EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Cybercrimeinfo.nl (ccinfo.nl) is geen onderdeel van de Nederlandse Politie. Lees hier meer over wie wij zijn.
De afgelopen week is een roerige periode geweest op het gebied van cyberveiligheid, met een reeks van significante cyberaanvallen die zowel bedrijven als individuen treffen. Japanse horlogemaker Seiko is het slachtoffer geworden van de BlackCat-ransomwarebende, terwijl de Akira-ransomware zich specifiek heeft gericht op Cisco VPN's om organisaties binnen te dringen. In Denemarken hebben grootschalige ransomware-aanvallen ernstige schade toegebracht aan hostingbedrijven CloudNordic en AzeroCloud, resulterend in totaal gegevensverlies. Op het gebied van systeembeveiliging zijn er nieuwe technieken opgedoken die hackers in staat stellen om SYSTEM-privileges in Windows te verkrijgen. Discord heeft gebruikers gewaarschuwd voor een gegevenslek dat plaatsvond in maart, waarbij persoonlijke gegevens werden blootgesteld aan cybercriminelen. Verder misbruiken Noord-Koreaanse hackers een kritieke kwetsbaarheid in ManageEngine om zowel internetorganisaties als de gezondheidszorg te compromitteren. Hostingbedrijf Leaseweb werkt momenteel aan het herstel van hun kritieke systemen na een beveiligingsinbreuk. Tot slot wordt er een onderzoek uitgevoerd naar de mogelijke betrokkenheid van Rusland bij een cyberaanval op het Poolse spoorwegennet.
Week overzicht slachtoffers
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb ↑ |
|---|---|---|---|---|---|
| grupomartex.com | LockBit | grupomartex.com | Mexico | Textile Mill Products | 27-aug.-23 |
| jhilburn.com | LockBit | jhilburn.com | USA | Apparel And Accessory Stores | 27-aug.-23 |
| purever.com | LockBit | purever.com | Portugal | Electronic, Electrical Equipment, Components | 27-aug.-23 |
| Shanghai FRP Research Institute Co., Ltd. | 8BASE | www.shfrp.com | China | Research Services | 27-aug.-23 |
| Fullerton India (SMFG India Credit) | Snatch | fullertonindia.com | India | Non-depository Institutions | 26-aug.-23 |
| Community Council of South Central Texas | 8BASE | www.ccsct.org | USA | Personal Services | 26-aug.-23 |
| gipcl.com | NoEscape | gipcl.com | India | Electrical | 26-aug.-23 |
| SKYROOT | 8BASE | skyroot.in | India | Aerospace | 26-aug.-23 |
| Varna Packaging | 8BASE | www.varnapackaging.com | Sri Lanka | Paper Products | 26-aug.-23 |
| KLM Laboratories Pvt. Ltd | 8BASE | klmlab.com | India | Chemical Producers | 26-aug.-23 |
| Argus Fluidhandling Ltd | PLAY | www.hiflex-europe.com | United Kingdom | Machinery, Computer Equipment | 25-aug.-23 |
| Alfagomma | PLAY | www.alfagomma.com | Italy | Machinery, Computer Equipment | 25-aug.-23 |
| Trimaran Capital Partners | BlackCat (ALPHV) | trimarancapital.com | USA | Holding And Other Investment Offices | 25-aug.-23 |
| Demcointer | BlackCat (ALPHV) | www.demcointer.com | Tunisia | Apparel And Other Finished Products | 25-aug.-23 |
| EPF | BlackCat (ALPHV) | www.epf.it | Italy | Machinery, Computer Equipment | 25-aug.-23 |
| SMS-SME | BlackCat (ALPHV) | sms-sme.com | Singapore | Transportation Equipment | 25-aug.-23 |
| LEN Italia | Medusa | Unknown | Italy | Educational Services | 25-aug.-23 |
| Durham Fasteners | Medusa | www.durhamindustrialgroup.com | Canada | Electronic, Electrical Equipment, Components | 25-aug.-23 |
| Axis Elevators | Medusa | www.axiselevators.co.uk | United Kingdom | Machinery, Computer Equipment | 25-aug.-23 |
| HFH Capital | 8BASE | www.hfhcapital.com | USA | Non-depository Institutions | 25-aug.-23 |
| Community Action | 8BASE | Unknown | Unknown | Unknown | 25-aug.-23 |
| INSTITUTO NACIONAL DE ELECTRIFICACION | 8BASE | www.inde.gob.gt | Guatemala | Electrical | 25-aug.-23 |
| FA Foundry | 8BASE | www.fafoundry.com | Mexico | Fabricated Metal Products | 25-aug.-23 |
| Sydenham Laboratories | 8BASE | www.sydenhamlab.com | Philippines | Chemical Producers | 25-aug.-23 |
| www.fiocruz.br | NoEscape | www.fiocruz.br | Brazil | Research Services | 25-aug.-23 |
| senacrs.com.br | LockBit | senacrs.com.br | Brazil | Educational Services | 25-aug.-23 |
| Edmonds School District | Akira | www.edmonds.wednet.edu | USA | Educational Services | 24-aug.-23 |
| Storm Tight Windows | BlackCat (ALPHV) | www.stormtightwindows.com | USA | Construction | 24-aug.-23 |
| Groupe Marchand Architecture & Design Inc | BlackCat (ALPHV) | gmad.ca | Canada | Construction | 24-aug.-23 |
| Bahamas Medical and Surgical Supplies | 8BASE | bahamasmed.com | Bahamas | Miscellaneous Retail | 24-aug.-23 |
| Ontellus | BlackByte | www.ontellus.com | USA | IT Services | 24-aug.-23 |
| A**** ***** *** | BianLian | Unknown | USA | Publishing, printing | 24-aug.-23 |
| C****** ******* | BianLian | Unknown | USA | Health Services | 24-aug.-23 |
| Constellation Kidney Group | BianLian | constellationkidney.com | USA | IT Services | 24-aug.-23 |
| Hoosick Falls Central School District | 8BASE | www.hoosickfallscsd.org | USA | Educational Services | 24-aug.-23 |
| Royal Oak Pet Clinic | 8BASE | www.royaloakpetclinic.com | Canada | Miscellaneous Services | 24-aug.-23 |
| Mil-Ken Travel | 8BASE | milkentravel.com | United Kingdom | Miscellaneous Services | 24-aug.-23 |
| Kevills Solicitors | 8BASE | www.kevills.co.uk | United Kingdom | Legal Services | 24-aug.-23 |
| The Law Offices of Steven H. Heisler | 8BASE | www.theinjurylawyermd.com | USA | Legal Services | 24-aug.-23 |
| Bahamas Medical & Surgical Supplies | 8BASE | bahamasmed.com | Bahamas | Miscellaneous Retail | 24-aug.-23 |
| Arus-gmbh | Cloak | arus.info | Germany | Construction | 24-aug.-23 |
| Sportlab-srl | Cloak | sportlab.net | Italy | Apparel And Accessory Stores | 24-aug.-23 |
| BONI-PASSAU.DE | Cloak | boni-passau.de | Germany | Real Estate | 24-aug.-23 |
| lusis-avocats.com | Cloak | lusis-avocats.com | France | Legal Services | 24-aug.-23 |
| werk33.com | Cloak | werk33.com | Germany | Construction | 24-aug.-23 |
| GRIDINSTALLERS.com | Cloak | gridinstallers.com | Netherlands | Unknown | 24-aug.-23 |
| surapon.com | Cloak | surapon.com | Thailand | Food Products | 24-aug.-23 |
| mps-24.com | Cloak | mps-24.com | Germany | Business Services | 24-aug.-23 |
| gruppomoba.com | Cloak | gruppomoba.com | Italy | Paper Products | 24-aug.-23 |
