Overzicht van slachtoffers cyberaanvallen week 26-2023

Gepubliceerd op 3 juli 2023 om 15:00

Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


In de afgelopen week hebben er verschillende significante cyberaanvallen plaatsgevonden die wereldwijd impact hebben gehad. Een ransomwaregroep heeft de gegevens van duizenden gasten van Landal Greenparks gepubliceerd, terwijl TSMC een hack ontkent nadat een ransomware-bende $70 miljoen eist. Ondertussen is er een nieuwe EarlyRAT-malware ontdekt die gelinkt is aan Noord-Koreaanse cybercriminelen.

In het Verenigd Koninkrijk heeft een grote ransomware-aanval plaatsgevonden op een universiteit, waarbij de data van 1,1 miljoen patiënten is gestolen. Pepsi Bottling Ventures is ook getroffen door een malware-aanval, waarbij 28.000 medewerkers het slachtoffer zijn geworden van een datalek. Ten slotte zijn er persoonsgegevens van apothekers gestolen bij een datalek van KNMP.

Hieronder vindt u een gedetailleerd overzicht van deze cyberaanvallen van de afgelopen week.



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
Mutuelle LMP Medusa In progress In progress In progress 3-jul.-23
Luna Hotels & Resorts Medusa In progress In progress In progress 3-jul.-23
Brett Martin BlackByte www.brettmartin.com UK Rubber, Plastics Products 2-jul.-23
blowtherm.it LockBit blowtherm.it Italy Machinery, Computer Equipment 2-jul.-23
Guatemala Military Intelligence Directorate Cyclops mindef.mil.gt Guatemala Justice, Public Order, And Safety 2-jul.-23
ALTARGRUP Cyclops www.altargrup.com.tr Turkey Machinery, Computer Equipment 2-jul.-23
Atherfield Medical Service Cyclops atherfieldmedicalservice.com.au Australia Health Services 2-jul.-23
Ucamco Belgium Medusa Locker www.ucamco.com Belgium IT Services 2-jul.-23
Ashley HomeStore Mallox www.ashleyfurniture.com USA Home Furniture, Furnishings, And Equipment Stores 1-jul.-23
Blount Fine Foods Black Basta www.blountfinefoods.com USA Food Products 1-jul.-23
DVA - DVision Architecture RansomEXX dvisionarchitecture.com Italy Construction 1-jul.-23
**l***** C*********** BianLian Unknown USA Construction 1-jul.-23
Undisclosed Staffing Company BianLian Unknown USA Business Services 1-jul.-23
barts health nhs trust BlackCat (ALPHV) www.bartshealth.nhs.uk UK Health Services 30-jun.-23
ENCORECAPITAL.COM CL0P encorecapital.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 30-jun.-23
TRELLISWARE.COM CL0P trellisware.com USA Communications 30-jun.-23
CLICKSGROUP.CO.ZA CL0P clicksgroup.co.za South Africa Miscellaneous Retail 30-jun.-23
HORNBECKOFFSHORE.COM CL0P hornbeckoffshore.com USA Transportation Services 30-jun.-23
FISGLOBAL.COM CL0P fisglobal.com USA IT Services 30-jun.-23
DIGITALINSIGHT.COM CL0P digitalinsight.com USA IT Services 30-jun.-23
IRONBOW.COM CL0P ironbow.com USA IT Services 30-jun.-23
VERICAST.COM CL0P vericast.com USA Business Services 30-jun.-23
RHENUS.GROUP CL0P rhenus.group Germany Transportation Services 30-jun.-23
SOVOS.COM CL0P sovos.com USA IT Services 30-jun.-23
HARRINGTONCOMPANY.COM CL0P harringtoncompany.com USA Membership Organizations 30-jun.-23
CITYNATIONAL.COM CL0P citynational.com USA Depository Institutions 30-jun.-23
tsmc.com LockBit tsmc.com Taiwan Electronic, Electrical Equipment, Components 29-jun.-23
amepl.com.au LockBit amepl.com.au Australia Engineering Services 29-jun.-23
Enfield Grammar School Rhysida www.enfieldgrammar.org UK Educational Services 29-jun.-23
Nycon Akira www.nycon.com USA Miscellaneous Manufacturing Industries 29-jun.-23
Hospitality Staffing Solutions Akira www.hssstaffing.com USA Business Services 29-jun.-23
KLGATES.COM CL0P klgates.com USA Legal Services 29-jun.-23
Alberta Newsprint Rhysida www.albertanewsprint.com Canada Paper Products 28-jun.-23
ISPE Connecting Pharmaceutical Knowledge 8BASE ispe.org USA Chemical Producers 28-jun.-23
ibafrance.fr LockBit ibafrance.fr France Engineering Services 28-jun.-23
CentroMed Karakurt centromedsa.com USA Health Services 28-jun.-23
Wilcom Akira wilcom.com Australia IT Services 28-jun.-23
Stoughton Trailers Akira www.stoughtontrailers.com USA Transportation Equipment 28-jun.-23
Pan Pacific Hotels Group Karakurt www.panpacific.com Singapore Lodging Places 28-jun.-23
Thaire RA GROUP www.thaire.co.th Thailand Insurance Carriers 28-jun.-23
PORTERROOFING 8BASE www.porter-roofing.com USA Construction 28-jun.-23
Coachella Valley Collection Service BlackCat (ALPHV) www.cvcollection.com USA Non-depository Institutions 28-jun.-23
CON-STRUCT 8BASE constructiowa.com USA Construction 28-jun.-23
GraphTec Black Basta www.graphtecinc.com USA Miscellaneous Manufacturing Industries 28-jun.-23
Modern Industries Black Basta modernind.com USA Aerospace 28-jun.-23
GIAMBELLI Black Basta www.giambelli.it Italy Real Estate 28-jun.-23
JBCC Corp Mallox www.jbcc.co.jp Japan IT Services 28-jun.-23
Arab Shipbuilding and Repair Yard BianLian asry.net Bahrain Transportation Equipment 28-jun.-23
Misr Life Insurance BianLian misrlife.com Egypt Insurance Carriers 28-jun.-23
N** ********* ********** BianLian Unknown USA Health Services 28-jun.-23
KIRKLAND & ELLIS LLP CL0P kirkland.com USA Legal Services 28-jun.-23
DARLINGCONSULTING.COM CL0P darlingconsulting.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 28-jun.-23
CPIAI.COM CL0P cpiai.com USA Insurance Carriers 28-jun.-23
DELTADENTAL.COM CL0P deltadental.com USA Insurance Carriers 28-jun.-23
COGNIZANT.COM CL0P cognizant.com USA IT Services 28-jun.-23
ENSTARGROUP.COM CL0P enstargroup.com Bermuda Insurance Carriers 28-jun.-23
SAPIENS.COM CL0P sapiens.com Israel IT Services 28-jun.-23
CARESOURCE.COM CL0P caresource.com USA Insurance Carriers 28-jun.-23
JACKSON.COM CL0P jackson.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 28-jun.-23
STARMOUNTLIFE.COM CL0P starmountlife.com USA Insurance Carriers 28-jun.-23
KOTAKLIFE.COM CL0P kotaklife.com India Insurance Carriers 28-jun.-23
KIRKLANDS.COM CL0P kirklands.com USA Home Furniture, Furnishings, And Equipment Stores 28-jun.-23
PROSKAUER.COM CL0P proskauer.com USA Legal Services 28-jun.-23
Texas Heat Treating PLAY www.texasheattreating.com USA Machinery, Computer Equipment 27-jun.-23
Intoximeters PLAY www.intox.com USA Measuring, Analyzing, Controlling Instruments 27-jun.-23
Algotech PLAY www.algotech.cz Czech Republic IT Services 27-jun.-23
Cambridge Group of Clubs PLAY www.cambridgegroupofclubs.com Canada Amusement And Recreation Services 27-jun.-23
iMatica Rhysida www.imatica.com Spain IT Services 27-jun.-23
ITW Food Equipment Group BlackCat (ALPHV) www.itwfoodequipment.com USA Electronic, Electrical Equipment, Components 27-jun.-23
COMPASS INFRASTRUCTURE GROUP Mallox www.compassinf.com USA Construction 27-jun.-23
ABBVIE.COM CL0P abbvie.com USA Chemical Producers 27-jun.-23
UCLA.EDU CL0P ucla.edu USA Educational Services 27-jun.-23
SIEMENS-ENERGY.COM CL0P siemens-energy.com Germany Electrical 27-jun.-23
SE.COM CL0P se.com France Electronic, Electrical Equipment, Components 27-jun.-23
WERUM.COM CL0P werum.com Germany Business Services 27-jun.-23
Hochschule Kaiserslautern Rhysida www.hs-kl.de Germany Educational Services 26-jun.-23
Greenfiber BlackCat (ALPHV) www.greenfiber.com USA Miscellaneous Manufacturing Industries 26-jun.-23
Chariton Valley Akira www.cvalley.net USA IT Services 26-jun.-23
Knights of Old Group Akira www.knightsofoldgroup.com UK Transportation Services 26-jun.-23
London Capital Group (LCG) Akira www.lcg.com UK Security And Commodity Brokers, Dealers, Exchanges, And Services 26-jun.-23
Reeds Spring School District Karakurt www.rs-wolves.com USA Educational Services 26-jun.-23
Fassi Gru S.p.A. Rhysida www.fassi.com Italy Transportation Equipment 26-jun.-23
Hiberus TecnologΓ­a BianLian hiberus.com Spain IT Services 26-jun.-23
JOB-SA BETON J.O.B SA 8BASE job-beton.com Tunisia Miscellaneous Manufacturing Industries 26-jun.-23
CLEAR MEDI HEALTHCARE 8BASE clearmedi.in India Health Services 26-jun.-23
Lysander Shipping 8BASE www.lysandershipping.com UK Transportation Services 26-jun.-23
LEGALILAVORO 8BASE www.legalilavoro.it Italy Legal Services 26-jun.-23
PNEUMAX 8BASE pneumaxspa.com Italy Transportation Equipment 26-jun.-23
MSAMLIN.COM CL0P msamlin.com UK Insurance Carriers 26-jun.-23

