Overzicht van slachtoffers cyberaanvallen week 29-2023

Gepubliceerd op 24 juli 2023 om 17:25

Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


De wereld van cyberbeveiliging heeft een tumultueuze week achter de rug. De afgelopen zeven dagen zijn we getuige geweest van een reeks cyberaanvallen die hebben geleid tot ernstige gevolgen voor verschillende bedrijven en diensten over de hele wereld. Zo werden statiegeldautomaten in Nederland tijdelijk buiten gebruik gesteld door een cyberaanval en werd het gerenommeerde cosmeticabedrijf Estée Lauder het slachtoffer van ransomware-aanvallen door ALPHV/BlackCat en Clop. Op de blockchain en cryptocurrency markt was er eveneens onrust, waarbij de Lazarus-hackgroep ontwikkelaars op GitHub aanviel.

Daarnaast bleek uit de recente berichtgeving dat NetScaler-servers sinds juni zijn geïnfecteerd met webshells door cybercriminelen en dat aanvallers toegang hebben weten te krijgen tot diverse clouddiensten door een gestolen Microsoft-sleutel. Dit werd verder verergerd door de explosieve stijging van Mallox-ransomware gericht op Windows en een kritieke kwetsbaarheid die meer dan 15.000 Citrix-servers bedreigt. Desondanks was er ook enig positief nieuws: volgens Coveware betalen steeds minder organisaties losgeld aan ransomware-criminelen.

Hieronder vindt u een gedetailleerd overzicht van de cyberaanvallen van de afgelopen week, waarin we elk incident in meer detail zullen onderzoeken.



