-aanvallen steeds vaker worden gebruikt als afleiding, zodat ICT-medewerkers zich daarop richten en niet op andere mogelijke aanvallen.


Russische hackers leggen Brussel Airport plat met DDoS-aanval - Cybercriminelen identificeerd als NoName057(16)

In het recente nieuws is bekendgemaakt dat Russische hackers verantwoordelijk waren voor een DDoS-aanval op de luchthaven van Brussel. De cybercriminelen achter deze aanval zijn geïdentificeerd als NoName057(16). Deze groep hackers slaagde erin de digitale infrastructuur van de luchthaven te overbelasten door een enorme hoeveelheid verkeer te genereren, waardoor de systemen onbruikbaar werden. 

De websites zijn inmiddels weer bereikbaar.


Portaal van de Nederlandse ondernemersvereniging Evofenedex offline door DDoS aanval

Evofenedex is een vooraanstaande Nederlandse ondernemersvereniging die zich richt op internationale handel, logistiek en supply chain management. Het portaal van Evofenedex biedt een breed scala aan informatie en diensten voor ondernemers die actief zijn op het gebied van import, export en logistiek. Via het portaal kunnen ondernemers toegang krijgen tot waardevolle tools en middelen om hun internationale handelsactiviteiten te ondersteunen. Ze kunnen actuele informatie vinden over wet- en regelgeving, douaneaangelegenheden, transportopties en handelsbelemmeringen. Daarnaast biedt het portaal handige sjablonen, checklists en praktische richtlijnen om bedrijven te helpen bij het efficiënt organiseren en beheren van hun logistieke processen. Het Evofenedex-portaal fungeert als een kenniscentrum waar ondernemers up-to-date kunnen blijven met trends en ontwikkelingen in de internationale handel. Het biedt nieuwsberichten, artikelen en rapporten over onderwerpen als duurzaamheid, e-commerce, douanezaken en internationaal transport. Ondernemers kunnen ook deelnemen aan webinars en trainingen om hun kennis en vaardigheden verder te ontwikkelen. Naast de informatievoorziening speelt Evofenedex ook een actieve rol in belangenbehartiging voor haar leden. Ze vertegenwoordigen de belangen van Nederlandse ondernemers bij nationale en internationale instanties en pleiten voor gunstige handelsvoorwaarden en logistieke vereenvoudigingen. Het Evofenedex-portaal is een waardevol hulpmiddel voor ondernemers die zich bezighouden met internationale handel en logistiek. Het biedt praktische ondersteuning en expertise om bedrijven te helpen groeien en succesvol te zijn in de dynamische wereld van de internationale handel.

De website is inmiddels weer online


Russische hackers leggen Zeeuwse havens plat door DDoS-aanval

Russische hackers hebben beweerd dat ze de website van North Sea Port hebben platgelegd. Sinds 08:30 uur vanochtend zijn de websites van de havens van Vlissingen, Terneuzen en Gent onbereikbaar als gevolg van een DDoS-aanval. Het cyberbeveiligingsbedrijf FalconFeeds.io vermoedt dat de hackersgroep genaamd Name05716 achter de aanval zit. Deze groep voert regelmatig aanvallen uit op tegenstanders van Rusland. Gelukkig zijn de systemen in de haven niet getroffen en kan het werk normaal doorgaan. De website van North Sea Port, met name de havens van Vlissingen, Terneuzen en Gent, ligt sinds 09:30 uur stil als gevolg van een ddos-aanval, zo beweren Russische hackers. FalconFeeds.io, een cyberbeveiligingsbedrijf, vermoedt dat Name05716 mogelijk verantwoordelijk is voor de aanval. (ANP / BELGA / Nicolas Maeterlinck) Bij een DDoS-aanval wordt een website overladen met zoveel verkeer dat deze slecht bereikbaar wordt, maar de achterliggende systemen blijven onaangetast. In mei heeft dezelfde groep, NoName05716, ook al in Nederland toegeslagen. Toen de Oekraïense president Zelenski op bezoek was, werden de websites van de Rechtspraak en de Eerste Kamer platgelegd. North Sea Port bevestigt de aanval, maar een woordvoerder weet niet wanneer de website weer bereikbaar zal zijn. Eerder deze maand voerden Russische hackers aanvallen uit op de websites van havens in Rotterdam, Amsterdam, Den Helder en Eemshaven/Delfzijl. Ook in Duitsland, Italië, Spanje, Canada, Finland, Zweden, Polen, Griekenland, Bulgarije en Letland werden havensites platgelegd. Dergelijke aanvallen zijn vrij eenvoudig te organiseren en uit te voeren. Het is belangrijk om op te merken dat het werk in de Zeeuwse havens normaal doorgaat, ondanks de platgelegde websites.

