Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
De afgelopen week stond in het teken van een reeks verontrustende cyberaanvallen die zowel vitale medische instellingen als bedrijven en overheidsorganisaties over de hele wereld troffen. Een kankerbehandelcentrum werd offline gehaald door een ransomware-aanval, wat directe gevolgen had voor de behandeling van patiënten en potentieel levensbedreigend was. Daarnaast bleven aanvallen op Citrix-servers onverminderd doorgaan, waarbij meer dan 640 servers werden getroffen door een kritieke kwetsbaarheid. Ook Russische hackers lieten van zich horen door gerichte phishing-aanvallen via Microsoft Teams op overheidsorganisaties. Terugkijkend op 2021 rapporteert het CBS dat in Nederland alleen al 6000 zzp'ers en bedrijven het slachtoffer zijn geworden van ransomware-aanvallen. Aan de andere kant van de oceaan werden spoedeisende hulpen van VS-ziekenhuizen opgeschrikt door een grootschalige ransomware-aanval. Tot slot heeft de beruchte Clop Ransomware een nieuwe tactiek geïntroduceerd door torrents te gebruiken voor de verspreiding van gestolen data. Hieronder vindt u een gedetailleerd overzicht van deze aanvallen en de gevolgen ervan.
Week overzicht slachtoffers
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb ↑ |
|---|---|---|---|---|---|
| Delaney Browne Recruitment | 8BASE | www.delaneybrowne.co.uk | UK | Business Services | 6-aug.-23 |
| IBL | BlackCat (ALPHV) | iblhc.com | Pakistan | Chemical Producers | 6-aug.-23 |
| premierbpo.com | BlackCat (ALPHV) | premierbpo.com | USA | Business Services | 6-aug.-23 |
| Sports Medicine Oregon | 8BASE | www.sportsmedicineoregon.com | USA | Health Services | 6-aug.-23 |
| SatCom Marketing | 8BASE | www.satcommarketing.com | USA | Business Services | 6-aug.-23 |
| Rayden Solicitors | BlackCat (ALPHV) | raydensolicitors.co.uk | UK | Legal Services | 5-aug.-23 |
| haynesintl.com | LockBit | haynesintl.com | USA | Metal Industries | 5-aug.-23 |
| Henlaw | BlackCat (ALPHV) | www.henlaw.com | USA | Legal Services | 5-aug.-23 |
| atser.com | LockBit | atser.com | USA | IT Services | 4-aug.-23 |
| Galicia en Goles | BlackCat (ALPHV) | www.g24.gal | Spain | Communications | 4-aug.-23 |
| scottevest.com | LockBit | scottevest.com | USA | Apparel And Other Finished Products | 4-aug.-23 |
| mipe.com | LockBit | mipe.com | USA | Electric, Gas, And Sanitary Services | 4-aug.-23 |
| armortex.com | LockBit | armortex.com | USA | Wholesale Trade-durable Goods | 4-aug.-23 |
| iqcontrols.com | LockBit | iqcontrols.com | USA | Machinery, Computer Equipment | 4-aug.-23 |
| tetco.com | LockBit | tetco.com | USA | Electric, Gas, And Sanitary Services | 4-aug.-23 |
| P****X | RA GROUP | Unknown | Unknown | Unknown | 4-aug.-23 |
| Z****ta | RA GROUP | Unknown | Unknown | Unknown | 4-aug.-23 |
| SBS Construction | BlackCat (ALPHV) | sbsworld.net | USA | Construction | 4-aug.-23 |
| Koury Engineering | Akira | kouryengineering.com | USA | Construction | 4-aug.-23 |
| Pharmatech Repblica Dominicana | BlackCat (ALPHV) | www.pharmatechrd.com | Dominican Republic | Chemical Producers | 4-aug.-23 |
| Grupo Garza Ponce | BlackCat (ALPHV) | www.grupogp.com.mx | Mexico | Construction | 4-aug.-23 |
| ESKA Erich Schweizer | Rhysida | www.eska-fuses.de | Germany | Electronic, Electrical Equipment, Components | 4-aug.-23 |
| Studio Domaine LLC | Nokoyawa | www.studiodomaine.com | USA | Construction | 4-aug.-23 |
| Ofimedic | BlackCat (ALPHV) | www.ofimedic.com | Spain | IT Services | 4-aug.-23 |
| THECHANGE | BlackCat (ALPHV) | www.thechange.co.uk | UK | IT Services | 4-aug.-23 |
| Abatti Companies | MONTI | www.abatti.com | USA | Agriculture | 4-aug.-23 |
| H********** ********* *** | BianLian | Unknown | India | IT Services | 3-aug.-23 |
| Spokane Spinal Sports Care Clinic | BianLian | spinalandsportscare.com | USA | Health Services | 3-aug.-23 |
| pointpleasant.k12.nj.us | LockBit | pointpleasant.k12.nj.us | USA | Educational Services | 3-aug.-23 |
| Roman Catholic Diocese of Albany | Nokoyawa | www.rcda.org | USA | Membership Organizations | 3-aug.-23 |
| Venture General Agency | Akira | www.ventureinsga.com | USA | Insurance Carriers | 3-aug.-23 |
| Datawatch Systems | Akira | www.datawatchsystems.com | USA | Management Services | 3-aug.-23 |
| INSULCANA CONTRACTING LTD | Medusa Locker | www.insulcana.com | Canada | Construction | 3-aug.-23 |
| admsc.com | LockBit | admsc.com | Qatar | Management Services | 3-aug.-23 |
| riggsabney | BlackCat (ALPHV) | riggsabney.com | USA | Legal Services | 3-aug.-23 |
| RevZero, Inc | 8BASE | www.revzeroinc.com | USA | Miscellaneous Manufacturing Industries | 3-aug.-23 |
| Rossman Realty Group, inc. | 8BASE | www.rossmanrentals.com | USA | Real Estate | 3-aug.-23 |
| Tempur Sealy International | BlackCat (ALPHV) | tempursealy.com | USA | Miscellaneous Manufacturing Industries | 2-aug.-23 |
| bestmotel.de | LockBit | bestmotel.de | Germany | Lodging Places | 2-aug.-23 |
| constructioncrd.com | LockBit | constructioncrd.com | Canada | Construction | 2-aug.-23 |
| Helen F. Dalton Lawyers | BlackCat (ALPHV) | helendalton.com | USA | Legal Services | 2-aug.-23 |
| www.gruposca.com | NoEscape | www.gruposca.com | Spain | Business Services | 2-aug.-23 |
| TGRWA | Akira | tgrwa.com | USA | Construction | 2-aug.-23 |
| Guido | Akira | www.guidoco.com | USA | Construction | 2-aug.-23 |
| Optical Cable Corporation | Akira | www.occfiber.com | USA | Miscellaneous Manufacturing Industries | 2-aug.-23 |
| Burmeister & Wain Scandinavian Contractor | Akira | bwsc.com | Denmark | Engineering Services | 2-aug.-23 |
| Bickel & Brewer | MONTI | www.brewerattorneys.com | USA | Legal Services | 2-aug.-23 |
| COSI | Karakurt | www.cosi.org | USA | Miscellaneous Services | 2-aug.-23 |
| ohiohistory.org | LockBit | ohiohistory.org | USA | Membership Organizations | 2-aug.-23 |
| University of Salerno | Rhysida | www.unisa.it | Italy | Educational Services | 2-aug.-23 |
| unicorpusa.com | LockBit | unicorpusa.com | USA | Real Estate | 2-aug.-23 |
| SHERMAN.EDU | CL0P | sherman.edu | USA | Educational Services | 2-aug.-23 |
| Garage Living | PLAY | www.garageliving.com | Canada | Construction | 1-aug.-23 |
| Aapd | PLAY | www.aapd.com.au | Australia | IT Services | 1-aug.-23 |
| Birch, Horton, Bittner & Cherot | PLAY | www.birchhorton.com | USA | Legal Services | 1-aug.-23 |
| DAL-TECH Engineering | PLAY | www.dal-tech.com | USA | Construction | 1-aug.-23 |
| The Dispenser USA | PLAY | www.dispenser.com | Canada | Miscellaneous Manufacturing Industries | 1-aug.-23 |
| Coral Resort | PLAY | www.coralresort.com | USA | Lodging Places | 1-aug.-23 |
| Professionnel France | PLAY | www.evs-pro.com | France | Wholesale Trade-non-durable Goods | 1-aug.-23 |
| ACTIVA Group | PLAY | www.group-activa.com | Cameroon | Insurance Carriers | 1-aug.-23 |
| Aquatlantis | PLAY | www.aquatlantis.com | Portugal | Miscellaneous Manufacturing Industries | 1-aug.-23 |
| Parathon by JDA eHealth Systems | Akira | www.parathon.com | USA | IT Services | 1-aug.-23 |
| Ultimus | Akira | www.ultimus.com | USA | IT Services | 1-aug.-23 |
| KIMCO Staffing Service | BlackCat (ALPHV) | www.kimco.com | USA | Business Services | 1-aug.-23 |
| Don’s Mobile Glass | Akira | www.donsmobileglass.com | USA | Miscellaneous Manufacturing Industries | 1-aug.-23 |