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
Stephen F. Austin State University Rhysida www.sfasu.edu USA Educational Services 23-jul.-23
Exbon Development, Inc 8BASE www.exbon.com USA Construction 23-jul.-23
THE COLLINS LAW FIRM BlackCat (ALPHV) www.collinslaw.com USA Legal Services 23-jul.-23
Jackson Township Administration D0N#T (Donut Leaks) jacksontwp.com USA General Government 23-jul.-23
Jackson Township Police Department D0N#T (Donut Leaks) jacksontwp.com USA Justice, Public Order, And Safety 23-jul.-23
championgse.com LockBit championgse.com USA Machinery, Computer Equipment 23-jul.-23
Pechexport Cyclops pechexport.mg Madagascar Fishing 23-jul.-23
Cvlan Cyclops www.cvlan.it Italy IT Services 23-jul.-23
Sun Pain Management Medusa sunpainmanagement.com USA Health Services 23-jul.-23
Cafe Britt Medusa www.cafebritt.com Costa Rica Food Products 23-jul.-23
Samson Electric PLAY www.sei-ak.com USA Engineering Services 22-jul.-23
Chan and Associates 8BASE chanandassociates.ca Canada Accounting Services 22-jul.-23
Siden & Associates MONTI www.sidenlaw.com USA Legal Services 22-jul.-23
Hungarian Investment Promotion Agency MONTI hipa.hu Hungary Business Services 22-jul.-23
Bartlett Black Basta www.bartlettny.com USA Food Stores 22-jul.-23
Caterham High School Rhysida www.ecaterham.net UK Educational Services 21-jul.-23
Azimut.it BlackCat (ALPHV) www.azimut.it Italy Holding And Other Investment Offices 21-jul.-23
CORDELL BlackCat (ALPHV) cordellcordell.com USA Legal Services 21-jul.-23
Hirsch Bedner Associates BlackCat (ALPHV) hba.com Singapore Miscellaneous Services 21-jul.-23
Yamaha Canada Music Ltd Akira yamaha.com Japan Miscellaneous Manufacturing Industries 21-jul.-23
Alberto Couto Alves Cactus www.albertocoutoalves.pt Portugal Construction 21-jul.-23
Agoravita Cactus www.agoravita.com France IT Services 21-jul.-23
American Meteorological Society Cactus www.ametsoc.org USA Membership Organizations 21-jul.-23
Biocair International Cactus www.biocair.com UK Transportation Services 21-jul.-23
Confartigianato Federimpresa FC Cactus www.confartigianatofc.it Italy Security And Commodity Brokers, Dealers, Exchanges, And Services 21-jul.-23
ScanSource Cactus www.scansource.com USA IT Services 21-jul.-23
CWS Cactus www.cws.it Italy IT Services 21-jul.-23
Hawa Sliding Solutions Cactus www.hawa.com Switzerland Furniture 21-jul.-23
Imagination Cactus www.imagination.com UK Business Services 21-jul.-23
Italkraft Cactus www.italkraft.com USA Construction 21-jul.-23
Michigan Production Machining Cactus www.michpro.com USA Machinery, Computer Equipment 21-jul.-23
Novobit Cactus www.novobit.ch Switzerland Electronic, Electrical Equipment, Components 21-jul.-23
Artemide Cactus www.artemide.com Italy Home Furniture, Furnishings, And Equipment Stores 21-jul.-23
Reyes Automotive Group Cactus www.reyesautomotivegroup.com USA Transportation Equipment 21-jul.-23
Rotomail Italia SpA Cactus www.rotomail.it Italy Publishing, printing 21-jul.-23
Phoenix Taxis Cactus www.phoenixtaxis.net UK Passenger Transportation 21-jul.-23
Wasserstrom Cactus www.wasserstrom.com USA Wholesale Trade-non-durable Goods 21-jul.-23
Americold Cactus www.americold.com USA Motor Freight Transportation 21-jul.-23
Bright Future Electric, LLC Akira brightfutureelectric.com USA Engineering Services 20-jul.-23
www.coriniumcarpets.co.uk NoEscape www.coriniumcarpets.co.uk UK Building Materials, Hardware, Garden Supply, And Mobile Home Dealers 20-jul.-23
Campbell Killin Brittan & Ray LLC BlackCat (ALPHV) www.ckbrlaw.com USA Legal Services 20-jul.-23
Entegra BlackCat (ALPHV) www.entegrasolutions.com USA Oil, Gas 20-jul.-23
cityserve-mech.co.uk LockBit cityserve-mech.co.uk UK Engineering Services 20-jul.-23
Hightway Care BianLian highwaycare.com UK Construction 20-jul.-23
Magnolia Steel BianLian magnoliasteel.com USA Metal Industries 20-jul.-23
New Braunfels Cardiology BianLian nbcardio.com USA Health Services 20-jul.-23
Kensington Publishing PLAY www.kensingtonbooks.com USA Publishing, printing 19-jul.-23
Fernmoor Homes PLAY www.fernmoorhomes.com USA Construction 19-jul.-23
ECS Technology Group PLAY www.ecstechgroup.com USA IT Services 19-jul.-23
Anesco Ltd 8BASE anesco.com UK Electrical 19-jul.-23
Woodbine Hospitality PLAY www.woodbinehospitality.com USA Lodging Places 19-jul.-23
Sea Force IX PLAY www.seaforceboats.com USA Amusement And Recreation Services 19-jul.-23
Centennial Management PLAY www.centennialinvestments.com USA Holding And Other Investment Offices 19-jul.-23
Braintree Public Schools Royal www.braintreeschools.org USA Educational Services 19-jul.-23
R***** ********** ******* BianLian Unknown USA IT Services 19-jul.-23
Undisclosed Aerospace Company BianLian Unknown Unknown Aerospace 19-jul.-23
obeidpartners.com LockBit obeidpartners.com Lebanon Legal Services 19-jul.-23
DMA.US CL0P dma.us USA IT Services 19-jul.-23
VENTIVTECH.COM CL0P ventivtech.com USA IT Services 19-jul.-23
BLUEFIN.COM CL0P bluefin.com USA IT Services 19-jul.-23
ESTEELAUDER.COM CL0P esteelauder.com USA Chemical Producers 19-jul.-23
OFCOM.ORG.UK CL0P ofcom.org.uk UK Communications 19-jul.-23
ALLEGIANTAIR.COM CL0P allegiantair.com USA Transportation By Air 19-jul.-23
ITT.COM CL0P itt.com USA Machinery, Computer Equipment 19-jul.-23
SMC3.COM CL0P smc3.com USA IT Services 19-jul.-23
COMREG.IE CL0P comreg.ie Ireland Transportation Services 19-jul.-23
JONASFITNESS.COM CL0P jonasfitness.com USA IT Services 19-jul.-23
AA.COM CL0P aa.com USA Transportation By Air 19-jul.-23
EA SMITH BlackCat (ALPHV) www.smith.no Norway Wholesale Trade-durable Goods 19-jul.-23
VOG BlackCat (ALPHV) www.vog.it Italy Agriculture 19-jul.-23
The Estée Lauder Companies BlackCat (ALPHV) www.elcompanies.com USA Chemical Producers 18-jul.-23
DTD Express Medusa www.dtdexpress.co.uk UK Transportation By Air 18-jul.-23
KUITS BlackCat (ALPHV) www.kuits.com UK Legal Services 18-jul.-23
Tampa general hospital Snatch tgh.org USA Health Services 18-jul.-23
www.acomen.fr NoEscape www.acomen.fr France Health Services 18-jul.-23
www.girardini.it NoEscape www.girardini.it Italy Metal Industries 18-jul.-23
Health Springs Medical Center Medusa Unknown USA Health Services 18-jul.-23
Nini Collection Ltd (Nini's Jewels) Medusa ninijewels.com USA Apparel And Accessory Stores 18-jul.-23
cotrelec.com LockBit cotrelec.com France Electric, Gas, And Sanitary Services 18-jul.-23
berg-life.com LockBit berg-life.com Tunisia Chemical Producers 18-jul.-23
lfcaire.org LockBit lfcaire.org Egypt Educational Services 18-jul.-23
suninsurance.com.fj LockBit suninsurance.com.fj Fiji Insurance Carriers 18-jul.-23
ope.com.na LockBit ope.com.na Namibia Electric, Gas, And Sanitary Services 18-jul.-23
dixiesfed.com LockBit dixiesfed.com USA Depository Institutions 18-jul.-23
flexity.com LockBit flexity.com Canada IT Services 18-jul.-23
academia21.com LockBit academia21.com Australia Educational Services 18-jul.-23
CashCall, Inc. 8BASE www.cashcall.com USA Non-depository Institutions 18-jul.-23
Lenders Choice Escrow 8BASE lenderschoiceescrow.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 18-jul.-23
SettleIt, Inc. 8BASE settleit.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 18-jul.-23
The Loan Exchange 8BASE www.theloanexchange.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 18-jul.-23
Ocean Breeze Ranch 8BASE www.oceanbreezeranch.com USA Miscellaneous Services 18-jul.-23
Servicing Solutions 8BASE www.servicingsolutions.com USA Non-depository Institutions 18-jul.-23
RCI.COM CL0P rci.com USA Miscellaneous Services 18-jul.-23
SIERRAWIRELESS.COM CL0P sierrawireless.com Canada Communications 18-jul.-23
COMPUCOM.COM CL0P compucom.com USA IT Services 18-jul.-23
CFINS.COM CL0P cfins.com USA Insurance Carriers 18-jul.-23
DESMI.COM CL0P desmi.com Denmark Machinery, Computer Equipment 18-jul.-23
FMGL.COM.AU CL0P fmgl.com.au Australia Mining 18-jul.-23
VALMET.COM CL0P valmet.com Finland Machinery, Computer Equipment 18-jul.-23
VITESCO-TECHNOLOGIES.COM CL0P vitesco-technologies.com Germany Transportation Equipment 18-jul.-23
TJX.COM CL0P tjx.com USA Apparel And Accessory Stores 18-jul.-23
Seasia Infotech Snatch seasiainfotech.com India IT Services 18-jul.-23
Ningbo Joyson Electronic Corp. Snatch joyson.cn China Transportation Equipment 18-jul.-23
Wasserstrom Snatch www.wasserstrom.com USA Wholesale Trade-non-durable Goods 18-jul.-23
Senior Sistemas STORMOUS www.senior.com.br Brazil IT Services 17-jul.-23
Cavanaugh, Biggs & Lemon P.A., Attorneys at Law BlackCat (ALPHV) cavlem.com USA Legal Services 17-jul.-23
hopetech.com LockBit hopetech.com USA Transportation Equipment 17-jul.-23
johnreilly.co.uk LockBit johnreilly.co.uk UK Construction 17-jul.-23
Citta Nuova Rhysida www.cittanuova.it Italy Publishing, printing 17-jul.-23
Venture Drilling Supply 8BASE www.venturedrillingsupply.com USA Mining 17-jul.-23
THENOTABLEFRONTIER.COM CL0P www.thenotablefrontier.com Malaysia IT Services 17-jul.-23
GRACE.COM CL0P grace.com USA Chemical Producers 17-jul.-23
PRGX.COM CL0P prgx.com USA IT Services 17-jul.-23
HESS.COM CL0P hess.com USA Oil, Gas 17-jul.-23
MYCWT.COM CL0P mycwt.com USA Business Services 17-jul.-23
SCHNABEL-ENG.COM CL0P schnabel-eng.com USA Construction 17-jul.-23
ARIETISHEALTH.COM CL0P arietishealth.com USA Health Services 17-jul.-23
PINNACLETPA.COM CL0P pinnacletpa.com USA Insurance Carriers 17-jul.-23
REPSOLSINOPECUK.COM CL0P repsolsinopecuk.com UK Oil, Gas 17-jul.-23
JTI.COM CL0P jti.com Switzerland Miscellaneous Manufacturing Industries 17-jul.-23