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum
Ucamco Belgium Medusa Locker www.ucamco.com Belgium IT Services 2-jul.-23

In samenwerking met DarkTracer


Cyberaanvallen nieuws


03-juli-2023 om 09:24


Slechts $656 miljoen gestolen in eerste helft 2023

Samenvatting: Volgens een rapport van Web3 beveiligingsbedrijf Beosin is de totale waarde aan gestolen crypto in de eerste zes maanden van 2023 aanzienlijk gedaald ten opzichte van dezelfde periode vorig jaar. In totaal ging er $656 miljoen aan criminele activiteiten verloren, wat driemaal minder is dan de $1,91 miljard die criminelen buitmaakten in de eerste helft van 2022. Het grootste deel van de gestolen crypto, $471,43 miljoen, werd verloren aan hacks, terwijl $108 miljoen verloren ging aan phishing scams. Daarnaast gingen er $75,87 miljoen verloren door zogenaamde 'rug pulls', waarbij oplichters een eigen munt creëren, de waarde ervan laten stijgen en vervolgens het geld meenemen en verdwijnen. Beveiligingsbedrijven kunnen trots zijn op deze gestage daling. Het rapport vermeldt ook dat het herstelpercentage indrukwekkend is gestegen, waarbij $215 miljoen van de gestolen crypto terugkwam bij de oorspronkelijke eigenaars, wat overeenkomt met een herstelpercentage van 45,5%. Dit is een aanzienlijke verbetering ten opzichte van het vorige jaar, waarin slechts 8% van de gestolen crypto werd hersteld. Mixers zoals Tornado Cash bemoeilijkten het herstelproces door $113 miljoen aan gestolen tokens te verbergen, waarvan $45,38 miljoen via Tornado Cash werd doorgesluisd.


BlackCat ransomware verspreidt Cobalt Strike via WinSCP-zoekadvertenties

De BlackCat-ransomwaregroep, ook bekend als ALPHV, voert malvertisingcampagnes uit om mensen naar valse pagina's te lokken die de officiële website van de WinSCP-bestandsoverdrachtstoepassing voor Windows nabootsen. In plaats daarvan worden er malware-geïnfecteerde installatieprogramma's verspreid. WinSCP is een populaire gratis en open-source bestandsbeheerder en client voor SFTP, FTP, S3 en SCP met wekelijks 400.000 downloads alleen al op SourceForge. BlackCat gebruikt dit programma als lokaas om de computers van systeembeheerders, webbeheerders en IT-professionals te infecteren en zo toegang te krijgen tot waardevolle bedrijfsnetwerken. De aanval begint wanneer slachtoffers op kwaadaardige zoekadvertenties klikken en een nep-website bezoeken die tutorials over geautomatiseerde bestandsoverdracht met WinSCP biedt. Vervolgens worden ze omgeleid naar een kloon van de officiële WinSCP-website waar ze een schadelijk ISO-bestand downloaden. Dit bestand bevat een malware-druppelaar en een aangepaste versie van Python met een Cobalt Strike-beacon. De aanvallers maken ook gebruik van andere tools, zoals AdFind, PowerShell, AccessChk64 en Python-scripts, om verdere toegang tot het netwerk te verkrijgen en laterale beweging mogelijk te maken. De BlackCat-ransomwaregroep wordt ook geassocieerd met andere ransomware-operaties, zoals Clop.


