Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
De wereld van cyberbeveiliging heeft een tumultueuze week achter de rug. De afgelopen zeven dagen zijn we getuige geweest van een reeks cyberaanvallen die hebben geleid tot ernstige gevolgen voor verschillende bedrijven en diensten over de hele wereld. Zo werden statiegeldautomaten in Nederland tijdelijk buiten gebruik gesteld door een cyberaanval en werd het gerenommeerde cosmeticabedrijf Estée Lauder het slachtoffer van ransomware-aanvallen door ALPHV/BlackCat en Clop. Op de blockchain en cryptocurrency markt was er eveneens onrust, waarbij de Lazarus-hackgroep ontwikkelaars op GitHub aanviel.
Daarnaast bleek uit de recente berichtgeving dat NetScaler-servers sinds juni zijn geïnfecteerd met webshells door cybercriminelen en dat aanvallers toegang hebben weten te krijgen tot diverse clouddiensten door een gestolen Microsoft-sleutel. Dit werd verder verergerd door de explosieve stijging van Mallox-ransomware gericht op Windows en een kritieke kwetsbaarheid die meer dan 15.000 Citrix-servers bedreigt. Desondanks was er ook enig positief nieuws: volgens Coveware betalen steeds minder organisaties losgeld aan ransomware-criminelen.
Hieronder vindt u een gedetailleerd overzicht van de cyberaanvallen van de afgelopen week, waarin we elk incident in meer detail zullen onderzoeken.
Week overzicht slachtoffers
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb ↑ |
|---|---|---|---|---|---|
| Stephen F. Austin State University | Rhysida | www.sfasu.edu | USA | Educational Services | 23-jul.-23 |
| Exbon Development, Inc | 8BASE | www.exbon.com | USA | Construction | 23-jul.-23 |
| THE COLLINS LAW FIRM | BlackCat (ALPHV) | www.collinslaw.com | USA | Legal Services | 23-jul.-23 |
| Jackson Township Administration | D0N#T (Donut Leaks) | jacksontwp.com | USA | General Government | 23-jul.-23 |
| Jackson Township Police Department | D0N#T (Donut Leaks) | jacksontwp.com | USA | Justice, Public Order, And Safety | 23-jul.-23 |
| championgse.com | LockBit | championgse.com | USA | Machinery, Computer Equipment | 23-jul.-23 |
| Pechexport | Cyclops | pechexport.mg | Madagascar | Fishing | 23-jul.-23 |
| Cvlan | Cyclops | www.cvlan.it | Italy | IT Services | 23-jul.-23 |
| Sun Pain Management | Medusa | sunpainmanagement.com | USA | Health Services | 23-jul.-23 |
| Cafe Britt | Medusa | www.cafebritt.com | Costa Rica | Food Products | 23-jul.-23 |
| Samson Electric | PLAY | www.sei-ak.com | USA | Engineering Services | 22-jul.-23 |
| Chan and Associates | 8BASE | chanandassociates.ca | Canada | Accounting Services | 22-jul.-23 |
| Siden & Associates | MONTI | www.sidenlaw.com | USA | Legal Services | 22-jul.-23 |
| Hungarian Investment Promotion Agency | MONTI | hipa.hu | Hungary | Business Services | 22-jul.-23 |
| Bartlett | Black Basta | www.bartlettny.com | USA | Food Stores | 22-jul.-23 |
| Caterham High School | Rhysida | www.ecaterham.net | UK | Educational Services | 21-jul.-23 |
| Azimut.it | BlackCat (ALPHV) | www.azimut.it | Italy | Holding And Other Investment Offices | 21-jul.-23 |
| CORDELL | BlackCat (ALPHV) | cordellcordell.com | USA | Legal Services | 21-jul.-23 |
| Hirsch Bedner Associates | BlackCat (ALPHV) | hba.com | Singapore | Miscellaneous Services | 21-jul.-23 |
| Yamaha Canada Music Ltd | Akira | yamaha.com | Japan | Miscellaneous Manufacturing Industries | 21-jul.-23 |
| Alberto Couto Alves | Cactus | www.albertocoutoalves.pt | Portugal | Construction | 21-jul.-23 |
| Agoravita | Cactus | www.agoravita.com | France | IT Services | 21-jul.-23 |
| American Meteorological Society | Cactus | www.ametsoc.org | USA | Membership Organizations | 21-jul.-23 |
| Biocair International | Cactus | www.biocair.com | UK | Transportation Services | 21-jul.-23 |
| Confartigianato Federimpresa FC | Cactus | www.confartigianatofc.it | Italy | Security And Commodity Brokers, Dealers, Exchanges, And Services | 21-jul.-23 |
| ScanSource | Cactus | www.scansource.com | USA | IT Services | 21-jul.-23 |
| CWS | Cactus | www.cws.it | Italy | IT Services | 21-jul.-23 |
| Hawa Sliding Solutions | Cactus | www.hawa.com | Switzerland | Furniture | 21-jul.-23 |
| Imagination | Cactus | www.imagination.com | UK | Business Services | 21-jul.-23 |
| Italkraft | Cactus | www.italkraft.com | USA | Construction | 21-jul.-23 |
| Michigan Production Machining | Cactus | www.michpro.com | USA | Machinery, Computer Equipment | 21-jul.-23 |
| Novobit | Cactus | www.novobit.ch | Switzerland | Electronic, Electrical Equipment, Components | 21-jul.-23 |
| Artemide | Cactus | www.artemide.com | Italy | Home Furniture, Furnishings, And Equipment Stores | 21-jul.-23 |
| Reyes Automotive Group | Cactus | www.reyesautomotivegroup.com | USA | Transportation Equipment | 21-jul.-23 |
| Rotomail Italia SpA | Cactus | www.rotomail.it | Italy | Publishing, printing | 21-jul.-23 |
| Phoenix Taxis | Cactus | www.phoenixtaxis.net | UK | Passenger Transportation | 21-jul.-23 |
| Wasserstrom | Cactus | www.wasserstrom.com | USA | Wholesale Trade-non-durable Goods | 21-jul.-23 |
| Americold | Cactus | www.americold.com | USA | Motor Freight Transportation | 21-jul.-23 |
| Bright Future Electric, LLC | Akira | brightfutureelectric.com | USA | Engineering Services | 20-jul.-23 |
| www.coriniumcarpets.co.uk | NoEscape | www.coriniumcarpets.co.uk | UK | Building Materials, Hardware, Garden Supply, And Mobile Home Dealers | 20-jul.-23 |
| Campbell Killin Brittan & Ray LLC | BlackCat (ALPHV) | www.ckbrlaw.com | USA | Legal Services | 20-jul.-23 |
| Entegra | BlackCat (ALPHV) | www.entegrasolutions.com | USA | Oil, Gas | 20-jul.-23 |
| cityserve-mech.co.uk | LockBit | cityserve-mech.co.uk | UK | Engineering Services | 20-jul.-23 |
| Hightway Care | BianLian | highwaycare.com | UK | Construction | 20-jul.-23 |
| Magnolia Steel | BianLian | magnoliasteel.com | USA | Metal Industries | 20-jul.-23 |
| New Braunfels Cardiology | BianLian | nbcardio.com | USA | Health Services | 20-jul.-23 |
| Kensington Publishing | PLAY | www.kensingtonbooks.com | USA | Publishing, printing | 19-jul.-23 |
| Fernmoor Homes | PLAY | www.fernmoorhomes.com | USA | Construction | 19-jul.-23 |
| ECS Technology Group | PLAY | www.ecstechgroup.com | USA | IT Services | 19-jul.-23 |
| Anesco Ltd | 8BASE | anesco.com | UK | Electrical | 19-jul.-23 |
| Woodbine Hospitality | PLAY | www.woodbinehospitality.com | USA | Lodging Places | 19-jul.-23 |