| Tennis Canada | Akira | www.tenniscanada.com | Canada | Membership Organizations | 1-aug.-23 |
| Pea River Electric Cooperative | Nokoyawa | www.peariver.com | USA | Electric, Gas, And Sanitary Services | 1-aug.-23 |
| MBS Equipment TTI | 8BASE | the-mbsgroup.com | USA | Miscellaneous Services | 1-aug.-23 |
| gerb.bg | LockBit | gerb.bg | Bulgaria | Membership Organizations | 1-aug.-23 |
| Jacklett Construction LLC | 8BASE | jacklett.com | USA | Construction | 1-aug.-23 |
| University of the West of Scotland | Rhysida | www.uws.ac.uk | United Kingdom | Educational Services | 1-aug.-23 |
| persingerlaw.com | LockBit | persingerlaw.com | USA | Legal Services | 1-aug.-23 |
| newtonit.co.uk | NoEscape | newtonit.co.uk | United Kingdom | IT Services | 1-aug.-23 |
| nbcc.org | LockBit | nbcc.org | USA | Membership Organizations | 31-jul.-23 |
| obrelli.it | LockBit | obrelli.it | Italy | Apparel And Accessory Stores | 31-jul.-23 |
| paretophone.com | LockBit | paretophone.com | Australia | Business Services | 31-jul.-23 |
| Batesville Tool & Die, Inc | Ragnar_Locker | www.btdinc.com | USA | Transportation Equipment | 31-jul.-23 |
| www.garac.com | NoEscape | www.garac.com | France | Educational Services | 31-jul.-23 |
| fushimitsu.com | NoEscape | fushimitsu.com | Japan | Construction | 31-jul.-23 |
| hydrex.co.uk | Cuba | hydrex.co.uk | United Kingdom | Business Services | 31-jul.-23 |
| txmplant.co.uk | Cuba | txmplant.co.uk | United Kingdom | Transportation Equipment | 31-jul.-23 |
| westoaksschool.co.uk | LockBit | westoaksschool.co.uk | United Kingdom | Educational Services | 31-jul.-23 |
| llombart.de | LockBit | llombart.de | Germany | Wholesale Trade-non-durable Goods | 31-jul.-23 |
| Ace Micromatic Group | Medusa | www.acemicromatic.net | India | Machinery, Computer Equipment | 31-jul.-23 |
| St Landry Parish School Board | Medusa | www.slpsb.org | USA | Educational Services | 31-jul.-23 |
Slachtoffers Belgie en Nederland
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb ↑ |
|---|
In samenwerking met StealthMol
Cyberaanvallen nieuws
07-augustus-2023
Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Cybercriminelen veroorzaken massaal datalek bij Colorado Department of Higher Education na ransomware-aanval
Het Colorado Department of Higher Education (CDHE) heeft een omvangrijk datalek onthuld dat studenten, voormalige studenten en docenten heeft getroffen. Het lek is een gevolg van een ransomware-aanval die in juni plaatsvond. Gedurende deze aanval hebben de aanvallers tussen 11 en 19 juni toegang gehad tot de systemen van het CDHE. Hierbij zijn gegevens gestolen die een periode van 13 jaar beslaan, van 2004 tot 2020. De gestolen data zijn van groot belang en betreffen personen die: Tussen 2007 en 2020 een openbare instelling voor hoger onderwijs in Colorado hebben bijgewoond. Tussen 2004 en 2020 een openbare middelbare school in Colorado hebben bijgewoond. Tussen 2010 en 2014 een licentie voor openbaar schoolonderwijs in Colorado K-12 hadden. Deelnamen aan diverse onderwijsprogramma's en initiatieven in de genoemde jaren. Onder de gestolen informatie bevinden zich volledige namen, sofinummers, geboortedata, adressen, bewijzen van adressen, fotokopieën van overheidsidentificaties en voor sommigen politierapporten of klachten over identiteitsdiefstal. Het exact. (bron)
Clop Ransomware Zet Torrents In Voor Verspreiding van Gestolen Data
De Clop ransomware-groep heeft zijn afpersingstactieken aangepast en maakt nu gebruik van torrents om data, die gestolen is tijdens MOVEit-aanvallen, te lekken. Eerder lanceerde de bende een serie aanvallen die gebruik maakten van een zero-day kwetsbaarheid in het MOVEit Transfer beveiligde platform. Hierdoor konden ze data van bijna 600 organisaties wereldwijd stelen. De groep begon oorspronkelijk met het afpersen van haar slachtoffers door hun data op een Tor-site te zetten, maar dit had enkele nadelen, waaronder trage downloadsnelheden. Als reactie hierop creëerden ze clearweb-sites voor enkele van de gestolen gegevens, maar deze sites werden snel door autoriteiten en bedrijven verwijderd. Nu heeft Clop torrents geïntroduceerd als hun nieuwe methode om gestolen data te verspreiden. Het gebruik van torrents heeft als voordeel dat het snellere overdrachtssnelheden biedt dan de traditionele Tor-sites en, vanwege het gedecentraliseerde karakter, moeilijker door de autoriteiten kan worden stilgelegd. Zelfs als de oorspronkelijke uploader offline wordt gehaald, kan een nieuw apparaat de gestolen data blijven seeden. Dit nieuwe model kan voor Clop voordeliger zijn. Niet alleen omdat het eenvoudiger is op te zetten zonder een complexe website, maar ook omdat het slachtoffers mogelijk meer onder druk zet vanwege de brede verspreiding van de gestolen data. Coveware schat dat Clop tussen de $75 en $100 miljoen zal verdienen aan afpersingsbetalingen, voornamelijk omdat ze een klein aantal bedrijven hebben overtuigd om grote losgeldbedragen te betalen. Het is nog onbekend of het gebruik van torrents zal leiden tot meer betalingen, maar gezien de potentiële winsten doet dit er misschien niet toe. (bron)
New Clop Ransomware torrents including investment giant Putnam, Iron Bow Technologies whose CISO claimed no data was exfiltrated and Delaware Life Insurance Company for the 3rd time this year. pic.twitter.com/1UbxYVKQKO
— Dominic Alvieri (@AlvieriD) August 4, 2023
Nieuwe akoestische techniek onthult toetsaanslagen met 95% nauwkeurigheid
Een groep wetenschappers van Britse universiteiten heeft een geavanceerd machine learning model ontwikkeld dat met een nauwkeurigheid van 95% gegevens kan onderscheppen uit toetsaanslagen, simpelweg door deze te registreren via een microfoon. Dit type akoestische aanval is verontrustend gezien het potentieel om wachtwoorden, gesprekken en andere gevoelige informatie te lekken. In vergelijking met andere zijkanaalaanvallen heeft de akoestische aanval een voordeel vanwege de alomtegenwoordigheid van apparaten met microfoons en hun vermogen om hoogwaardige opnames te maken. De snelle vooruitgang in machine learning heeft deze vorm van aanval nog haalbaarder en gevaarlijker gemaakt. De aanval begint met het opnemen van toetsaanslagen, die vervolgens worden gebruikt om het voorspellingsalgoritme te trainen. Deze opnames kunnen worden gemaakt via een nabije microfoon, een geïnfecteerde telefoon, of zelfs tijdens een Zoom-gesprek. Voor de training hebben de onderzoekers gebruik gemaakt van spectrogrammen, die de geluiden van elke toets visualiseren. Met deze gegevens trainden ze 'CoAtNet', een beeldclassificator. In hun tests bereikte CoAtNet 95% nauwkeurigheid van smartphone-opnames en 93% via Zoom. Om zich tegen dergelijke aanvallen te beschermen, kunnen gebruikers overwegen hun typstijl te wijzigen, willekeurige wachtwoorden te gebruiken of speciale software in te zetten die toetsaanslaggeluiden nabootst. Het is ook raadzaam om biometrische authenticatie te gebruiken waar mogelijk en password managers te benutten om het handmatig invoeren van gevoelige informatie te vermijden. (bron)
FBI waarschuwt voor NFT-oplichtingspraktijken gericht op crypto-eigenaren