Cyberaanval verstoort satellietcommunicatie van Russisch leger

Een satellietcommunicatiesysteem dat werd gebruikt door het Russische leger is getroffen door een cyberaanval. De aanval vond plaats op woensdag en had grote gevolgen, vergelijkbaar met een eerdere aanval op een vergelijkbaar systeem dat door Oekraïne werd gebruikt aan het begin van de oorlog tussen de twee landen. Dozor-Teleport, de exploitant van het satellietsysteem, schakelde tijdens de storing sommige gebruikers over naar terrestrische netwerken. Eén netwerk werd overgenomen door het moederbedrijf van Dozor, Amtel-Svyaz, terwijl drie andere netwerken nog steeds niet functioneerden. Ten minste twee groepen hebben de verantwoordelijkheid opgeëist voor de aanval. Een groep noemde zichzelf een "hacktivistische" organisatie, terwijl de andere groep beweerde deel uit te maken van de Wagner Group, een huurlingenorganisatie die vorige week muitte en bijna tot aan Moskou marcheerde. Volgens de hackers hadden ze schadelijke software naar de satellietterminals gestuurd, wat heeft geleid tot een race onder beveiligingsexperts om een terminal te bemachtigen voor testdoeleinden. Hoewel de impact van de storing afhangt van de duur ervan en of de klanten andere betrouwbare en veilige communicatiemiddelen tot hun beschikking hadden, zijn satellietcommunicatiesystemen vaak bedoeld als back-up. Voor militaire eenheden die zich verplaatsen, kan het echter van cruciaal belang zijn. Het is nog onduidelijk wie er precies achter de aanval zit. Eerdere satellietaanvallen zijn zeldzaam en worden nog zeldzamer openbaar gemaakt. De succesvolle aanval op het Viasat-systeem dat door het Oekraïense leger werd gebruikt in februari 2022 wordt gezien als een van de meest effectieve hacks tijdens de oorlog. SpaceX's Starlink-service werd een essentieel alternatief binnen het land en heeft sindsdien meerdere hackingpogingen doorstaan. Deze recente aanval zou kunnen worden toegeschreven aan de Wagner Group, die mogelijk nauw heeft samengewerkt met de Russische militaire inlichtingendienst GRU en zo technieken heeft kunnen overnemen die werden gebruikt bij eerdere hacks. De precieze omstandigheden rondom de aanval blijven echter onduidelijk.


Persoonsgegevens van honderden inwoners Altena mogelijk gestolen door hackers

De persoonsgegevens van 571 inwoners van de gemeente Altena zijn mogelijk in handen gekomen van hackers. Deze gegevens werden verzameld tijdens enquêtes die werden uitgevoerd in opdracht van de Brabantse gemeente. Het datalek vond plaats bij softwareleverancier Nebu B.V. in maart, waarbij hackers toegang kregen tot interne systemen en persoonlijke gegevens van ongeveer twee miljoen Nederlanders hebben gestolen. De hackers konden begin april het computersysteem van de gemeente Altena binnendringen en de persoonsgegevens van de respondenten mogelijk stelen. Het gaat hierbij om informatie zoals namen, adressen, woonplaats, leeftijd en geslacht. De gemeente heeft het beveiligingslek gedicht en heeft maatregelen genomen om herhaling te voorkomen. Het incident is ook gemeld bij de Autoriteit Persoonsgegevens. Gedupeerden worden geadviseerd alert te zijn op phishing en andere vormen van internetoplichting.


Nieuwe proxyjacking-aanvallen genereren inkomsten uit gehackte SSH-servers

Aanvallers voeren momenteel een reeks proxyjacking-aanvallen uit waarbij ze kwetsbare SSH-servers hacken die online worden blootgesteld, om ze te gelde te maken via diensten die betalen voor het delen van ongebruikte internetbandbreedte. Proxyjacking is vergelijkbaar met cryptojacking, waarbij aanvallers gehackte systemen gebruiken om cryptocurrency te delven. Het is een eenvoudige en lucratieve tactiek om gebruik te maken van de bronnen van gecompromitteerde apparaten. Wat proxyjacking moeilijk detecteerbaar maakt, is dat het alleen gebruikmaakt van de ongebruikte bandbreedte van gehackte systemen, zonder de algehele stabiliteit en bruikbaarheid ervan te beïnvloeden. De aanvallers achter deze campagne hebben echter alleen interesse in het verdienen van geld via commerciële proxyware-diensten. Ze maken gebruik van SSH voor externe toegang en draaien kwaadaardige scripts om nietsvermoedende servers in te schakelen in een peer-to-peer-proxy-netwerk, zoals Peer2Proxy of Honeygain. Door ongebruikte bandbreedte van nietsvermoedende slachtoffers te gebruiken, kunnen de aanvallers geld verdienen met een veel kleinere belasting van de middelen dan bij cryptomining het geval zou zijn, met minder kans op ontdekking. Dit soort campagnes is niet uniek en er zijn al vergelijkbare gevallen gerapporteerd. Proxyjacking is een opkomende methode voor cybercriminelen om geld te verdienen aan gecompromitteerde apparaten, zowel in de zakelijke als de consumentenwereld. Het is een sluipend alternatief voor cryptojacking en brengt ernstige gevolgen met zich mee, die de problemen verergeren die gepaard gaan met gelaagde Layer 7-aanvallen. In april werd bijvoorbeeld ontdekt dat proxyjackers de Log4j-kwetsbaarheid gebruikten om toegang te krijgen tot systemen, waarmee ze winst konden maken door elke 100 apparaten toe te voegen aan hun proxyware-botnet.