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑

In samenwerking met DarkTracer


Cyberaanvallen nieuws


24-juli-2023 om 11:06

Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


Kritieke kwetsbaarheid bedreigt meer dan 15.000 Citrix-servers

Meer dan 15.000 Citrix Netscaler ADC- en Gateway-servers die online toegankelijk zijn, blijken waarschijnlijk kwetsbaar te zijn voor een kritieke externe code-uitvoeringsfout (RCE). Deze fout, bekend als CVE-2023-3519, wordt uitgebuit door niet-geverifieerde aanvallers als een zogenoemde 'zero-day'. Het beveiligingsonderzoeksteam van de non-profitorganisatie Shadowserver Foundation identificeerde deze kwetsbare apparaten op basis van hun versie-informatie. Citrix heeft op 18 juli beveiligingsupdates uitgebracht om deze RCE-kwetsbaarheid aan te pakken. Het bedrijf drong er bij klanten op aan deze patches zo snel mogelijk te installeren, aangezien de kwetsbaarheid al is uitgebuit. Niet-gepatchte Netscaler-apparaten die als gateway of virtuele authenticatieserver zijn geconfigureerd, blijken vooral kwetsbaar voor aanvallen. In de eerste week van juli werd deze 'zero-day' waarschijnlijk online beschikbaar toen een dreigingsacteur begon te adverteren met Citrix ADC 'zero-day' op een hackersforum. Het Cybersecurity and Infrastructure Security Agency (CISA) heeft federale agentschappen in de VS opgedragen hun Citrix-servers tegen aanhoudende aanvallen te beveiligen. De kwetsbaarheid is al uitgebuit om de systemen van een kritieke Amerikaanse infrastructuurorganisatie te doorbreken. (Bron, bron2, bron3)


Explosieve stijging Mallox-ransomware gericht op Windows

De ransomwaregroep Mallox is de laatste tijd in opkomst en heeft een enorme toename van bijna 174 procent in aanvallen op Windows-systemen gezien in vergelijking met het voorgaande jaar. Dit blijkt uit gegevens van Palo Alto Networks. Mallox maakt gebruik van onbeveiligde Microsoft SQL-servers om ransomware te verspreiden. De ransomware is sinds juni 2021 actief en blijft zoeken naar manieren om netwerken te compromitteren. Palo Alto Networks heeft tactieken zoals brute forcing, data-exfiltratie en netwerkscanners opgemerkt. De werking van de Mallox-ransomware omvat een dubbele afpersingstactiek. Hierbij wordt de data niet alleen versleuteld, maar ook gestolen, waarna er gedreigd wordt met het lekken van de gegevens. Deze tactiek is bedoeld om slachtoffers te dwingen het gevraagde losgeld te betalen. De groep achter Mallox stuurt slachtoffers een private key om communicatie mogelijk te maken, zodat er eventueel onderhandeld kan worden over de voorwaarden en betaling. Volgens de hackersgroepering zijn er al honderden slachtoffers. Hoewel Palo Alto Networks heeft opgemerkt dat het onduidelijk is hoeveel slachtoffers er werkelijk zijn, heeft het securitybedrijf een aanzienlijke schatting kunnen maken op basis van gegevens uit open threat intel-bronnen. De Mallox-aanvallen zijn met 174 procent gestegen. Vorig jaar was er vooral in december een piek in Mallox-activiteiten te zien. Daarna nam het aantal aanvallen af, maar in de laatste maanden lijkt het weer toe te nemen. Het is van groot belang dat Windows-gebruikers zich bewust zijn van deze dreiging en de nodige maatregelen nemen om hun systemen te beschermen tegen deze geavanceerde ransomware-aanvallen. Het is essentieel om Microsoft SQL-servers te beveiligen en te zorgen voor een robuuste beveiliging van netwerken om het risico op infectie te minimaliseren. (Bron)


Aanvallers krijgen toegang tot diverse clouddiensten door gestolen Microsoft key, zegt securitybedrijf Wiz

Een gestolen signing key van Microsoft, waarmee aanvallers toegang kregen tot de e-mails van overheden en andere klanten die van Outlook.com en Exchange Online gebruikmaken, bood toegang tot veel meer clouddiensten van het techbedrijf en partners, zo stelt securitybedrijf Wiz. Het gaat om verschillende Azure Active Directory applicaties, waaronder die authenticatie via een persoonlijk account ondersteunen, zoals SharePoint, Teams, OneDrive en applicaties van derde partijen waar gebruikers door middel van "login met Microsoft" kunnen inloggen, alsmede "multi-tenant applicaties" in bepaalde situaties. De gestolen signing key maakte het mogelijk voor aanvallers om tokens te vervalsen waarmee er toegang tot accounts kon worden gekregen die bij Outlook.com en Exchange Online worden gehost, aldus Microsoft. Het techbedrijf heeft nog altijd niet bekendgemaakt hoe de signing key kon worden gestolen. Daarnaast zouden er twee kwetsbaarheden in het proces voor het verifiëren van tokens zijn misbruikt, maar ook hierover zijn nog geen details verschenen. Volgens Wiz is de impact veel groter dan Microsoft doet voorkomen, omdat de gestolen signing key toegang tot veel meer diensten bood. Organisaties zouden daarom misbruik van de gestolen key in hun omgeving moeten controleren. "We denken dat de gestolen key een private key was bedoeld voor Microsofts MSA tenant in Azure, en ook OpenID v2.0 tokens voor meerdere soorten Azure Active Directory applicaties kon signeren", aldus het securitybedrijf. "De signing keys van een identiteitsprovider zijn waarschijnlijk de krachtigste geheimen in de moderne wereld", stelt onderzoeker Shir Tamari. "Met de keys van een identiteitsprovider kan er meteen toegang tot alles worden verkregen, elke mailbox, bestandsdienst of cloudaccount." Tamari vermoedt dat de aanval gevolgen zal hebben voor het vertrouwen in de cloud en de volledige omvang van het incident lastig te bepalen is, aangezien miljoenen applicaties risico liepen. Het gaat zowel om Microsofts eigen apps als die van klanten en de meeste daarvan hebben onvoldoende logging om te bepalen of ze zijn gecompromitteerd, aldus de onderzoeker. Afsluitend bedankt Tamari Microsoft, dat meewerkte aan de analyse van het securitybedrijf om te controleren dat alles klopte.