De FBI heeft een waarschuwing uitgegeven over fraudeurs die zich voordoen als NFT-ontwikkelaars om cryptocurrency en NFT-activa van enthousiastelingen te stelen. Deze oplichters krijgen toegang tot sociale media-accounts van echte NFT-ontwikkelaars of creëren bijna identieke accounts. Ze promoten "exclusieve" NFT-releases en maken misleidende claims over een 'beperkt aanbod' om een vals gevoel van urgentie te creëren. Wanneer slachtoffers op de verstrekte links klikken, worden ze omgeleid naar phishing-websites die eruitzien als legitieme NFT-platforms. Op deze sites worden ze gevraagd hun cryptocurrency-portemonnees te verbinden voor NFT-aankopen. Echter, door dit te doen, activeren ze een slim contract dat hun activa overdraagt aan de oplichters. De criminelen maken gebruik van cryptocurrency-mixers en uitwisselingen om hun sporen te verbergen, waardoor het voor wetshandhavingsinstanties moeilijk is om de eindbestemming van de gestolen activa te traceren. Als reactie op deze aanvallen adviseert de FBI NFT-enthousiastelingen om: 1) De authenticiteit van NFT-ontwikkelaars en hun promoties te controleren. 2) Sociale media-accounts te verifiëren die worden gebruikt voor promoties. 3) Website-URL's te controleren bij het omgaan met NFT-aankopen. 4) Verdachte activiteiten met betrekking tot NFT's te melden via het Internet Crime Complaint Center. Dit is niet de eerste keer dat de FBI waarschuwt voor dergelijke oplichtingspraktijken. Eerder waarschuwde de instantie voor verschillende crypto-investeringsregelingen die hebben geleid tot aanzienlijke verliezen voor investeerders. (bron)
Malware Omzeilt Google Play Store Beveiliging via Versiebeheer
Het beveiligingsteam van Google Cloud heeft een veelgebruikte methode onthuld waarmee kwaadwillende acteurs malware op Android-apparaten kunnen introduceren, zelfs na het omzeilen van de beveiligingscontroles van de Google Play Store. Deze methode, bekend als 'versiebeheer', stelt ontwikkelaars in staat om een legitiem ogende app te publiceren die vervolgens kwaadaardige updates ontvangt van externe servers. Deze kwaadaardige payloads kunnen op twee manieren worden geïntroduceerd: 1. Via updates die worden geleverd aan reeds geïnstalleerde apps. 2. Door kwaadaardige code te laden van servers die onder controle staan van de bedreigende actoren, een techniek die bekend staat als dynamische code laden (DCL). Google benadrukte dat, hoewel alle apps en patches die worden ingediend voor opname in de Play Store een grondige screening ondergaan voor potentieel schadelijke applicaties (PHA), sommige van deze controles worden omzeild via DCL. Apps die betrokken zijn bij dergelijke activiteiten worden beschouwd als in strijd met het Google Play Deceptive Behavior-beleid en kunnen worden gelabeld als 'achterdeuren'. Een specifieke malwarevariant genaamd SharkBot, voor het eerst gespot in oktober 2021, staat bekend om het gebruik van deze techniek. SharkBot, een bankmalware, maakt ongeautoriseerde geldtransfers nadat een Android-apparaat is gecompromitteerd. Om detectie te voorkomen, publiceren de bedreigende actoren versies met beperkte functionaliteit op Google Play, waardoor hun apps niet verdacht lijken. Echter, zodra een gebruiker de gecamoufleerde app downloadt, wordt de volledige versie van de malware gedownload. Daarnaast belichtte cybersecurity reporter Brian Krebs een andere techniek die Google's app-analysetools breekt, waardoor schadelijke APK's (Android applicatiepakketten) succesvol kunnen worden geïnstalleerd op gebruikersapparaten, ondanks dat ze als ongeldig zijn gelabeld. (bron, bron2, bron3, bron4, bron5, bron6,bron7)
Kwaadaardige VMware vConnector-imitatie op PyPI bedreigt IT-professionals
Op 4 augustus 2023 meldde BleepingComputer dat een kwaadaardig softwarepakket, dat de VMware vSphere-connectormodule 'vConnector' nabootst, was geüpload naar de Python Package Index (PyPI) onder de naam 'VMConnect'. Dit pakket richtte zich specifiek op IT-professionals. VMware vSphere is een bekende virtualisatietool en vConnector is een populaire Python-module die maandelijks ongeveer 40.000 keer wordt gedownload via PyPI. Volgens onderzoekers van Sonatype en BleepingComputer-verslaggever Ax Sharma, had het kwaadaardige 'VMConnect'-pakket al 237 downloads verzameld voordat het op 1 augustus 2023 werd verwijderd. Sonatype ontdekte ook twee andere pakketten met dezelfde code als 'VMConnect', namelijk 'ethter' en 'quantiumbase', die respectievelijk 253 en 216 keer waren gedownload. Deze pakketten imiteerden legitieme softwareprojecten, waardoor gebruikers mogelijk misleid werden om te denken dat ze authentieke tools gebruikten. Een duidelijk teken van kwaadaardige intenties werd gevonden in de code van 'VMConnect'. Het bevatte een gecodeerde tekenreeks die elke minuut werd gedecodeerd en uitgevoerd om gegevens op te halen van een externe URL, gecontroleerd door een aanvaller, en deze uit te voeren op de geïnfecteerde machine. Hoewel de exacte bedoelingen van de aanvallers onbekend blijven, is het duidelijk dat dergelijke acties een hoog risico vormen. Sonatype probeerde contact op te nemen met de auteur van de pakketten, geregistreerd als "hushki502" op zowel PyPI als GitHub, maar kreeg geen reactie. Als waarschuwing benadrukte het rapport dat de beschrijvingen van de valse pakketten op PyPI realistisch leken en dat ze zelfs overeenkomende GitHub-repositories hadden gemaakt. Ontwikkelaars zouden de kwaadaardige activiteit alleen hebben opgemerkt als ze hadden gelet op de korte geschiedenis, lage downloadtellingen en verborgen code in sommige bestanden van deze projecten. (bron)
Spoedeisende hulp in VS-ziekenhuizen getroffen door grootschalige ransomware-aanval
Op zaterdag 5 augustus 2023 rapporteerde Security.NL dat de spoedeisende hulp van meerdere Amerikaanse ziekenhuizen gesloten is vanwege een ransomware-aanval op hun systemen. Deze aanval heeft ertoe geleid dat ambulances worden omgeleid naar andere medische faciliteiten. Volgens Amerikaanse media is dit de meest omvangrijke cyberaanval op een Amerikaans ziekenhuissysteem sinds het voorgaande jaar. De aanval heeft klinieken en ziekenhuizen in vijf Amerikaanse staten getroffen, waaronder Californië, Texas, Connecticut, Rhode Island en Pennsylvania. Deze informatie werd bevestigd door Prospect Medical Holdings, het bedrijf dat deze zorglocaties beheert. Prospect Medical Holdings heeft in totaal zestien ziekenhuizen en meer dan honderd andere zorginstellingen in de VS, die allemaal offline zijn gegaan als gevolg van de aanval. Dit heeft geleid tot significante operationele verstoringen, waarbij zorgpersoneel nu noodgedwongen op traditionele methoden zoals pen en papier moet vertrouwen. De ransomware-aanval vond plaats op de donderdag voorafgaand aan het nieuwsbericht. Hoewel specifieke details over de aanval niet zijn vrijgegeven, is bekendgemaakt dat de getroffen systemen offline zijn gehaald zodra de aanval werd ontdekt. Er is een onderzoek ingesteld naar het incident, en de Amerikaanse federale politiedienst, de FBI, is ook betrokken bij dit onderzoek. (bron, bron2, bron3, bron4)
Nieuwe Azure AD CTS-functie kan misbruikt worden voor zijdelingse aanvallen