Gratis Akira-ransomware decryptor helpt bij het herstellen van je bestanden

Cyberbeveiligingsbedrijf Avast heeft een gratis decryptor uitgebracht voor de Akira-ransomware die slachtoffers kan helpen hun gegevens te herstellen zonder geld aan de criminelen te betalen. Akira verscheen voor het eerst in maart 2023 en richtte zich op organisaties wereldwijd in verschillende sectoren. Vanaf juni 2023 begonnen de Akira-operators een Linux-variant van hun encryptor te gebruiken om VMware ESXi virtuele machines aan te vallen, waardoor de blootstelling aan encryptieaanvallen van de groep toenam. Avast's analyse van Akira's encryptiesysteem bevestigt eerdere rapporten en beschrijft dat de malware een symmetrische sleutel gebruikt die wordt gegenereerd door CryptGenRandom. Deze sleutel wordt vervolgens versleuteld door een gebundelde RSA-4096 openbare sleutel en toegevoegd aan het einde van een versleuteld bestand. Doordat alleen de dreigingsactoren de privésleutel voor RSA-ontcijfering bezitten, zou dit moeten voorkomen dat iemand anders de bestanden kan ontcijferen zonder eerst losgeld te betalen. Avast heeft twee versies van de Akira decryptor-software uitgebracht, één voor 64-bit en één voor 32-bit Windows-architecturen. Het beveiligingsbedrijf raadt aan om de 64-bit versie te gebruiken, omdat het kraken van het wachtwoord veel systeemgeheugen vereist. Gebruikers moeten de tool voorzien van een paar bestanden, één versleuteld door Akira en één in de oorspronkelijke plaintext-vorm, zodat de tool de juiste decryptiesleutel kan genereren. Het is belangrijk om een paar bestanden te kiezen die zo groot mogelijk zijn, aangezien de blockgrootteberekening van Akira kan leiden tot aanzienlijke verschillen in de bestandsgrootte, zelfs voor bestanden die slechts één byte verschillen. De grootte van het originele bestand zal ook de bovengrens zijn van een bestand dat door de tool van Avast kan worden ontsleuteld, dus het is cruciaal om het grootst mogelijke bestand te kiezen voor volledig herstel van de gegevens. Avast werkt ook aan een Linux decryptor, maar slachtoffers kunnen voorlopig de Windows-versie gebruiken om bestanden te ontsleutelen die zijn versleuteld in Linux. Dit is een samenvatting van een artikel waarin wordt uitgelegd dat Avast een gratis decryptor heeft uitgebracht voor de Akira-ransomware, waarmee slachtoffers hun gegevens kunnen herstellen zonder losgeld te betalen. Akira is een ransomware-operatie die sinds maart 2023 slachtoffers over de hele wereld heeft getroffen. De decryptor van Avast is beschikbaar voor Windows-gebruikers en er wordt gewerkt aan een versie voor Linux.


CISA waarschuwt voor DDoS-aanvallen na aanvallen op meerdere Amerikaanse organisaties

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft vandaag gewaarschuwd voor aanhoudende distributed denial-of-service (DDoS) aanvallen, nadat Amerikaanse organisaties uit verschillende sectoren werden getroffen. CISA adviseert alle Amerikaanse organisaties om proactieve maatregelen te nemen om de effecten van dergelijke aanvallen te voorkomen of te beperken. Netwerkbeheerders moeten bijvoorbeeld snel firewallregels kunnen toepassen of inkomend kwaadaardig verkeer omleiden via DoS-beschermingsservices om te voorkomen dat aanvallers gerichte online portals of diensten uitschakelen. Internet service providers (ISPs) kunnen ook begeleiding bieden in dergelijke gevallen. CISA werkt samen met de FBI en MS-ISAC om richtlijnen te bieden voor wat organisaties vóór en na een DDoS-aanval moeten doen, inclusief inschrijven bij toegewijde DDoS-beschermingsservices die kwaadaardig verkeer omleiden van de doelwitten. Ze geven ook aanvullende aanbevelingen voor federale civiele uitvoerende tak (FCEB) -instanties en adviseren hen om gebruik te maken van hulpmiddelen van de General Services Administration (GSA), zoals de Managed Security Service (MSS) en de Managed Trusted Internet Protocol Service (MTIPS), om de effecten van DDoS-aanvallen tegen te gaan en de werking van getroffen systemen te herstellen.


TSMC ontkent hack nadat ransomware-bende $70 miljoen eist

Chipfabrikant TSMC (Taiwan Semiconductor Manufacturing Company) heeft ontkend gehackt te zijn nadat de LockBit-ransomware-bende $70 miljoen eiste om gestolen gegevens niet vrij te geven. TSMC, een van 's werelds grootste halfgeleiderfabrikanten, werd geconfronteerd met bedreigingen van een ransomware-aanval door de LockBit-bende, die beweerde toegang te hebben tot systemen en gevoelige informatie. TSMC verklaarde echter dat niet hun eigen systemen, maar die van een IT-hardwareleverancier genaamd Kinmax Technology, waren gehackt. Het bedrijf benadrukte dat de operationele activiteiten en klantinformatie van TSMC niet zijn aangetast. TSMC heeft de samenwerking met de betrokken leverancier beëindigd en blijft zich inzetten voor de beveiliging van haar leveranciers. Het onderzoek naar het incident is nog gaande en de wetshandhaving is erbij betrokken. De ransomware-bende eist een van de hoogste losgeldbedragen tot nu toe, $70 miljoen, maar het is onwaarschijnlijk dat Kinmax aan deze eis zal voldoen, gezien de grootte van het bedrijf.


Ransomwaregroep publiceert gegevens van duizenden gasten Landal Greenparks

De criminelen achter de Clop-ransomware hebben op hun eigen website de gegevens van duizenden gasten van Landal Greenparks gepubliceerd, zo meldt RTL Nieuws. Begin deze maand waarschuwde het vakantiepark twaalfduizend gasten voor een mogelijk datalek nadat criminelen toegang wisten te krijgen tot het MOVEit Transfer-systeem dat wordt gebruikt voor het uitwisselen van gegevens, zo liet een woordvoerder weten. Bij de aanval zijn mogelijk naam, geboortedatum, geslacht, adresgegevens en e-mailadres buitgemaakt, stelde Landal Greenparks in een e-mail aan gasten destijds. Nu blijkt dat er daadwerkelijk data van gasten is gestolen. Het gaat onder andere om namen, adresgegevens, geboortedata, e-mailadressen en reserveringsinformatie van voornamelijk Belgische, Duitse en Nederlandse klanten, aldus RTL. MOVEit Transfer is een applicatie oor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. Door middel van SQL Injection is het mogelijk voor een aanvaller om ongeautoriseerde toegang tot de database van een MOVEit-server te krijgen, om zo vertrouwelijke data te stelen. Daarnaast blijkt dat de aanvallers een webshell op het systeem installeren om zo toegang te behouden. Misbruik van de kwetsbaarheid vindt al plaats voordat een patch beschikbaar was. De aanvallen zijn het werk van de Clop-ransomwaregroep. De criminelen beheren een eigen website waarop ze de namen van slachtoffers plaatsen en dreigen gestolen gegevens openbaar te maken als er geen losgeld wordt betaald. Inmiddels zouden meer dan honderdvijftig organisaties slachtoffer van de groep zijn geworden en gegevens van 16,3 miljoen personen zijn gestolen, aldus beveiligingsonderzoeker Brett Callow.