Steeds minder organisaties betalen losgeld aan ransomware-criminelen volgens Coveware

Steeds minder organisaties die het slachtoffer worden van ransomware betalen het losgeld dat de criminelen vragen, zo stelt securitybedrijf Coveware. Volgens het securitybedrijf werd er in het eerste kwartaal van 2019 nog bij 85 procent van de ransomware-aanvallen losgeld betaald. Dat percentage daalde in het tweede kwartaal van dit jaar naar 34 procent. Ook bij aanvallen waarbij alleen gegevens worden gestolen, om slachtoffers daarmee af te persen, is een afname volgens Coveware zichtbaar. Betaalde in het eerste kwartaal van 2022 iets meer dan de helft van de slachtoffers losgeld om te voorkomen dat gestolen data werd gepubliceerd, dat daalde in het tweede kwartaal van dit jaar naar 29 procent. In een reactie op de dalende bereidheid van slachtoffers om te betalen zijn aanvallers meer losgeld per slachtoffer gaan vragen. Het gaat onder andere om de criminelen achter de Clop-ransomware. De Clop-groep zat achter de wereldwijde aanval op servers waarop MOVEit Transfer draait. MOVEit Transfer is een applicatie voor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. Via een zerodaylek konden de aanvallers toegang tot data op de servers krijgen en die stelen. De groep dreigt gestolen data openbaar te maken als slachtoffers geen losgeld betalen. Volgens Coveware zijn mogelijk duizend organisaties slachtoffer geworden en zou de Clop-groep tussen de 75 miljoen en 100 miljoen dollar losgeld hebben ontvangen. Dit is echter niet gebaseerd op daadwerkelijke betalingen aan de wallets van de aanvallers, waardoor het bedrag dat het securitybedrijf noemt slechts een schatting is. Ook is onduidelijk hoeveel slachtoffers er daadwerkelijk zijn van de MOVEit-aanvallen. Beveiligingsonderzoeker Brett Callow van antivirusbedrijf Emsisoft houdt het aantal meldingen van getroffen organisaties bij. De teller staat inmiddels op 384 organisaties, waarbij de gegevens van meer dan twintig miljoen personen zijn gestolen. Het werkelijke aantal gestolen gegevens ligt vermoedelijke hoger, omdat slechts 66 getroffen organisaties bekend hebben gemaakt van hoeveel mensen er gegevens zijn gestolen.


NetScaler-servers geïnfecteerd met webshells door cybercriminelen sinds juni

Aanvallers hebben sinds juni misbruik gemaakt van een zerodaylek in NetScaler ADC (voorheen Citrix ADC) en NetScaler Gateway (voorheen Citrix Gateway), zo laat het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security weten. Een organisatie in de vitale infrastructuur was het doelwit. Citrix kwam op 18 juli met beveiligingsupdates voor de kwetsbaarheid, die een ongeauthenticeerde aanvaller willekeurige code op de servers laat uitvoeren. NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. De luxere versies bieden ook bescherming tegen dos-aanvallen en een webapplicatiefirewall. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. Waarbij de NetScaler ADC een apart apparaat is, is de Gateway een softwareoplossing die organisaties op een server moeten installeren. Volgens het CISA hebben aanvallers via het zerodaylek webshells op NetScaler-servers geïnstalleerd, waarmee het mogelijk is om toegang tot de server te behouden en verdere aanvallen uit te voeren. In juni werd een niet nader genoemde Amerikaanse organisatie in de vitale infrastructuur via de zeroday aanvallen. De aanvallers installeerden een webshell waarmee ze informatie over de Active Directory van de aangevallen organisaties verzamelde, waarna geprobeerd werd om lateraal naar een domain controller te bewegen. Bij de waargenomen aanval mislukte dit vanwege netwerksegmentatie, aldus het CISA. De Amerikaanse overheidsinstantie heeft nu details vrijgegeven waarmee organisaties kunnen controleren of hun NetScaler-servers zijn gecompromitteerd.


Lazarus-hackgroep valt ontwikkelaars aan in blockchain en cryptocurrency op GitHub

GitHub waarschuwt voor een social engineering-campagne van deLazarus-hackgroep, die zich richt op ontwikkelaars in de blockchain-, cryptocurrency-, online gok- en cybersecurity-sectoren om hun apparaten met malware te infecteren. De hackgroep staat bekend om het richten van cryptocurrency-bedrijven en cybersecurity-onderzoekers om cryptocurrency te stelen. In deze campagne maken ze gebruik van neppersonages op GitHub en sociale media om ontwikkelaars te benaderen. Na het opbouwen van vertrouwen, nodigen ze doelwitten uit om samen te werken aan een project met kwaadaardige NPM-afhankelijkheden. Deze afhankelijkheden downloaden verdere malware naar de apparaten van de doelen. GitHub heeft alle betrokken accounts opgeschort en benadrukt dat hun eigen systemen niet zijn aangetast. De campagne lijkt vergelijkbaar met eerdere aanvallen van de Lazarus-groep op beveiligingsonderzoekers en werknemers van defensiebedrijven. (Bron, bron2, bron3, bron4, bron5)