| Sea Force IX | PLAY | www.seaforceboats.com | USA | Amusement And Recreation Services | 19-jul.-23 |
| Centennial Management | PLAY | www.centennialinvestments.com | USA | Holding And Other Investment Offices | 19-jul.-23 |
| Braintree Public Schools | Royal | www.braintreeschools.org | USA | Educational Services | 19-jul.-23 |
| R***** ********** ******* | BianLian | Unknown | USA | IT Services | 19-jul.-23 |
| Undisclosed Aerospace Company | BianLian | Unknown | Unknown | Aerospace | 19-jul.-23 |
| obeidpartners.com | LockBit | obeidpartners.com | Lebanon | Legal Services | 19-jul.-23 |
| DMA.US | CL0P | dma.us | USA | IT Services | 19-jul.-23 |
| VENTIVTECH.COM | CL0P | ventivtech.com | USA | IT Services | 19-jul.-23 |
| BLUEFIN.COM | CL0P | bluefin.com | USA | IT Services | 19-jul.-23 |
| ESTEELAUDER.COM | CL0P | esteelauder.com | USA | Chemical Producers | 19-jul.-23 |
| OFCOM.ORG.UK | CL0P | ofcom.org.uk | UK | Communications | 19-jul.-23 |
| ALLEGIANTAIR.COM | CL0P | allegiantair.com | USA | Transportation By Air | 19-jul.-23 |
| ITT.COM | CL0P | itt.com | USA | Machinery, Computer Equipment | 19-jul.-23 |
| SMC3.COM | CL0P | smc3.com | USA | IT Services | 19-jul.-23 |
| COMREG.IE | CL0P | comreg.ie | Ireland | Transportation Services | 19-jul.-23 |
| JONASFITNESS.COM | CL0P | jonasfitness.com | USA | IT Services | 19-jul.-23 |
| AA.COM | CL0P | aa.com | USA | Transportation By Air | 19-jul.-23 |
| EA SMITH | BlackCat (ALPHV) | www.smith.no | Norway | Wholesale Trade-durable Goods | 19-jul.-23 |
| VOG | BlackCat (ALPHV) | www.vog.it | Italy | Agriculture | 19-jul.-23 |
| The Estée Lauder Companies | BlackCat (ALPHV) | www.elcompanies.com | USA | Chemical Producers | 18-jul.-23 |
| DTD Express | Medusa | www.dtdexpress.co.uk | UK | Transportation By Air | 18-jul.-23 |
| KUITS | BlackCat (ALPHV) | www.kuits.com | UK | Legal Services | 18-jul.-23 |
| Tampa general hospital | Snatch | tgh.org | USA | Health Services | 18-jul.-23 |
| www.acomen.fr | NoEscape | www.acomen.fr | France | Health Services | 18-jul.-23 |
| www.girardini.it | NoEscape | www.girardini.it | Italy | Metal Industries | 18-jul.-23 |
| Health Springs Medical Center | Medusa | Unknown | USA | Health Services | 18-jul.-23 |
| Nini Collection Ltd (Nini's Jewels) | Medusa | ninijewels.com | USA | Apparel And Accessory Stores | 18-jul.-23 |
| cotrelec.com | LockBit | cotrelec.com | France | Electric, Gas, And Sanitary Services | 18-jul.-23 |
| berg-life.com | LockBit | berg-life.com | Tunisia | Chemical Producers | 18-jul.-23 |
| lfcaire.org | LockBit | lfcaire.org | Egypt | Educational Services | 18-jul.-23 |
| suninsurance.com.fj | LockBit | suninsurance.com.fj | Fiji | Insurance Carriers | 18-jul.-23 |
| ope.com.na | LockBit | ope.com.na | Namibia | Electric, Gas, And Sanitary Services | 18-jul.-23 |
| dixiesfed.com | LockBit | dixiesfed.com | USA | Depository Institutions | 18-jul.-23 |
| flexity.com | LockBit | flexity.com | Canada | IT Services | 18-jul.-23 |
| academia21.com | LockBit | academia21.com | Australia | Educational Services | 18-jul.-23 |
| CashCall, Inc. | 8BASE | www.cashcall.com | USA | Non-depository Institutions | 18-jul.-23 |
| Lenders Choice Escrow | 8BASE | lenderschoiceescrow.com | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 18-jul.-23 |
| SettleIt, Inc. | 8BASE | settleit.com | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 18-jul.-23 |
| The Loan Exchange | 8BASE | www.theloanexchange.com | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 18-jul.-23 |
| Ocean Breeze Ranch | 8BASE | www.oceanbreezeranch.com | USA | Miscellaneous Services | 18-jul.-23 |
| Servicing Solutions | 8BASE | www.servicingsolutions.com | USA | Non-depository Institutions | 18-jul.-23 |
| RCI.COM | CL0P | rci.com | USA | Miscellaneous Services | 18-jul.-23 |
| SIERRAWIRELESS.COM | CL0P | sierrawireless.com | Canada | Communications | 18-jul.-23 |
| COMPUCOM.COM | CL0P | compucom.com | USA | IT Services | 18-jul.-23 |
| CFINS.COM | CL0P | cfins.com | USA | Insurance Carriers | 18-jul.-23 |
| DESMI.COM | CL0P | desmi.com | Denmark | Machinery, Computer Equipment | 18-jul.-23 |
| FMGL.COM.AU | CL0P | fmgl.com.au | Australia | Mining | 18-jul.-23 |
| VALMET.COM | CL0P | valmet.com | Finland | Machinery, Computer Equipment | 18-jul.-23 |
| VITESCO-TECHNOLOGIES.COM | CL0P | vitesco-technologies.com | Germany | Transportation Equipment | 18-jul.-23 |
| TJX.COM | CL0P | tjx.com | USA | Apparel And Accessory Stores | 18-jul.-23 |
| Seasia Infotech | Snatch | seasiainfotech.com | India | IT Services | 18-jul.-23 |
| Ningbo Joyson Electronic Corp. | Snatch | joyson.cn | China | Transportation Equipment | 18-jul.-23 |
| Wasserstrom | Snatch | www.wasserstrom.com | USA | Wholesale Trade-non-durable Goods | 18-jul.-23 |
| Senior Sistemas | STORMOUS | www.senior.com.br | Brazil | IT Services | 17-jul.-23 |
| Cavanaugh, Biggs & Lemon P.A., Attorneys at Law | BlackCat (ALPHV) | cavlem.com | USA | Legal Services | 17-jul.-23 |
| hopetech.com | LockBit | hopetech.com | USA | Transportation Equipment | 17-jul.-23 |
| johnreilly.co.uk | LockBit | johnreilly.co.uk | UK | Construction | 17-jul.-23 |
| Citta Nuova | Rhysida | www.cittanuova.it | Italy | Publishing, printing | 17-jul.-23 |
| Venture Drilling Supply | 8BASE | www.venturedrillingsupply.com | USA | Mining | 17-jul.-23 |
| THENOTABLEFRONTIER.COM | CL0P | www.thenotablefrontier.com | Malaysia | IT Services | 17-jul.-23 |
| GRACE.COM | CL0P | grace.com | USA | Chemical Producers | 17-jul.-23 |
| PRGX.COM | CL0P | prgx.com | USA | IT Services | 17-jul.-23 |
| HESS.COM | CL0P | hess.com | USA | Oil, Gas | 17-jul.-23 |
| MYCWT.COM | CL0P | mycwt.com | USA | Business Services | 17-jul.-23 |
| SCHNABEL-ENG.COM | CL0P | schnabel-eng.com | USA | Construction | 17-jul.-23 |
| ARIETISHEALTH.COM | CL0P | arietishealth.com | USA | Health Services | 17-jul.-23 |
| PINNACLETPA.COM | CL0P | pinnacletpa.com | USA | Insurance Carriers | 17-jul.-23 |
| REPSOLSINOPECUK.COM | CL0P | repsolsinopecuk.com | UK | Oil, Gas | 17-jul.-23 |
| JTI.COM | CL0P | jti.com | Switzerland | Miscellaneous Manufacturing Industries | 17-jul.-23 |
Slachtoffers Belgie en Nederland
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb ↑ |
|---|
In samenwerking met DarkTracer
Cyberaanvallen nieuws
24-juli-2023 om 11:06
Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Kritieke kwetsbaarheid bedreigt meer dan 15.000 Citrix-servers
Meer dan 15.000 Citrix Netscaler ADC- en Gateway-servers die online toegankelijk zijn, blijken waarschijnlijk kwetsbaar te zijn voor een kritieke externe code-uitvoeringsfout (RCE). Deze fout, bekend als CVE-2023-3519, wordt uitgebuit door niet-geverifieerde aanvallers als een zogenoemde 'zero-day'. Het beveiligingsonderzoeksteam van de non-profitorganisatie Shadowserver Foundation identificeerde deze kwetsbare apparaten op basis van hun versie-informatie. Citrix heeft op 18 juli beveiligingsupdates uitgebracht om deze RCE-kwetsbaarheid aan te pakken. Het bedrijf drong er bij klanten op aan deze patches zo snel mogelijk te installeren, aangezien de kwetsbaarheid al is uitgebuit. Niet-gepatchte Netscaler-apparaten die als gateway of virtuele authenticatieserver zijn geconfigureerd, blijken vooral kwetsbaar voor aanvallen. In de eerste week van juli werd deze 'zero-day' waarschijnlijk online beschikbaar toen een dreigingsacteur begon te adverteren met Citrix ADC 'zero-day' op een hackersforum. Het Cybersecurity and Infrastructure Security Agency (CISA) heeft federale agentschappen in de VS opgedragen hun Citrix-servers tegen aanhoudende aanvallen te beveiligen. De kwetsbaarheid is al uitgebuit om de systemen van een kritieke Amerikaanse infrastructuurorganisatie te doorbreken. (Bron, bron2, bron3)
Update on CVE-2023-3519 vulnerable IPs: we now tag 15K Citrix IPs as vulnerable to CVE-2023-3519. We extended the tagging logic to tag as vulnerable all that return Last Modified headers with a date before July 1, 2023 00:00:00Z. We also improved NetScaler AAA detection coverage. https://t.co/xvHv4r5e8g pic.twitter.com/jd1shpdXjF
— Shadowserver (@Shadowserver) July 21, 2023
We tag all IPs where we see a version hash in a Citrix instance. This is due fact that Citrix has removed version hash information in recent revisions. Thus safe to assume in our view all instances that still provide version hashes have not been updated and may be vulnerable.
— Shadowserver (@Shadowserver) July 20, 2023
Explosieve stijging Mallox-ransomware gericht op Windows
De ransomwaregroep Mallox is de laatste tijd in opkomst en heeft een enorme toename van bijna 174 procent in aanvallen op Windows-systemen gezien in vergelijking met het voorgaande jaar. Dit blijkt uit gegevens van Palo Alto Networks. Mallox maakt gebruik van onbeveiligde Microsoft SQL-servers om ransomware te verspreiden. De ransomware is sinds juni 2021 actief en blijft zoeken naar manieren om netwerken te compromitteren. Palo Alto Networks heeft tactieken zoals brute forcing, data-exfiltratie en netwerkscanners opgemerkt. De werking van de Mallox-ransomware omvat een dubbele afpersingstactiek. Hierbij wordt de data niet alleen versleuteld, maar ook gestolen, waarna er gedreigd wordt met het lekken van de gegevens. Deze tactiek is bedoeld om slachtoffers te dwingen het gevraagde losgeld te betalen. De groep achter Mallox stuurt slachtoffers een private key om communicatie mogelijk te maken, zodat er eventueel onderhandeld kan worden over de voorwaarden en betaling. Volgens de hackersgroepering zijn er al honderden slachtoffers. Hoewel Palo Alto Networks heeft opgemerkt dat het onduidelijk is hoeveel slachtoffers er werkelijk zijn, heeft het securitybedrijf een aanzienlijke schatting kunnen maken op basis van gegevens uit open threat intel-bronnen. De Mallox-aanvallen zijn met 174 procent gestegen. Vorig jaar was er vooral in december een piek in Mallox-activiteiten te zien. Daarna nam het aantal aanvallen af, maar in de laatste maanden lijkt het weer toe te nemen. Het is van groot belang dat Windows-gebruikers zich bewust zijn van deze dreiging en de nodige maatregelen nemen om hun systemen te beschermen tegen deze geavanceerde ransomware-aanvallen. Het is essentieel om Microsoft SQL-servers te beveiligen en te zorgen voor een robuuste beveiliging van netwerken om het risico op infectie te minimaliseren. (Bron)
Aanvallers krijgen toegang tot diverse clouddiensten door gestolen Microsoft key, zegt securitybedrijf Wiz
Een gestolen signing key van Microsoft, waarmee aanvallers toegang kregen tot de e-mails van overheden en andere klanten die van Outlook.com en Exchange Online gebruikmaken, bood toegang tot veel meer clouddiensten van het techbedrijf en partners, zo stelt securitybedrijf Wiz. Het gaat om verschillende Azure Active Directory applicaties, waaronder die authenticatie via een persoonlijk account ondersteunen, zoals SharePoint, Teams, OneDrive en applicaties van derde partijen waar gebruikers door middel van "login met Microsoft" kunnen inloggen, alsmede "multi-tenant applicaties" in bepaalde situaties. De gestolen signing key maakte het mogelijk voor aanvallers om tokens te vervalsen waarmee er toegang tot accounts kon worden gekregen die bij Outlook.com en Exchange Online worden gehost, aldus Microsoft. Het techbedrijf heeft nog altijd niet bekendgemaakt hoe de signing key kon worden gestolen. Daarnaast zouden er twee kwetsbaarheden in het proces voor het verifiëren van tokens zijn misbruikt, maar ook hierover zijn nog geen details verschenen. Volgens Wiz is de impact veel groter dan Microsoft doet voorkomen, omdat de gestolen signing key toegang tot veel meer diensten bood. Organisaties zouden daarom misbruik van de gestolen key in hun omgeving moeten controleren. "We denken dat de gestolen key een private key was bedoeld voor Microsofts MSA tenant in Azure, en ook OpenID v2.0 tokens voor meerdere soorten Azure Active Directory applicaties kon signeren", aldus het securitybedrijf. "De signing keys van een identiteitsprovider zijn waarschijnlijk de krachtigste geheimen in de moderne wereld", stelt onderzoeker Shir Tamari. "Met de keys van een identiteitsprovider kan er meteen toegang tot alles worden verkregen, elke mailbox, bestandsdienst of cloudaccount." Tamari vermoedt dat de aanval gevolgen zal hebben voor het vertrouwen in de cloud en de volledige omvang van het incident lastig te bepalen is, aangezien miljoenen applicaties risico liepen. Het gaat zowel om Microsofts eigen apps als die van klanten en de meeste daarvan hebben onvoldoende logging om te bepalen of ze zijn gecompromitteerd, aldus de onderzoeker. Afsluitend bedankt Tamari Microsoft, dat meewerkte aan de analyse van het securitybedrijf om te controleren dat alles klopte.