Microsoft's nieuwe Azure Active Directory Cross-Tenant Synchronization (CTS) functie, geïntroduceerd in juni 2023, heeft een potentieel nieuw aanvalsoppervlak gecreëerd. Deze functie kan door bedreigingsactoren misbruikt worden om zich gemakkelijker zijdelings te verspreiden naar andere Azure-klanten. De CTS-functie stelt beheerders in staat om gebruikers en groepen te synchroniseren tussen verschillende Azure-klanten. Dit kan echter leiden tot een eenzijdige synchronisatie als het niet correct is geconfigureerd. Aanvallers die al toegang hebben tot een klant en verhoogde privileges hebben verkregen, kunnen de nieuwe functie gebruiken om zijdelings naar andere verbonden klanten te verplaatsen en frauduleuze CTS-configuraties in te zetten om persistentie op die netwerken te creëren. Cyberbeveiligingsbedrijf Vectra heeft een rapport gepubliceerd waarin wordt uitgelegd hoe bedreigingsactoren deze functie kunnen misbruiken. Ze waarschuwen dat misbruik van deze functie vereist dat een bedreigingsactor eerst een bevoorrecht account compromitteert of escalatie van privileges krijgt in een gecompromitteerde Microsoft-cloudomgeving. Vectra heeft ook richtlijnen aangeboden om uw configuratie te versterken en te voorkomen dat de functie wordt misbruikt. Ze stellen voor dat CTS-doelklanten een standaard of te inclusieve inbound CTA-configuratie moeten vermijden en, indien mogelijk, limieten moeten stellen aan welke gebruikers en groepen toegang kunnen krijgen tot hun cloudomgevingen. CTS-bronklanten die als het initiële inbreukpunt fungeren, moeten alle bevoorrechte gebruikers controleren op verdachte activiteiten. (bron, bron2, bron3)
Hacktivistische Groepen (cyberoorlog) Financieren Operaties met Cybercriminaliteitstactieken
Hacktivistische groepen, die opereren vanuit politieke of ideologische motieven, gebruiken een breed scala aan financieringsmethoden om hun operaties te ondersteunen, waaronder veelgebruikte cybercriminaliteitstactieken. Dit is de bevinding van het Israëlische cyberintelligentiebedrijf KELA. Deze tactieken omvatten het stelen en verkopen van gegevens, het verkopen van malware- en botnetlicenties, het eisen van losgeld van slachtoffers en het aanbieden van hack-for-hire-diensten. Een voorbeeld is de pro-Russische groep Killnet, die inkomsten genereert door onder andere het verkopen van hackcursussen, het aanbieden van een cryptocurrency-uitwisselingsplatform en het afpersen van slachtoffers. Andere groepen zoals Anonymous Russia en Phoenix hebben vergelijkbare methoden toegepast, waaronder het lanceren van betaalde diensten en het verkopen van gestolen gegevens. Anonymous Sudan, een andere hacktivistische groepering, heeft ook inkomsten gegenereerd door het verkopen van gestolen gegevens en het eisen van losgeld om aanvallen te stoppen. De Arvin Club, die tegen het Iraanse regime vecht, heeft een privéabonnement gebaseerd Telegram-kanaal gelanceerd om gestolen gegevens en exploits te verkopen.
KELA benadrukt dat deze hacktivistische groepen hun operaties voornamelijk monetariseren om actief te blijven en krachtige aanvallen op hun doelwitten te blijven lanceren. Ondanks hun financiering, maakt dit hen niet minder gevaarlijk voor internetgebruikers en organisaties. (bron)
Meer info over de 'Oorlog tussen Rusland en Oekraïne - Cyber groepen'
Serco Inc. onthult grootschalig datalek na cyberaanval op MoveIT
Serco Inc., de Amerikaanse divisie van het multinationale outsourcingbedrijf Serco Group, heeft een datalek gemeld waarbij de persoonlijke informatie van meer dan 10.000 personen is gestolen van een door MoveIT beheerde bestandsoverdrachtserver van een derde partij. Het lek werd ontdekt na een ransomware-aanval op CBIZ, de voordelenadministratie leverancier van Serco. Het incident begon in mei 2023 en CBIZ nam stappen om het incident te verzachten op 5 juni 2023. De inbreuk op de systemen van CBIZ had geen invloed op de veiligheid en beveiliging van de systemen van Serco. De gestolen persoonlijke informatie omvatte een combinatie van naam, Amerikaans sofinummer, geboortedatum, thuisadres, Serco en/of persoonlijk e-mailadres en geselecteerde gezondheidsvoordelen voor het jaar. Serco werkt momenteel samen met CBIZ om de inbreuk te onderzoeken en de volledige omvang van het incident te beoordelen. De focus ligt op het waarborgen dat de externe leverancier beveiligingsmaatregelen heeft genomen om toekomstige incidenten te voorkomen. De Clop ransomware-bende, die verantwoordelijk is voor de aanval, startte een grootschalige datadiefstalcampagne eind mei, waarbij gebruik werd gemaakt van een zero-day-kwetsbaarheid in het MOVEit Transfer-veilige bestandsoverdrachtplatform. De impact van deze aanvallen zal naar verwachting toenemen tot honderden bedrijven wereldwijd. (bron, bron2, bron3)
Hackers misbruiken Microsoft Office-bestanden om malware te downloaden
Hackers kunnen legitieme binaire bestanden en scripts, bekend als LOLBAS (Living-off-the-Land Binaries and Scripts), misbruiken om malware te downloaden. Deze bestanden zijn aanwezig in het Windows-besturingssysteem of zijn gedownload van Microsoft. Beveiligingsonderzoeker Nir Chako van Pentera heeft ontdekt dat de belangrijkste uitvoerbare bestanden voor Microsoft's Outlook e-mailclient en Access databasebeheersysteem binnenkort aan de LOLBAS-lijst zullen worden toegevoegd. Chako heeft een geautomatiseerde methode ontwikkeld om de verificatie van deze bestanden te versnellen. Met deze methode heeft hij zes nieuwe downloaders ontdekt, wat een toename van bijna 30% betekent in de officiële LOLBAS-downloaderslijst. In totaal ontdekte hij 11 nieuwe bestanden met download- en uitvoerfunctionaliteiten die voldoen aan de principes van het LOLBAS-project. Opvallend zijn MSPub.exe, Outlook.exe en MSAccess.exe, die een aanvaller of penetratietester zou kunnen gebruiken om bestanden van derden te downloaden. Hoewel bevestigd is dat MSPub willekeurige payloads van een externe server kan downloaden, moeten de andere twee nog aan de LOLBAS-lijst worden toegevoegd. Naast Microsoft-bestanden vond Chako ook bestanden van andere ontwikkelaars die voldoen aan de LOLBAS-criteria, zoals de populaire PyCharm-suite voor Python-ontwikkeling. Het kennen van de LOLBAS-dreigingen kan verdedigers helpen om adequate methodologieën en mechanismen te definiëren om cyberaanvallen te voorkomen of te beperken. (bron, bron2, bron3)
CBS: Ransomware treft 6000 zzp'ers en bedrijven in 2021 in Nederland
In 2021 werden volgens het Centraal Bureau voor de Statistiek (CBS) in totaal 6000 zzp'ers en bedrijven het slachtoffer van ransomware. Van deze slachtoffers waren er 4000 zzp'ers en 2000 bedrijven met twee of meer werknemers. Elf procent van de getroffen bedrijven betaalde losgeld om toegang tot hun gegevens te herstellen, terwijl zzp'ers nauwelijks losgeld betaalden. Grote bedrijven (met 250 of meer werknemers) werden verhoudingsgewijs vaker getroffen dan kleine bedrijven. Van de kleine bedrijven betaalde een relatief groot deel (14%) losgeld, terwijl dit bij grote bedrijven slechts 4% was. Betaling leidde echter niet altijd tot het gewenste resultaat. In meer dan de helft van de gevallen werden bedrijfsgegevens niet of slechts gedeeltelijk vrijgegeven, vooral bij kleine bedrijven. Het losgeld bedroeg in meer dan de helft van de betalingen meer dan de helft van de jaaromzet van het bedrijf, voornamelijk bij kleine bedrijven. Bedrijven met 250 of meer werknemers betaalden het minst vaak losgeld. Bij één op de vier grote bedrijven die losgeld betaalden, bedroeg dit 1 tot 2% van de omzet (bron).