| stshcpa.com.tw | Cloak | stshcpa.com.tw | Taiwan | Accounting Services | 24-aug.-23 |
| ihopmexico.com | Cloak | ihopmexico.com | Mexico | Eating And Drinking Places | 24-aug.-23 |
| Nicer technology | Cloak | www.nicertech.com | Taiwan | IT Services | 24-aug.-23 |
| binhamoodah.ae | Cloak | binhamoodah.ae | Saudi Arabia | Transportation Equipment | 24-aug.-23 |
| first-resources-ltd | Cloak | first-resources.com | Singapore | Food Products | 24-aug.-23 |
| Sbs-Berlin | Cloak | www.berlinsbs.de | Germany | Construction | 24-aug.-23 |
| imtmro.com | Cloak | imtmro.com | USA | Legal Services | 24-aug.-23 |
| INCOBEC | Cloak | Unknown | Canada | Unknown | 24-aug.-23 |
| still95.it | Cloak | still95.it | Italy | Apparel And Accessory Stores | 24-aug.-23 |
| gsh-cargo.com | Cloak | gsh-cargo.com | United Arab Emirates | Transportation Services | 24-aug.-23 |
| flamewarestudios.com | Cloak | flamewarestudios.com | United Kingdom | IT Services | 24-aug.-23 |
| ALEZZELPOWER.com | Cloak | alezzelpower.com | Bahrain | Electrical | 24-aug.-23 |
| Notaires.fr | Cloak | notaires.fr | France | Legal Services | 24-aug.-23 |
| Sonabhy.bf | Cloak | sonabhy.bf | Burkina Faso | Transportation Services | 24-aug.-23 |
| KVFCU.ORG | Cloak | kvfcu.org | USA | Non-depository Institutions | 24-aug.-23 |
| qintess.com | LockBit | qintess.com | Brazil | IT Services | 23-aug.-23 |
| iledefrance-nature.fr | LockBit | iledefrance-nature.fr | France | General Government | 23-aug.-23 |
| newsupri.com.br | LockBit | newsupri.com.br | Brazil | IT Services | 23-aug.-23 |
| decrolyamericano.edu.gt | LockBit | decrolyamericano.edu.gt | Guatemala | Educational Services | 23-aug.-23 |
| mcnamaradrass.com | LockBit | mcnamaradrass.com | USA | Legal Services | 23-aug.-23 |
| Transunion | Peace Tax Agency | www.transunion.com | USA | Business Services | 23-aug.-23 |
| Jhookers | Peace Tax Agency | Unknown | Unknown | Unknown | 23-aug.-23 |
| I&G Broker House | Peace Tax Agency | iandgbrokers.com | Bulgaria | Insurance Carriers | 23-aug.-23 |
| A1 | Peace Tax Agency | www.a1.group | Austria | Communications | 23-aug.-23 |
| Optimity | Peace Tax Agency | optimity.co.uk | United Kingdom | IT Services | 23-aug.-23 |
| A???? F??????????? Ltd | PLAY | Unknown | United Kingdom | Unknown | 22-aug.-23 |
| IMS Computer Solutions | BlackCat (ALPHV) | www.cusolution.com | USA | IT Services | 22-aug.-23 |
| Atlantic Federal Credit Union | BlackCat (ALPHV) | www.atlanticfcu.com | USA | Non-depository Institutions | 22-aug.-23 |
| NE-BIC | BlackCat (ALPHV) | www.ne-bic.co.uk | United Kingdom | Business Services | 22-aug.-23 |
| Heidelberg Materials | Black Basta | www.heidelbergmaterials.com | Germany | Wholesale Trade-durable Goods | 22-aug.-23 |
| www.fytisa.com | NoEscape | www.fytisa.com | Spain | Textile Mill Products | 21-aug.-23 |
| www.softverk.co.kr | NoEscape | www.softverk.co.kr | South Korea | IT Services | 21-aug.-23 |
| www.influencecommunication.com | NoEscape | www.influencecommunication.com | Canada | Business Services | 21-aug.-23 |
| Department of Defence South African (DARPA) | Snatch | www.dod.mil.za | South Africa | National Security And International Affairs | 21-aug.-23 |
| apdparcel.com.au | LockBit | apdparcel.com.au | Australia | Transportation Services | 21-aug.-23 |
| TRIUNE TECHNOFAB PRIVATE LIMITED | BlackCat (ALPHV) | triunetechnofab.com | India | Fabricated Metal Products | 21-aug.-23 |
| Davidoff Hutcher & Citron | BlackCat (ALPHV) | dhclegal.com | USA | Legal Services | 21-aug.-23 |
| Seiko Group Corporation | BlackCat (ALPHV) | www.seiko.co.jp | Japan | Miscellaneous Manufacturing Industries | 21-aug.-23 |
Slachtoffers Belgie en Nederland
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb ↑ |
|---|---|---|---|---|---|
| GRIDINSTALLERS.com | Cloak | gridinstallers.com | Netherlands | Unknown | 24-aug.-23 |
In samenwerking met StealthMol
Cyberaanvallen nieuws
Cyberaanval Legt Website Groningen Airport Eelde Tijdelijk Plat
Op 27 augustus 2023 werd de website van Groningen Airport Eelde enkele uren onbereikbaar door een cyberaanval. De pro-Russische hackersgroep Net-Worker Alliance heeft de verantwoordelijkheid voor deze aanval opgeëist. Hoewel er een vermoeden bestaat dat het om een DDoS-aanval gaat, waarbij een website of server wordt overspoeld met verkeer, kon dit niet worden bevestigd door de directeur van de luchthaven, Meiltje de Groot. Ze benadrukte echter dat andere systemen op de luchthaven normaal functioneerden. Naast Groningen Airport Eelde was ook Schiphol het doelwit van een soortgelijke aanval. In het geval van Schiphol duurde de aanval slechts een half uur en bleef de website toegankelijk, dankzij tijdige interventies van de IT-afdeling. De website van Groningen Airport Eelde werd in de loop van de avond weer toegankelijk, maar functioneerde nog trager dan gebruikelijk. Deze incidenten benadrukken het groeiende risico van cyberaanvallen op vitale infrastructuur en de noodzaak voor verbeterde cybersecurity maatregelen.
Cyberaanval op Pools Spoorwegennet Leidt tot Onderzoek naar Mogelijke Russische Betrokkenheid
De Poolse spoorwegen zijn het slachtoffer geworden van een cyberaanval waarbij verschillende treinen tot stilstand kwamen. De aanval vond plaats op het frequentiesysteem van de Poolse spoorwegen. De hackers konden een signaal versturen dat een noodstop veroorzaakte bij meerdere treinen in het noordwesten van Polen. Ongeveer twintig treinen kwamen tot stilstand voordat het probleem enkele uren later werd opgelost. Bovendien melden Poolse media dat tussen het stopsignaal door ook het Russische volkslied en een toespraak van de Russische president Poetin te horen waren. Gezien Polen's nauwe banden met Oekraïne en de rol die het land speelt in de doorvoer van westerse wapens naar Oekraïne, wordt er in de richting van Rusland gekeken voor de verantwoordelijkheid van de aanval. De Poolse autoriteiten hebben een onderzoek ingesteld en sluiten op dit moment geen enkel scenario uit. Ze benadrukken echter dat de modus operandi van de aanval overeenkomt met eerdere pogingen van Rusland en Wit-Rusland om Polen te destabiliseren. Het onderzoek loopt nog en de autoriteiten zijn in de fase van het verzamelen van bewijs om de daders te identificeren en te berechten.