Steeds minder organisaties betalen losgeld aan ransomware-criminelen volgens Coveware
Steeds minder organisaties die het slachtoffer worden van ransomware betalen het losgeld dat de criminelen vragen, zo stelt securitybedrijf Coveware. Volgens het securitybedrijf werd er in het eerste kwartaal van 2019 nog bij 85 procent van de ransomware-aanvallen losgeld betaald. Dat percentage daalde in het tweede kwartaal van dit jaar naar 34 procent. Ook bij aanvallen waarbij alleen gegevens worden gestolen, om slachtoffers daarmee af te persen, is een afname volgens Coveware zichtbaar. Betaalde in het eerste kwartaal van 2022 iets meer dan de helft van de slachtoffers losgeld om te voorkomen dat gestolen data werd gepubliceerd, dat daalde in het tweede kwartaal van dit jaar naar 29 procent. In een reactie op de dalende bereidheid van slachtoffers om te betalen zijn aanvallers meer losgeld per slachtoffer gaan vragen. Het gaat onder andere om de criminelen achter de Clop-ransomware. De Clop-groep zat achter de wereldwijde aanval op servers waarop MOVEit Transfer draait. MOVEit Transfer is een applicatie voor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. Via een zerodaylek konden de aanvallers toegang tot data op de servers krijgen en die stelen. De groep dreigt gestolen data openbaar te maken als slachtoffers geen losgeld betalen. Volgens Coveware zijn mogelijk duizend organisaties slachtoffer geworden en zou de Clop-groep tussen de 75 miljoen en 100 miljoen dollar losgeld hebben ontvangen. Dit is echter niet gebaseerd op daadwerkelijke betalingen aan de wallets van de aanvallers, waardoor het bedrag dat het securitybedrijf noemt slechts een schatting is. Ook is onduidelijk hoeveel slachtoffers er daadwerkelijk zijn van de MOVEit-aanvallen. Beveiligingsonderzoeker Brett Callow van antivirusbedrijf Emsisoft houdt het aantal meldingen van getroffen organisaties bij. De teller staat inmiddels op 384 organisaties, waarbij de gegevens van meer dan twintig miljoen personen zijn gestolen. Het werkelijke aantal gestolen gegevens ligt vermoedelijke hoger, omdat slechts 66 getroffen organisaties bekend hebben gemaakt van hoeveel mensen er gegevens zijn gestolen.
Note that the >20 million comes from only 66 disclosures, with the remainder of the 384 known #MOVEit victims yet to disclose how may people were affected. Stats in the link. 2/2https://t.co/arBxCcQ8Yf
— Brett Callow (@BrettCallow) July 20, 2023
NetScaler-servers geïnfecteerd met webshells door cybercriminelen sinds juni
Aanvallers hebben sinds juni misbruik gemaakt van een zerodaylek in NetScaler ADC (voorheen Citrix ADC) en NetScaler Gateway (voorheen Citrix Gateway), zo laat het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security weten. Een organisatie in de vitale infrastructuur was het doelwit. Citrix kwam op 18 juli met beveiligingsupdates voor de kwetsbaarheid, die een ongeauthenticeerde aanvaller willekeurige code op de servers laat uitvoeren. NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. De luxere versies bieden ook bescherming tegen dos-aanvallen en een webapplicatiefirewall. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. Waarbij de NetScaler ADC een apart apparaat is, is de Gateway een softwareoplossing die organisaties op een server moeten installeren. Volgens het CISA hebben aanvallers via het zerodaylek webshells op NetScaler-servers geïnstalleerd, waarmee het mogelijk is om toegang tot de server te behouden en verdere aanvallen uit te voeren. In juni werd een niet nader genoemde Amerikaanse organisatie in de vitale infrastructuur via de zeroday aanvallen. De aanvallers installeerden een webshell waarmee ze informatie over de Active Directory van de aangevallen organisaties verzamelde, waarna geprobeerd werd om lateraal naar een domain controller te bewegen. Bij de waargenomen aanval mislukte dit vanwege netwerksegmentatie, aldus het CISA. De Amerikaanse overheidsinstantie heeft nu details vrijgegeven waarmee organisaties kunnen controleren of hun NetScaler-servers zijn gecompromitteerd.