De website is inmiddels weer online


Europese Investeringsbank getroffen door cyberaanval pro-Russische hackers

De Europese Investeringsbank wordt momenteel geconfronteerd met een cyberaanval. De website van de bank is hierdoor niet bereikbaar. De aanval werd eerder aangekondigd door de pro-Russische hackersgroeperingen Anonymous Sudan en Killnet. Het Twitter-account van de Europese Investeringsbank heeft bevestigd dat de websites eib.org en eif.org momenteel niet toegankelijk zijn als gevolg van de cyberaanval. Hoewel de bank geen verdere details heeft verstrekt, lijkt het erop dat het om een DDoS-aanval gaat. Dergelijke cyberaanvallen worden vaker gebruikt door pro-Russische hacktivisten. Het doelwit van de aanval is de Europese Investeringsbank, een orgaan van de Europese Unie dat Europese ontwikkelingsprojecten financiert.


Infostealer-malware steelt 101.000 ChatGPT-accounts

Volgens gegevens van een dark webmarktplaats zijn er in het afgelopen jaar meer dan 101.000 ChatGPT-gebruikersaccounts gestolen door informatie-stelende malware. Cyberintelligence-bedrijf Group-IB heeft meer dan honderdduizend gevallen van informatie-stelen geïdentificeerd op verschillende ondergrondse websites met ChatGPT-accounts. Azië-Pacific had het grootste aantal gecompromitteerde accounts, gevolgd door Europa en Noord-Amerika. Infostealer-malware is gericht op het stelen van accountgegevens die zijn opgeslagen op verschillende applicaties. Deze gestolen gegevens worden verpakt in logboeken en teruggestuurd naar de servers van de aanvallers. Het belang van AI-tools zoals ChatGPT neemt toe, aangezien toegang tot een account inzicht kan geven in gevoelige informatie, bedrijfsstrategieën, persoonlijke communicatie en meer. Het wordt aanbevolen om de chatopslagfunctie uit te schakelen of conversaties handmatig te verwijderen om gevoelige informatie te beschermen. Het gebruik van cloudgebaseerde services voor zeer gevoelige informatie wordt afgeraden, en het is beter om beveiligde lokaal gebouwde en zelfgehoste tools te gebruiken.


Rheinische Post Media Group getroffen door cyberaanval

De Rheinische Post Media Group heeft te maken gehad met een cyberaanval, die zelfs de gedrukte kranten van het bedrijf heeft beïnvloed. De kranten van maandag verschenen in een noodeditie met beperkte pagina's. De cyberaanval veroorzaakte technische problemen bij de IT-dienstverlener van het bedrijf, Circ IT, waardoor het bedrijf zijn websites offline haalde. Er zijn volgens de WDR geen gegevens gestolen en er is geen schade aangericht. Op dit moment is de verantwoordelijke voor de cyberaanval nog onbekend.


Grootste schooldistrict in Iowa bevestigt ransomware-aanval en gegevensdiefstal

Des Moines Public Schools, het grootste schooldistrict in Iowa, heeft bevestigd dat ze het slachtoffer zijn geworden van een ransomware-aanval die hen dwong om op 9 januari 2023 alle netwerksystemen offline te halen. Hoewel het schooldistrict een losgeldverzoek ontving van een niet nader genoemde ransomware-groep, is er geen losgeld betaald. Bijna 6.700 personen die getroffen zijn door het datalek zullen deze week worden geïnformeerd over welke persoonlijke informatie is gelekt. Het incident leidde tot annulering van lessen en beïnvloedde meer dan 31.000 leerlingen en 5.000 medewerkers in meer dan 60 scholen. Het is een van de vele ransomware-aanvallen die gericht zijn op onderwijsinstellingen in de Verenigde Staten, waarbij in 2022 alleen al 89 aanvallen plaatsvonden. Het Los Angeles Unified School District was ook een opmerkelijk slachtoffer van een ransomware-aanval, wat heeft geleid tot oproepen om de cybersecuritybescherming in K-12 scholen te versterken.