Kwaadaardige Rilide Chrome-extensie keert terug, richt zich op cryptogebruikers en bedrijven
De kwaadaardige Rilide Stealer Chrome-browserextensie is terug in nieuwe campagnes die zich richten op cryptogebruikers en werknemers van bedrijven om inloggegevens en crypto-portemonnees te stelen. Rilide, een schadelijke extensie voor Chromium-gebaseerde browsers zoals Chrome, Edge, Brave en Opera, werd oorspronkelijk ontdekt door Trustwave SpiderLabs in april 2023. De nieuwste versie van Rilide ondersteunt nu het Chrome Extension Manifest V3, waardoor het de beperkingen kan omzeilen die zijn geïntroduceerd door de nieuwe extensiespecificaties van Google. Bovendien richt de nieuwste Rilide malware-extensie zich nu ook op bankrekeningen en kan het gestolen gegevens exfiltreren via een Telegram-kanaal of door screenshots te maken en deze naar de C2-server te sturen. Rilide wordt verspreid in meerdere lopende campagnes en wordt waarschijnlijk uitgevoerd door verschillende bedreigingsactoren, aangezien het een grondstoffenmalware is die wordt verkocht op hackerforums.Een van de campagnes is gericht op meerdere banken, betalingsproviders, e-mailserviceproviders, crypto-uitwisselingsplatforms, VPN's en cloudserviceproviders, voornamelijk gericht op gebruikers in Australië en het Verenigd Koninkrijk. Rilide's aanpassing aan Manifest V3 is cruciaal voor zijn werking en succes, aangezien de nieuwe standaard van Google voorkomt dat oudere extensies stoppen met werken sinds januari 2023. Ondanks de populariteit bij hackers, blijft de oorspronkelijke auteur van de malware de kwaadaardige Chrome-extensie verbeteren, waardoor de activiteit van Rilide in het wild waarschijnlijk niet zal afnemen.
Phishing HSBC-pagina als onderdeel van een Rilide-campagne
Malware misbruikt Android-fout om antivirusdetectie te omzeilen
Onderzoekers van het beveiligingsbedrijf ThreatFabric hebben ontdekt dat kwaadaardige apps een fout in Android misbruiken om detectie door mobiele virusscanners te voorkomen. Veel van deze apps, bekend als "droppers", installeren de uiteindelijke malware, die verborgen is in een APK-bestand en van een andere locatie wordt gedownload. Deze droppers patchen de APK-bestanden, waardoor Android de code uitvoert, terwijl tools die de APK willen inspecteren de code niet kunnen uitvoeren en dus de malware niet kunnen detecteren. Google heeft aanpassingen aan zijn eigen scanner doorgevoerd na de melding van ThreatFabric in mei, maar erkent dat sommige van de tools die het aan ontwikkelaars biedt, de apps niet kunnen inspecteren. Deze tools behandelen de kwaadaardige apps als ongeldig, terwijl ze nog steeds op het apparaat van gebruikers kunnen worden geïnstalleerd. Google is nog op zoek naar een oplossing voor deze gevallen. Een van de malware-exemplaren die deze obfuscatietechniek toepast, wordt Anatsa genoemd. De ontwikkelaars achter deze malware kopen oude, niet meer onderhouden Android-apps op en voegen vervolgens kwaadaardige code toe. Ze ontwikkelen ook hun eigen apps en laten deze eerst een groot aantal gebruikers krijgen voordat ze de malware toevoegen. (bron, bron2)
Russische Hackers Richten zich op Overheidsorganisaties in Microsoft Teams Phishing Aanvallen
Microsoft heeft onthuld dat een hackgroep, bekend als APT29 en gelinkt aan de Russische buitenlandse inlichtingendienst (SVR), tientallen organisaties wereldwijd heeft aangevallen, waaronder overheidsinstanties, in phishing-aanvallen via Microsoft Teams. Het huidige onderzoek van Microsoft toont aan dat deze campagne minder dan 40 unieke wereldwijde organisaties heeft getroffen. De doelwitten van deze activiteit wijzen waarschijnlijk op specifieke spionagedoelstellingen gericht op de overheid, niet-gouvernementele organisaties (NGO's), IT-diensten, technologie, discrete productie en mediasectoren. De hackers maakten gebruik van gecompromitteerde Microsoft 365-accounts om nieuwe domeinen met een technisch ondersteuningsthema te creëren en technische ondersteuning te sturen, in een poging gebruikers van de beoogde organisaties te misleiden met behulp van social engineering-tactieken. Ze probeerden gebruikers te manipuleren om goedkeuring te geven voor multifactorverificatie (MFA) -prompts, met als uiteindelijk doel hun inloggegevens te stelen. In sommige gevallen probeerde de aanvaller een apparaat aan de organisatie toe te voegen als een beheerd apparaat via Microsoft Entra ID (voorheen Azure Active Directory), waarschijnlijk in een poging om voorwaardelijk toegangsbeleid te omzeilen dat is geconfigureerd om de toegang tot specifieke bronnen te beperken tot alleen beheerde apparaten. Microsoft heeft succesvol de Russische dreigingsgroep geblokkeerd van het gebruik van de domeinen in andere aanvallen en werkt nu actief aan het aanpakken en beperken van de impact van de campagne. (bron)
APT29 Teams phishing-bericht ( Microsoft )
Aanhoudende aanvallen treffen meer dan 640 Citrix-servers via kritieke kwetsbaarheid
In een reeks aanvallen gericht op een kritieke kwetsbaarheid voor externe code-uitvoering (RCE), getraceerd als CVE-2023-3519, zijn honderden Citrix Netscaler ADC- en Gateway-servers al geschonden en achterdeurtjes geïnstalleerd. Deze kwetsbaarheid werd eerder misbruikt als een zero-day-aanval op het netwerk van een Amerikaanse organisatie voor kritieke infrastructuur. Beveiligingsonderzoekers van de non-profitorganisatie Shadowserver Foundation hebben onthuld dat aanvallers webshells hebben ingezet op minstens 640 Citrix-servers. De CEO van Shadowserver, Piotr Kijewski, gaf aan dat het daadwerkelijke aantal gedetecteerde webshells veel lager is dan het aantal dat ze vermoeden. Ongeveer twee weken geleden waren er ongeveer 15.000 Citrix-apparaten kwetsbaar voor CVE-2023-3519-aanvallen. Dit aantal is echter gedaald tot onder de 10.000, wat wijst op enige vooruitgang bij het verminderen van de kwetsbaarheid. Citrix heeft op 18 juli beveiligingsupdates uitgebracht om de RCE-kwetsbaarheid aan te pakken en drong er bij klanten op aan om de patches onmiddellijk te installeren. Het beveiligingslek heeft voornamelijk invloed op niet-gepatchte Netscaler-apparaten die zijn geconfigureerd als gateways of authenticatie virtuele servers. Als reactie op de aanhoudende aanvallen heeft CISA (Cybersecurity and Infrastructure Security Agency) de Amerikaanse federale agentschappen opgedragen om Citrix-servers op hun netwerken te beveiligen tegen 9 augustus. (bron, bron2, bron3)
Nieuwe 'Collide+Power' aanval raakt bijna alle CPU's, maar vormt een laag risico