Lazarus-hackgroep valt ontwikkelaars aan in blockchain en cryptocurrency op GitHub
GitHub waarschuwt voor een social engineering-campagne van deLazarus-hackgroep, die zich richt op ontwikkelaars in de blockchain-, cryptocurrency-, online gok- en cybersecurity-sectoren om hun apparaten met malware te infecteren. De hackgroep staat bekend om het richten van cryptocurrency-bedrijven en cybersecurity-onderzoekers om cryptocurrency te stelen. In deze campagne maken ze gebruik van neppersonages op GitHub en sociale media om ontwikkelaars te benaderen. Na het opbouwen van vertrouwen, nodigen ze doelwitten uit om samen te werken aan een project met kwaadaardige NPM-afhankelijkheden. Deze afhankelijkheden downloaden verdere malware naar de apparaten van de doelen. GitHub heeft alle betrokken accounts opgeschort en benadrukt dat hun eigen systemen niet zijn aangetast. De campagne lijkt vergelijkbaar met eerdere aanvallen van de Lazarus-groep op beveiligingsonderzoekers en werknemers van defensiebedrijven. (Bron, bron2, bron3, bron4, bron5)
Nieuwe P2PInfect-wormmalware richt zich op Linux- en Windows Redis-servers
Beveiligingsonderzoekers hebben eerder deze maand een nieuwe peer-to-peer (P2P) malware ontdekt met zelfverspreidende mogelijkheden, gericht op Redis-instances die draaien op internet blootgestelde Windows- en Linux-systemen. De worm, genaamd P2PInfect, benut de CVE-2022-0543 Lua sandbox-ontsnappingskwetsbaarheid in Redis-servers om zichzelf te verspreiden. Hoewel er in de afgelopen twee weken ongeveer 307.000 Redis-servers op het internet zijn ontdekt, zijn slechts 934 gevallen potentieel kwetsbaar voor deze malware. Ondanks dit aantal zullen de wormen zich blijven richten op en proberen deze systemen in gevaar te brengen. P2PInfect benut de CVE-2022-0543-fout om externe code-uitvoeringsmogelijkheden te verkrijgen. Zodra het is geïnstalleerd, creëert het een peer-to-peer communicatiekanaal binnen een groter verbonden systeem en downloadt het extra kwaadaardige binaire bestanden, inclusief scantools om andere blootgestelde Redis-servers te vinden. De onderzoekers geloven dat deze P2PInfect-campagne de eerste fase is van een potentieel krachtigere aanval die gebruik maakt van een robuust P2P-commando- en controle (C2)-netwerk. Redis-servers zijn door de jaren heen vaak het doelwit geweest van bedreigende actoren, zoals DDoS- en cryptojacking botnets. Om de kwetsbaarheid te verhelpen, wordt aanbevolen dat Redis-serverbeheerders de officiële distributies van Redis gebruiken, aangezien de standaardconfiguratie van Redis geen toegangscontrolemechanisme heeft. Redis Enterprise-software wordt als veilig beschouwd, omdat het een geharde versie van de Lua-module bevat die niet vatbaar is voor CVE-2022-0543. (Bron, bron2)
Chinese hackers van APT41 richten zich op Android-gebruikers met WyrmSpy en DragonEgg-spyware
De Chinese door de staat gesteunde hackgroep APT41 heeft Android-apparaten in het vizier met twee nieuwe spyware-strengen genaamd WyrmSpy en DragonEgg, ontdekt door Lookout security-onderzoekers. APT41 staat bekend om cyberspionage-operaties tegen verschillende sectoren, waaronder softwareontwikkeling, hardwareproductie, denktanks, telco's, universiteiten en buitenlandse overheden. Beide Android-malware-stammen, WyrmSpy en DragonEgg, zijn voorzien van uitgebreide gegevensverzamelings- en exfiltratiemogelijkheden en worden vermomd als legitieme apps om detectie te omzeilen. De hackgroep maakt gebruik van overlappende Android-ondertekeningscertificaten, wat de link met één enkele bedreigingsacteur versterkt. Hoewel er nog geen meldingen zijn van deze malware in het wild, geeft de interesse van APT41 in Android-apparaten aan dat mobiele eindpunten hoogwaardige doelen zijn met waardevolle gegevens. (Bron, bron2, bron3)
Cryptobedrijven daadwerkelijke doelwit van aanval op Jumpcloud
Cryptobedrijven waren het daadwerkelijke doelwit van de aanval op it-dienstverlener JumpCloud, zo laten bronnen tegenover persbureau Reuters weten. JumpCloud biedt een platform waarmee organisaties hun gebruikers, hun apparaten en toegang tot it-middelen kunnen beheren. Meer dan 180.000 organisaties zouden de software van het bedrijf gebruiken. Eerder deze maand liet JumpCloud weten dat het te maken had gekregen met een "lopend incident". Een week later meldde het bedrijf dat het om een aanval door een "statelijke actor" ging gericht tegen een "klein aantal specifieke klanten". Details werden niet gegeven, behalve dat de aanvallers door middel van spearphishing toegang tot de systemen hadden gekregen. Via de gecompromitteerde systemen werden vervolgens klanten aangevallen. Na ontdekking van de aanval besloot JumpCloud om alle admin API-keys die klanten voor het beheer gebruiken te roteren. Tegenover Reuters stelt het bedrijf dat minder dan vijf klanten door de aanval zijn getroffen. Om wat soort klanten het gaat en welk land achter de aanval zit laat een woordvoerder niet weten. Securitybedrijf CrowdStrike, dat onderzoek naar de aanval doet, stelt dat een groep genaamd "Labyrinth Chollima" verantwoordelijk is, wat weer een subgroep van de Lazarus Group is. Deze groep zou vanuit Noord-Korea opereren en in het verleden banken en cryptobedrijven hebben aangevallen. Ook securitybedrijf SentinelOne stelt in een analyse dat de aanval het werk van een Noord-Koreaanse groep is.
Illegale software speelt sleutelrol in toenemende malware-infecties, waarschuwt Avast
Er is een toename van het aantal infecties met malware via illegale software, zo stelt antivirusbedrijf Avast. De gekraakte software, zoals Adobe Photoshop, Microsoft Office en CCleaner, worden via bekende filesharing-websites gedeeld, waaronder WeTransfer en MediaFire. De links naar de malafide bestanden worden gedeeld via sociale netwerken en fora. De aangeboden installatiebestanden bestaan niet alleen uit de gekraakte software, maar ook een malafide script dat allerlei aanpassingen aan het systeem doorvoert die impact op de veiligheid hebben. Zo wordt de Consent Admin uitgeschakeld, waardoor het mogelijk is om acties met verhoogde rechten uit te voeren, zonder toestemming of inloggegevens van een admingebruiker. Dit is mogelijk doordat bij de eerste stap van de installatie al om adminrechten wordt gevraagd. Naast het uitschakelen van de Consent Admin schakelt het malafide script ook aanwezige antivirussoftware uit. In het geval van Avira wordt deze virusscanner compleet verwijderd. Hiervoor wordt gebruikgemaakt van de IObit Unlocker tool die een kernel-proxydrver gebruikt om "system-protected" bestanden te verwijderen. Verder maakt het script aanpassingen aan Windows Defender om de uiteindelijke malware niet te detecteren. Het gaat hier om de HotRat-malware die persoonlijke informatie en inloggegevens steelt, alsmede aanvullende malware kan installeren. Volgens Avast blijft illegale software ondanks de risico's aantrekkelijk voor veel mensen en is het daardoor ook een effectieve manier om op grote schaal malware te verspreiden. Gebruikers krijgen dan ook het advies van de virusbestrijder om geen dubieuze software van onbekende bronnen te downloaden.