Malwarecampagne maakt gebruik van nep OnlyFans-foto's om gegevens te stelen

Een malwarecampagne maakt gebruik van nep OnlyFans-inhoud en volwassen lokmiddelen om een trojan met externe toegang genaamd 'DcRAT' te installeren. Hierdoor kunnen kwaadwillende actoren gegevens en referenties stelen of ransomware op het geïnfecteerde apparaat implementeren. OnlyFans is een populaire abonnementsservice waar betaalde abonnees toegang hebben tot privéfoto's, video's en berichten van volwassen modellen en beroemdheden op sociale media. De campagne, ontdekt door eSentire, verspreidt ZIP-bestanden met een VBScript-lader, waarbij slachtoffers worden misleid om deze handmatig uit te voeren in de hoop toegang te krijgen tot premium OnlyFans-collecties. Gebruikers wordt geadviseerd voorzichtig te zijn bij het downloaden van bestanden van verdachte bronnen, vooral diegenen die gratis toegang tot betaalde inhoud beloven.


Drie Android-apps op Google Play gebruikt voor spionageactiviteiten

Drie Android-apps die beschikbaar waren op Google Play, zijn gebruikt door door de staat gesponsorde bedreigingsactoren om informatie te verzamelen van specifieke doelapparaten. De apps, gecamoufleerd als VPN en chat-apps, werden ontdekt door Cyfirma en toegeschreven aan de Indiase hackgroep "DoNot" of APT-C-35. Deze groep richt zich al sinds 2018 op spraakmakende organisaties in Zuidoost-Azië. De kwaadaardige apps, genaamd nSure Chat en iKHfaa VPN, verzamelden basisinformatie, zoals locatiegegevens en contactenlijsten, als onderdeel van een grotere malware-infectiestrategie. De apps vroegen tijdens de installatie risicovolle toestemmingen, zoals toegang tot de contactenlijst en precieze locatiegegevens, om deze informatie naar de aanvaller te sturen. Cyfirma's onderzoekers hebben de codebase van de hackers' VPN-app geïdentificeerd als afkomstig van een legitieme VPN-product. De aanvallers hebben hun tactiek gewijzigd en maken nu gebruik van gerichte berichten via WhatsApp en Telegram om slachtoffers te verleiden de geïnfecteerde apps te downloaden vanuit de vertrouwde Google Play Store. Hoewel weinig bekend is over de specifieke doelwitten, is vastgesteld dat ze zich in Pakistan bevinden.


Scholieren beroven nietsvermoedende investeerders van miljoenen dollars aan NFT's

Oplichting blijft een groot probleem in de crypto-wereld, en ook binnen de non-fungible token (NFT) niche worden investeerders regelmatig bedrogen. Een opvallend fenomeen is dat scholieren verantwoordelijk blijken te zijn voor het stelen van miljoenen dollars aan NFT's. Deze jonge oplichters maken gebruik van phishing-websites en andere malafide methoden om slachtoffers te verleiden tot het ondertekenen van kwaadaardige transacties. Ze maken gebruik van nepwebsites die meeliften op populaire NFT-projecten en promoten deze via spamcampagnes op sociale netwerken en Discord. Het merendeel van deze zogenaamde "NFT-drainers" blijkt middelbare scholieren te zijn, jonger dan 18 jaar. Tijdens de zomervakantie neemt het aantal aanvallen zelfs significant toe. De oplichters geven het gestolen geld uit aan luxeartikelen, zoals laptops, telefoons, schoenen en in-game items voor platforms zoals Roblox. Dit fenomeen onderstreept de noodzaak van waakzaamheid en bewustwording bij investeerders in de crypto-wereld, met name met betrekking tot NFT's.


Atomic Wallet gehackt: meer dan $100 miljoen verlies voor gebruikers

Volgens analisten van Elliptic hebben gebruikers van Atomic Wallet meer dan $100 miljoen verloren als gevolg van een hack. Atomic Wallet heeft nog geen verklaring gegeven over de oorzaak van de verliezen. Meer dan 5.500 crypto-wallets zijn betrokken bij de aanval, en het lijkt erop dat de beruchte Lazarus Group uit Noord-Korea verantwoordelijk is. Elliptic werkt samen met onderzoekers en beurzen wereldwijd om de gestolen fondsen op te sporen en te bevriezen. Het grootste deel van de gestolen activa is nog niet teruggevonden en de dief heeft zijn gedrag aangepast om de gestolen activa wit te wassen op de Russische Garantex-beurs. Atomic Wallet bediende voor de hack meer dan 5 miljoen gebruikers en is een wallet met gesloten software.