Een nieuwe softwaregebaseerde power side-channel aanval, genaamd 'Collide+Power', is ontdekt en heeft potentieel invloed op bijna alle CPU's. De aanval kan mogelijk gegevens lekken, maar onderzoekers van de Technische Universiteit van Graz waarschuwen dat het risico laag is en waarschijnlijk niet zal worden gebruikt bij aanvallen op eindgebruikers. De 'Collide+Power' aanval maakt gebruik van zwakke punten in de CPU-hardware om potentieel gevoelige gegevens te lekken. Het belangrijkste concept van de aanval is om gegevens te lekken uit gemeten CPU-vermogensverbruikswaarden wanneer een gegevens "botsing" plaatsvindt in het CPU-cachegeheugen. De aanval heeft twee varianten. De eerste methode vereist dat hyperthreading wordt ingeschakeld en dat het slachtoffer toegang heeft tot de gerichte geheimen, zoals een decryptiesleutel. De tweede variant misbruikt de "prefetch gadget" in het besturingssysteem om de doelgegevens op de CPU-cache te laden en deze te laten botsen met de gegevens van de aanvaller zonder het slachtoffer erbij te betrekken. 'Collide+Power' heeft invloed op processors gemaakt door Intel, AMD en die met ARM-architecturen. Ondanks de potentieel brede impact, stellen de ontwikkelaars van de aanval duidelijk dat gebruikers zich geen zorgen hoeven te maken, omdat de gegevenslekkage relatief laag is en de aanval langdurige fysieke toegang tot het doelapparaat en gespecialiseerde kennis vereist om uit te voeren. Als het gaat om het mitigeren van het probleem, zegt het Graz-team dat het voorkomen van gegevensbotsingen in hardware een zeer complexe herontwerp van algemene CPU's is, wat onwaarschijnlijk is dat het op korte termijn zal gebeuren. Daarom is de meer realistische mitigatie het voorkomen dat een aanvaller het stroomgerelateerde signaal waarneemt. (bron)
Nieuwe techniek ontdekt: AWS SSM-agent van Amazon kan als ondetecteerbare RAT-malware worden gebruikt
Onderzoekers hebben een nieuwe post-exploitatie techniek ontdekt in Amazon Web Services (AWS) die hackers in staat stelt om de System Manager (SSM) agent van het platform te gebruiken als een ondetecteerbare Remote Access Trojan (RAT). Deze ontdekking, gedaan door veiligheidsonderzoekers van Mitiga, heeft invloed op zowel Windows- als Linux-machines. De AWS Systems Manager (SSM) is een uitgebreid eindpuntbeheersysteem dat door beheerders wordt gebruikt voor het configureren, patchen en bewaken van AWS-ecosystemen. Mitiga ontdekte dat de SSM-agent kan worden geconfigureerd om in "hybride" modus te draaien, zelfs binnen de grenzen van een EC2-instantie. Dit stelt aanvallers in staat om toegang te krijgen tot activa en servers vanaf door hen gecontroleerde AWS-accounts. Als het overnemen van bestaande SSM-agents niet haalbaar is vanwege een gebrek aan rechten, kunnen hackers een ander SSM-agentproces uitvoeren. Dit werkt parallel aan bestaande processen en geeft aanvallers toegang tot de "Run Command" functie. Na het onthullen van de post-exploitatie methode aan Amazon, zei het AWS-beveiligingsteam dat het mogelijk is om de ontvangst van commando's in EC2-instanties te beperken met behulp van het VPC-eindpunt voor Systems Manager. Mitiga suggereert ook om de SSM-agent te verwijderen uit de toegestane lijst van antivirus- of EDR-oplossingen en de detectietechnieken uit hun rapport te integreren in uw SIEM en SOAR-platforms. (bron, bron2, bron3, bron4)
Hackers misbruiken Salesforce kwetsbaarheid voor phishing-aanval op Facebook
Hackers hebben een zero-day kwetsbaarheid in Salesforce's e-maildiensten en SMTP-servers uitgebuit om een geavanceerde phishing-campagne te lanceren die gericht was op waardevolle Facebook-accounts. De aanvallers gebruikten een fout, genaamd "PhishForce", om Salesforce's afzenderverificatiebeveiligingen te omzeilen en eigenaardigheden in Facebook's webgamesplatform te misbruiken om massaal phishing-e-mails te versturen. Het voordeel van het gebruik van een gerenommeerde e-mailgateway zoals Salesforce om phishing-e-mails te verspreiden, is het omzeilen van veilige e-mailgateways en filterregels, waardoor de kwaadaardige e-mails de inbox van het doelwit bereiken. De campagne werd ontdekt door analisten van Guardio Labs, die de onbekende kwetsbaarheid aan Salesforce rapporteerden en hielpen bij het herstelproces. De ontdekte problemen in Facebook's gameplatform zijn echter nog niet opgelost, aangezien Meta's ingenieurs nog steeds proberen uit te zoeken waarom de bestaande beveiligingsmaatregelen de aanvallen niet konden stoppen. De aanvallers wisten Salesforce's "Email-to-Case" functie te misbruiken, waardoor ze controle kregen over een door Salesforce gegenereerd e-mailadres en vervolgens een nieuw inkomend e-mailadres op het "salesforce.com" domein creëerden. Dit proces stelde hen in staat om hun Salesforce e-mailadres te gebruiken om berichten naar iedereen te sturen, waarbij zowel Salesforce's verificatiebeschermingen als eventuele andere e-mailfilters en anti-phishing systemen werden omzeild. Het doel van de phishing-kit die in deze campagne werd gebruikt, was om Facebook-accountgegevens te stelen, inclusief mechanismen om tweefactorauthenticatie te omzeilen. Salesforce reproduceerde de kwetsbaarheid en loste het probleem precies een maand later op, op 28 juli 2023. Meta verwijderde de overtredende pagina's na het rapport van Guardio Labs; echter, zijn ingenieurs onderzoeken nog steeds waarom bestaande beveiligingen de aanvallen niet konden stoppen. (bron)
Chinese Hackers Breken Air-Gapped Systemen in Oost-Europa met Nieuwe Malware
Chinese door de staat gesponsorde hackers hebben nieuwe malware gebruikt om industriële organisaties in Oost-Europa te targeten. Deze malware is specifiek ontworpen om gegevens te stelen van air-gapped systemen, die doorgaans cruciale rollen vervullen en geïsoleerd zijn van het bedrijfsnetwerk en het openbare internet. Het cyberbeveiligingsbedrijf Kaspersky ontdekte de nieuwe malware en wees deze toe aan de cyberspionagegroep APT31, ook bekend als Zirkonium. De hackers gebruikten minstens 15 verschillende implantaten bij aanvallen in Oost-Europa, elk voor een afzonderlijke fase van de operatie, evenals hun handtekening 'FourteenHi' malware familie. De aanvallen begonnen in april vorig jaar en omvatten drie afzonderlijke fasen. In de beginfase stelden de implantaten persistentie en toegang op afstand tot de gecompromitteerde systemen vast en verzamelden ze gegevens voor verkenning. In de tweede fase liet APT31 meer gespecialiseerde malware vallen die gegevens kon stelen van geïsoleerde systemen met behulp van USB-voortplanting. In de derde fase van de aanval gebruikten de hackers implantaten die de verzamelde gegevens konden uploaden naar hun commando- en controle (C2) servers. Kaspersky benadrukt dat de aanvallen heimelijk waren en vermeldt verschillende tactieken, technieken en procedures (TTP's) die werden gebruikt, waaronder DLL order hijacking om kwaadaardige payloads in het geheugen te laden en payloads in gecodeerde vorm in afzonderlijke binaire gegevensbestanden te verbergen. Air-gapped systemen blijven een aantrekkelijk doelwit voor APT-groepen, die meestal USB-drives gebruiken om malware te leveren en gegevens te exfiltreren vanuit de geïsoleerde omgeving. (bron)
Verhoogde Phishing-aanvallen Misbruiken Google AMP voor Ontwijking