Estée Lauder: Slachtoffer van Ransomware-aanvallen door ALPHV/BlackCat en Clop
Het schoonheidsbedrijf Estée Lauder is het slachtoffer geworden van twee afzonderlijke ransomware-aanvallen door de cybercriminelen ALPHV/BlackCat en Clop. Beide bendes hebben het bedrijf vermeld op hun dataleklocaties. In een bericht aan Estée Lauder bespotte de BlackCat-bende de beveiligingsmaatregelen van het bedrijf en beweerde dat ze nog steeds toegang hadden tot hun netwerk. Estée Lauder bevestigde een van de aanvallen in een SEC-aanvraag en gaf aan dat de dreigingsactoren toegang hadden gekregen tot sommige van hun systemen en mogelijk data hadden gestolen. Details van het incident werden niet volledig onthuld, maar het bedrijf gaf aan proactief enkele systemen te hebben afgesloten om verdere verspreiding van de aanvallers op het netwerk te voorkomen. Er is een onderzoek gestart met hulp van vooraanstaande externe cybersecurity-experts, en het bedrijf werkt ook samen met wetshandhaving. Volgens de Clop ransomware-bende was hun toegang tot het bedrijf mogelijk gemaakt door een exploitatie van een kwetsbaarheid in het MOVEit Transfer-platform, dat wordt gebruikt voor veilige bestandsoverdrachten. Beide bendes dreigen meer details over de gestolen gegevens te onthullen als het bedrijf niet wil onderhandelen. Het lijkt erop dat Estée Lauder niet van plan is om te onderhandelen, zoals blijkt uit hun gebrek aan reactie op de communicatie van de bendes. Het bedrijf is momenteel gericht op het herstellen van de getroffen systemen en diensten. (Bron)
Russische Hackergroep Zet Microsoft Exchange-servers Om in Malware-controlecentra
Microsoft en de Oekraïense CERT waarschuwen voor nieuwe cyberaanvallen door de door de Russische staat gesponsorde Turla-hackgroep. Deze groep richt zich op de defensie-industrie en Microsoft Exchange-servers met een nieuwe malware-achterdeur genaamd 'DeliveryCheck'. De Turla-groep, ook bekend onder de namen Secret Blizzard, KRYPTON en UAC-0003, wordt verondersteld verbonden te zijn met de Russische Federale Veiligheidsdienst (FSB). De aanvallen worden gelanceerd via phishing-e-mails met Excel-bijlagen die kwaadaardige macro's bevatten. Zodra deze geactiveerd zijn, creëren ze een geplande taak die zich voordoet als een Firefox-browserupdate. In werkelijkheid downloadt en lanceert deze taak de DeliveryCheck-achterdeur. Deze malware is een spionage-instrument dat de aanvallers in staat stelt JavaScript te lancerenop het apparaat, gegevens te stelen uit gebeurtenislogboeken, systeembestandsinformatie te stelen en authenticatietokens, cookies en inloggegevens te stelen van een breed scala aan programma's. Bijzonder aan DeliveryCheck is een component dat de Exchange-server verandert in een commando- en besturingsserver voor de aanvallers. Slechts 14 van de 70 leveranciers op VirusTotal hebben een ingediende DeliveryCheck-sample als malware gedetecteerd, maar dit aantal zal naar verwachting stijgen. (Bron)
Microsoft has identified targeted attacks against the defense sector in Ukraine and Eastern Europe by the threat actor Secret Blizzard (KRYPTON, UAC-0003) leveraging DeliveryCheck, a novel .NET backdoor used to deliver a variety of second stage payloads. https://t.co/mWoyzOoydF
— Microsoft Threat Intelligence (@MsftSecIntel) July 19, 2023
Cybercriminelen Misbruikten Zerodaylek in Microsoft Outlook een Jaar Lang voor Aanvallen
Een zerodaylek in Microsoft Outlook waarmee het mogelijk is om wachtwoordhashes van gebruikers te stelen is zeker één jaar lang bij aanvallen misbruikt, zo stelt antivirusbedrijf Kaspersky. Microsoft kwam op 14 maart met beveiligingsupdates, maar de eerste publieke aanwijzingen voor misbruik dateren van 18 maart 2022, een jaar eerder. De kwetsbaarheid, aangeduid als CVE-2023-23397, is aanwezig in alle ondersteunde versies van Microsoft Outlook voor Windows. Andere versies zijn niet kwetsbaar. Door het versturen van een speciaal geprepareerde e-mail kan de aanvaller het slachtoffer op zijn server laten inloggen, waarbij de hash wordt verstuurd. De verstuurde hash is vervolgens te onderscheppen en te kraken. Er is geen enkele interactie van het slachtoffer vereist, de aanvaller hoeft alleen het e-mailadres te kennen en hier een e-mail naar toe te sturen. Kaspersky deed onderzoek naar exemplaren van de exploit die naar VirusTotal waren geüpload, Googles online virusscandienst. Dan blijkt dat de kwetsbaarheid al sinds 18 maart 2022 bij aanvallen is ingezet, aldus de virusbestrijder. Die heeft een lijst met ip-adressen beschikbaar gesteld waarmee organisaties kunnen kijken of zij mogelijk ook doelwit zijn geweest.
FBI trekt aan de bel over helpdeskfraude waarbij slachtoffers contant geld moeten opsturen
De FBI heeft een waarschuwing afgegeven voor helpdeskfraude waarbij oplichters om contant geld vragen, dat slachtoffers in een magazine moeten stoppen en opsturen. Volgens de Amerikaanse opsporingsdienst hebben de scammers het voornamelijk op oudere Amerikanen voorzien. De scammers maken gebruik van telefoon, e-mail of pop-ups en waarschuwen slachtoffers voor frauduleuze activiteiten of terugbetaling van een vermeend abonnement. Slachtoffers krijgen vervolgens instructies om software te downloaden, waarmee de oplichter de computer kan overnemen. Zodra de software is geïnstalleerd en de oplichter toegang heeft, wordt het slachtoffer gevraagd om op zijn bankrekening in te loggen. In de volgende stap van de scam stelt de oplichter dat hij "per ongeluk" een groter bedrag dan bedoeld heeft terugbetaald. Er wordt hierna druk op het slachtoffer uitgeoefend om het teveel overgemaakte geld terug te geven, omdat de scammer anders zijn baan zou verliezen. Slachtoffers krijgen vervolgens instructies om het geld op te nemen en in een magazine te stoppen, en daarna naar een opgegeven adres op te sturen. De FBI adviseert om nooit software op verzoek van een onbekende te downloaden of een onbekende controle over de computer te geven. Verder wordt ook aangeraden om nooit telefoonnummers in pop-ups, sms-berichten of e-mails te bellen.