Elliptic Typologies 2023 Report
PDF – 2,9 MB 81 downloads

Ransomware-groep dreigt gestolen gegevens van Reddit te lekken

De ransomware-groep BlackCat (ALPHV) zit achter een cyberaanval op Reddit in februari, waarbij ze beweren 80 GB aan gegevens van het bedrijf te hebben gestolen. De aanval werd mogelijk gemaakt door een phishing-aanval op een Reddit-medewerker. Hoewel interne documenten, broncode en werknemersgegevens werden buitgemaakt, werden de primaire productiesystemen van Reddit niet geschonden en werden gebruikerswachtwoorden en creditcardgegevens niet beïnvloed. BlackCat heeft geprobeerd contact op te nemen met Reddit en eist $ 4,5 miljoen om de gegevens te verwijderen, maar heeft geen reactie ontvangen. De ransomware-groep dreigt nu de gestolen gegevens openbaar te maken. Deze groep wordt ook vermoedelijk in verband gebracht met een vergelijkbare aanval op Western Digital, waarbij screenshots van gestolen gegevens werden gelekt en de dienst My Cloud werd verstoord.


Nieuwe Mystic Stealer-malware in opkomst voor informatiediefstal

Sinds april 2023 is er een nieuwe malware genaamd 'Mystic Stealer' in opkomst. Deze malware wordt gepromoot op hackforums en darknetmarkten en heeft snel aan populariteit gewonnen binnen de cybercriminele gemeenschap. Mystic Stealer, die gehuurd kan worden voor $ 150 per maand, richt zich op verschillende webbrowsers, browserextensies, cryptocurrency-applicaties, MFA- en wachtwoordbeheertoepassingen, Steam- en Telegram-referenties en meer. Rapporten van Zscaler en Cyfirma waarschuwen voor de opkomst van deze nieuwe malware en de verfijning ervan, evenals een stijging in de verkoop die leidt tot nieuwe online campagnes. Mystic Stealer is in staat om informatie te stelen van verschillende Windows-versies en maakt gebruik van anti-virtualisatietechnieken om detectie te voorkomen. Hoewel de toekomst van Mystic Stealer nog onzeker is, wijst de opkomst ervan op verhoogde risico's voor gebruikers en organisaties.


Microsoft wijst DDoS-aanval aan als oorzaak van storing in Outlook, Teams en OneDrive

De grote storing waar Outlook, Teams, OneDrive en andere Microsoft-diensten begin juni mee te maken kregen werd veroorzaakt door een ddos-aanval, aldus Microsoft. Vanwege de aanval hadden gebruikers geen toegang tot hun e-mail en bestanden en kon er geen gebruik worden gemaakt van het Azure-cloudplatform. Een groep aanvallers claimde verantwoordelijkheid voor de aanval. In een blogposting stelt Microsoft dat een ddos-aanval de oorzaak van de storingen was. De aanval wordt toegeschreven aan een groep die door Microsoft "Storm-1359" wordt genoemd. "Deze aanvallen maakten gebruik van meerdere virtual private servers in combinatie met gehuurde cloudinfrastructuur, open proxies en ddos-tools", zo laat de verklaring van het techbedrijf weten. Microsoft stelt verder dat het geen bewijs heeft gezien dat klantgegevens zijn gecompromitteerd. Volgens Microsoft combineerden de aanvallers verschillende soorten layer 7 ddos-aanvallen, waaronder flood-aanvallen, waarbij er een groot aantal https-requests wordt verstuurd. Daarnaast maakte de groep ook gebruik van cache bypasses. Microsoft maakt gebruik van content delivery networks (CDN) die de content van de oorspronkelijke server cachen. Bij een cache bypass wordt er verkeer gegenereerd dat direct naar deze "origin server" gaat, in plaats van het CDN. Tevens stelt Microsoft dat er ook gebruik is gemaakt van een "Slowloris-aanval". Daarbij opent de aanvaller een verbinding naar de webserver en vraagt bijvoorbeeld een afbeelding op, zonder te bevestigen dat die is ontvangen. Hierdoor houdt de webserver de verbinding open en de opgevraagde afbeelding in het geheugen. Microsoft zegt dat het eerder al maatregelen hadt genomen om dergelijke aanvallen te voorkomen, maar dat het die vanwege de waargenomen aanvallen gaat aanpassen.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


April 2024
Maart 2024