Beveiligingsonderzoekers waarschuwen voor een toename in phishing-activiteiten die Google Accelerated Mobile Pages (AMP) misbruiken om e-mailbeveiligingsmaatregelen te omzeilen en de inboxen van bedrijfsmedewerkers te bereiken. Google AMP is een open-source HTML-framework dat is ontwikkeld om webcontent sneller te laden op mobiele apparaten. De AMP-pagina's worden gehost op Google's servers, waar de inhoud wordt vereenvoudigd en zwaardere media-elementen vooraf worden geladen voor snellere levering. Phishing-actoren gebruiken Google AMP-URL's in hun e-mails om ervoor te zorgen dat e-mailbeveiligingstechnologieën de berichten niet als kwaadaardig of verdacht markeren vanwege Google's goede reputatie. Deze AMP-URL's activeren een omleiding naar een kwaadaardige phishing-site, wat een extra laag toevoegt die analyse verstoort. Gegevens vanhet antifishingbeschermingsbedrijf Cofense tonen aan dat het aantal phishing-aanvallen met AMP aanzienlijk is gestegen tegen half juli. Dit suggereert dat bedreigingsactoren deze methode zouden kunnen toepassen. Cofense legt uit dat ongeveer 77% van de waargenomen Google AMP URL's werden gehost op het domein google.com, en 23% op het domein google.co.uk. Phishing-actoren die Google AMP misbruiken, gebruiken ook een reeks aanvullende technieken om detectie te ontwijken en hun slagingspercentage te verhogen. Zo gebruiken ze in veel gevallen op afbeeldingen gebaseerde HTML-e-mails in plaats van een traditionele tekstinhoud om tekstscanners te verwarren die op zoek zijn naar veelvoorkomende phishing-termen in de berichtinhoud. In een ander voorbeeld gebruikten de aanvallers een extra omleidingsstap, waarbij ze een Microsoft.com URL misbruikten om het slachtoffer naar een Google AMP-domein en uiteindelijk naar de daadwerkelijke phishing-site te leiden. Ten slotte gebruikten aanvallers de CAPTCHA-service van Cloudflare om geautomatiseerde analyse van de phishing-pagina's door beveiligingsbots te dwarsbomen, waardoor de crawlers ze niet konden bereiken. (bron)
CISA waarschuwt voor actieve uitbuiting van Ivanti MobileIron-kwetsbaarheden
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een waarschuwing afgegeven over staatshackers die sinds april twee kwetsbaarheden in Ivanti's Endpoint Manager Mobile (EPMM), voorheen MobileIron Core, exploiteren. Deze acteurs, bekend als Geavanceerde Aanhoudende Dreigingen (APT), hebben de CVE-2023-35078 kwetsbaarheid gebruikt om informatie te verzamelen van verschillende Noorse organisaties en om toegang te krijgen tot en compromissen te sluiten over het netwerk van een Noorse overheidsinstantie. Een van de uitgebuite kwetsbaarheden, CVE-2023-35078, is een kritieke authenticatie-bypass-kwetsbaarheid die kan worden gecombineerd met een tweede directory traversale fout (CVE-2023-35081) waarmee bedreigingsactoren webshells kunnen implementeren. Na succesvolle exploitatie hebben de bedreigingsactoren toegang tot specifieke API-paden, wat kan leiden tot diefstal van persoonlijk identificeerbare informatie (PII), waaronder namen en telefoonnummers. De Noorse gegevensbeschermingsautoriteit (DPA) is ook gewaarschuwd na de aanvallen, waarschijnlijk vanwege de bezorgdheid dat de hackers mogelijk toegang hebben gekregen tot en/of gevoelige gegevens hebben gestolen van de gecompromitteerde overheidssystemen. CISA heeft federale agentschappen opgedragen hun systemen te patchen tegen exploitatie van CVE-2023-35081 tegen 21 augustus. Beveiligingsteams en beheerders wordt geadviseerd om Ivanti EPMM onmiddellijk te upgraden naar de meest recente versie om hun systemen te beveiligen tegen lopende aanvallen. (bron, bron2, bron3, bron4)
Hot Topic Informeert Klanten Over Meerdere Cyberaanvallen en Blootstelling van Gevoelige Informatie
De Amerikaanse kledingretailer Hot Topic heeft klanten geïnformeerd over meerdere cyberaanvallen die plaatsvonden tussen 7 februari en 21 juni, waarbij gevoelige informatie mogelijk werd blootgesteld aan hackers. Hot Topic, een winkelketen gespecialiseerd in kleding en accessoires voor tegencultuur en muziek, heeft 675 winkels in de VS en een online winkel met bijna 10 miljoen bezoekers per maand. Het bedrijf legde uit dat hackers inloggegevens van gestolen accounts gebruikten om meerdere keren toegang te krijgen tot het Rewards-platform, waardoor klantgegevens mogelijk werden gestolen. De aanvallen werden gelanceerd op hun website en mobiele applicatie, gebruikmakend van geldige accountreferenties verkregen uit een onbekende externe bron. Hot Topic kon geen onderscheid maken tussen ongeautoriseerde en legitieme logins en zal daarom alle klanten informeren die toegang hadden tot hun accounts tijdens de cyberaanvallen. De mogelijk blootgestelde informatie omvat voornamen, e-mailadressen, bestelgeschiedenis, telefoonnummers, geboortedata, verzendadressen en de laatste vier cijfers van opgeslagen betaalkaarten. Hoewel kwaadaardige toegang of exfiltratie van deze informatie nog niet is geverifieerd, informeert het bedrijf potentieel getroffen rekeninghouders uit voorzorg. Klanten worden geadviseerd hun accountwachtwoorden te resetten en een sterk en uniek wachtwoord te kiezen. (bron)
Noorse Overheid en Organisaties Aangevallen via Ivanti Zerodays Sinds April
Sinds april zijn de Noorse overheid en diverse organisaties aangevallen via twee zerodaylekken in Ivanti Endpoint Manager Mobile (EPMM), voorheen bekend als MobileIron Core. Dit meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. EPMM is een oplossing voor het beheer van mobiele apparaten en applicaties. De twee kwetsbaarheden (CVE-2023-35078 en CVE-2023-35081) stellen aanvallers in staat om willekeurige bestanden naar de webapplicatieserver te schrijven waarop EPMM draait. Hierdoor kunnen ze gevoelige gebruikersinformatie stelen, systeemaanpassingen maken en webshells installeren voor blijvende toegang en verdere aanvallen. Ivanti bracht op 23 juli een beveiligingsupdate uit voor CVE-2023-35078, een lek dat met een 10.0 is beoordeeld op een schaal van 1 tot 10. Op 28 juli volgde een patch voor CVE-2023-35081. Volgens CISA hebben aanvallers sinds april misbruik gemaakt van deze kwetsbaarheden om de Noorse overheid en EPMM-gebruikende organisaties aan te vallen, met als doel het stelen van informatie. CISA waarschuwt dat Mobile Device Management (MDM) systemen aantrekkelijke doelwitten zijn voor aanvallers, omdat ze toegang bieden tot duizenden mobiele apparaten. De instantie vreest voor grootschalig misbruik tegen overheids- en bedrijfsnetwerken. CISA heeft meer details vrijgegeven om organisaties te helpen bepalen of ze via de zerodays zijn gecompromitteerd. (bron)
Nieuwe generatie AI-seksrobots kan eigenaren chanteren of zelfs doden
Experts waarschuwen voor de mogelijke gevaren van de nieuwe generatie AI-seksrobots. Volgens specialisten kunnen cybercriminelen deze machines hacken om eigenaren te chanteren of zelfs te doden. Jake Moore, een wereldwijde cyberbeveiligingsadviseur bij ESET, stelt dat deze robots waarschijnlijk zijn uitgerust met camera's, waarvan de beelden zeer waardevol kunnen zijn voor cybercriminelen om de eigenaren te chanteren. Daarnaast vrezen experts dat de robots op afstand geprogrammeerd kunnen worden om hun eigenaren te doden. Dr. Nick Patterson van de Deakin Universiteit in Australië legt uit dat hackers volledige controle kunnen krijgen over de verbindingen, armen, benen en andere bevestigde tools van een robot. Zodra een robot gehackt is, kan de hacker instructies geven aan de robot, wat zeer gevaarlijk kan zijn voor de eigenaar. Onderzoeker Oliver Bendel van de Universiteit voor Toegepaste Wetenschappen en Kunsten in Zwitserland waarschuwt ook voor het risico van overbelasting tijdens een vrijpartij met een robot, aangezien deze machines onvermoeibaar zijn. Mohammad Gawdat, voormalig topman bij Google, stelde onlangs in een podcast dat AI-seksrobots zo geavanceerd zullen worden dat ze op echte mensen zullen lijken, wat de vraag oproept of AI mensen in intieme relaties kan vervangen. Deze waarschuwingen benadrukken de noodzaak van strenge veiligheidsmaatregelen en ethische overwegingen bij de ontwikkeling en het gebruik van AI-seksrobots.