Statiegeldautomaten in Nederland tijdelijk buiten gebruik door cyberaanval
Sommige statiegeldautomaten in Nederland zijn momenteel tijdelijk buiten gebruik als gevolg van een cyberaanval op Tomra, een fabrikant van statiegeldautomaten. Het bedrijf heeft uit voorzorg de getroffen apparaten offline gehaald en werkt intensief aan het oplossen van de situatie. Tomra heeft bevestigd dat er geen nieuwe vijandige activiteiten zijn gedetecteerd, maar de systemen blijven offline totdat ze veilig kunnen worden herstart. Hoewel de impact voor klanten beperkt is, kan de dienstverlening op sommige locaties beperkt zijn. In Europa en Azië werken veel statiegeldautomaten niet, terwijl in Australië en de VS alles normaal functioneert. In Nederland hebben ethisch hacker Rickey Gevers enkele foto's gedeeld van automaten die momenteel niet werken als gevolg van de cyberaanval. Tomra heeft beloofd openheid en transparantie te bieden en blijft in gesprek met de relevante autoriteiten. (Bron)
Eerste foto's van de impact! Gezien de omzet van het bedrijf zullen ze (als het een ransomware aanval is) een groot bedrag moeten betalen, dat lukt in de regel niet zomaar, als het al lukt. Grote kans op serieuze verstoringen bij de emballage dus. /fotos via @ikbendaf https://t.co/OFZEgd4qKT pic.twitter.com/FgSrodkUCU
— Rickey Gevers (@UID_) July 18, 2023
Cybercriminelen gebruiken SophosEncrypt-ransomware om zich voor te doen als Sophos
Cyberbeveiligingsbedrijf Sophos wordt geïmpersonaliseerd door een nieuwe ransomware-as-a-service genaamd SophosEncrypt. De dreigingsactoren maken gebruik van de naam van het bedrijf voor hun operatie. De ransomware is ontdekt door MalwareHunterTeam en werd aanvankelijk gedacht een onderdeel te zijn van een red team-oefening van Sophos. Sophos heeft echter bevestigd dat ze de encryptor niet hebben gemaakt en dat ze het incident onderzoeken. De SophosEncrypt-ransomware is geschreven in Rust en maakt gebruik van AES256-CBC-encryptie. Geïnfecteerde bestanden krijgen de extensie ".sophos" toegevoegd. Onderzoekers zijn nog bezig met het analyseren van de ransomware om te kijken of er zwakke punten zijn die het mogelijk maken om bestanden gratis te herstellen. (Bron)
"### Encryption program - SOPHOS ###"
— MalwareHunterTeam (@malwrhunterteam) July 17, 2023
Sophos ransomware?
🤔@SophosXOps pic.twitter.com/OSHV0PHCs8
Thanks @malwrhunterteam for the heads up, we found this on VT earlier and have been investigating. Our preliminary findings shows Sophos InterceptX protects against these ransomware samples.
— Sophos X-Ops (@SophosXOps) July 17, 2023
Cybercriminelen maken gebruik van zero-day kwetsbaarheid in Citrix ADC en Gateway
Citrix waarschuwt vandaag klanten voor een ernstige kwetsbaarheid (CVE-2023-3519) met een kritieke impact in NetScaler ADC en NetScaler Gateway, die al wordt misbruikt en dringt er bij klanten op aan om onmiddellijk bijgewerkte versies te installeren. De beveiligingskwestie lijkt dezelfde te zijn als die eerder deze maand op een hackersforum werd geadverteerd als een zero-day kwetsbaarheid. Het is essentieel om de patch te installeren, aangezien een aanvaller de kwetsbaarheid kan misbruiken om op afstand code uit te voeren zonder authenticatie. Citrix benadrukt dat klanten moeten upgraden naar nieuwere versies van de producten, aangezien NetScaler ADC en NetScaler Gateway versie 12.1 het einde van hun levensduur hebben bereikt. Naast de kritieke kwetsbaarheid worden er ook fixes uitgebracht voor twee andere kwetsbaarheden met een hoge impact, namelijk CVE-2023-3466 (reflected cross-site scripting) en CVE-2023-3467 (privilege escalation). Klanten met NetScaler ADC- en Gateway-apparaten moeten deze updates prioritair behandelen. (Bron)
Ransomware treft stad in de VS: Noodtoestand uitgeroepen
Een Amerikaanse stad heeft wegens een ransomware-aanval een lokale noodtoestand afgekondigd. Op zondagochtend 9 juli sloegen de aanvallers toe en versleutelden allerlei systemen van de City of Hayward. Uit voorzorg besloot het stadsbestuur de publieke website en portalen voor inwoners offline te halen. Twee dagen later werden de offline gehaalde diensten weer langzaamaan online gebracht. Daarnaast kondigde het stadsbestuur de lokale noodtoestand af voor een periode van zeven dagen. Dit maakt het volgens het stadsbestuur eenvoudiger om beslissingen te nemen, personeel in te zetten en uitgaven te doen in een reactie op de aanval. Voor zover bekend zijn er bij de ransomware-aanval geen persoonsgegevens gestolen. Hoe de aanval kon plaatsvinden is niet bekendgemaakt. De City of Hayward telt 163.000 inwoners.
FIN8 zet ALPHV ransomware in met Sardonic malware variant
Samenvatting: Een financieel gemotiveerde cybercrimebende, bekend als FIN8, heeft BlackCat-ransomware-payloads waargenomen op netwerken die zijn geïnfecteerd met een vernieuwde versie van de Sardonic-malware. FIN8, ook wel bekend als Syssphinx, richt zich sinds januari 2016 actief op sectoren zoals detailhandel, restaurants, horeca, gezondheidszorg en entertainment. Ze hebben een uitgebreid arsenaal aan tools en tactieken, waaronder POS-malware zoals BadHatch, PoSlurp/PunchTrack en PowerSniff/PunchBuggy/ShellTea, evenals het exploiteren van Windows zero-day kwetsbaarheden en spear-phishingcampagnes. FIN8 heeft zijn activiteiten uitgebreid van point-of-sale aanvallen naar ransomware-aanvallen om de winst te maximaliseren. Symantec heeft FIN8 gekoppeld aan het inzetten van ransomware zoals Ragnar Locker en White Rabbit. Onlangs werd opgemerkt dat FIN8 de BlackCat (ook bekend als ALPHV) ransomware heeft ingezet tijdens de aanvallen in december 2022, waarbij de nieuwe Sardonic-malwarevariant werd gebruikt. De bende blijft zijn capaciteiten en malware-infrastructuur verbeteren om detectie te voorkomen en toont zo hun vastberadenheid om de winst van getroffen organisaties te maximaliseren. (Bron, bron2, bron3, bron4, bron5)
Cybercriminelen maken gebruik van kritieke kwetsbaarheden in Adobe Coldfusion
Aanvallers maken actief misbruik van twee kritieke kwetsbaarheden in Adobe Coldfusion waarvoor vorige week beveiligingsupdates verschenen. Dat meldt securitybedrijf Rapid7. Het gaat om een kwetsbaarheid aangeduid als CVE-2023-38203, waardoor remote code execution mogelijk is, en CVE-2023-29298, een kritieke 'security feature bypass'. ColdFusion is een platform voor het ontwikkelen van webapplicaties. In het verleden zijn kwetsbaarheden in ColdFusion vaker gebruikt voor aanvallen op ColdFusion-applicatieservers. Begin dit jaar waarschuwde Adobe nog voor een actief misbruikt zerodaylek in de software. Op 11 juli kwam Adobe met een update voor CVE-2023-29298, gevolgd op 14 juli met een patch voor CVE-2023-38203. Adobe merkte toen op dat er voor de laatstgenoemde kwetsbaarheid een proof-of-concept exploit op internet stond. Rapid7 laat weten dat de aanvallers de twee kwetsbaarheden nu combineren voor het aanvallen van kwetsbare ColdfFusion-servers. Via het beveiligingslek installeren de aanvallers een webshell, waarmee ze toegang tot de gecompromitteerde server behouden en verdere aanvallen kunnen uitvoeren. Het securitybedrijf stelt ook dat de patch voor CVE-2023-29298 onvolledig is, waardoor de bestaande exploit met een kleine aanpassing nog steeds werkt. Aangezien bij de huidige aanvallen ook gebruik wordt gemaakt van CVE-2023-38203, zou het installeren van de laatste update bescherming tegen de waargenomen aanvallen moeten bieden.