Nieuwe P2PInfect-wormmalware richt zich op Linux- en Windows Redis-servers

Beveiligingsonderzoekers hebben eerder deze maand een nieuwe peer-to-peer (P2P) malware ontdekt met zelfverspreidende mogelijkheden, gericht op Redis-instances die draaien op internet blootgestelde Windows- en Linux-systemen. De worm, genaamd P2PInfect, benut de CVE-2022-0543 Lua sandbox-ontsnappingskwetsbaarheid in Redis-servers om zichzelf te verspreiden. Hoewel er in de afgelopen twee weken ongeveer 307.000 Redis-servers op het internet zijn ontdekt, zijn slechts 934 gevallen potentieel kwetsbaar voor deze malware. Ondanks dit aantal zullen de wormen zich blijven richten op en proberen deze systemen in gevaar te brengen. P2PInfect benut de CVE-2022-0543-fout om externe code-uitvoeringsmogelijkheden te verkrijgen. Zodra het is geïnstalleerd, creëert het een peer-to-peer communicatiekanaal binnen een groter verbonden systeem en downloadt het extra kwaadaardige binaire bestanden, inclusief scantools om andere blootgestelde Redis-servers te vinden. De onderzoekers geloven dat deze P2PInfect-campagne de eerste fase is van een potentieel krachtigere aanval die gebruik maakt van een robuust P2P-commando- en controle (C2)-netwerk. Redis-servers zijn door de jaren heen vaak het doelwit geweest van bedreigende actoren, zoals DDoS- en cryptojacking botnets. Om de kwetsbaarheid te verhelpen, wordt aanbevolen dat Redis-serverbeheerders de officiële distributies van Redis gebruiken, aangezien de standaardconfiguratie van Redis geen toegangscontrolemechanisme heeft. Redis Enterprise-software wordt als veilig beschouwd, omdat het een geharde versie van de Lua-module bevat die niet vatbaar is voor CVE-2022-0543. (Bron, bron2)


Chinese hackers van APT41 richten zich op Android-gebruikers met WyrmSpy en DragonEgg-spyware

De Chinese door de staat gesteunde hackgroep APT41 heeft Android-apparaten in het vizier met twee nieuwe spyware-strengen genaamd WyrmSpy en DragonEgg, ontdekt door Lookout security-onderzoekers. APT41 staat bekend om cyberspionage-operaties tegen verschillende sectoren, waaronder softwareontwikkeling, hardwareproductie, denktanks, telco's, universiteiten en buitenlandse overheden. Beide Android-malware-stammen, WyrmSpy en DragonEgg, zijn voorzien van uitgebreide gegevensverzamelings- en exfiltratiemogelijkheden en worden vermomd als legitieme apps om detectie te omzeilen. De hackgroep maakt gebruik van overlappende Android-ondertekeningscertificaten, wat de link met één enkele bedreigingsacteur versterkt. Hoewel er nog geen meldingen zijn van deze malware in het wild, geeft de interesse van APT41 in Android-apparaten aan dat mobiele eindpunten hoogwaardige doelen zijn met waardevolle gegevens. (Bron, bron2, bron3)


Cryptobedrijven daadwerkelijke doelwit van aanval op Jumpcloud

Cryptobedrijven waren het daadwerkelijke doelwit van de aanval op it-dienstverlener JumpCloud, zo laten bronnen tegenover persbureau Reuters weten. JumpCloud biedt een platform waarmee organisaties hun gebruikers, hun apparaten en toegang tot it-middelen kunnen beheren. Meer dan 180.000 organisaties zouden de software van het bedrijf gebruiken. Eerder deze maand liet JumpCloud weten dat het te maken had gekregen met een "lopend incident". Een week later meldde het bedrijf dat het om een aanval door een "statelijke actor" ging gericht tegen een "klein aantal specifieke klanten". Details werden niet gegeven, behalve dat de aanvallers door middel van spearphishing toegang tot de systemen hadden gekregen. Via de gecompromitteerde systemen werden vervolgens klanten aangevallen. Na ontdekking van de aanval besloot JumpCloud om alle admin API-keys die klanten voor het beheer gebruiken te roteren. Tegenover Reuters stelt het bedrijf dat minder dan vijf klanten door de aanval zijn getroffen. Om wat soort klanten het gaat en welk land achter de aanval zit laat een woordvoerder niet weten. Securitybedrijf CrowdStrike, dat onderzoek naar de aanval doet, stelt dat een groep genaamd "Labyrinth Chollima" verantwoordelijk is, wat weer een subgroep van de Lazarus Group is. Deze groep zou vanuit Noord-Korea opereren en in het verleden banken en cryptobedrijven hebben aangevallen. Ook securitybedrijf SentinelOne stelt in een analyse dat de aanval het werk van een Noord-Koreaanse groep is.


Illegale software speelt sleutelrol in toenemende malware-infecties, waarschuwt Avast

Er is een toename van het aantal infecties met malware via illegale software, zo stelt antivirusbedrijf Avast. De gekraakte software, zoals Adobe Photoshop, Microsoft Office en CCleaner, worden via bekende filesharing-websites gedeeld, waaronder WeTransfer en MediaFire. De links naar de malafide bestanden worden gedeeld via sociale netwerken en fora. De aangeboden installatiebestanden bestaan niet alleen uit de gekraakte software, maar ook een malafide script dat allerlei aanpassingen aan het systeem doorvoert die impact op de veiligheid hebben. Zo wordt de Consent Admin uitgeschakeld, waardoor het mogelijk is om acties met verhoogde rechten uit te voeren, zonder toestemming of inloggegevens van een admingebruiker. Dit is mogelijk doordat bij de eerste stap van de installatie al om adminrechten wordt gevraagd. Naast het uitschakelen van de Consent Admin schakelt het malafide script ook aanwezige antivirussoftware uit. In het geval van Avira wordt deze virusscanner compleet verwijderd. Hiervoor wordt gebruikgemaakt van de IObit Unlocker tool die een kernel-proxydrver gebruikt om "system-protected" bestanden te verwijderen. Verder maakt het script aanpassingen aan Windows Defender om de uiteindelijke malware niet te detecteren. Het gaat hier om de HotRat-malware die persoonlijke informatie en inloggegevens steelt, alsmede aanvullende malware kan installeren. Volgens Avast blijft illegale software ondanks de risico's aantrekkelijk voor veel mensen en is het daardoor ook een effectieve manier om op grote schaal malware te verspreiden. Gebruikers krijgen dan ook het advies van de virusbestrijder om geen dubieuze software van onbekende bronnen te downloaden.