Don't trust sex robots!https://t.co/DZMLZvXaVd
— Daily Star (@dailystar) July 29, 2023
Tempur Sealy International rapporteert cyberaanval op IT-systemen
Tempur Sealy International, een vooraanstaand bedrijf in de beddenindustrie, heeft op 31 juli 2023 een officiële verklaring uitgegeven waarin het melding maakt van een cyberaanval. Deze aanval vond plaats op 23 juli en was gericht op een aantal van hun IT-systemen. Verdere details over de aard van de aanval of de impact ervan op de bedrijfsvoering zijn niet verstrekt in de beschikbare informatie. Het bedrijf heeft ongeveer 700 eigen winkels wereldwijd en verkoopt zijn producten ook via derden en e-commerce kanalen. (bron)
Hackers Gebruiken Nep-Chatapp 'SafeChat' om Gebruikersgegevens te Stelen
Hackers maken gebruik van een valse Android-app genaamd 'SafeChat' om apparaten te infecteren met spyware die oproeplogboeken, sms-berichten en GPS-locaties van telefoons steelt. De spyware is vermoedelijk een variant van "Coverlm", die gegevens steelt van communicatie-apps zoals Telegram, Signal, WhatsApp, Viber en Facebook Messenger. Volgens onderzoekers van CYFIRMA zit de Indiase APT-hackgroep 'Bahamut' achter de campagne. Hun recente aanvallen worden voornamelijk uitgevoerd via spear phishing-berichten op WhatsApp, die de kwaadaardige lading rechtstreeks naar het slachtoffer sturen. De groep richt zich voornamelijk op individuen in Zuid-Azië. De 'SafeChat' app heeft een misleidende interface die het doet lijken op een echte chat-app en leidt het slachtoffer door een schijnbaar legitiem registratieproces. Een cruciale stap in de infectie is het verkrijgen van rechten om de toegankelijkheidsdiensten te gebruiken, die vervolgens worden misbruikt om de spyware automatisch meer rechten te verlenen. Deze extra rechten stellen de spyware in staat om toegang te krijgen tot de contactenlijst van het slachtoffer, sms'en, oproeplogboeken, externe apparaatopslag en nauwkeurige GPS-locatiegegevens op te halen van het geïnfecteerde apparaat. De gestolen data wordt versleuteld en via een speciale module overgebracht naar de C2-server van de aanvaller. CYFIRMA concludeert dat er voldoende bewijs is om Bahamut te linken aan het werken in opdracht van een specifieke staatsregering in India. Er zijn ook aanwijzingen voor overlap of nauwe samenwerking tussen Bahamut en een andere door de Indiase staat gesponsorde dreigingsgroep, de 'DoNot APT'. (bron, bron2)
Een Nieuwe Serverbotnet Bedreiging Exploiteert Redis Replicatiefunctie
Het P2PInfect-serverbotnet, een zelfreplicerende worm, richt zich actief op blootgestelde instanties van de open-source gegevensopslag Redis. De malware, geschreven in Rust, is ontworpen voor zowel Windows als Linux en maakt gebruik van ten minste twee methoden om toegang te krijgen: een kritieke kwetsbaarheid die vorig jaar werd onthuld en gepatcht, en een functie die replicatie van de hoofddatabase mogelijk maakt. P2PInfect werd voor het eerst gedocumenteerd door onderzoekers van Palo Alto Networks' Unit 42. Het maakt misbruik van een ernstige kwetsbaarheid, bekend als CVE-2022-0543. Na het compromitteren van een kwetsbare Redis-instantie, downloadt P2PInfect nieuwe besturingssysteem-specifieke scripts en kwaadaardige binaire bestanden, en voegt de server toe aan zijn lijst met geïnfecteerde systemen. De malware voegt de geïnfecteerde server vervolgens toe aan zijn peer-to-peer-netwerk, waardoor toekomstige gecompromitteerde Redis-servers toegang hebben tot de bundel van kwaadaardige payloads. Het maakt ook gebruik van de Redis-replicatiefunctie om exacte replica's van de hoofd- / leider Redis-instantie te maken. Volgens Cado Security, een cloud forensics en incidentresponsbedrijf, is de primaire payload een ELF-binaire, geschreven in een combinatie van C en Rust. Na uitvoering werkt het binaire bestand de SSH-configuratie van de host bij en wijzigt de OpenSSH-serverconfiguratie om de aanvaller verbinding te laten maken met de server via het SSH-protocol en wachtwoordverificatie mogelijk te maken. Het doel van P2PInfect blijft onduidelijk. Onderzoekers van Palo Alto Networks en Cado Security konden de reden achter het infecteren van Redis-servers niet vaststellen. Een mogelijke aanwijzing is de aanwezigheid van een binaire genaamd "miner", wat zou kunnen wijzen op cryptocurrency mining activiteit. Echter, er is geen bewijs van cryptomining gevonden. (bron, bron2, bron3)
Ransomware-slachtoffers met verzekering betalen niet vaker losgeld, volgens Brits onderzoek
Onderzoekers van verschillende Britse universiteiten hebben ontdekt dat organisaties die slachtoffer worden van ransomware en een cyberverzekering hebben, niet vaker losgeld betalen dan getroffen organisaties zonder zo'n verzekering. Dit onderzoek, mede gefinancierd door het Britse National Cyber Security Centre (NCSC), werd uitgevoerd over een periode van twaalf maanden. Het onderzoek weerlegt de kritiek die er de afgelopen jaren is geweest op verzekeringsmaatschappijen die losgeld bij ransomware-aanvallen vergoeden. Critici beweerden dat slachtoffers hierdoor eerder geneigd zouden zijn te betalen en dat aanvallers hogere bedragen zouden vragen. De onderzoekers vonden geen bewijs dat organisaties met een verzekering eerder geneigd zijn te betalen. Bovendien geven de meeste verzekeraars geen advies over het wel of nietbetalen van losgeld, en worden betalingen niet zonder enige 'due diligence' goedgekeurd. Er is ook geen sterk bewijs dat verzekeraars of de "ransomware response services" die ze bieden, bijdragen aan "ransom discipline", oftewel het stabiliseren van de hoogte van het gevraagde losgeld. De onderzoekers pleiten niet voor een verbod op het betalen van losgeld of het verbieden van cyberverzekeringen die losgeld dekken. Ze pleiten wel voor interventies die voor betere "ransom discipline" zorgen, zodat minder slachtoffers betalen of lagere bedragen betalen. Volgens de onderzoekers moeten er meer mogelijkheden voor slachtoffers komen die niet tot een betaling leiden. (bron)
Ransomware-aanval haalt kankerbehandelcentrum offline, potentieel levensbedreigend
FBI-directeur Christopher Wray heeft gemeld dat een kankerbehandelcentrum in Puerto Rico onlangs offline is gegaan door een ransomware-aanval. Deze aanval had tot de dood van patiënten kunnen leiden. Tijdens een evenement van de Atlanta Press Club sprak Wray over de toenemende cyberdreiging en hoe cybercriminelen bij ransomware-aanvallen gebruik kunnen maken van kunstmatige intelligentie (AI). Eerdere gevallen van ransomware-aanvallen op kankercentra in de Verenigde Staten werden ook genoemd, waarbij de behandeling van patiënten werd verstoord, naaktfoto's online werden gepubliceerd, en instellingen werden afgeperst. De FBI heeft hulp geboden bij het herstel na de recente aanval in Puerto Rico. Het Amerikaanse Ministerie van Volksgezondheid waarschuwde in juni zorginstellingen naar aanleiding van deze cyberdreigingen. (bron)
Israëlische olieraffinaderij BAZAN Group getroffen door DDoS-aanval
De website van de BAZAN Group, de grootste olieraffinaderij-exploitant in Israël, is ontoegankelijk gemaakt voor het grootste deel van de wereld na een vermeende hack van de cyber-systemen van de groep. De Iraanse hacktivistengroep 'Cyber Avengers', ook bekend als 'CyberAv3ngers', heeft de verantwoordelijkheid opgeëist voor het hacken van het netwerk van BAZAN in het weekend. De groep beweerde screenshots te hebben gelekt van BAZAN's SCADA-systemen, softwaretoepassingen die worden gebruikt om industriële controlesystemen te monitoren en te bedienen. Deze omvatten diagrammen van de "Flare Gas Recovery Unit", het "Amine Regeneration"-systeem, een petrochemische "Splitter Section" en PLC-code. Een woordvoerder van BAZAN ontkende echter dat het gelekte materiaal authentiek was, noemde het "volledig verzonnen", en stelde dat het bedrijf zijn cyberbeveiligingsmaatregelen heeft aangescherpt in samenwerking met de Israëlische Nationale Cyber Directie en andere partners. Het vermeende gebruik van een exploit gericht op een Check Point firewall van het bedrijf door de hacktivistengroep werd ook tegengesproken door een woordvoerder van Check Point, die benadrukte dat er geen eerdere kwetsbaarheid was die zo'n aanval mogelijk maakte. Het is belangrijk op te merken dat de beweringen van de Cyber Avengers niet onafhankelijk zijn geverifieerd. (bron, bron2, bron3)
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 16-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 15-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 14-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 13-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 12-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 11-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