Hackers exploiteren kritieke WordPress WooCommerce Payments-bug om privileges te verkrijgen
Hackers maken momenteel gebruik van een ernstige kwetsbaarheid in de WooCommerce Payments-plugin om de privileges van gebruikers, inclusief beheerders, op kwetsbare WordPress-installaties te verkrijgen. WooCommerce Payments is een populaire WordPress-plugin waarmee websites creditcards en betaalpassen kunnen accepteren als betaling in WooCommerce-winkels. De kwetsbaarheid, aangeduid als CVE-2023-28121, stelt externe gebruikers in staat zich voor te doen als beheerders en volledige controle over een WordPress-site te verkrijgen. Onderzoekers hebben een proof-of-concept-exploit vrijgegeven die misbruik maakt van deze bug en het mogelijk maakt voor bedreigende actoren om nieuwe beheerdersaccounts aan te maken en de volledige controle over de site over te nemen. WordPress-beveiligingsbedrijf Wordfence heeft gewaarschuwd dat er een grote campagne aan de gang is waarbij deze kwetsbaarheid wordt misbruikt, met meer dan 157.000 getroffen sites. Het is sterk aanbevolen dat alle sites die gebruikmaken van de WooCommerce Payments-plugin ervoor zorgen dat ze up-to-date zijn en hun installaties controleren op verdachte PHP-bestanden en verdachte beheerdersaccounts. (Bron, bron2, bron3)
NoEscape: De Opvolger Van Avaddon Ransomware-Bende Richt Schade Aan
De nieuwe ransomware-operatie, NoEscape, wordt beschouwd als een herstart van Avaddon, een beruchte ransomware-bende die in 2021 zijn activiteiten stopzette en de decoderingssleutels vrijgaf. NoEscape werd gelanceerd in juni 2023 en richtte zich op ondernemingen met dubbele afpersingsaanvallen. Hierbij stelen de dreigingsactoren gegevens en versleutelen ze bestanden op Windows-, Linux- en VMware ESXi-servers. NoEscape dreigt vervolgens de gestolen gegevens openbaar te maken als er geen losgeld wordt betaald. De losgeld-eisen variëren van honderdduizenden dollars tot meer dan $ 10 miljoen. Net als andere ransomwarebendes, staat NoEscape haar leden niet toe zich te richten op CIS (voormalige Sovjet-Unie) -landen, waarbij slachtoffers uit die landen gratis decryptors ontvangen. De coderingsalgoritmen van NoEscape en Avaddon zijn vrijwel identiek, met slechts een opmerkelijke verandering: waar Avaddon AES gebruikte voor bestandscodering, is NoEscape overgestapt op het Salsa20-algoritme. De algemene consensus onder onderzoekers is dat enkele kernleden van Avaddon nu deel uitmaken van de nieuwe ransomware-operatie, NoEscape. Bij betaling biedt NoEscape slachtoffers een lijst van beschikbare decryptors aan voor Windows XP, moderne versies van Windows en Linux. (Bron)
JumpCloud onthult inbreuk op systemen door door de staat ondersteunde APT-hackgroep
Het Amerikaanse bedrijfssoftwarebedrijf JumpCloud heeft onthuld dat bijna een maand geleden een door de staat gesteunde APT-hackgroep haar systemen heeft geschonden. De aanval was zeer gericht en voornamelijk gericht op een beperkte groep klanten. De inbreuk werd ontdekt op 27 juni, een week na een speer-phishing-aanval op de systemen van het bedrijf. Hoewel JumpCloud geen bewijs vond dat haar klanten op dat moment werden getroffen, heeft het bedrijf besloten de referenties te roteren en de gecompromitteerde infrastructuur opnieuw op te bouwen. Op 5 juli ontdekte JumpCloud "ongebruikelijke activiteit" in het commandokader voor een kleine groep klanten. Het bedrijf forceerde vervolgens alle admin API-sleutels om de organisaties van klanten te beschermen en hen te informeren over het genereren van nieuwe sleutels. JumpCloud is opgericht in 2013 en is gevestigd in Louisville, Colorado. Het bedrijf biedt directory-as-a-service platformen, single sign-on en multi-factor authenticatiediensten aan meer dan 180.000 organisaties in meer dan 160 landen. Het bedrijf heeft nog geen informatie verstrekt over het aantal klanten dat door de aanval is getroffen en heeft de APT-groep achter de inbreuk niet gekoppeld aan een specifieke staat. (Bron, bron2, bron3)
Cybercriminelen vinden anonimiteit in VPN's, zegt Europol
Cybercriminelen maken vooral gebruik van vpn's om hun activiteiten te verbergen, zo claimt Europol in een vandaag verschenen rapport over cybercrime. Volgens het Internet Organised Crime Assessment (IOCTA) 2023 vormt cybercrime in zijn verschillende vormen een steeds grotere dreiging voor de Europese Unie. Cybercriminelen maken daarbij gebruik van allerlei diensten, bijvoorbeeld om toegang tot het netwerk van een organisatie te krijgen of malware 'onherkenbaar' voor antivirussoftware te maken. Het zijn echter vpn's waar het meest gebruik van wordt gemaakt, vooral voor het verbergen van activiteiten, aldus Europol. "Hoewel vpn-diensten niet illegaal zijn, zijn sommige ontworpen voor en worden geadverteerd aan criminelen. Volledige anonimiteit via end-to-end encryptie en een gebrek aan rechtmatige informatieverzoeken van opsporingsdiensten, zijn kenmerken van deze vpn-diensten." Vorig jaar werd vpn-provider VPNLab nog tijdens een internationale politieoperatie offline gehaald omdat het diensten aan criminelen zou leveren. Verder stelt Europol dat forums op het "darkweb" een belangrijke bron voor cybercriminelen zijn als het gaat om het verzamelen van informatie over operationele security (OpSec), maar ook zaken als het witwassen van geld, uitvoeren van phishingaanvallen en verspreiden van malware. "Darkweb forums worden veel door cybercriminelen gebruikt voor communicatie, delen van kennis, uitwisselen van digitale goederen en recrutering", aldus het rapport.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 16-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 15-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 14-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 13-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 12-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 11-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