Franse Overheidsinstantie Pôle Emploi Getroffen door Datalek: 10 Miljoen Mensen Risico voor Cybercriminelen
Pôle Emploi, de Franse overheidsinstantie verantwoordelijk voor werkloosheidsregistratie en financiële hulp, heeft een datalek gemeld dat de persoonlijke gegevens van naar schatting 10 miljoen mensen heeft blootgesteld. De inbreuk kwam aan het licht toen de organisatie een schending ontdekte in het informatiesysteem van een van haar dienstverleners. De getroffen personen zijn voornamelijk werkzoekenden die zich in februari 2022 hebben geregistreerd, evenals voormalige gebruikers van het jobcentrum. Het lek heeft vooral betrekking op volledige namen en sofinummers, terwijl e-mailadressen, telefoonnummers, wachtwoorden en bankgegevens niet zijn aangetast. Hoewel de gelekte informatie beperkt nut heeft voor cybercriminelen, adviseert Pôle Emploi de geregistreerde werkzoekenden om voorzichtig te zijn met binnenkomende communicatie. Er is ook een speciale telefonische hulplijn opgezet om vragen en zorgen van getroffen individuen te beantwoorden. De instantie heeft bevestigd dat haar financiële hulpprogramma's niet zijn getroffen door het incident en is actief bezig met het implementeren van aanvullende beveiligingsmaatregelen. Het beveiligingsbedrijf Emsisoft heeft Pôle Emploi opgenomen in zijn lijst van organisaties die zijn getroffen door de MOVEit-hack, uitgevoerd door de Clop ransomware-bende. Deze bende heeft echter nog niet besloten of ze de gegevens publiekelijk zullen vrijgeven, aangezien ze eerder hebben aangegeven geen informatie van overheidsinstanties te zullen publiceren. (bron, bron2)
Flax Typhoon Hackers Gebruiken Geavanceerde Technieken om Detectie te Ontwijken
Microsoft heeft een nieuwe hackersgroep geïdentificeerd, genaamd Flax Typhoon, die zich voornamelijk richt op overheidsinstellingen, onderwijsorganisaties, kritieke productie en IT-bedrijven. De groep is waarschijnlijk uit op spionage en is actief sinds medio 2021. Ze hebben vooral organisaties in Taiwan aangevallen, maar er zijn ook slachtoffers gevonden in Zuidoost-Azië, Noord-Amerika en Afrika. Flax Typhoon maakt opvallend weinig gebruik van malware. In plaats daarvan gebruiken ze voornamelijk bestaande componenten van het besturingssysteem, ook wel bekend als 'living-off-the-land binaries' (LOLBins), en legitieme software om toegang te krijgen en te behouden tot netwerken van slachtoffers. Ze exploiteren bekende kwetsbaarheden in publieke servers zoals VPN, web, Java en SQL-toepassingen om initiële toegangte krijgen. Vervolgens gebruiken ze krachtige webshells en open-source tools om hun privileges te verhogen. Eenmaal binnen het netwerk, zorgen ze voor persistentie door netwerkauthenticatie uit te schakelen en gebruik te maken van de Sticky Keys-functie in Windows om een Remote Desktop Protocol (RDP) verbinding op te zetten. Ze installeren ook een legitieme VPN-brug om de verbinding met hun externe server te behouden en gebruiken verschillende technieken om detectie te minimaliseren, zoals het hernoemen van bestanden en het verbergen van VPN-verkeer als standaard HTTPS-verkeer. Microsoft raadt organisaties aan om de nieuwste beveiligingsupdates toe te passen en multi-factor authenticatie in te schakelen. Ook het monitoren van het register kan helpen om ongeautoriseerde wijzigingen op te sporen. Het is nog onduidelijk wat het hoofddoel van Flax Typhoon is, aangezien er geen aanwijzingen zijn dat ze de gestolen inloggegevens gebruiken om aanvullende data te extraheren. (bron)
Leaseweb Werkt aan Herstel van Kritieke Systemen na Beveiligingsinbreuk
Leaseweb, een van 's werelds grootste aanbieders van cloud- en hostingdiensten, heeft onlangs een beveiligingsinbreuk ervaren die een impact had op bepaalde kritieke systemen. Het Nederlandse bedrijf ontdekte op dinsdagavond "ongebruikelijke" activiteiten in delen van zijn infrastructuur. Deze ontdekking werd gedaan tijdens een onderzoek naar problemen met de beschikbaarheid van hun klantenportaal. Als reactie op de inbreuk heeft Leaseweb onmiddellijk enkele van de getroffen systemen offline gehaald om verdere beveiligingsrisico's te beperken. Het bedrijf heeft ook een team van experts op het gebied van digitale forensische en incidentrespons (DFIR) ingeschakeld om de situatie te onderzoeken en de aanval te isoleren. Leaseweb heeft sterke beheersplannen geïmplementeerd en werkt nauw samen met een gerenommeerd cybersecurity- en forensisch bedrijf om de veiligheid te waarborgen. Het onderzoek naar de inbreuk is nog steeds gaande, maar het bedrijf heeft aangegeven dat het incident met succes is ingedamd en dat er geen verdere ongeautoriseerde activiteiten zijn gevonden. Leaseweb verwacht dat het klantenportaal binnen enkele uren weer beschikbaar zal zijn. Met een portfolio van meer dan 20.000 klanten en meer dan 80.000 servers, is Leaseweb een belangrijke speler in de cloud computing en web services industrie. Het bedrijf beheert 25 datacenters wereldwijd en heeft sinds 1997 een missiekritische infrastructuur geleverd aan een breed scala van klanten, variërend van kleine en middelgrote bedrijven tot grote ondernemingen. (bron)
Datalek bij Kroll treft schuldeisers van FTX, BlockFi en Genesis
Het financiële en risicoadviesbedrijf Kroll is het slachtoffer geworden van een datalek, waardoor persoonlijke gegevens van sommige schuldeisers zijn blootgesteld aan een onbevoegde derde partij. Het lek vond plaats via een SIM-swapping aanval op een van de medewerkers van Kroll. Hackers kregen toegang tot bestanden met persoonlijke informatie van schuldeisers die betrokken zijn bij de insolventieprocedures van de crypto-investeringsbedrijven FTX, BlockFi en Genesis Global Holdco. FTX en BlockFi hebben bevestigd dat er "beperkte, niet-gevoelige klantgegevens van specifieke schuldeisers" zijn blootgesteld. Beide bedrijven benadrukten dat hun eigen systemen niet direct zijn gehackt en dat wachtwoorden en klantfondsen niet zijn aangetast. Kroll heeft maatregelen genomen om het incident te beheersen en te verhelpen en heeft de getroffen individuen al op de hoogte gebracht. Na het lek zijn er phishing-pogingen gemeld. Verschillende mensen die betrokken zijn bij de lopende faillissementszaken van de crypto-bedrijven ontvingen phishing-e-mails die zich voordeden als berichten van FTX. Deze e-mails probeerden de 'seeds' te vissen die de cryptocurrency-portefeuilles van de ontvangers beschermen. Een woordvoerder van Kroll heeft aangegeven dat het incident beperkt is tot de drie genoemde crypto-investeringsbedrijven en hun schuldeisers. Er is geen bewijs dat de aanvallers lateraal zijn bewogen of toegang hebben gekregen tot andere gebruikersaccounts of systemen van Kroll. (bron)
A friend just received a phishing email to the email associated with their FTX account. pic.twitter.com/cWy3ykN4B3
— ZachXBT (@zachxbt) August 25, 2023
Europese Backbone-Provider Getroffen door Malware via ManageEngine Lek
Een niet-geïdentificeerde Europese backbone-provider is het slachtoffer geworden van een malware-aanval via een kwetsbare versie van ManageEngine Servicedesk, aldus Cisco. De provider had nagelaten om een beschikbare beveiligingsupdate te installeren. Het beveiligingslek, bekend als CVE-2022-47966, maakt het mogelijk voor een ongeautoriseerde aanvaller om op afstand willekeurige code uit te voeren op kwetsbare systemen. Zoho had eind vorig jaar beveiligingsupdates uitgebracht voor deze kwetsbaarheid, en in januari van dit jaar werd er een proof-of-concept exploitcode gepubliceerd. Slechts vijf dagen na deze publicatie begonnen aanvallers actief misbruik te maken van het lek. Cisco wijst de Lazarus Group, die naar verluidt wordt gesponsord door de Noord-Koreaanse overheid, aan als de dader van deze aanval. De groep is financieel gemotiveerd en richt zich vaak op bedrijven die met cryptovaluta werken. Het is nog onduidelijk wat de groep precies beoogde met deze aanval op de backbone-provider. De gebruikte malware maakt gebruik van het QT framework, wat de code complexer maakt en daardoor de analyse door cybersecurity-onderzoekers bemoeilijkt. (bron)
Chinese Spionagegroep Richt Zich op Taiwanese Organisaties, Volgens Microsoft
Microsoft heeft onthuld dat Taiwanese organisaties het doelwit zijn van een Chinese spionagegroep genaamd Flax Typhoon. Deze groep maakt gebruik van kwetsbaarheden in verschillende soorten software zoals VPN, Java, SQL en webapplicaties om toegang te krijgen tot netwerken. Eenmaal binnen, gebruiken ze bestaande Windows-tools om het netwerk verder te compromitteren. De groep lijkt zich voornamelijk te richten op Taiwanese overheidsinstanties, onderwijsinstellingen en IT-organisaties. Microsoft heeft echter ook slachtoffers waargenomen in Zuidoost-Azië, Noord-Amerika en Afrika. Opmerkelijk is dat de groep nauwelijks malware gebruikt en geen data lijkt te stelen. Dit leidt tot speculaties dat het hoofddoel spionage is, hoewel dit nog niet bevestigd is. Flax Typhoon installeert een webshell op gecompromitteerde servers en voert van daaruit verdere aanvallen uit. Als het gecompromitteerde proces onvoldoende rechten heeft, gebruikt de groep malware om deze rechten te verhogen. Microsoft heeft verschillende 'indicators of compromise' vrijgegeven waarmee organisaties kunnen controleren of ze zijn aangevallen. Het techbedrijf stelt dat het om een Chinese 'nation-state actor' gaat en wil met deze analyse het bewustzijn over de gebruikte aanvalstechnieken vergroten. (bron)
Leaseweb Getroffen door Vermoedelijke Cyberaanval: Dienstverlening in Herstel
Leaseweb, een bekende hostingprovider, lijkt het slachtoffer te zijn geworden van een cyberaanval. ATPS Online, een klant van Leaseweb die een SaaS-oplossing voor tijdregistratie levert, meldde problemen door de aanval. Leaseweb is momenteel bezig met het herstellen van alle componenten van de getroffen omgeving. Er lijkt geen gegevensverlies te zijn, en de primaire databaseserver is weer toegankelijk. Leaseweb heeft snel gereageerd op het incident door bepaalde kritieke systemen tijdelijk uit te schakelen en het klantenportaal offline te halen. Het portaal is inmiddels weer online, en externe beveiligings- en forensische teams zijn ingeschakeld om de oorzaak en impact van het probleem te onderzoeken. De getroffen systemen zijn volledig hersteld, en het onderzoek is nog gaande. Leaseweb heeft het incident met succes ingedamd en de beveiligingsmaatregelen verbeterd. Er is geen verdere ongeautoriseerde activiteit op hun systemen gevonden.
Cyberaanval Raakt Heuschen & Schrouff: Losgeld Geëist in Cryptobetaling
Heuschen & Schrouff, een groothandel in Aziatische etenswaren uit Landgraaf, is getroffen door een cyberaanval. Volgens bronnen die aan de provinciale omroep L1 hebben gesproken, zijn alle systemen van het bedrijf betroffen. De hackers eisen een losgeld in de vorm van een cryptobetaling om de toegang tot alle systemen te herstellen. Dit incident is niet uniek in de regio; bedrijven in Maastricht, Kerkrade en de VDL-groep zijn eerder getroffen door computercriminaliteit, wat in sommige gevallen tot stillegging van de productie heeft geleid. Heuschen & Schrouff is één van de grootste handelaren in Aziatische, Arabische, Afrikaanse en Caribische keukenproducten binnen Europa, opgericht in 1963 door Frits Schrouff, ook bekend van Roda JC. De aanval onderstreept de aanhoudende dreiging van cybercriminaliteit in de regio en de noodzaak voor bedrijven om hun systemen te beveiligen tegen dergelijke aanvallen.
Nieuwe Whiffy Recon Malware Gebruikt WiFi om de Locatie van Geïnfecteerde Apparaten te Bepalen
Cybercriminelen die de Smoke Loader botnet beheren, gebruiken een nieuw soort malware genaamd Whiffy Recon om de locatie van geïnfecteerde apparaten te trianguleren via WiFi-scanning en Google's geolocatie API. De geolocatie API van Google kan met behulp van WiFi-informatie de breedte- en lengtegraad coördinaten teruggeven om apparaten zonder GPS-systeem te lokaliseren. Whiffy Recon werkt door de service 'WLANSVC' te controleren en vervolgens de bot te registreren bij de commando- en controleserver als de service niet bestaat. Voor Windows-systemen met de service, gaat Whiffy Recon door met een WiFi-scanninglus die elke minuut draait. De verzamelde informatie wordt naar Google's geolocatie API gestuurd, waarna de malware een volledig rapport maakt over de toegangspunten. De triangulatie nauwkeurigheid varieert tussen 20-50 meter of minder, afhankelijk van het aantal WiFi-toegangspunten in het gebied. Doordat dit proces elke 60 seconden gebeurt, kunnen aanvallers het geïnfecteerde apparaat bijna in realtime volgen. Onderzoekers geloven dat de geolocatie-informatie gebruikt kan worden om slachtoffers te intimideren en onder druk te zetten om te voldoen aan eisen. Bovendien kan Whiffy Recon aanvallen beter richten op specifieke regio's of stedelijke gebieden. Deze ontdekking benadrukt de toenemende geavanceerdheid en mogelijkheden van malware, wat nieuwe zorgen en uitdagingen oplevert voor cyberbeveiliging. (bron, bron2)
Noord-Koreaanse Hackers Misbruiken Kritieke Kwetsbaarheid in ManageEngine om Internetorganisaties en Gezondheidszorg te Compromitteren
De Noord-Koreaanse door de staat gesteunde hacker-groep, bekend als Lazarus, heeft een kritieke kwetsbaarheid (CVE-2022-47966) in Zoho's ManageEngine ServiceDesk misbruikt om een internetinfrastructuurprovider en gezondheidsorganisaties aan te vallen. De campagnes begonnen begin 2023 en waren gericht op het compromitteren van entiteiten in de VS en het VK door de QuiteRAT-malware en een nieuwe remote access trojan (RAT) genaamd CollectionRAT in te zetten. Cisco Talos-onderzoekers observeerden aanvallen tegen Britse internetbedrijven en ontdekten dat Lazarus de exploit slechts vijf dagen nadat deze publiekelijk beschikbaar werd, gebruikte. QuiteRAT, ontdekt in februari 2023, is omschreven als een simpele maar krachtige RAT en een verbetering van MagicRAT, eerder gebruikt door Lazarus. Lazarus heeft ook een nieuwe malware genaamd CollectionRAT, die gerelateerd lijkt aan de "EarlyRAT"-familie. De nieuwe dreiging toont verdere evolutie in de technieken en procedures van Lazarus, zoals het gebruik van open-source tools en frameworks om sporen te minimaliseren. Het bevat ook de Microsoft Foundation Class (MFC) framework, waardoor het zijn code on the fly kan ontcijferen en uitvoeren. Deze benadering maakt attributie, tracking, en de ontwikkeling van effectieve beschermingsmaatregelen moeilijker, en benadrukt de voortdurende gevaren en verfijning in de tactieken van cybercriminelen. (bron, bron2)
Cyberaanval op GRIDINSTALLERS.com in Nederland
Op 24 augustus 2023 werd het Nederlandse bedrijf GRIDINSTALLERS.com slachtoffer van een cyberaanval. De aanval werd uitgevoerd door de cybercriminelen van Cloak. Tot op heden is de aard van de aanval nog onbekend. Dit voorval benadrukt de noodzaak van continue waakzaamheid en verdediging tegen de steeds veranderende dreigingen in de digitale wereld.
Discord waarschuwt gebruikers voor gegevenslek in maart: Persoonlijke gegevens blootgesteld aan cybercriminelen
Op maandag is Discord begonnen met het informeren van gebruikers die zijn getroffen door een gegevenslek dat eerder dit jaar is bekendgemaakt. Het lek, dat voortkwam uit een beveiligingsincident bij een externe dienstverlener op 29 maart, resulteerde in de compromittering van een account van een klantenservice-agent. Het bedrijf heeft contact opgenomen met de gebruikers om hen op de hoogte te stellen van welke persoonlijk identificeerbare informatie (PII) er in het incident is blootgesteld. De aanvallers kregen toegang tot de wachtrij voor ondersteuningstickets van de agent, e-mailadressen van gebruikers, berichten die ze met de Discord-ondersteuning uitwisselden, en bijlagen van ondersteuningstickets. Als reactie hierop heeft Discord snel gereageerd door het compromitteren van het ondersteuningsaccount onmiddellijk te deactiveren nadat ze op de hoogte waren gesteld van het incident. Volgens de brieven die naar getroffen personen zijn gestuurd, had slechts een kleine groep van 180 gebruikers hun gevoelige persoonlijke informatie blootgesteld tijdens de aanval. "Discord heeft onmiddellijk stappen ondernomen om het incident aan te pakken. Er is een grondig onderzoek uitgevoerd," aldus het bedrijf in de meldingen van gegevenslekken die zijn ingediend bij het kantoor van de procureur-generaal van Maine. In de e-mails aan getroffen gebruikers heeft het Discord Privacy Team verklaard dat op 13 juni 2023 het onderzoek naar de betrokken ondersteuningstickets is afgerond en dat werd vastgesteld dat één of meer van die ondersteuningstickets de persoonlijke informatie bevatten van een inwoner van Maine, waaronder naam, rijbewijsnummer of nummer van een identiteitskaart van de betreffende persoon. Het populaire socialemediaplatform Discord heeft 150 miljoen actieve maandelijkse gebruikers en ongeveer 19 miljoen actieve servers per week. Een externe en niet-officiële Discord-uitnodigingsservice genaamd Discord.io is vorige week afgesloten na een massaal gegevenslek waarbij informatie van ongeveer 760.000 leden werd blootgelegd. Gevoelige gegevens die bij het lek zijn aangetast, zijn onder andere gebruikersnamen, e-mailadressen, factuuradressen (van een beperkt aantal personen), gehashte wachtwoorden (die een beperkt aantal personen beïnvloeden) en hun respectievelijke Discord-ID's. Dit incident benadrukt het belang van cyberveiligheid en het beschermen van persoonlijke gegevens online. Organisaties moeten voortdurend alert zijn op mogelijke beveiligingslekken en proactieve maatregelen nemen om gegevens van gebruikers te beschermen en potentiële schade te minimaliseren.
Nieuwe sluwe technieken stellen hackers in staat om SYSTEM-privileges te verkrijgen in Windows
Security onderzoekers hebben de tool "NoFilter" uitgebracht, die misbruik maakt van het Windows Filtering Platform om de privileges van een gebruiker te verhogen tot het niveau van SYSTEM, het hoogste toegangsniveau in Windows. Deze tool is handig in post-exploitatie scenario's waarbij een aanvaller kwaadaardige code moet uitvoeren met hogere rechten, of lateraal moet bewegen binnen een netwerk als een andere gebruiker al is ingelogd op het geïnfecteerde apparaat. Deze nieuwe technieken zijn ontwikkeld door onderzoekers bij het cybersecurity bedrijf Deep Instinct. Ze hebben drie aanvallen ontworpen om privileges op een Windows-machine te verhogen zonder veel bewijs achter te laten en zonder gedetecteerd te worden door verschillende beveiligingsproducten. De eerste methode maakt gebruik van het Windows Filtering Platform om toegangstokens te dupliceren. Deze tokens identificeren gebruikers en hun rechten in de beveiligingscontext van threads en processen. Door toegangstokens te dupliceren en deze voor andere processen beschikbaar te maken, kan een aanvaller verhoogde toegangsrechten krijgen tot SYSTEM. Een tweede techniek betreft het triggeren van een IPSec-verbinding en het misbruiken van de Print Spooler-service om een SYSTEM-token in te voegen. Deze methode is subtieler omdat het configureren van een IPSec-beleid vaak wordt gedaan door legitieme gebruikers zoals netwerkbeheerders. Een derde techniek stelt aanvallers in staat het token van een andere ingelogde gebruiker te verkrijgen voor laterale beweging. Dit wordt bereikt door een proces te starten met de rechten van de ingelogde gebruiker, wat potentieel gevaarlijke mogelijkheden biedt voor verdere aanvallen. Hoewel deze technieken moeilijk detecteerbaar zijn en ondanks meldingen aan het Microsoft Security Response Center, is er waarschijnlijk geen oplossing op korte termijn. Deep Instinct raadt aan om te zoeken naar verdachte gebeurtenissen zoals nieuwe IPSec-beleidsconfiguraties, ongebruikelijke RPC-oproepen en afwijkende IO-verzoeken naar het Windows Filtering Platform. (bron, bron2)
Cyberaanval op Econocom Group: Impact lijkt beperkt, onderzoek gaande
De Frans-Belgische IT-dienstengroep Econocom maakte woensdagochtend bekend dat het slachtoffer is geworden van een cyberaanval. Volgens het persbericht van Econocom publiceerde een groep aanvallers een bericht dat ze in het weekend data van het bedrijf hadden gehackt. Econocom's teams zijn onmiddellijk gemobiliseerd en zijn de aanval aan het onderzoeken. Het onderzoek heeft tot nu toe aangetoond dat alleen een ruimte voor het delen van informatie is getroffen, en er is geen lek van gevoelige informatie vastgesteld. Econocom belooft tegen het einde van de week een nieuwe update over de situatie te geven. De impact van de aanval lijkt vooralsnog beperkt, maar de kwestie wordt desondanks serieus onderzocht. (bron)
Grootschalige Ransomware-aanval Treft Deense Hostingbedrijven CloudNordic en AzeroCloud: Totale Gegevensverlies
De Deense hostingbedrijven CloudNordic en AzeroCloud zijn het slachtoffer geworden van een omvangrijke ransomware-aanval. Deze aanval resulteerde in het verlies van de meerderheid van klantgegevens en dwong de bedrijven om al hun systemen, inclusief websites, e-mails, en klantensites, af te sluiten. De aanval vond afgelopen vrijdagavond plaats en hoewel het bedrijf met beveiligingsexperts heeft gewerkt om de schade te beoordelen, lijkt veel van de gegevens onherstelbaar. Beide bedrijven hebben aangekondigd dat ze niet aan de losgeldeisen zullen voldoen en hebben het incident aan de politie gemeld. De aanval had invloed op honderden Deense bedrijven, die alles verloren wat ze in de cloud hadden opgeslagen. Dit incident onderstreept de toenemende dreiging van ransomware en de mogelijke impact op grote hostingproviders. (bron, bron2, bron3, bron4)
De MOVEit-Hack van 2023: Belangrijke Inzichten en Hoe Toekomstige Aanvallen te Voorkomen
De MOVEit-hack in juni 2023 werd uitgevoerd door de Russisch gelieerde ransomwaregroep Clop en trof de MOVEit-transfertool van Progress Software, die veel wordt gebruikt in de VS. Cybercriminelen in Clop ontdekten een nul-dag beveiligingslek in MOVEit, waarmee ze toegang kregen tot IT-omgevingen van 130 organisaties en gegevens van 16 miljoen mensen in gevaar brachten. Anders dan klassieke ransomware-aanvallen, gebruikten de hackers de gestolen gegevens voor afpersing en dreigden ze deze online te publiceren of te verkopen op het darkweb. De aanval onderstreept de groeiende veiligheidsrisico's voor de softwaretoeleveringsketen en de waarde van nul-dag kwetsbaarheden. De hackers waren zich al in 2021 bewust van het lek in MOVEit en gebruikten het om gegevens van verschillende organisaties zoals Zellis, BBC, Boots, British Airways en Norton LifeLock te downloaden. De gevolgen van de aanval waren wijdverbreid en onthulden de complexiteit van moderne cyberaanvalcampagnes. Tips om soortgelijke toekomstige incidenten te voorkomen omvatten het in kaart brengen van de software-toeleveringsketen, het versterken van het risicobeheer van derden en het implementeren van Zero Trust-architectuur. Binnenkort een uitgebreid artikel op Cybercrimeinfo.nl
Aanval op Aandelenhandelaren via WinRAR's Zerodaylek: Geld gestolen en Systemen Besmet
Een zerodaylek in de bekende archiveringssoftware WinRAR is ingezet om aandelenhandelaren aan te vallen en geld te stelen. Deze kwetsbaarheid, aangeduid als CVE-2023-38831, is naar verluidt sinds april 2023 misbruikt. Het lek maakte het voor aanvallers mogelijk om bestandsextensies in zip-bestanden te spoofen, waardoor slachtoffers misleid konden worden om malafide scripts te openen. Hierdoor raakten hun systemen besmet met malware, wat de aanvallers toegang gaf tot accounts op de getroffen computers. De aanvallers hadden het voornamelijk gemunt op gebruikers van Forex Station, en de malafide zip-bestanden werden via privéberichten en forumlinks verspreid. De precieze schade is nog onbekend. WinRAR heeft het probleem verholpen in versie 6.23, uitgebracht op 2 augustus, en roept gebruikers op om naar deze versie te updaten. (bron, bron2)
Aanvallers misbruiken Veeam-lek voor Aanvallen op Back-upservers
Aanvallers, waaronder de criminelen achter de Cuba-ransomware, misbruiken actief een kwetsbaarheid in Veeam om back-upservers aan te vallen. Deze kwetsbaarheid, aangeduid als CVE-2023-27532, stelt een ongeauthenticeerde aanvaller in staat om versleutelde inloggegevens uit de configuratiedatabase te stelen en toegang te krijgen tot de back-upserver, mits toegang tot het 'backup infrastructure network perimeter'. De impact is beoordeeld met een 7.5 op een schaal van 1 tot 10. Hoewel een beveiligingsupdate sinds 7 maart beschikbaar is, maakten cybercrimegroepen zoals FIN7 misbruik van de kwetsbaarheid. Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft federale instanties verplicht de Veeam-update voor 12 september te installeren. (bron, bron2, bron3, bron4)
Inwoners Vijfheerenlanden Mogelijk Slachtoffer van Datalek door Cybercriminelen
Persoonlijke gegevens van duizenden inwoners van de gemeente Vijfheerenlanden zijn mogelijk in handen van hackers beland. De gemeente benaderde in 2022 beleidsonderzoeksbureau Dimensus voor een onderzoek, waarbij hackers erin slaagden grote hoeveelheden data te stelen via software van Nebu B.V. De gelekte gegevens kunnen onder andere namen, adressen, woonplaatsen, telefoonnummers, leeftijden en geslachten omvatten, maar geen wachtwoorden, antwoorden op vragen of financiële gegevens. Een gespecialiseerd bedrijf kon niet vaststellen welke gegevens exact zijn gestolen. De gemeente heeft het voorval gemeld bij de Autoriteit Persoonsgegevens en beschikt niet langer over het gebruikte adressenbestand. Er zijn geen aanwijzingen dat de gegevens op het dark web worden aangeboden, maar er is een mogelijkheid dat bruikbare data in verkeerde handen zijn gevallen. Nebu B.V. heeft het lek gedicht en extra beveiligingsmaatregelen genomen. Naast Vijfheerenlanden zijn ook andere Nederlandse gemeenten mogelijk getroffen door dit datalek, wat leidde tot waarschuwingen voor phishing. Beveiligingsspecialisten suggereren dat de risico's voor gedupeerden beperkt zijn, maar waakzaamheid blijft geboden. (bron)
Grote Datadump van 2,6 miljoen Duolingo Gebruikers op Hacking Forum
Op een hackersforum is de gegevensdump van 2,6 miljoen Duolingo-gebruikers opgedoken, wat ernstige zorgen baart over de veiligheid van deze taal-leerwebsite. De gelekte gegevens bevatten niet alleen openbare gebruikersnamen en echte namen, maar ook vertrouwelijke informatie zoals e-mailadressen en interne gegevens over de Duolingo-service. Wat deze inbreuk nog gevaarlijker maakt, is het feit dat deze persoonlijke informatie kan worden gebruikt voor gerichte phishing-aanvallen. Terwijl Duolingo bevestigde dat de gegevens afkomstig waren van openbare profielinformatie, hebben ze niet gereageerd op het feit dat e-mailadressen ook in de dataset staan, wat niet openbaar zou moeten zijn. De gegevensdump werd verkocht voor slechts $1.500 op een hackersforum, nadat het eerder op een ander forum werd aangeboden voor slechts $2.13 aan credits. Deze gegevens zijn verkregen via een openlijk gedeelde API, die het mogelijk maakte om miljoenen e-mailadressen te verifiëren en aan DuoLingo-accounts te koppelen, zelfs nadat het misbruik ervan aan DuoLingo was gemeld. Dit incident onderstreept de risico's van het mixen van openbare en private gegevens, en de mogelijke schending van gegevensbeschermingswetten. Bedrijven moeten alert zijn op dergelijke inbreuken, aangezien ze niet langer alleen openbare informatie betreffen, maar ook persoonlijke gegevens die kunnen leiden tot ernstige schade en juridische gevolgen. (bron, bron2)
A Threat Actor identified a bug in the Duolingo API. Sending a valid email to the API returns generic account information on the user (name, email, languages studied).
— vx-underground (@vxunderground) August 21, 2023
They used an email list to assemble over 2.6m unique entries.
This will be used for doxxing.
Cyberaanval legt Telescopen in Chili en Hawaii al Wekenlang Plat
Tien telescopen in Chili en Hawaii zijn al wekenlang buiten werking vanwege een mysterieuze cyberaanval die voor het eerst werd gedetecteerd op 1 augustus. De telescopen worden beheerd door NOIRLab, en het instituut heeft uit voorzorg besloten alle systemen uit te schakelen om fysieke schade aan de telescopen te voorkomen. Dit heeft echter tot paniek geleid bij wetenschappers die deze telescopen gebruiken voor belangrijke observaties. Ze hebben vaak maar een beperkte tijdvenster waarin bepaalde hemellichamen vanaf de aarde kunnen worden geobserveerd, en het feit dat de telescopen buiten bedrijf zijn, is een kleine ramp voor deze onderzoekers. NOIRLab heeft nog weinig details vrijgegeven over de aard van de cyberaanval. Het is niet duidelijk of het gaat om gijzelsoftware (ransomware), wat tegenwoordig een populaire aanvalsvector is waarbij criminelen proberen geld af te persen van hun slachtoffers. De hersteloperaties lijken aanzienlijke tijd in beslag te nemen, en dit zou kunnen suggereren dat de aanvallers speculeren op het feit dat de eigenaren van deze grote telescopen mogelijk bereid zijn te betalen om het wetenschappelijk onderzoek niet te schaden, zoals eerder het geval was bij een soortgelijke aanval op de Atacama Large Millimeter Array (ALMA)-telescoop. Deze aanval werpt een schaduw over het onderzoek dat afhankelijk is van de gegevens van deze telescopen en roept vragen op over de beveiliging van dergelijke gevoelige wetenschappelijke infrastructuur. Wetenschappers hopen dat de systemen snel kunnen worden hersteld om hun belangrijke observaties voort te zetten. (bron)
Nieuwe HiatusRAT Malware-aanvallen richten zich op het Amerikaanse Ministerie van Defensie
In een nieuwe HiatusRAT malware-campagne hebben dreigingsactoren een server van het Amerikaanse Ministerie van Defensie aangevallen in wat onderzoekers beschrijven als een verkenningsaanval. Deze verschuiving in tactiek volgt op eerdere aanvallen die gericht waren op organisaties in Latijns-Amerika en Europa, waarbij bedrijfsklasse DrayTek Vigor VPN-routers werden gecompromitteerd. Tussen medio juni en augustus namen de verkenningsinspanningen van de campagne een onverwachte wending. Naast de Amerikaanse militaire inkoopsystemen werden ook Taiwanese organisaties aangevallen. HiatusRAT-stalen werden aangepast voor verschillende architecturen en gehost op nieuwe virtuele privéservers (VPS's). Een van deze VPS-nodes werd gebruikt voor een gegevensoverdrachtsoperatie met een Amerikaanse militaire server die was bestemd voor contractvoorstellen en indieningen. De affiliatie van de website met contractvoorstellen suggereert dat de aanvallers mogelijk op zoek waren naar publiekelijk toegankelijke informatie over militaire vereisten en naar organisaties die betrokken zijn bij de Defense Industrial Base (DIB), mogelijk voor latere doeleinden. Deze verschuiving in informatie-inwinning en doelvoorkeuren komt overeen met de strategische belangen van China, zoals benadrukt in de jaarlijkse dreigingsbeoordeling van de ODNI in 2023. Amerikaanse organisaties zijn recentelijk ook het doelwit geweest van aanvallen die verband houden met andere door China gesteunde dreigingsgroepen. De HiatusRAT-cluster dient mogelijk als een ander voorbeeld van vakmanschap dat kan worden toegepast tegen de Amerikaanse Defense Industrial Base. Lumen adviseert defensieaannemers voorzichtig te zijn en hun netwerkapparaten te controleren op de aanwezigheid van HiatusRAT. (bron)
Akira-ransomware richt zich op Cisco VPN's om organisaties binnen te dringen
Er is toenemend bewijs dat de Akira-ransomware zich richt op Cisco VPN (virtuele particuliere netwerk) producten als een aanvalsvector om bedrijfsnetwerken binnen te dringen, gegevens te stelen en uiteindelijk te versleutelen. De Akira-ransomware, gelanceerd in maart 2023, heeft recentelijk een Linux-encryptor toegevoegd om VMware ESXi virtuele machines aan te vallen. Cisco VPN-oplossingen worden wijdverspreid gebruikt in verschillende industrieën om veilige, versleutelde gegevensoverdracht tussen gebruikers en bedrijfsnetwerken te bieden, met name voor externe werknemers. Akira maakt naar verluidt gebruik van gecompromitteerde Cisco VPN-accounts om bedrijfsnetwerken binnen te dringen, zonder dat er extra achterdeuren moeten worden geplaatst of mechanismen voor persistentie moeten worden ingesteld die hen kunnen verraden. Hoewel onderzoekers in mei opmerkten dat Akira netwerken binnendrong via "VPN-toegang met enkele factor authenticatie", suggereert een rapport van SentinelOne dat Akira mogelijk een onbekende kwetsbaarheid in de Cisco VPN-software uitbuit om authenticatie te omzeilen in afwezigheid van meervoudige verificatie. Daarnaast heeft SentinelOne waargenomen dat Akira de open-source tool RustDesk gebruikt voor externe toegang tot gecompromitteerde netwerken, waarmee ze de eerste ransomwaregroep zijn die deze software misbruikt. RustDesk is legitieme software, waardoor het onopgemerkt kan blijven en stealthy externe toegang tot geïnfecteerde computers kan bieden. Andere tactieken die zijn waargenomen in Akira's recente aanvallen zijn onder andere SQL-database toegang en manipulatie, het uitschakelen van firewalls en het inschakelen van RDP, het uitschakelen van LSA-beveiliging en het uitschakelen van Windows Defender. Slachtoffers van oudere versies kunnen gebruikmaken van een decryptietool van Avast, hoewel de dreigingsactoren hun encryptors inmiddels hebben gepatcht. Deze ontwikkelingen wijzen op de voortdurende dreiging die Akira vormt voor organisaties die vertrouwen op Cisco VPN's voor beveiligde netwerktoegang. (bron)
I'm just gonna go ahead and say it. If you have:
— Aura (@SecurityAura) August 5, 2023
Cisco VPN
No MFA for it
You may get a surprise knock from #Akira #Ransomware soon.
So yeah, go look at your AD auth logs for 4624/4625 from a WIN-* machine in your user VPN range.
If you have a hit, may the IR Gods help you.
Aanvallers kapen updatekanaal van Cobra DocGuard voor verspreiding door Microsoft gesigneerde backdoor
Op 22 augustus 2023 heeft Symantec gemeld dat aanvallers erin zijn geslaagd het updatekanaal van Cobra DocGuard te compromitteren en het te gebruiken om een door Microsoft ondertekende backdoor te verspreiden. Deze supply chain-aanval heeft voornamelijk slachtoffers in Hong Kong getroffen. Cobra DocGuard, ontwikkeld door het Chinese EsafeNet, is een programma dat software beveiligt, versleutelt en ontsleutelt. In het afgelopen jaar hebben aanvallers besmette updates gebruikt om malware te verspreiden, waarbij een van de malware-exemplaren door Microsoft was ondertekend. Deze malware stelde aanvallers in staat om commando's uit te voeren op geïnfecteerde systemen, bestanden te stelen, toetsaanslagen vast te leggen en firewall-poorten te openen. Het gebruik van een Microsoft-certificaat wekt de schijn van vertrouwen, aangezien alle drivers voor Windows 10 via het Windows Hardware Developer Center Dashboard portal moeten worden ondertekend. Helaas hebben kwaadwillende actoren dit programma misbruikt om hun malafide drivers door Microsoft te laten ondertekenen. Hoewel ongeveer honderd systemen besmet raakten door de malafide updates, suggereert het feit dat het programma op ongeveer tweeduizend systemen draait dat de aanvallers selectief te werk gaan bij het verspreiden van de malware. De exacte methode waarmee de aanvallers het updatekanaal van Cobra DocGuard hebben gecompromitteerd, is niet gemeld door Symantec. Deze aanval benadrukt het belang van cybersecurity en de noodzaak om waakzaam te zijn tegen supply chain-aanvallen, zelfs wanneer software door gerenommeerde bedrijven zoals Microsoft is ondertekend. (bron, bron2)
Russische Hacktivisten NoName057(16) slaan weer toe met DDoS-aanval
Russische hacktivisten hebben opnieuw toegeslagen door een DDoS-aanval uit te voeren op:
-
https://justis.nl
-
https://www.vlaardingen24.nl
-
https://www.bngbank.nl/
-
https://www.snsbank.nl
Carderbee Hackersgroep Voert Supply Chain Aanvallen uit in Hong Kong en Azië
Een tot nu toe onbekende hackersgroep genaamd 'Carderbee' is waargenomen bij aanvallen op organisaties in Hong Kong en andere regio's in Azië. Ze maken gebruik van legitieme software om de computers van hun doelwitten te infecteren met de PlugX-malware. Deze malware wordt vaak gedeeld door door de staat gesteunde Chinese dreigingsgroepen, wat suggereert dat Carderbee waarschijnlijk banden heeft met het Chinese dreigingsecosysteem. De aanvalsmethode van Carderbee omvat een supply chain-aanval, waarbij ze gebruikmaken van legitieme software genaamd Cobra DocGuard, ontwikkeld door de Chinese ontwikkelaar EsafeNet. Deze software wordt normaal gebruikt voor gegevensversleuteling/-decodering in beveiligingstoepassingen. Carderbee lijkt echter een malafide update van Cobra DocGuard te hebben gebruikt als initiële toegangspunt voor de aanval. Symantec meldt dat Carderbee de Cobra DocGuard-software heeft geïnstalleerd op 2.000 computers, maar dat ze alleen kwaadaardige activiteit hebben waargenomen op 100 van deze systemen, wat suggereert dat de dreigingsactoren zich richten op hoogwaardige doelen. Ze gebruiken de DocGuard-software-updater om verschillende soorten malware, waaronder PlugX, te implementeren. Opvallend is dat de downloader voor de PlugX-malware digitaal is ondertekend met een certificaat van Microsoft, wat het detecteren van de malware bemoeilijkt. De malware bevat ook drivers om persistente Windows-services en registervermeldingen te maken. Carderbee's exacte doelgroep blijft onduidelijk, maar hun gebruik van supply chain-aanvallen en ondertekende malware maakt deze nieuwe dreiging bijzonder stealthy en wijst op een hoog niveau van voorbereiding en verkenning. De relatie tussen Carderbee en andere dreigingsgroepen, zoals 'Budworm,' blijft ook onduidelijk. (bron)
Aanvallers benutten opnieuw ernstige kwetsbaarheid in Adobe Coldfusion
Op dinsdag 22 augustus 2023 heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security gemeld dat aanvallers opnieuw actief misbruik maken van een kritieke kwetsbaarheid in Adobe Coldfusion. Deze kwetsbaarheid, bekend als CVE-2023-26359, betreft een 'deserialization of untrusted data' kwetsbaarheid, waarbij de applicatie gegevens omzet in een object. Als de applicatie niet adequaat omgaat met door aanvallers ingevoerde gegevens, kan dit leiden tot de uitvoering van kwaadaardige code. Adobe had in maart van hetzelfde jaar al een beveiligingsupdate uitgebracht om deze kwetsbaarheid te verhelpen, maar aanvallers blijven profiteren van de situatie. ColdFusion is een platform voor de ontwikkeling van webapplicaties en heeft in het verleden al vaker te maken gehad metkwetsbaarheden die werden benut voor aanvallen op ColdFusion-applicatieservers. De impact van deze kwetsbaarheid is zeer hoog beoordeeld, met een score van 9.8 op een schaal van 1 tot 10. Organisaties worden sterk aangeraden om hun ColdFusion-software bij te werken naar de nieuwste versie om zichzelf te beschermen tegen mogelijke aanvallen. Het is van cruciaal belang dat beveiligingsmaatregelen worden genomen om de integriteit en veiligheid van systemen te waarborgen, gezien de aanhoudende dreiging van aanvallen op Adobe Coldfusion. (bron, bron2, bron3)
Coen Hagedoorn Bouwgroep waarschuwt huurders voor mogelijk datalek na ransomware-aanval
De Coen Hagedoorn Bouwgroep, die onderhoudswerkzaamheden uitvoert voor woningcorporaties, heeft huurders gewaarschuwd voor een mogelijk datalek na een ransomware-aanval in juni 2023. Tijdens de aanval kregen aanvallers toegang tot het systeem van de bouwgroep, waarin contactgegevens van huurders werden bewaard. De woningcorporatie Vestia, die met Coen Hagedoorn samenwerkt, meldde dat de aanval ongeautoriseerde toegang tot hun systemen veroorzaakte en dat dit mogelijk gevolgen heeft voor de vertrouwelijkheid van de beheerde gegevens, inclusief het klantenbestand. Het is echter nog niet bevestigd of gegevens van huurders daadwerkelijk zijn gelekt. Na onderzoek meldde Woonpartners Midden-Holland dat er geen datalek had plaatsgevonden en er geen verdachte activiteiten waren waargenomen. Toch heeft Coen Hagedoorn recentelijk huurders geïnformeerd dat het niet kan uitsluiten dat er gegevens zijn buitgemaakt bij de ransomware-aanval. De bouwgroep benadrukt dat de kans klein is dat de gegevens zijn gelekt, maar kan dit niet met 100% zekerheid garanderen. Mogelijk gelekte gegevens omvatten de naam, telefoonnummer en e-mailadressen van huurders. Het blijft onbekend hoe de aanvallers toegang hebben gekregen tot de systemen. De Autoriteit Persoonsgegevens benadrukt dat wanneer ransomware persoonsgegevens versleutelt, dit als een datalek wordt beschouwd. Het feit dat de bestanden zijn versleuteld, geeft aan dat de aanvallers toegang hadden tot de gegevens. Organisaties moeten niet aannemen dat er geen gegevens zijn gestolen als ze geen bewijs hebben dat de gegevens zijn gekopieerd. Dit incident benadrukt het belang van robuuste cybersecuritymaatregelen en de noodzaak voor organisaties om proactief te reageren op mogelijke datalekken, zelfs als de omvang van het lek onzeker is. (bron, bron2)
OV-NL Website Herstelt na DDoS-Aanval, Pro-Russische Hackers Claimen Verantwoordelijkheid
De website van OV-NL, de koepelvereniging van openbaarvervoerbedrijven in Nederland, is hersteld na een recente DDoS-aanval die twee weken geleden plaatsvond. De aanval werd opgeëist door pro-Russische 'hacktivisten' als vergelding voor Nederland's besluit om marineschepen aan Oekraïne te leveren. Tijdens de aanval bleven treinen, trams, bussen en metro's ongehinderd opereren, omdat de website geen operationele waarde had, volgens OV-NL. De aanval werd uitgevoerd door de pro-Russische hackersgroep NoName0571, die eerder websites zoals die van Maastricht Aachen Airport, diverse havens, de Rechtspraak en de Eerste Kamer platlegde, hoewel deze aanvallen geen directe gevolgen hadden voor hun operationele functies. Een DDoS-aanval brengt een server tot bezwijken onder een grote stroom verkeer, waardoor de site onbereikbaar wordt. Dergelijke aanvallen zijn relatief eenvoudig uit te voeren.
Japanse horlogemaker Seiko gehackt door BlackCat-ransomwarebende
De BlackCat/ALPHV-ransomwarebende heeft Seiko toegevoegd aan zijn afpersingssite en beweert verantwoordelijk te zijn voor een cyberaanval die eerder deze maand door het Japanse bedrijf is onthuld. Seiko, een van 's werelds grootste en meest historische horlogemakers met ongeveer 12.000 werknemers en een jaaromzet van meer dan $1,6 miljard, meldde op 10 augustus 2023 een datalek. Ze waarschuwden dat een ongeautoriseerde derde partij toegang had gekregen tot een deel van hun IT-infrastructuur en gegevens had geopend of buitgemaakt. De BlackCat-ransomwaregroep beweert nu verantwoordelijk te zijn voor de aanval en heeft voorbeelden van gestolen gegevens gepost, waaronder productieplannen, scans van werknemerspaspoorten, plannen voor nieuwe modeluitgaven en gespecialiseerde laboratoriumtestresultaten. Het meest zorgwekkende is dat ze beweren vertrouwelijke technische schema's en ontwerpen van Seiko-horloges hebben gelekt, wat schadelijk zou kunnen zijn als het wordt gepubliceerd en blootgesteld aan concurrenten. BlackCat staat bekend als een van de meest geavanceerde en beruchte ransomwarebendes die zich op bedrijven richten en constant hun afpersingstactieken evolueren. Het incident werpt vragen op over de beveiliging van Seiko en de mogelijke gevolgen voor hun bedrijf en klanten. (bron, bron2)
Cybercriminelen Kosten Australische Kredietverstrekker Latitude €45 Miljoen
Op maandag 21 augustus 2023 heeft de Australische kredietverstrekker Latitude bekendgemaakt dat een cyberaanval heeft geleid tot een verlies van €45 miljoen. Deze aanval resulteerde in de diefstal van gegevens van maar liefst 14 miljoen individuen, waarvan aanvankelijk werd gedacht dat het zou resulteren in €61 miljoen aan kosten. Latitude, een prominente kredietverstrekker in Australië en Nieuw-Zeeland, onthulde dat criminelen klantgegevens hadden buitgemaakt, waaronder scans van honderdduizend identificatiedocumenten en 225.000 klantenrecords. Latere updates verduidelijkten dat de gegevens van 14 miljoen klanten waren aangetast. Het datalek heeft geleid tot de compromittering van rijbewijsnummers van 7,9 miljoen Australiërs en Nieuw-Zeelanders, evenals 53.000 paspoortnummers. Daarnaast werden ook "records" van 6,1 miljoen klanten gestolen, waaronder naam, adresgegevens, telefoonnummer en geboortedatum. Latitude heeft aangekondigd dat ze klanten zullen vergoeden die ervoor kiezen om hun identiteitsdocumenten te vervangen als gevolg van het datalek. De exacte methode van de datadiefstal is nog niet bekendgemaakt. De gevolgen van deze aanval reiken verder dan alleen financiële verliezen, aangezien verschillende andere bedrijfsonderdelen van Latitude ook negatief werden beïnvloed. Dit incident benadrukt opnieuw de ernst van gegevensbeveiliging in de moderne wereld en onderstreept de noodzaak voor organisaties om hun cyberbeveiligingsmaatregelen te versterken om dergelijke kostbare aanvallen te voorkomen.
Australische registry auDA ontkent datadiefstal door ransomwaregroep
De Australische registry auDA, verantwoordelijk voor het beheer van .au-domeinnamen, heeft ontkend dat een ransomwaregroep gegevens bij de organisatie heeft gestolen. Eerder beweerden criminelen achter de NoEscape-ransomware op hun eigen website dat ze bij auDA gegevens hadden buitgemaakt. AuDA reageerde aanvankelijk met het ontbreken van bewijs voor een datalek. Recentelijk publiceerden de aanvallers een screenshot met gestolen data, waarop auDA aankondigde dat het onderzoek nog gaande was. Vandaag heeft auDA gemeld dat er geen bewijs is dat de aanvallers toegang hebben gekregen tot auDA-systemen of data hebben gestolen. De gedeelde data bleek afkomstig van een Australische domeinhandelaar wiens server was versleuteld en gegevens waren buitgemaakt. Deze handelaar heeft geen losgeld betaald aan de aanvallers. (bron, bron2, bron3)
Online bestelplatform iMenu360 lekt persoonlijke gegevens van 3,4 miljoen mensen
Het online bestelplatform iMenu360 voor restaurants heeft persoonlijke gegevens van 3,4 miljoen gebruikers gelekt, aldus beveiligingsonderzoeker Troy Hunt van Have I Been Pwned. Ondanks herhaalde waarschuwingen bleef het bedrijf onresponsief. iMenu360, dat door meer dan 5000 restaurants wordt gebruikt, heeft al meer dan 100 miljoen bestellingen verwerkt. Vorig jaar wist een aanvaller persoonlijke informatie, waaronder namen, adressen, e-mailadressen, telefoonnummers en locatiegegevens, van gebruikers te stelen. Slechts 14% van de getroffen e-mailadressen was nieuw voor de Have I Been Pwned-database. (bron)
Let me add context as to the lengths gone to in an attempt to disclose this:
— Troy Hunt (@troyhunt) August 17, 2023
The person who sent me the data sent iMenu360 "multiple notifications" with "initial contact being on April 14th".
I emailed their public support address. I contacted them on Facebook Messenger. I sent… https://t.co/AYnODQPGiu
Persoonsgegevens van 76.000 Tesla Medewerkers Gelekt naar Duitse Krant
In mei van dit jaar hebben twee voormalige medewerkers van de elektrische autofabrikant Tesla de persoonsgegevens van bijna 76.000 medewerkers gelekt naar de Duitse zakenkrant Handelsblatt. Dit verontrustende nieuws is naar voren gekomen uit een melding die Tesla heeft ingediend bij de procureur-generaal van de Amerikaanse staat Maine. Het datalek omvatte ongeveer 100 gigabyte aan gevoelige informatie. De gelekte gegevens bevatten niet alleen de namen en adressen van zowel voormalige als huidige Tesla-medewerkers, maar ook hun burgerservicenummers. Tesla heeft gereageerd door actie te ondernemen tegen de personen die verantwoordelijk zijn voor het lekken van deze informatie. Ze hebben onder andere de elektrische apparaten van deze medewerkers in beslag genomen waarop de gelekte gegevens mogelijk waren opgeslagen. Het is vermeldenswaardig dat de Autoriteit Persoonsgegevens (AP) in mei al op de hoogte was gesteld van dit datalek bij Tesla. Echter, destijds wilde de privacywaakhond niet bevestigen of er een officieel onderzoek was gestart. Dit onderzoek valt onder de verantwoordelijkheid van de AP omdat het Europese hoofdkantoor van Tesla gevestigd is in Amsterdam, en de enige Tesla-fabriek in Europa zich in het Duitse Grünheide, in de deelstaat Brandenburg, bevindt. Dit incident benadrukt opnieuw het belang van gegevensbeveiliging en de noodzaak voor bedrijven om strenge maatregelen te nemen om de privacy van hun medewerkers en klanten te waarborgen. Het lekken van persoonsgegevens kan ernstige gevolgen hebben, niet alleen voor individuen maar ook voor organisaties die verantwoordelijk zijn voor het beheer van deze gegevens. (bron)
Cuba ransomware richt zich op Amerikaanse organisaties met Veeam-exploit
De Cuba ransomware-groep heeft recentelijk aanvallen uitgevoerd op kritieke infrastructuurorganisaties in de Verenigde Staten en IT-bedrijven in Latijns-Amerika. Ze maken hierbij gebruik van zowel oude als nieuwe tools. BlackBerry's Threat Research and Intelligence team ontdekte deze campagne in juni 2023 en meldt dat Cuba nu CVE-2023-27532 inzet om inloggegevens uit configuratiebestanden te stelen. Deze kwetsbaarheid heeft betrekking op Veeam Backup & Replication (VBR) producten, waarvoor al sinds maart 2023 een exploit beschikbaar is. Cuba krijgt aanvankelijk toegang tot systemen via gecompromitteerde beheerdersreferenties via RDP, zonder brute force aanvallen te gebruiken. Vervolgens gebruikt Cuba aangepaste downloader 'BugHatch' om communicatie met de C2-server tot stand te brengen en DLL-bestanden te downloaden of opdrachten uit te voeren. Ze maken gebruik van de 'Bring Your Own Vulnerable Driver' techniek om endpoint-beveiligingstools uit te schakelen en gebruiken de 'BurntCigar'-tool om kernelprocessen geassocieerd met beveiligingsproducten te beëindigen. Naast de recente Veeam-kwetsbaarheid maakt Cuba ook gebruik van CVE-2020-1472 ("Zerologon") om privilege-escalatie te bereiken tegen AD-domeincontrollers. In de post-exploitatie fase worden Cobalt Strike beacons en verschillende "lolbins" gebruikt. BlackBerry benadrukt de financiële motivatie van de Cuba ransomware-groep en suggereert dat deze waarschijnlijk Russisch is. In conclusie blijft Cuba ransomware een actieve bedreiging, zelfs vier jaar na zijn ontstaan. Dit onderstreept opnieuw het belang van tijdige installatie van beveiligingsupdates en de risico's van vertraging wanneer PoC-exploits publiekelijk beschikbaar zijn. (bron)
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 16-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 15-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 14-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 13-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 12-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 11-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