Estée Lauder: Slachtoffer van Ransomware-aanvallen door ALPHV/BlackCat en Clop

Het schoonheidsbedrijf Estée Lauder is het slachtoffer geworden van twee afzonderlijke ransomware-aanvallen door de cybercriminelen ALPHV/BlackCat en Clop. Beide bendes hebben het bedrijf vermeld op hun dataleklocaties. In een bericht aan Estée Lauder bespotte de BlackCat-bende de beveiligingsmaatregelen van het bedrijf en beweerde dat ze nog steeds toegang hadden tot hun netwerk. Estée Lauder bevestigde een van de aanvallen in een SEC-aanvraag en gaf aan dat de dreigingsactoren toegang hadden gekregen tot sommige van hun systemen en mogelijk data hadden gestolen. Details van het incident werden niet volledig onthuld, maar het bedrijf gaf aan proactief enkele systemen te hebben afgesloten om verdere verspreiding van de aanvallers op het netwerk te voorkomen. Er is een onderzoek gestart met hulp van vooraanstaande externe cybersecurity-experts, en het bedrijf werkt ook samen met wetshandhaving. Volgens de Clop ransomware-bende was hun toegang tot het bedrijf mogelijk gemaakt door een exploitatie van een kwetsbaarheid in het MOVEit Transfer-platform, dat wordt gebruikt voor veilige bestandsoverdrachten. Beide bendes dreigen meer details over de gestolen gegevens te onthullen als het bedrijf niet wil onderhandelen. Het lijkt erop dat Estée Lauder niet van plan is om te onderhandelen, zoals blijkt uit hun gebrek aan reactie op de communicatie van de bendes. Het bedrijf is momenteel gericht op het herstellen van de getroffen systemen en diensten. (Bron)


Russische Hackergroep Zet Microsoft Exchange-servers Om in Malware-controlecentra

Microsoft en de Oekraïense CERT waarschuwen voor nieuwe cyberaanvallen door de door de Russische staat gesponsorde Turla-hackgroep. Deze groep richt zich op de defensie-industrie en Microsoft Exchange-servers met een nieuwe malware-achterdeur genaamd 'DeliveryCheck'. De Turla-groep, ook bekend onder de namen Secret Blizzard, KRYPTON en UAC-0003, wordt verondersteld verbonden te zijn met de Russische Federale Veiligheidsdienst (FSB). De aanvallen worden gelanceerd via phishing-e-mails met Excel-bijlagen die kwaadaardige macro's bevatten. Zodra deze geactiveerd zijn, creëren ze een geplande taak die zich voordoet als een Firefox-browserupdate. In werkelijkheid downloadt en lanceert deze taak de DeliveryCheck-achterdeur. Deze malware is een spionage-instrument dat de aanvallers in staat stelt JavaScript te lancerenop het apparaat, gegevens te stelen uit gebeurtenislogboeken, systeembestandsinformatie te stelen en authenticatietokens, cookies en inloggegevens te stelen van een breed scala aan programma's. Bijzonder aan DeliveryCheck is een component dat de Exchange-server verandert in een commando- en besturingsserver voor de aanvallers. Slechts 14 van de 70 leveranciers op VirusTotal hebben een ingediende DeliveryCheck-sample als malware gedetecteerd, maar dit aantal zal naar verwachting stijgen. (Bron)


Cybercriminelen Misbruikten Zerodaylek in Microsoft Outlook een Jaar Lang voor Aanvallen

Een zerodaylek in Microsoft Outlook waarmee het mogelijk is om wachtwoordhashes van gebruikers te stelen is zeker één jaar lang bij aanvallen misbruikt, zo stelt antivirusbedrijf Kaspersky. Microsoft kwam op 14 maart met beveiligingsupdates, maar de eerste publieke aanwijzingen voor misbruik dateren van 18 maart 2022, een jaar eerder. De kwetsbaarheid, aangeduid als CVE-2023-23397, is aanwezig in alle ondersteunde versies van Microsoft Outlook voor Windows. Andere versies zijn niet kwetsbaar. Door het versturen van een speciaal geprepareerde e-mail kan de aanvaller het slachtoffer op zijn server laten inloggen, waarbij de hash wordt verstuurd. De verstuurde hash is vervolgens te onderscheppen en te kraken. Er is geen enkele interactie van het slachtoffer vereist, de aanvaller hoeft alleen het e-mailadres te kennen en hier een e-mail naar toe te sturen. Kaspersky deed onderzoek naar exemplaren van de exploit die naar VirusTotal waren geüpload, Googles online virusscandienst. Dan blijkt dat de kwetsbaarheid al sinds 18 maart 2022 bij aanvallen is ingezet, aldus de virusbestrijder. Die heeft een lijst met ip-adressen beschikbaar gesteld waarmee organisaties kunnen kijken of zij mogelijk ook doelwit zijn geweest.


FBI trekt aan de bel over helpdeskfraude waarbij slachtoffers contant geld moeten opsturen

De FBI heeft een waarschuwing afgegeven voor helpdeskfraude waarbij oplichters om contant geld vragen, dat slachtoffers in een magazine moeten stoppen en opsturen. Volgens de Amerikaanse opsporingsdienst hebben de scammers het voornamelijk op oudere Amerikanen voorzien. De scammers maken gebruik van telefoon, e-mail of pop-ups en waarschuwen slachtoffers voor frauduleuze activiteiten of terugbetaling van een vermeend abonnement. Slachtoffers krijgen vervolgens instructies om software te downloaden, waarmee de oplichter de computer kan overnemen. Zodra de software is geïnstalleerd en de oplichter toegang heeft, wordt het slachtoffer gevraagd om op zijn bankrekening in te loggen. In de volgende stap van de scam stelt de oplichter dat hij "per ongeluk" een groter bedrag dan bedoeld heeft terugbetaald. Er wordt hierna druk op het slachtoffer uitgeoefend om het teveel overgemaakte geld terug te geven, omdat de scammer anders zijn baan zou verliezen. Slachtoffers krijgen vervolgens instructies om het geld op te nemen en in een magazine te stoppen, en daarna naar een opgegeven adres op te sturen. De FBI adviseert om nooit software op verzoek van een onbekende te downloaden of een onbekende controle over de computer te geven. Verder wordt ook aangeraden om nooit telefoonnummers in pop-ups, sms-berichten of e-mails te bellen.