Criminelen verkopen bandbreedte van slachtoffers via "proxyjacking"

Het gebruik van besmette systemen door criminelen als proxy vindt al lange tijd plaats, maar nu wordt bandbreedte van slachtoffers actief via commerciële diensten verkocht, zo stelt internetbedrijf Akamai dat deze praktijk "proxyjacking" noemt. Op internet zijn verschillende diensten actief zoals Peer2Profit en Honeygain die gebruikers betalen voor het gebruik van hun bandbreedte. De gebruiker installeert software waarmee het systeem onderdeel van het proxynetwerk van de betreffende dienst wordt. Vervolgens kunnen betalende klanten van Peer2Profit en Honeygain hun verkeer via de systemen van gebruikers laten lopen. Volgens Akamai vragen dergelijke diensten niet waar de nieuwe proxynode vandaan komt. Criminelen installeren nu de proxysoftware van deze diensten op gecompromitteerde servers, om zo aan de bandbreedte van deze systemen te verdienen. Akamai stelt dat proxyjacking veel weg heeft van cryptojacking, waarbij de rekenkracht van gecompromitteerde systemen wordt gebruikt voor het minen van cryptovaluta. In tegenstelling tot cryptojacking kan proxyjacking lastiger te detecteren zijn, aangezien de impact niet direct zichtbaar op het besmette systeem is. Om proxyjacking te voorkomen worden algemene beveiligingstips gegeven, zoals het up-to-date houden van systemen en instellen van multifactorauthenticatie.


Samsung-telefoons blootgesteld aan actieve aanvallen

De Amerikaanse overheid meldt actief misbruik van verschillende kwetsbaarheden in smartphones van fabrikant Samsung. Het gaat in totaal om zes beveiligingslekken waar Samsung in 2021 patches voor uitbracht en die in het ergste geval een aanvaller willekeurige code laten uitvoeren. Details over de aanvallen zijn niet door het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bekendgemaakt. Samsung zelf maakt geen melding van aanvallen. Wel blijkt uit de impactscore van de kwetsbaarheden dat een aanvaller vermoedelijk al toegang tot het toestel moet hebben om er misbruik van te kunnen maken. De enige kwetsbaarheid waarvan de impact als "high" is bestempeld is CVE-2021-25487. Voor dit beveiligingslek, waardoor een aanvaller willekeurige code kan uitvoeren, verscheen in oktober 2021 een update. Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste update van de lijst bevat naast de aangevallen Samsung-kwetsbaarheden ook twee aangevallen kwetsbaarheden in routers van D-Link. Amerikaanse federale overheidsinstanties zijn opgedragen de betreffende updates voor 20 juli te installeren.


Nieuwe EarlyRAT-malware ontdekt, gekoppeld aan Noord-Koreaanse cybercriminelen

Beveiligingsanalisten hebben een nieuwe remote access trojan (RAT) ontdekt genaamd 'EarlyRAT'. Deze malware wordt gebruikt door de Noord-Koreaanse hackgroep Andariel, die deel uitmaakt van de Lazarus-groep. Andariel staat bekend om het verzamelen van informatie van gecompromitteerde systemen, zoals browsegeschiedenis en keylogging. De ontdekking van EarlyRAT helpt verdedigers bij het detecteren en stoppen van aanvallen door deze dreigingsgroep. De onderzoekers merken op dat de activiteiten van EarlyRAT waarschijnlijk zijn uitgevoerd door een onervaren operator, gezien het aantal fouten en typefouten. Deze ontwikkeling benadrukt de voortdurende dreiging van Noord-Koreaanse cybercriminelen en het belang van beveiligingsmaatregelen tegen dergelijke aanvallen.


Grote ransomware-aanval op Britse universiteit: Data van 1,1 miljoen patiënten gestolen

Bij een ransomware-aanval op de Universiteit van Manchester is ook een dataset met de informatie van 1,1 miljoen patiënten van tweehonderd ziekenhuizen buitgemaakt, zo meldt de Britse krant The Independent. De universiteit werd eerder deze maand het slachtoffer van een "cyberincident" waarbij gegevens van studenten en afgestuurde studenten werden gestolen. Laatst ontvingen studenten al een e-mail van de aanvallers dat de gestolen gegevens openbaar gemaakt zouden worden als de universiteit het gevraagde losgeld niet betaalde.

Nu stelt The Independent dat ook informatie van traumapatiënten en mensen behandeld na terreuraanvallen, wat voor onderzoeksdoeleinden door de universiteit was verzameld, is gestolen. Uit documenten waar de Britse krant over zegt te beschikken blijkt dat de aanvallers toegang tot de back-upservers hadden. Bij de aanval zou 250 gigabyte aan data zijn buitgemaakt. Het datalek is inmiddels bij de Britse privacytoezichthouder ICO gemeld. Verdere details zijn niet door de universiteit gegeven, zoals hoe de aanval mogelijk was.


Malware-aanval treft Pepsi Bottling Ventures: 28.000 medewerkers slachtoffer van datalek

Bij een malware-aanval op Pepsi Bottling Ventures die eind vorig jaar plaatsvond zijn de persoonsgegevens van 28.000 medewerkers gestolen, zo heeft het bedrijf bekendgemaakt. Pepsi Bottling Ventures is de grootste producent van onder andere Pepsi-Cola, Dr. Pepper, Starbucks en Lipton in Noord-Amerika. Op 10 januari ontdekte het bedrijf ongeautoriseerde activiteit op de it-systemen. Verder onderzoek wees uit dat een aanvaller de systemen op of rond 23 december vorig jaar met malware had geïnfecteerd en gegevens had gedownload. Het gaat om naam, adresgegevens, e-mailadres, rekeninggegevens, waaronder een beperkt aantal wachtwoorden, pincodes of andere toegangsgegevens, identificatienummers, zoals die van rijbewijs en identiteitskaart, social-securitynummers, paspoortinformatie, digitale handtekening en informatie die betrekking heeft op het dienstverband, zoals beperkte medische geschiedenis en gezondheidsclaims. Hoe de aanvaller toegang tot de systemen kon krijgen en om wat voor malware het precies ging is niet bekendgemaakt. Naar aanleiding van de aanval zijn verschillende maatregelen getroffen, waaronder het resetten van alle bedrijfswachtwoorden. Getroffen personen kunnen een jaar lang gratis hun krediet laten monitoren. Het datalek werd eerder dit jaar al door Pepsi Bottling Ventures gemeld, maar in een datalekmelding aan de procureur-generaal van de staat Maine laat het bedrijf weten dat het om 28.000 personen gaat. Een aantal dat in eerste instantie nog niet bekend was. Pepsi Bottling Ventures is een joint venture van PepsiCo en de Suntory Group.