Statiegeldautomaten in Nederland tijdelijk buiten gebruik door cyberaanval

Sommige statiegeldautomaten in Nederland zijn momenteel tijdelijk buiten gebruik als gevolg van een cyberaanval op Tomra, een fabrikant van statiegeldautomaten. Het bedrijf heeft uit voorzorg de getroffen apparaten offline gehaald en werkt intensief aan het oplossen van de situatie. Tomra heeft bevestigd dat er geen nieuwe vijandige activiteiten zijn gedetecteerd, maar de systemen blijven offline totdat ze veilig kunnen worden herstart. Hoewel de impact voor klanten beperkt is, kan de dienstverlening op sommige locaties beperkt zijn. In Europa en Azië werken veel statiegeldautomaten niet, terwijl in Australië en de VS alles normaal functioneert. In Nederland hebben ethisch hacker Rickey Gevers enkele foto's gedeeld van automaten die momenteel niet werken als gevolg van de cyberaanval. Tomra heeft beloofd openheid en transparantie te bieden en blijft in gesprek met de relevante autoriteiten. (Bron)


Cybercriminelen gebruiken SophosEncrypt-ransomware om zich voor te doen als Sophos

Cyberbeveiligingsbedrijf Sophos wordt geïmpersonaliseerd door een nieuwe ransomware-as-a-service genaamd SophosEncrypt. De dreigingsactoren maken gebruik van de naam van het bedrijf voor hun operatie. De ransomware is ontdekt door MalwareHunterTeam en werd aanvankelijk gedacht een onderdeel te zijn van een red team-oefening van Sophos. Sophos heeft echter bevestigd dat ze de encryptor niet hebben gemaakt en dat ze het incident onderzoeken. De SophosEncrypt-ransomware is geschreven in Rust en maakt gebruik van AES256-CBC-encryptie. Geïnfecteerde bestanden krijgen de extensie ".sophos" toegevoegd. Onderzoekers zijn nog bezig met het analyseren van de ransomware om te kijken of er zwakke punten zijn die het mogelijk maken om bestanden gratis te herstellen. (Bron)


Cybercriminelen maken gebruik van zero-day kwetsbaarheid in Citrix ADC en Gateway

Citrix waarschuwt vandaag klanten voor een ernstige kwetsbaarheid (CVE-2023-3519) met een kritieke impact in NetScaler ADC en NetScaler Gateway, die al wordt misbruikt en dringt er bij klanten op aan om onmiddellijk bijgewerkte versies te installeren. De beveiligingskwestie lijkt dezelfde te zijn als die eerder deze maand op een hackersforum werd geadverteerd als een zero-day kwetsbaarheid. Het is essentieel om de patch te installeren, aangezien een aanvaller de kwetsbaarheid kan misbruiken om op afstand code uit te voeren zonder authenticatie. Citrix benadrukt dat klanten moeten upgraden naar nieuwere versies van de producten, aangezien NetScaler ADC en NetScaler Gateway versie 12.1 het einde van hun levensduur hebben bereikt. Naast de kritieke kwetsbaarheid worden er ook fixes uitgebracht voor twee andere kwetsbaarheden met een hoge impact, namelijk CVE-2023-3466 (reflected cross-site scripting) en CVE-2023-3467 (privilege escalation). Klanten met NetScaler ADC- en Gateway-apparaten moeten deze updates prioritair behandelen. (Bron)


Ransomware treft stad in de VS: Noodtoestand uitgeroepen

Een Amerikaanse stad heeft wegens een ransomware-aanval een lokale noodtoestand afgekondigd. Op zondagochtend 9 juli sloegen de aanvallers toe en versleutelden allerlei systemen van de City of Hayward. Uit voorzorg besloot het stadsbestuur de publieke website en portalen voor inwoners offline te halen. Twee dagen later werden de offline gehaalde diensten weer langzaamaan online gebracht. Daarnaast kondigde het stadsbestuur de lokale noodtoestand af voor een periode van zeven dagen. Dit maakt het volgens het stadsbestuur eenvoudiger om beslissingen te nemen, personeel in te zetten en uitgaven te doen in een reactie op de aanval. Voor zover bekend zijn er bij de ransomware-aanval geen persoonsgegevens gestolen. Hoe de aanval kon plaatsvinden is niet bekendgemaakt. De City of Hayward telt 163.000 inwoners.


FIN8 zet ALPHV ransomware in met Sardonic malware variant

Samenvatting: Een financieel gemotiveerde cybercrimebende, bekend als FIN8, heeft BlackCat-ransomware-payloads waargenomen op netwerken die zijn geïnfecteerd met een vernieuwde versie van de Sardonic-malware. FIN8, ook wel bekend als Syssphinx, richt zich sinds januari 2016 actief op sectoren zoals detailhandel, restaurants, horeca, gezondheidszorg en entertainment. Ze hebben een uitgebreid arsenaal aan tools en tactieken, waaronder POS-malware zoals BadHatch, PoSlurp/PunchTrack en PowerSniff/PunchBuggy/ShellTea, evenals het exploiteren van Windows zero-day kwetsbaarheden en spear-phishingcampagnes. FIN8 heeft zijn activiteiten uitgebreid van point-of-sale aanvallen naar ransomware-aanvallen om de winst te maximaliseren. Symantec heeft FIN8 gekoppeld aan het inzetten van ransomware zoals Ragnar Locker en White Rabbit. Onlangs werd opgemerkt dat FIN8 de BlackCat (ook bekend als ALPHV) ransomware heeft ingezet tijdens de aanvallen in december 2022, waarbij de nieuwe Sardonic-malwarevariant werd gebruikt. De bende blijft zijn capaciteiten en malware-infrastructuur verbeteren om detectie te voorkomen en toont zo hun vastberadenheid om de winst van getroffen organisaties te maximaliseren. (Bron, bron2, bron3, bron4bron5)


Cybercriminelen maken gebruik van kritieke kwetsbaarheden in Adobe Coldfusion

Aanvallers maken actief misbruik van twee kritieke kwetsbaarheden in Adobe Coldfusion waarvoor vorige week beveiligingsupdates verschenen. Dat meldt securitybedrijf Rapid7. Het gaat om een kwetsbaarheid aangeduid als CVE-2023-38203, waardoor remote code execution mogelijk is, en CVE-2023-29298, een kritieke 'security feature bypass'. ColdFusion is een platform voor het ontwikkelen van webapplicaties. In het verleden zijn kwetsbaarheden in ColdFusion vaker gebruikt voor aanvallen op ColdFusion-applicatieservers. Begin dit jaar waarschuwde Adobe nog voor een actief misbruikt zerodaylek in de software. Op 11 juli kwam Adobe met een update voor CVE-2023-29298, gevolgd op 14 juli met een patch voor CVE-2023-38203. Adobe merkte toen op dat er voor de laatstgenoemde kwetsbaarheid een proof-of-concept exploit op internet stond. Rapid7 laat weten dat de aanvallers de twee kwetsbaarheden nu combineren voor het aanvallen van kwetsbare ColdfFusion-servers. Via het beveiligingslek installeren de aanvallers een webshell, waarmee ze toegang tot de gecompromitteerde server behouden en verdere aanvallen kunnen uitvoeren. Het securitybedrijf stelt ook dat de patch voor CVE-2023-29298 onvolledig is, waardoor de bestaande exploit met een kleine aanpassing nog steeds werkt. Aangezien bij de huidige aanvallen ook gebruik wordt gemaakt van CVE-2023-38203, zou het installeren van de laatste update bescherming tegen de waargenomen aanvallen moeten bieden.