Linux-versie van Akira ransomware richt zich op VMware ESXi-servers

De Akira ransomware-operatie maakt gebruik van een Linux-codering om VMware ESXi virtuele machines te versleutelen in dubbele afpersingsaanvallen tegen bedrijven wereldwijd. Akira werd aanvankelijk ontdekt in maart 2023 en richtte zich op Windows-systemen in verschillende industrieën. De bedreigingsactoren stelen gegevens van gecompromitteerde netwerken en versleutelen bestanden om slachtoffers dubbel af te persen, waarbij ze betalingen van miljoenen dollars eisen. De Linux-versie van Akira is speciaal ontworpen om VMware ESXi-servers aan te vallen en maakt gebruik van aangepaste coderingen. Door zich op ESXi-servers te richten, kan een aanvaller meerdere servers versleutelen die als virtuele machines draaien. De ransomware-codering van Akira richt zich op een breed scala aan bestandsextensies. Helaas is het toevoegen van Linux-ondersteuning een groeiende trend onder ransomwaregroepen, waardoor de dreiging voor organisaties wereldwijd ernstiger wordt. Andere ransomware-operaties die Linux-ransomware-coderingen gebruiken en zich richten op VMware ESXi zijn onder andere Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX en Hive.


Microsoft Teams-storing blokkeert toegang tot web- en desktopclients, cybercriminelen profiteren van situatie

Microsoft onderzoekt een doorlopende storing die klanten belet om toegang te krijgen tot het communicatieplatform van Microsoft Teams via web- en desktopclients. Hoewel de storing aanvankelijk werd erkend als een probleem met de webapp, melden gebruikers nu ook problemen met desktopclients op Linux en macOS. De storing heeft wereldwijd invloed op Teams-gebruikers en sommigen ervaren problemen bij het inloggen op hun accounts. Terwijl Microsoft werkt aan het herstellen van de toegang, maken cybercriminelen mogelijk gebruik van de situatie om kwaadaardige activiteiten uit te voeren. Het is belangrijk voor gebruikers om voorzichtig te zijn en verdachte berichten of links te vermijden tijdens deze storing. Microsoft heeft updates gegeven over de verbeterde beschikbaarheid in verschillende regio's en meldt dat de storing is aangepakt en dat de Teams-service nu weer toegankelijk is.


Cybercriminelen slaan toe bij LetMeSpy

Spywareleverancier LetMeSpy heeft de gegevens van klanten en slachtoffers gelekt, waaronder onderschepte berichten en gespreksgeschiedenis. Het bedrijf biedt een Android-app waarmee het mogelijk is om allerlei informatie te verzamelen van de telefoon waarop de spyware is geïnstalleerd. In een bericht op de eigen website meldt LetMeSpy dat het op 21 juni met een beveiligingsincident te maken heeft gekregen. Daarbij hebben de aanvallers toegang gekregen tot e-mailadressen, telefoonnummers en de inhoud van verzamelde berichten van slachtoffers. LetMeSpy kan de inhoud van sms-berichten onderscheppen en verzamelt de gespreksgeschiedenis van slachtoffers. Gebruikers weten zo met wie het slachtoffer op welke datum heeft gebeld. Vanwege het incident kunnen gebruikers geen gebruik meer van hun account maken. Dit zal pas worden hersteld als de kwetsbaarheid waardoor de aanvallers konden toeslaan is verholpen, aldus de verklaring van de spywareleverancier. Om welk beveiligingslek het gaat is niet bekendgemaakt. Beveiligingsonderzoeker Maia Arson Crimew, die bezig is met onderzoek naar stalkerware, ontving een link naar de gestolen data. Dan blijkt dat het datalek groter is dan de spywareleverancier zelf aangeeft. Naast gespreksgeschiedenis en berichten zijn ook locatiegegevens, ip-adressen, betaalgegevens, gebruikers-ID's en wachtwoordhashes gelekt. De spyware zou op zo'n tienduizend telefoons zijn geïnstalleerd.


Minister blijft hameren op geen losgeld betalen bij ransomware

Organisaties die het slachtoffer worden van ransomware krijgen opnieuw het dringende advies van minister Yesilgöz om geen losgeld te betalen. De minister reageerde op Kamervragen van D66-Kamerlid Dekker-Abdulaziz over cybercrime in Nederland. Het Kamerlid wilde onder andere van de minister weten wat door ransomware getroffen organisaties kunnen doen. Yesilgöz wijst naar het informeren van de Autoriteit Persoonsgegevens en de handelingsperspectieven van het Digital Trust Center en incidentresponseplan van het Nationaal Cyber Security Centrum. "Het dringende advies blijft om geen losgeld te betalen. Het betalen van losgeld biedt geen garantie dat data niet verder zullen worden verhandeld en/of criminelen de systemen weer toegankelijk maken. Bovendien wordt door het betalen van losgeld het criminele verdienmodel in stand gehouden", voegt ze toe. De minister werd ook gevraagd naar een woningcorporatie uit Zwijndrecht die slachtoffer van ransomware werd en losgeld betaalde. "Ik begrijp dat dit slachtoffers in een moeilijke positie plaatst, zeker als cruciale gegevens zijn gestolen. Het advies blijft echter om geen losgeld te betalen. Misdaad mag niet lonen. Het betalen van losgeld houdt het criminele verdienmodel in stand en kan meer criminaliteit stimuleren", laat Yesilgöz daarover weten.

Fonds

Daarnaast vroeg Dekker-Abdulaziz opnieuw naar de mogelijkheid voor het oprichten van een gemeenschappelijk fonds voor ransomwareslachtoffers. Dat fonds zou dan het losgeld betalen voor door ransomware getroffen mkb-bedrijven. De minister had eerder al aangegeven dat ze een dergelijk fonds niet ziet zitten en dat is nog steeds het geval. "Het betalen van losgeld houdt het criminele verdienmodel in stand en kan meer criminaliteit stimuleren. De markt voorziet overigens reeds in cyberverzekeringen voor geleden schade na een ransomware-aanval. Een fonds om losgeld te betalen lijkt niet de juiste weg voorwaarts."

Antwoord Op Vragen Van Het Lid Dekker Abdulaziz Over Het Bericht Ongeveer 2 2 Miljoen Mensen Vorig Jaar Getroffen Door Cybercriminaliteit
Word – 73,9 KB 62 downloads

Ransomware-aanvallen stijgen met 40%, vooral zonder encryptie

Uit onderzoek van Zscaler blijkt dat het aantal ransomware-aanvallen in het afgelopen jaar met 40 procent is gestegen. De belangrijkste oorzaak hiervan zijn de vele Ransomware-as-a-service (RaaS) diensten die worden aangeboden. Opvallend is dat bij steeds meer aanvallen geen encryptie meer wordt toegepast. Cybercriminelen passen hun strategie aan omdat systemen steeds beter beveiligd zijn en detectietools kunnen vaststellen wanneer bestanden worden versleuteld. In plaats daarvan sturen ze bestanden naar een locatie waar ze er toegang toe hebben en chanteren ze bedrijven met de gevonden data. Dit resulteert in een vorm van dubbele afpersing. De Verenigde Staten, Canada, het Verenigd Koninkrijk en Duitsland worden het meest getroffen door ransomware-aanvallen. De opkomst van ransomware-as-a-service diensten en het groeiend aantal ransomware-families dragen bij aan de toename van deze dreiging. Organisaties moeten betere beschermingsmaatregelen nemen, zoals het moderniseren van legacy software en het implementeren van een zero-trust infrastructuur.


8Base ransomware-groep intensiveert dubbele afpersingsaanvallen in juni

De 8Base ransomware-groep heeft sinds het begin van juni wereldwijd organisaties aangevallen met dubbele afpersingsaanvallen. Deze groep is sinds maart 2022 actief, maar heeft in juni 2023 een toename in activiteit gezien, waarbij ze veel bedrijven in verschillende sectoren hebben getroffen. Ze hebben een darkweb-extortiesite gelanceerd en hebben tot nu toe 35 slachtoffers vermeld. De tactieken die ze gebruiken, wijzen erop dat 8Base mogelijk een herbenoeming is van een gevestigde ransomware-organisatie genaamd RansomHouse. Ze maken gebruik van aangepaste versies van de Phobos ransomware en gebruiken het .8base-extensie om versleutelde bestanden aan te duiden. De exacte oorsprong en technische details van 8Base blijven grotendeels onbekend, maar VMware heeft indicatoren van compromissen (IoCs) vrijgegeven om systemen te beschermen tegen deze opkomende dreiging.


Siemens Energy bevestigt datalek na cyberaanval van cybercriminelen

Siemens Energy heeft bevestigd dat er gegevens zijn gestolen tijdens recente ransomware-aanvallen door de cybercriminelen van Clop. De aanvallen maakten gebruik van een zero-day kwetsbaarheid in het MOVEit Transfer-platform. Hoewel er op dit moment nog geen gegevens zijn gelekt, bevestigde Siemens Energy dat ze zijn getroffen door de aanvallen. Het bedrijf beweert echter dat er geen kritieke gegevens zijn gestolen en dat de bedrijfsvoering niet is beïnvloed. Schneider Electric, een andere industriële gigant, wordt ook onderzocht in verband met de aanvallen van Clop. De impact van de aanvallen blijft zich verspreiden, met nieuwe slachtoffers die dagelijks worden onthuld. De aanvallen hebben geleid tot grootschalige gegevenslekken die gevoelige informatie van miljoenen mensen hebben blootgelegd.


Cyberaanval treft federale overheidsdiensten in België: DDoS-aanvallen nemen toe in Europa

Verschillende federale overheidsdiensten in België zijn het doelwit geweest van een cyberaanval, maar deze is inmiddels afgewend, meldt het Centrum voor Cybersecurity België. De aanval, die gericht was op het overbelasten of vertragen van het systeem achter de websites, leidde tot ernstige verstoringen in de online dienstverlening van maandag tot dinsdagmiddag. De aanvallers achter de DDoS-aanval (distributed denial of service) zijn nog niet geïdentificeerd. Volgens Miguel De Bruycker van het Centrum voor Cybersecurity België is de kans dat persoonlijke gegevens zijn gestolen zo goed als onbestaande. Het hoofddoel van de aanval was om de systemen te verstoren. Websites met extensies zoals '.belgie.be', '.belgique.be', '.belgien.be' en '.fgov.be' waren soms moeilijk bereikbaar tijdens de aanval. Deze cyberaanval sluit aan bij een reeks vergelijkbare incidenten in Europa in de afgelopen weken. Er lijkt sprake te zijn van een toename van DDoS-aanvallen. Eerder waren Nederland en Spanje al doelwitten van vergelijkbare aanvallen. Hoewel deze specifieke aanval nog niet is opgeëist, wijst De Bruycker op eerdere aanvallen met een geopolitieke achtergrond, zoals die van de pro-Russische hackersgroep Killnet. Het Centrum voor Cybersecurity België zal een uitgebreide analyse uitvoeren van de aanvallen om te kijken hoe ze in de toekomst kunnen worden voorkomen of op zijn minst de belangrijkste gevolgen ervan kunnen worden vermeden. Gezien de toenemende dreiging van cyberaanvallen is het belangrijk dat overheden en instellingen proactieve maatregelen nemen om hun systemen te beschermen en de veiligheid van gevoelige gegevens te waarborgen.


Persoonsgegevens van apothekers gestolen bij datalek van KNMP

De beroepsvereniging voor apothekers KNMP is getroffen door een datalek, waarbij de persoonsgegevens van apothekers zijn buitgemaakt. Het gaat voornamelijk om het e-mailadres en in beperkte mate naam, adres of geslacht, aldus de KNMP in een e-mail aan getroffen apothekers. Het datalek vond plaats bij een externe partij waar de KNMP gebruik van maakt voor het versturen van nieuwsbrieven. "Wij hebben het beschermen van uw (persoons)gegevens en privacy hoog in het vaandel staan", aldus de datalekmelding. "We betreuren het daarom ten zeerste dat kwaadwillenden er toch in zijn geslaagd toegang te verkrijgen tot de voor de nieuwsbrieven gebruikte (persoons)gegevens." De KNMP heeft het datalek bij de Autoriteit Persoonsgegevens gedaan en zegt aanvullende technische en organisatorische maatregelen te treffen om herhaling te voorkomen. Wat die inhouden is niet bekendgemaakt. Dat geldt ook voor de naam van de gebruikte mailingdienst, alsmede hoe het datalek daar kon plaatsvinden.


Cybercriminelen stelen bankgegevens van gebruikers in de VS, VK met de Anatsa Android-trojan

Sinds maart 2023 heeft een nieuwe mobiele malwarecampagne de Android-banktrojan 'Anatsa' verspreid onder online bankklanten in de Verenigde Staten, het Verenigd Koninkrijk, Duitsland, Oostenrijk en Zwitserland. Onderzoekers van ThreatFabric hebben vastgesteld dat de aanvallers hun kwaadaardige software verspreiden via de officiële Android-appwinkel, de Play Store, en alleen via deze methode al meer dan 30.000 installaties hebben gerealiseerd. De kwaadaardige apps doen zich voor als PDF-viewers, editors en kantoorsuites en worden regelmatig geüpdatet om detectie te voorkomen. Zodra de app is geïnstalleerd op het apparaat van het slachtoffer, verzamelt Anatsa financiële gegevens, zoals bankgegevens en creditcardinformatie, door phishing-pagina's weer te geven wanneer de gebruiker zijn legitieme bank-app opent. Vervolgens voert de trojan frauduleuze transacties uit namens het slachtoffer, waarbij gestolen geld wordt omgezet in cryptocurrency en via een uitgebreid netwerk van "money mules" naar de aanvallers wordt gestuurd. Gebruikers wordt geadviseerd om voorzichtig te zijn bij het installeren van apps, verdachte uitgevers te vermijden en goed de beoordelingen en installaties van apps te controleren. Bovendien wordt aanbevolen om de lijst met pakketnamen en handtekeningen van de kwaadaardige apps in het ThreatFabric-rapport te raadplegen en deze onmiddellijk te verwijderen van Android-apparaten indien geïnstalleerd.


Hackers stelen gegevens van 45.000 studenten in New York City in MOVEit-inbreuk

Het New York City Department of Education (NYC DOE) heeft aangekondigd dat hackers documenten hebben gestolen met gevoelige persoonlijke informatie van maximaal 45.000 studenten van de MOVEit Transfer-server. De beheerde bestandsoverdracht (MFT)-software werd gebruikt om gegevens en documenten veilig over te dragen. De aanvallers maakten misbruik van een beveiligingslek voordat beveiligingsupdates beschikbaar waren. De server is offline gehaald en een intern onderzoek is gaande. Ongeveer 19.000 documenten zijn zonder toestemming geopend, waarbij socialezekerheidsnummers en ID-nummers van werknemers zijn aangetast. De FBI onderzoekt de inbreuk, die ook andere entiteiten heeft getroffen. De Clop ransomware-bende heeft verantwoordelijkheid opgeëist voor de aanvallen op MOVEit Transfer. Andere organisaties zijn ook getroffen door deze datadiefstalcampagne.


Petro-Canada gasstations getroffen door cyberaanval; klanten kunnen niet betalen

Petro-Canada-gasstations in heel Canada ondervinden technische problemen als gevolg van een cyberaanval op het moederbedrijf, Suncor Energy. Klanten kunnen momenteel niet betalen met creditcards of beloningspunten. Suncor Energy heeft maatregelen genomen om de aanval te verzachten en heeft de autoriteiten op de hoogte gesteld. Het is nog niet bekend welk type cyberbeveiligingsincident heeft plaatsgevonden. Petro-Canada heeft ook storingen gemeld bij het inloggen op accounts via de app of website, evenals het onvermogen om punten te verdienen bij tanken. De situatie lijkt ernstiger te zijn dan aanvankelijk gedacht, met meldingen dat betalingen alleen contant worden geaccepteerd. BleepingComputer heeft contact opgenomen met Suncor Energy en Petro-Canada voor meer informatie over het incident en de service-uitval.


KNMP waarschuwt voor mogelijk datalek en roept op tot waakzaamheid tegen cybercriminelen

De Koninklijke Nederlandse Maatschappij ter bevordering der Pharmacie (KNMP) heeft duizenden leden gewaarschuwd dat hun privégegevens mogelijk in verkeerde handen zijn beland. Hackers zijn erin geslaagd toegang te krijgen tot het mailingsysteem voor nieuwsbrieven, waardoor ze e-mailadressen van abonnees en in sommige gevallen ook namen, woonadressen en geslacht hebben verkregen. De KNMP benadrukt dat de daders geen toegang hadden tot inlog-, betaal- of gezondheidsgegevens. Desondanks waarschuwt de organisatie voor oplichtingstrucs door cybercriminelen, zoals helpdeskfraude en phishing. Het aantal slachtoffers van het datalek is nog onbekend. De KNMP heeft het datalek gemeld bij de Autoriteit Persoonsgegevens en aangifte gedaan bij de politie. Ze roepen lezers op om alert te zijn en voorzorgsmaatregelen te nemen om zichzelf te beschermen tegen mogelijke oplichtingspraktijken.


Cyberaanvallers maken gebruik van kritiek beveiligingslek in Zyxel NAS-apparaten

De Amerikaanse autoriteiten melden actief misbruik van een kritieke kwetsbaarheid in NAS-apparaten van fabrikant Zyxel. Een beveiligingsupdate verscheen op 20 juni. Nog geen drie dagen later werd het eerste misbruik al waargenomen, aldus het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Dat heeft federale overheidsinstanties die met Zyxel NAS-apparaten werken opgeroepen om de update voor 14 juli te installeren. De kwetsbaarheid in de NAS-apparaten, aangeduid als CVE-2023-27992, maakt "pre-authentication command injection" mogelijk, waardoor een aanvaller systeemcommando's op het NAS-apparaat kan uitvoeren, waarbij inloggegevens niet zijn vereist. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het probleem is aanwezig in de Zyxel NAS326, NAS540 en NAS542. Voor deze modellen is versie 5.21 van de firmware verschenen. De kwetsbaarheid werd door drie verschillende partijen aan Zyxel gerapporteerd. Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste update van de lijst bevat onder andere CVE-2023-27992. Het CISA heeft echter geen details over de aanvallen gegeven.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


April 2024
Maart 2024