Hackers exploiteren kritieke WordPress WooCommerce Payments-bug om privileges te verkrijgen

Hackers maken momenteel gebruik van een ernstige kwetsbaarheid in de WooCommerce Payments-plugin om de privileges van gebruikers, inclusief beheerders, op kwetsbare WordPress-installaties te verkrijgen. WooCommerce Payments is een populaire WordPress-plugin waarmee websites creditcards en betaalpassen kunnen accepteren als betaling in WooCommerce-winkels. De kwetsbaarheid, aangeduid als CVE-2023-28121, stelt externe gebruikers in staat zich voor te doen als beheerders en volledige controle over een WordPress-site te verkrijgen. Onderzoekers hebben een proof-of-concept-exploit vrijgegeven die misbruik maakt van deze bug en het mogelijk maakt voor bedreigende actoren om nieuwe beheerdersaccounts aan te maken en de volledige controle over de site over te nemen. WordPress-beveiligingsbedrijf Wordfence heeft gewaarschuwd dat er een grote campagne aan de gang is waarbij deze kwetsbaarheid wordt misbruikt, met meer dan 157.000 getroffen sites. Het is sterk aanbevolen dat alle sites die gebruikmaken van de WooCommerce Payments-plugin ervoor zorgen dat ze up-to-date zijn en hun installaties controleren op verdachte PHP-bestanden en verdachte beheerdersaccounts. (Bron, bron2, bron3)


NoEscape: De Opvolger Van Avaddon Ransomware-Bende Richt Schade Aan

De nieuwe ransomware-operatie, NoEscape, wordt beschouwd als een herstart van Avaddon, een beruchte ransomware-bende die in 2021 zijn activiteiten stopzette en de decoderingssleutels vrijgaf. NoEscape werd gelanceerd in juni 2023 en richtte zich op ondernemingen met dubbele afpersingsaanvallen. Hierbij stelen de dreigingsactoren gegevens en versleutelen ze bestanden op Windows-, Linux- en VMware ESXi-servers. NoEscape dreigt vervolgens de gestolen gegevens openbaar te maken als er geen losgeld wordt betaald. De losgeld-eisen variëren van honderdduizenden dollars tot meer dan $ 10 miljoen. Net als andere ransomwarebendes, staat NoEscape haar leden niet toe zich te richten op CIS (voormalige Sovjet-Unie) -landen, waarbij slachtoffers uit die landen gratis decryptors ontvangen. De coderingsalgoritmen van NoEscape en Avaddon zijn vrijwel identiek, met slechts een opmerkelijke verandering: waar Avaddon AES gebruikte voor bestandscodering, is NoEscape overgestapt op het Salsa20-algoritme. De algemene consensus onder onderzoekers is dat enkele kernleden van Avaddon nu deel uitmaken van de nieuwe ransomware-operatie, NoEscape. Bij betaling biedt NoEscape slachtoffers een lijst van beschikbare decryptors aan voor Windows XP, moderne versies van Windows en Linux. (Bron)


JumpCloud onthult inbreuk op systemen door door de staat ondersteunde APT-hackgroep

Het Amerikaanse bedrijfssoftwarebedrijf JumpCloud heeft onthuld dat bijna een maand geleden een door de staat gesteunde APT-hackgroep haar systemen heeft geschonden. De aanval was zeer gericht en voornamelijk gericht op een beperkte groep klanten. De inbreuk werd ontdekt op 27 juni, een week na een speer-phishing-aanval op de systemen van het bedrijf. Hoewel JumpCloud geen bewijs vond dat haar klanten op dat moment werden getroffen, heeft het bedrijf besloten de referenties te roteren en de gecompromitteerde infrastructuur opnieuw op te bouwen. Op 5 juli ontdekte JumpCloud "ongebruikelijke activiteit" in het commandokader voor een kleine groep klanten. Het bedrijf forceerde vervolgens alle admin API-sleutels om de organisaties van klanten te beschermen en hen te informeren over het genereren van nieuwe sleutels. JumpCloud is opgericht in 2013 en is gevestigd in Louisville, Colorado. Het bedrijf biedt directory-as-a-service platformen, single sign-on en multi-factor authenticatiediensten aan meer dan 180.000 organisaties in meer dan 160 landen. Het bedrijf heeft nog geen informatie verstrekt over het aantal klanten dat door de aanval is getroffen en heeft de APT-groep achter de inbreuk niet gekoppeld aan een specifieke staat. (Bron, bron2, bron3)


Cybercriminelen vinden anonimiteit in VPN's, zegt Europol

Cybercriminelen maken vooral gebruik van vpn's om hun activiteiten te verbergen, zo claimt Europol in een vandaag verschenen rapport over cybercrime. Volgens het Internet Organised Crime Assessment (IOCTA) 2023 vormt cybercrime in zijn verschillende vormen een steeds grotere dreiging voor de Europese Unie. Cybercriminelen maken daarbij gebruik van allerlei diensten, bijvoorbeeld om toegang tot het netwerk van een organisatie te krijgen of malware 'onherkenbaar' voor antivirussoftware te maken. Het zijn echter vpn's waar het meest gebruik van wordt gemaakt, vooral voor het verbergen van activiteiten, aldus Europol. "Hoewel vpn-diensten niet illegaal zijn, zijn sommige ontworpen voor en worden geadverteerd aan criminelen. Volledige anonimiteit via end-to-end encryptie en een gebrek aan rechtmatige informatieverzoeken van opsporingsdiensten, zijn kenmerken van deze vpn-diensten." Vorig jaar werd vpn-provider VPNLab nog tijdens een internationale politieoperatie offline gehaald omdat het diensten aan criminelen zou leveren. Verder stelt Europol dat forums op het "darkweb" een belangrijke bron voor cybercriminelen zijn als het gaat om het verzamelen van informatie over operationele security (OpSec), maar ook zaken als het witwassen van geld, uitvoeren van phishingaanvallen en verspreiden van malware. "Darkweb forums worden veel door cybercriminelen gebruikt voor communicatie, delen van kennis, uitwisselen van digitale goederen en recrutering", aldus het rapport.

IOCTA 2023 EN
PDF – 505,6 KB 107 downloads

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten