Overzicht van slachtoffers cyberaanvallen week 35-2023

Gepubliceerd op 4 september 2023 om 15:00

EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑

Cybercrimeinfo.nl (ccinfo.nl) is geen onderdeel van de Nederlandse Politie. Lees hier meer over wie wij zijn.


In deze editie van de weekoverzichten brengen we u op de hoogte van verschillende belangrijke cyberaanvallen die de afgelopen week hebben plaatsgevonden. De aanvallen hebben uiteenlopende doelen en industrieën getroffen, van entertainmentgigant Paramount tot Nederlandse luchthavens. We zien ook dat ransomware nog steeds een van de meest gebruikte aanvalsmethoden is, met bedrijven zoals Renault in Antwerpen en het Belgische vastgoedbedrijf Immoselekt als recente slachtoffers. Verder blijkt uit aanvallen op Citrix NetScaler systemen dat geavanceerde methoden worden gebruikt om detectie te omzeilen. Hieronder vindt u het volledige overzicht van cyberaanvallen van de afgelopen week, inclusief diepgaande analyses en aanbevelingen voor betere beveiliging.



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
marianoshoes.com LockBit marianoshoes.com Portugal Apparel And Accessory Stores 3-sep.-23
gosslaw.com LockBit gosslaw.com USA Legal Services 3-sep.-23
Arkopharma INC Ransom arkopharma.com France Chemical Producers 3-sep.-23
DDB Unlimited Rancoz ddbunlimited.com USA Machinery, Computer Equipment 3-sep.-23
Rick Ramos Law Rancoz rickramoslaw.com USA Legal Services 3-sep.-23
Riverside Logistics Money Message www.riversidelogistics.com USA Motor Freight Transportation 3-sep.-23
Estes Design & Manufacturing Money Message www.estesdm.com USA Fabricated Metal Products 3-sep.-23
Aiphone Money Message www.aiphone.com Japan Electronic, Electrical Equipment, Components 3-sep.-23
Newton Media A.S. BlackCat (ALPHV) www.newtonmedia.eu Czech Republic Business Services 3-sep.-23
phms.com.au RansomedVC phms.com.au Australia Repair Services 3-sep.-23
paynesvilleareainsurance.com RansomedVC paynesvilleareainsurance.com USA Insurance Carriers 3-sep.-23
SKF.com RansomedVC skf.com Sweden Machinery, Computer Equipment 3-sep.-23
Lawsonlundell BlackCat (ALPHV) www.lawsonlundell.com Canada Legal Services 3-sep.-23
TissuPath Australia BlackCat (ALPHV) www.tissupath.com.au Australia Health Services 2-sep.-23
Strata Plan Australia BlackCat (ALPHV) www.strataplan.com.au Australia Management Services 2-sep.-23
glprop.com LockBit glprop.com Singapore Transportation Services 2-sep.-23
Barry Plant Real Estate Australia BlackCat (ALPHV) www.barryplant.com.au Australia Real Estate 2-sep.-23
ramlowstein.com LockBit ramlowstein.com USA Construction 2-sep.-23
scottpartners.com LockBit scottpartners.com USA Construction 2-sep.-23
nerolac.com LockBit nerolac.com India Chemical Producers 2-sep.-23
seasonsdarlingharbour.com.au LockBit seasonsdarlingharbour.com.au Australia Lodging Places 2-sep.-23
neolife.com LockBit neolife.com USA Food Products 2-sep.-23
sterncoengineers.com LockBit sterncoengineers.com USA Engineering Services 2-sep.-23
attorneydanwinder.com LockBit attorneydanwinder.com USA Legal Services 2-sep.-23
designlink.us LockBit designlink.us USA Miscellaneous Services 2-sep.-23
dasholding.ae LockBit dasholding.ae United Arab Emirates Holding And Other Investment Offices 2-sep.-23
DOIT Ragnar_Locker www.doitconsultants.ca Canada IT Services 2-sep.-23
Statefarm.com Everest statefarm.com USA Insurance Carriers 2-sep.-23
SKF.com Everest skf.com Sweden Machinery, Computer Equipment 2-sep.-23
Powersportsmarketing.com Everest powersportsmarketing.com USA Business Services 2-sep.-23
Taylor University Money Message www.taylor.edu USA Educational Services 2-sep.-23
cc-gorgesardeche.fr LockBit cc-gorgesardeche.fr France General Government 2-sep.-23
Rs Logistics Ltd NoEscape www.rslog.com Hong Kong Transportation Services 2-sep.-23
GORDON, MUIR & FOLEY LLP NoEscape www.gmflaw.com USA Legal Services 2-sep.-23
cciamp.com LockBit cciamp.com France General Government 1-sep.-23
*** ****** BianLian Unknown Vietnam IT Services 1-sep.-23
L******* C***** and P******** BianLian Unknown USA Membership Organizations 1-sep.-23
N**** **** *** and *c******** BianLian Unknown USA Accounting Services 1-sep.-23
Templeman Consulting Group Inc BianLian tmlegal.ca In progress In progress 1-sep.-23
F??????? ?????s PLAY Unknown United Kingdom Unknown 1-sep.-23
Hawaii Health System RansomedVC www.hhsc.org USA Health Services 1-sep.-23
hamilton-techservices.com LockBit hamilton-techservices.com USA Construction 1-sep.-23
aquinas.qld.edu.au LockBit aquinas.qld.edu.au Australia Educational Services 1-sep.-23
konkconsulting.com LockBit konkconsulting.com Portugal IT Services 1-sep.-23
Yuxin Automobile Co.Ltd RA GROUP Unknown Taiwan Transportation Equipment 1-sep.-23
Piex Group RA GROUP piex.com France Wholesale Trade-non-durable Goods 1-sep.-23
chevalerias.com LockBit chevalerias.com France Building Materials, Hardware, Garden Supply, And Mobile Home Dealers 31-aug.-23
deschamps.fr LockBit deschamps.fr France Wholesale Trade-durable Goods 31-aug.-23
guyer.com.uy LockBit guyer.com.uy Uruguay Legal Services 31-aug.-23
vodatech.com.tr LockBit vodatech.com.tr Turkiye Business Services 31-aug.-23
mayair.com.my LockBit mayair.com.my Malaysia Machinery, Computer Equipment 31-aug.-23
abzarsara.com LockBit abzarsara.com Iran Wholesale Trade-durable Goods 31-aug.-23
Valley Mountain Regional Center Karakurt www.vmrc.net USA Health Services 31-aug.-23
VIVOTEK Inc. STORMOUS In progress In progress In progress 31-aug.-23
Pifer's Auction & Realty INC Ransom www.pifers.com USA Real Estate 31-aug.-23
Tisher Liner FC Law Australia BlackCat (ALPHV) tlfc.com.au Australia Legal Services 31-aug.-23
Wilder & Co BlackCat (ALPHV) www.wildercpa.net USA Accounting Services 31-aug.-23
Alpizar Law Firm BlackCat (ALPHV) alpizarlaw.com USA Legal Services 31-aug.-23
Eckell Sparks Attorneys at Law BlackCat (ALPHV) www.eckellsparks.com USA Legal Services 31-aug.-23
millwgs.com LockBit millwgs.com USA Transportation Services 31-aug.-23
biso.at LockBit biso.at Austria Machinery, Computer Equipment 31-aug.-23
syntech.com.sg LockBit syntech.com.sg Singapore Transportation Equipment 31-aug.-23
antioch.edu LockBit antioch.edu USA Educational Services 31-aug.-23
Fenn Termite and Pest Control 8BASE www.fennpest.com USA Management Services 31-aug.-23
zep.it LockBit zep.it Italy Chemical Producers 31-aug.-23
skystar.it LockBit skystar.it Italy Transportation By Air 31-aug.-23
tlip2.com LockBit tlip2.com Vietnam Miscellaneous Manufacturing Industries 31-aug.-23
rydershealth.com LockBit rydershealth.com USA Health Services 31-aug.-23
greensboro.edu LockBit greensboro.edu USA Educational Services 30-aug.-23
mariocoelho.com LockBit mariocoelho.com Portugal Wholesale Trade-non-durable Goods 30-aug.-23
alpepipesystems.com LockBit alpepipesystems.com Austria Wholesale Trade-durable Goods 30-aug.-23
losh.com LockBit losh.com USA Communications 30-aug.-23
grebe-korbach.de LockBit grebe-korbach.de Germany Management Services 30-aug.-23
optoflux.com LockBit optoflux.com Germany Rubber, Plastics Products 30-aug.-23
feuille-erable.fr LockBit feuille-erable.fr France Miscellaneous Services 30-aug.-23
nieul-sur-mer.fr LockBit nieul-sur-mer.fr France General Government 30-aug.-23
tavlit.co.il LockBit tavlit.co.il Israel Electronic, Electrical Equipment, Components 30-aug.-23
dollinger-pierre.fr LockBit dollinger-pierre.fr France Construction 30-aug.-23
annals.edu.sg LockBit annals.edu.sg Singapore Educational Services 30-aug.-23
inouemfg.com LockBit inouemfg.com Japan Machinery, Computer Equipment 30-aug.-23
potenciamaquinaria.com LockBit potenciamaquinaria.com Spain Engineering Services 30-aug.-23
locaparc.fr LockBit locaparc.fr France Automotive Dealers 30-aug.-23
auto-pieces.fr LockBit auto-pieces.fr France Automotive Services 30-aug.-23
guillerm-habitat.fr LockBit guillerm-habitat.fr France Construction 30-aug.-23
acolea.org LockBit acolea.org France Membership Organizations 30-aug.-23
otltd.co.uk LockBit otltd.co.uk United Kingdom Merchandise Stores 30-aug.-23
emec.com.eg LockBit emec.com.eg Egypt Oil, Gas 30-aug.-23
texline-global.com LockBit texline-global.com USA Wholesale Trade-non-durable Goods 30-aug.-23
O’Brien Steel Service Akira www.obriensteel.com USA Wholesale Trade-durable Goods 30-aug.-23
Renton School District Akira www.rentonschools.us USA Educational Services 30-aug.-23
Aranui Cruises Medusa www.aranui.com French Polynesia Water Transportation 30-aug.-23
Skynet Medusa www.skynetwisp.com USA IT Services 30-aug.-23
Felling Trailers, Inc. Lorenz www.felling.com USA Transportation Equipment 30-aug.-23
Brooklyn Premier Orthopedics BlackCat (ALPHV) bportho.com USA Health Services 30-aug.-23
lhvisionclinic.com LockBit lhvisionclinic.com Canada Health Services 30-aug.-23
PRIDE GLOBAL CONSULTING SL 8BASE pdeconsultores.es Spain Business Services 30-aug.-23
Petkus Brothers 8BASE www.petkusbrothers.com USA Construction 30-aug.-23
Pasquale Bruni Ltd NoEscape www.pasqualebruni.com Italy Apparel And Accessory Stores 30-aug.-23
Ningbo Yinzhou Vocational High School NoEscape www.yxzg.net China Educational Services 30-aug.-23
uprepschool.org LockBit uprepschool.org USA Educational Services 29-aug.-23
sherwin-electric.com LockBit sherwin-electric.com USA Engineering Services 29-aug.-23
beniculturali.it LockBit beniculturali.it Italy General Government 29-aug.-23
jamaicainn.com LockBit jamaicainn.com Jamaica Lodging Places 29-aug.-23
wkclawfirm.com LockBit wkclawfirm.com USA Legal Services 29-aug.-23
greenside-sch.org LockBit greenside-sch.org United Kingdom Educational Services 29-aug.-23
casa-andina.com LockBit casa-andina.com Peru Lodging Places 29-aug.-23
renaultinantwerpen.be LockBit renaultinantwerpen.be Belgium Automotive Dealers 29-aug.-23
ukseung.co.kr LockBit ukseung.co.kr South Korea Chemical Producers 29-aug.-23
cloverbrook.com LockBit cloverbrook.com United Kingdom Textile Mill Products 29-aug.-23
carolfoxassociates.com LockBit carolfoxassociates.com USA Business Services 29-aug.-23
mergerecords.com LockBit mergerecords.com USA Miscellaneous Services 29-aug.-23
fimadev.fr LockBit fimadev.fr France Business Services 29-aug.-23
immoselekt.be LockBit immoselekt.be Belgium Real Estate 29-aug.-23
distribuidoradavidsa.com LockBit distribuidoradavidsa.com Panama Automotive Dealers 29-aug.-23
cm.gov.nc.tr LockBit cm.gov.nc.tr Turkiye General Government 29-aug.-23
younghomes.com LockBit younghomes.com USA Construction 29-aug.-23
Forsyth County, GA BlackCat (ALPHV) www.forsythco.com USA General Government 29-aug.-23
I****n RA GROUP Unknown Unknown Unknown 29-aug.-23
PT. Cahaya Benteng Mas 8BASE cahayabentengmas.co.id Indonesia Lumber And Wood Products 29-aug.-23
esprigas.com LockBit esprigas.com USA Electric, Gas, And Sanitary Services 29-aug.-23
Y****e RA GROUP Unknown Unknown Unknown 29-aug.-23
2****r RA GROUP Unknown Unknown Unknown 29-aug.-23
Kendrion.com LockBit kendrion.com Netherlands Machinery, Computer Equipment 29-aug.-23
Pierce College Rhysida www.pierce.ctc.edu USA Educational Services 28-aug.-23
Powersports Marketing RansomedVC www.powersportsmarketing.com USA Business Services 28-aug.-23
QI Holdings Ltd. NoEscape www.qigroup.com Hong Kong Non-depository Institutions 28-aug.-23
Iina Ba Inc NoEscape www.iinaba.com USA Miscellaneous Services 28-aug.-23
Cutler-Smith, P.C. Akira cutler-smith.com USA Legal Services 28-aug.-23
Jasper High School Akira Unknown USA Educational Services 28-aug.-23
Penny Publications Akira www.pennypublications.com USA Publishing, printing 28-aug.-23
Divvies Akira divvies.com USA Food Stores 28-aug.-23
Voss Enterprises Akira www.vossenterprisesinc.com USA Real Estate 28-aug.-23
Intertek Akira www.intertek.com United Kingdom Research Services 28-aug.-23
Superior Communications BlackCat (ALPHV) superiorcommunications.com USA Wholesale Trade-durable Goods 28-aug.-23
Asian Network Pacific Home Care & Hospice BianLian asiannetwork.com USA Health Services 28-aug.-23
GYP New Tree SA Qilin newtree.com.ar Argentina Wholesale Trade-durable Goods 28-aug.-23
Prince George's County Public Schools Rhysida www.pgcps.org USA Educational Services 28-aug.-23
State Farm RansomedVC www.statefarm.com USA Insurance Carriers 28-aug.-23
S&P RansomedVC www.spglobal.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 28-aug.-23
Metropolitan Club DC RansomedVC www.metroclub.com USA Membership Organizations 28-aug.-23

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
renaultinantwerpen.be LockBit renaultinantwerpen.be Belgium Automotive Dealers 29-aug.-23
immoselekt.be LockBit immoselekt.be Belgium Real Estate 29-aug.-23
Kendrion.com LockBit kendrion.com Netherlands Machinery, Computer Equipment 29-aug.-23

In samenwerking met StealthMol


Cyberaanvallen nieuws


Nieuwe Sextortion Scam Doet Zich Voor als YouPorn om Geld Af te Persen

Een nieuwe vorm van sextortion (seksuele afpersing) is opgedoken waarbij oplichters zich voordoen als de volwassen website YouPorn. Ontvangers krijgen een e-mail waarin staat dat er een seksueel expliciete video van hen is geüpload op het netwerk van YouPorn. In de e-mail wordt de ontvanger aangespoord om te betalen voor het verwijderen van de video, met bedragen variërend van $199 tot $1,399. Elk tarief zou aanvullende beschermingsdiensten bieden, zoals digitale vingerafdrukken en bescherming tegen het opnieuw uploaden van de content. De e-mail bevat ook een link die zogenaamd de mogelijkheid biedt om de video gratis te verwijderen, maar deze link leidt nergens toe. De oplichters maken gebruik van Bitcoin-adressen voor de betalingen, maar er is tot nu toe geen bewijs dat iemand daadwerkelijk heeft betaald. Het is belangrijk om te benadrukken dat deze e-mails nep zijn en bedoeld zijn om mensen af te persen. Ontvangers wordt aangeraden de e-mail onmiddellijk te verwijderen en niet te betalen. 


Vreemd Genoemde npm Pakketten: Een Potentieel Risico voor Cybercriminelen om Tooling te Verstoren

Er zijn opmerkelijke en onconventioneel genaamde npm-pakketten ontdekt in de grootste softwarebibliotheek op internet. Sommige van deze pakketten hebben namen als "-", "@!-!/-", "@(-.-)/env", en "--hepl", en bestaan nog steeds ondanks nieuwe naamgevingsrichtlijnen van npm. Hoewel niet alle pakketten direct een beveiligingsrisico vormen, kunnen sommige van deze pakketten hulpmiddelen en ontwikkelingsprocessen ontregelen door hun ongebruikelijke namen. Volgens Lex Vorona, een senior software engineer bij Sonatype, is er een reeks npm-pakketten die niet strikt de naamgevingsconventies volgen. Sommige pakketten zijn zelfs niet vindbaar via de standaard zoekfunctie van npm, maar bestaan wel. Namen die beginnen met een "@" duiden op een bereik of 'scope' in de npm-registratie, wat betekent dat sommige pakketten onder een vreemdgenaamde scope worden gepubliceerd. Niet alle pakketten met dergelijke namen zijn kwaadaardig, maar ze kunnen zeker problemen veroorzaken in softwareontwikkelingstools die niet zijn ingesteld om pakketten met onconventionele namen te verwerken. Een voorbeeld is het pakket "-", dat meer dan 700.000 keer is gedownload, vermoedelijk door ontwikkelaars die per ongeluk een extra koppelteken invoerden in commandoregelinstructies. Een specifiek pakket genaamd "--hepl" (in plaats van "--help") lijkt specifiek ontworpen om te profiteren van typefouten, een fenomeen bekend als 'typosquatting'. Wanneer "--hepl" wordt geïnstalleerd, wordt het bericht "You is pwnd" weergegeven, waardoor het een Proof-of-Concept (PoC) oefening is. Ondanks revisies in de naamgevingsregels van npm sinds 2017 om dergelijke praktijken te bestrijden, blijft het een uitdaging om bestaande pakketten die vóór deze regels zijn gepubliceerd, te zuiveren. Het is belangrijk voor ontwikkelaars en beveiligingsteams om zich bewust te zijn van deze risico's en passende maatregelen te nemen. (bron)


Paw Patrol-koekjes teruggeroepen door Lidl vanwege URL gecompromitteerd door cybercriminelen

De Britse tak van supermarktketen Lidl heeft vier verschillende soorten koekjes van de populaire kinderserie Paw Patrol teruggeroepen. De reden voor de terugroepactie is een 'gecompromitteerde URL' op de achterkant van de verpakking, die leidt naar een website met expliciete inhoud. Lidl adviseert klanten om de link niet te openen en hun geld terug te krijgen door de koekjes te retourneren. De Britse consumentenorganisatie Which? heeft ook gemeld dat de link leidt naar 'explicit content', maar gaf geen verdere details. Gebruikers op diverse platforms zoals The Sun en TechCrunch bevestigen dat de URL verwijst naar een Chineestalige website met pornografische inhoud. Uit een onderzoek van de domeingegevens blijkt dat de URL oorspronkelijk in handen was van de fabrikant Appy Food & Drinks tot het bedrijf vorig jaar werd opgeheven. In februari van dit jaar kwam de domeinnaam in handen van een persoon met een Chinees adres.


Datalek bij Golfuitrusting Gigant Callaway: Cybercriminelen Exposeren Gegevens van 1,1 Miljoen Klanten

Topgolf Callaway, een Amerikaanse fabrikant gespecialiseerd in golfuitrusting en -accessoires, heeft begin augustus een datalek ervaren dat de gevoelige persoonlijke en accountinformatie van meer dan 1,1 miljoen klanten heeft blootgesteld. Het bedrijf is aanwezig in meer dan 70 landen en heeft een jaaromzet van meer dan $1,2 miljard. Het lek heeft invloed op klanten van Callaway en zijn submerken zoals Odyssey, Ogio, en Callaway Gold Preowned. Het incident kwam aan het licht op 1 augustus 2023 en heeft de beschikbaarheid van de e-commerce diensten van het bedrijf beïnvloed. De gecompromitteerde klantgegevens omvatten volledige namen, verzendadressen, e-mailadressen, telefoonnummers, bestelgeschiedenissen, accountwachtwoorden en antwoorden op beveiligingsvragen. Gelukkig waren betaalkaartinformatie, overheids-ID's en socialezekerheidsnummers niet betrokken bij het incident. Callaway heeft snel actie ondernomen om het lek te beperken en heeft een gedwongen wachtwoordreset uitgevoerd voor alle klantaccounts om ongeautoriseerde toegang te voorkomen. Klanten worden geadviseerd hun wachtwoorden te wijzigen, vooral als ze dezelfde inloggegevens gebruiken voor andere online diensten, om het risico van credential-stuffing aanvallen te minimaliseren. Bovendien moeten klanten voorzichtig zijn met communicatie die vraagt om extra gegevens te delen en berichten van onbekende afzenders behandelen als potentieel kwaadaardig. (bron, bron2)


Sourcegraph Getroffen door Beveiligingslek na het Uitlekken van Admin-Token

Sourcegraph, een AI-gestuurd codeerplatform, heeft onlangs een beveiligingsincident gemeld waarbij een aanvaller toegang kreeg tot hun systeem door een per ongeluk gelekt site-beheerderstoegangstoken te gebruiken. Het token werd op 14 juli online gelekt en op 28 augustus door de aanvaller gebruikt om een nieuw beheerdersaccount te maken en in te loggen op het beheerdersdashboard van Sourcegraph.com. Het beveiligingsteam van Sourcegraph ontdekte de inbreuk dezelfde dag nog, dankzij een opvallende piek in het gebruik van hun API, die als "geïsoleerd en onorganisch" werd beschreven. De aanvaller veranderde meerdere keren de rechten van hun rogue account om het systeem van Sourcegraph te verkennen. Tijdens dit incident kreeg de aanvaller toegang tot klantgegevens, waaronder licentiesleutels, namen en e-mailadressen. Voor gebruikers van het gratis abonnement werden alleen hun e-mailadressen blootgesteld. Gelukkig waren er geen aanwijzingen dat andere gevoelige gegevens, zoals privécode, wachtwoorden of persoonlijk identificeerbare informatie, werden blootgesteld. Na de ontdekking deactiveerde Sourcegraph het kwaadaardige beheerdersaccount en draaide de potentieel blootgestelde licentiesleutels om. Daarnaast werden de API-snelheidslimieten tijdelijk verlaagd voor alle gratis communitygebruikers. Het incident is vooral zorgwekkend gezien het wereldwijde gebruikersbestand van Sourcegraph, dat meer dan 1,8 miljoen software-ingenieurs omvat en grote bedrijven zoals Uber, F5, Dropbox, en Lyft tot zijn klanten rekent. (bron)


Forever 21 Datalek Treft Meer Dan Een Half Miljoen Individuen, Voornamelijk Werknemers

Forever 21, een internationale kleding- en accessoiresretailer, heeft een datalek gemeld dat de persoonlijke informatie van meer dan een half miljoen mensen heeft blootgesteld. Volgens de datalek-melding die met het kantoor van de openbare aanklager van Maine is gedeeld, ontdekte het bedrijf een cyberaanval op 20 maart 2023. Het onderzoek onthulde dat onbevoegde derden tussen januari en maart van dit jaar intermitterende toegang hadden tot verschillende Forever 21-systemen en deze toegang gebruikten om gegevens te stelen. De soorten gegevens die potentieel zijn blootgesteld, zijn volledige namen, Amerikaanse socialezekerheidsnummers (SSN), geboortedata, bankrekeningnummers en informatie over het gezondheidsplan van Forever 21. Het is belangrijk op te merken dat het incident alleen betrekking had op de gegevens van huidige en voormalige werknemers en niet op klantgegevens. Forever 21 heeft aangegeven maatregelen te hebben genomen om te zorgen dat de hackers de gestolen data hebben gewist, wat suggereert dat het bedrijf met de aanvallers heeft gecommuniceerd. Hoewel een ransomware-aanval niet is bevestigd, komt dit soort communicatie meestal voor na ransomware-aanvallen. Het bedrijf stelt verder dat er geen aanwijzingen zijn dat de gestolen gegevens zijn gedeeld met andere cybercriminelen en beoordeelt het risico voor de getroffen personen als "laag". Alle ontvangers van de melding krijgen instructies om zich aan te melden voor een gratis 12-maanden durende service voor bescherming tegen fraude en identiteitsdiefstal. Het is niet de eerste keer dat Forever 21 te maken krijgt met een datalek; in november 2017 was er ook een incident dat het betalingssysteem van het bedrijf beïnvloedde. (bron, bron2, bron3)


Noord-Koreaanse Hackers Richten zich op Python Package Index met Kwaadaardige Pakketten

Noord-Koreaanse staatshackers staan achter de VMConnect-campagne, waarbij schadelijke softwarepakketten op de Python Package Index (PyPI) werden geüpload. Een van deze pakketten imiteert de VMware vSphere connector module, bekend als vConnector. Deze actie is gericht op IT-professionals die op zoek zijn naar virtualisatietools. Volgens een rapport van ReversingLabs, een bedrijf gespecialiseerd in software supply chain security, wordt deze campagne toegeschreven aan Labyrinth Chollima, een subgroep van de beruchte Noord-Koreaanse Lazarus hackers. Naast het VMConnect-pakket, dat 237 keer werd gedownload voordat het werd verwijderd, zijn er nog twee andere pakketten met dezelfde code onder verschillende namen geüpload: 'ethter' en 'quantiumbase'. Deze pakketten werden respectievelijk 253 en 216 keer gedownload. Nieuw ontdekte pakketten zoals 'tablediter', 'request-plus', en 'requestspro' zijn ook onderdeel van deze VMConnect-operatie. Deze pakketten proberen legitieme Python-bibliotheken na te bootsen en bevatten subtiele verschillen in hun code om kwaadaardige functies uit te voeren. De malafide code wordt geactiveerd via het "__init__.py"-bestand en verzamelt data van de geïnfecteerde machine. Deze informatie wordt via een POST HTTP-verzoek naar de Command and Control (C2) servers van de aanvallers gestuurd. De servers reageren vervolgens met een geobfusceerde Python-module voor verdere instructies. Het is moeilijk de volledige reikwijdte van deze campagne te bepalen, aangezien de C2-server geen aanvullende opdrachten geeft, maar wacht op een geschikt doelwit. ReversingLabs en andere onderzoeksgroepen hebben echter voldoende bewijs verzameld om de activiteit aan de Lazarus-groep te koppelen. (bron, bron2)


Cyberaanvallen op LogicMonitor-klanten door Zwakke Standaardwachtwoorden

Het netwerkmonitoringbedrijf LogicMonitor heeft bevestigd dat een "klein aantal" van zijn klanten het slachtoffer is geworden van cyberaanvallen. Hoewel het bedrijf niet expliciet heeft aangegeven dat het om ransomware-aanvallen ging, suggereren anonieme bronnen dat dit wel het geval is. Deze bronnen stellen dat de aanvallers lokale accounts konden creëren en ransomware konden implementeren via de on-premises LogicMonitor Collector-sensoren van het platform, die normaal gesproken de infrastructuur van de gebruiker monitoren maar ook scriptfuncties hebben. De aanvallers zouden scripts hebben ingezet vanuit het cloudgebaseerde platform naar de on-premises Collectors, die vervolgens lokaal werden uitgevoerd. Dit zou vorige week hebben plaatsgevonden. In een aparte melding zei LogicMonitor dat het incident 17 uur geleden is opgelost. Daarnaast wijst een andere anonieme bron op het gebruik van zwakke standaardwachtwoorden die door LogicMonitor aan nieuwe gebruikers zijn toegewezen. Deze wachtwoorden waren ook automatisch toegewezen aan alle andere gebruikers binnen de getroffen organisaties totdat ze werden gewijzigd. LogicMonitor deelt minimale informatie met zijn gebruikers en meer dan 25.000 mensen gebruiken het netwerkmonitoringplatform van het bedrijf. (bron, bron2, bron3, bron4)


Beveiligingsexperts Ontwikkelen Gratis Ontsleutelingstool voor Key Group Ransomware: Slachtoffers Kunnen Bestanden Herstellen

Beveiligingsexperts van het threat intelligence bedrijf EclecticIQ hebben een decryptietool ontwikkeld die slachtoffers van de Key Group ransomware in staat stelt hun versleutelde bestanden gratis te herstellen. Deze doorbraak was mogelijk door een zwakte in het encryptieschema van de ransomware te exploiteren. Hoewel de aanvallers beweerden gebruik te maken van "militaire kwaliteit AES-encryptie," maakt de ransomware gebruik van een statisch zout in alle encryptieprocessen, wat het mogelijk maakt om de encryptie om te keren. De Key Group is een Russisch-sprekende dreigingsactor die in het begin van 2023 actief werd. Ze richten zich op verschillende organisaties, stelen gegevens en onderhandelen over losgeld via privé Telegram-kanalen. De groep heeft hun ransomware gebaseerd op de Chaos 4.0 builder en is ook actief in het verkopen van gestolen data en SIM-kaarten op Russisch-sprekende darknet-markten. De decryptietool is een Python-script dat gebruikers kunnen uitvoeren om hun bestanden te ontgrendelen. Het script zoekt naar bestanden met de extensie .KEYGROUP777TG en decrypteert deze, waarna het de ontgrendelde inhoud opslaat onder de oorspronkelijke bestandsnaam. Voordat men de tool gebruikt, wordt geadviseerd om een back-up van de (versleutelde) data te maken om onomkeerbare gegevenscorruptie te voorkomen. De release van deze tool kan er echter toe leiden dat Key Group hun beveiligingslekken gaat dichten, waardoor toekomstige versies moeilijker te ontcijferen zijn. Desondanks blijft het een waardevol instrument voor degenen die momenteel getroffen zijn. (bron, bron2)


Five Eyes-landen Beschuldigen Rusland van Spionage via Android-malware

De inlichtingendiensten van de Five Eyes-landen (Verenigde Staten, Verenigd Koninkrijk, Canada, Australië en Nieuw-Zeeland) beschuldigen de Russische inlichtingendienst GRU van het infecteren van tablets van Oekraïense militairen met een specifieke Android-malware, genaamd 'Infamous Chisel'. Deze malware is ontworpen om toegang te krijgen tot gecompromitteerde apparaten, het netwerkverkeer te scannen en periodiek gevoelige data te stelen. De verspreiding van de malware vindt plaats via apparaten die op het slagveld zijn aangetroffen. De aanvallers gebruiken de Android Debug Bridge (ADB) om de malware te installeren. Eenmaal geïnstalleerd, worden de gecompromitteerde tablets gebruikt om toegang te krijgen tot interne netwerken en informatie te verzamelen over terminals van Starlink-satellieten, aldus de Oekraïenseinlichtingendienst. De malware voert elke 172.000 seconden een scan uit op het lokale netwerk en installeert een SSH-client/server voor externe toegang. Bovendien zoekt het naar informatie van militaire applicaties en past het verschillende technieken toe om actief te blijven op het apparaat, zelfs na een fabrieksreset, update of reboot. (bron, bron2, bron3, bron4)


Classiscam Fraude-als-Dienst Breidt Uit en Richt zich Nu op Banken en 251 Merken

De "Classiscam" operatie, een fraude-als-dienst platform, heeft zijn bereik wereldwijd uitgebreid en veroorzaakt nu aanzienlijk meer financiële schade dan voorheen. Oorspronkelijk ontdekt door Group-IB in 2019, opereert het platform via Telegram en rekruteert het affiliates die phishing-kits gebruiken om valse advertenties en pagina's te maken. Deze worden gebruikt om geld, creditcardinformatie en recentelijk ook bankgegevens te stelen. De ontwikkelaars van het platform delen de opbrengsten met de affiliates, waarbij de ontwikkelaars 20-30% van de inkomsten ontvangen. In 2020 werd het platform gebruikt door 40 cybercrimebendes die samen $6,5 miljoen verdienden. In 2021 groeide dit naar een geschatte schade van $29 miljoen, met 90 Telegram-kanalen die de scamkits verkochten aan 38.000 geregistreerde leden. Recentelijk is gemeld dat Classiscam $64,5 miljoen heeft verdiend en nu 251 merken en 79 landen als doelwit heeft. Het platform heeft een bijzondere focus op Europa, met Duitsland als het land met de meeste slachtoffers. De gemiddelde schade per transactie in het VK is het hoogst, met $865, terwijl het wereldwijde gemiddelde $353 bedraagt. Classiscam is ook geavanceerder geworden, met het gebruik van Telegram-bots om phishingpagina's binnen enkele seconden te genereren. De phishing-sites zijn nu ook uitgerust met functies om het saldo van slachtoffers te controleren en valse bankloginpagina's te maken. Om zichzelf te beschermen, wordt gebruikers van geclassificeerde sites aangeraden om alleen via het berichtensysteem van de site te communiceren, geen geld over te maken naar verkopers, extreem lage prijzen als waarschuwingssignalen te zien en alleen veilige betaalmethoden te gebruiken die fraudebescherming bieden.


Paramount Getroffen door Cybercriminelen

Het Amerikaanse entertainmentbedrijf Paramount Global heeft een datalek gemeld nadat hun systemen zijn gehackt. Aanvallers hebben toegang gekregen tot persoonlijk identificeerbare informatie (PII). Volgens een verklaring van Paramount hadden de aanvallers tussen mei en juni 2023 toegang tot hun systemen. De mogelijk gecompromitteerde informatie omvat namen, geboortedata, socialezekerheidsnummers of andere door de overheid uitgegeven identificatienummers, en informatie gerelateerd aan de relatie van het slachtoffer met Paramount. Na de ontdekking van het incident heeft het bedrijf maatregelen genomen om de getroffen systemen te beveiligen en is een onderzoek gestart om de omvang en reikwijdte van het lek vast te stellen. Als onderdeel van het onderzoek werkt Paramount samen met rechtshandhavingsinstanties en heeft het een cybersecurity-expert ingehuurd. Het bedrijf is ook bezig met het upgraden van beveiligingsmaatregelen om soortgelijke incidenten in de toekomst te voorkomen. Het datalek heeft minder dan 100 personen getroffen. Het is nog niet bekend of de getroffen personen werknemers of klanten zijn, zoals abonnees van Paramount+. BleepingComputer heeft bevestigd dat het niet om een ransomware-aanval ging en dat het incident niet gerelateerd is aan de recente golf van MoveIT-datadiefstallen door Clop. Paramount is een toonaangevend bedrijf in entertainment en streaming met een portfolio dat merken omvat zoals CBS, Showtime Networks, Paramount Pictures, Nickelodeon, MTV, Comedy Central en Paramount+. Het bedrijf heeft meer dan 4,3 miljard abonnees in meer dan 180 landen. (bron)


Aanhoudende Aanvallen op Cisco VPNs Benadrukken Noodzaak voor Verbeterde Beveiligingsmaatregelen

Hackers richten zich sinds maart 2023 op Cisco Adaptive Security Appliance (ASA) SSL VPNs met brute-force en credential stuffing aanvallen. Deze aanvallen maken misbruik van beveiligingslacunes, zoals het niet afdwingen van multi-factor authenticatie (MFA). Vorige week meldde BleepingComputer dat de Akira ransomware-groep Cisco VPNs binnendrong als initiële toegang tot netwerken. Onderzoekers van Rapid7 hebben aanvullende inzichten verschaft. Ze onthulden dat er minstens 11 klanten zijn getroffen door aanvallen gerelateerd aan Cisco ASA tussen 30 maart en 24 augustus. In de meeste gevallen probeerden de aanvallers in te loggen met veelvoorkomende gebruikersnamen zoals 'admin', 'guest' en 'cisco'. Na het compromitteren van de VPN-apparaten, kregen de aanvallers op afstand toegang tot de netwerken van de slachtoffers via de AnyDesk remote desktop software en compromitteerden andere systemen. Cisco's Product Security Incident Response Team (PSIRT) bevestigde dat het ontbreken van logging in de getroffen ASA's het moeilijk heeft gemaakt om te bepalen hoe de aanvallers toegang kregen. Ze benadrukten echter dat MFA een extra beveiligingslaag biedt. Rapid7 meldde ook dat sommige inbreuken hebben geleid tot ransomware-aanvallen door de Akira en LockBit groepen. Beveiligingsteams wordt aangeraden om standaardaccounts en -wachtwoorden te deactiveren, MFA af te dwingen voor alle VPN-gebruikers en logging in te schakelen om aanvallen te analyseren indien nodig. (bron, bron2)


Chinese Hackers Verspreiden Spyware via Vervalste Signal en Telegram Apps

Een Chinese APT-hackergroep, bekend als GREF, heeft vervalste versies van de populaire berichtenapps Signal en Telegram op Google Play en de Samsung Galaxy Store geplaatst. Deze vervalste apps bevatten de BadBazaar-spyware en zijn gericht op gebruikers in verschillende landen, waaronder Nederland. Eerder werd deze malware gebruikt om etnische minderheden in China te bespioneren. De vervalste apps, genaamd 'Signal Plus Messenger' en 'FlyGram', zijn gemodificeerde versies van de originele apps. Ze zijn ontworpen om een breed scala aan gevoelige informatie te verzamelen, zoals locatiegegevens, oproeplogboeken, SMS-berichten en contactlijsten. Bijzonder zorgwekkend is dat de vervalste Signal-app een functie bevat waarmee de aanvallers de accounts van slachtoffers kunnen koppelen aan door hen gecontroleerde apparaten, waardoor ze toekomstige chatberichten kunnen zien. ESET, een cybersecuritybedrijf, ontdekte deze vervalste apps en hun geavanceerde functies. FlyGram was beschikbaar op Google Play van juli 2020 tot januari 2021 en had in die periode 5.000 installaties. Signal Plus Messenger werd in juli 2022 geüpload en in mei 2023 door Google verwijderd. Op het moment van schrijven zijn beide apps echter nog steeds beschikbaar in de Samsung Galaxy Store. Gebruikers wordt aangeraden om alleen de originele versies van Signal en Telegram te gebruiken en te vermijden dat ze apps downloaden die extra privacy of functies beloven, zelfs als deze beschikbaar zijn op officiële app-winkels. (bron)


DreamBus Malware Exploiteert Kritieke Kwetsbaarheid in RocketMQ Servers

Een nieuwe versie van de DreamBus botnet malware maakt misbruik van een ernstige kwetsbaarheid in RocketMQ servers om apparaten te infecteren. De kwetsbaarheid, aangeduid als CVE-2023-33246, betreft een probleem met permissieverificatie en heeft invloed op RocketMQ versie 5.1.0 en ouder. Hierdoor kunnen aanvallers op afstand commando's uitvoeren onder bepaalde voorwaarden. De aanvallen zijn voor het eerst waargenomen door Juniper Threat Labs in juni 2023. De aanvallers richten zich op de standaard RocketMQ-poort 10911 en zeven andere poorten. Ze gebruiken het open-source verkenningsinstrument 'interactsh' om te bepalen welke softwareversie draait op internet-blootgestelde servers en om potentiële kwetsbaarheden te identificeren. De malware maakt gebruik van een kwaadaardig bash-script genaamd 'reketed', gedownload via een Tor-proxy, om detectie te ontwijken. Dit script installeert de hoofdmodule van DreamBus, die vervolgens verschillende taken uitvoert, zoals het downloaden van de XMRig open-source Monero-miner en het uitvoeren van aanvullende bash-scripts. DreamBus zorgt ervoor dat het actief blijft op geïnfecteerde systemen door een systeemservice en een cron-taak in te stellen, beide ingesteld om elk uur uit te voeren. De malware bevat ook laterale verspreidingsmechanismen en een scannermodule die zoekt naar ontdekbare kwetsbaarheden in externe en interne IP-bereiken. Hoewel het primaire doel van de DreamBus-campagne Monero-mining lijkt te zijn, kan de modulaire aard van de malware de aanvallers in staat stellen om in de toekomst extra functionaliteiten toe te voegen. Om de nieuwste DreamBus-aanvallen te stoppen, wordt RocketMQ-beheerders aangeraden om te upgraden naar versie 5.1.1 of later. Het volgen van goed patchbeheer voor alle softwareproducten wordt ook aanbevolen. (bron, bron2)


Nieuwe Android Malware MMRat Gebruikt Protobuf Protocol voor Efficiënte Data-exfiltratie

MMRat is een nieuwe vorm van Android-bankingmalware die gebruikmaakt van het zelden gebruikte Protobuf (protocol buffers) protocol om efficiënter data te stelen van gecompromitteerde apparaten. Voor het eerst ontdekt door Trend Micro in juni 2023, richt deze malware zich voornamelijk op gebruikers in Zuidoost-Azië en blijft onopgemerkt door antivirusdiensten zoals VirusTotal. De malware wordt verspreid via websites die zich voordoen als officiële app-winkels. Slachtoffers downloaden en installeren kwaadaardige apps die MMRat bevatten, vaak vermomd als officiële overheids- of datingapps. Tijdens de installatie krijgt de malware toegang tot Android's Toegankelijkheidsdienst, waardoor het zichzelf extra permissies kan verlenen om een breed scala aan kwaadaardige acties uit te voeren. Eenmaal geïnstalleerd, maakt MMRat verbinding met een Command & Control (C2) server en monitort het apparaat op inactiviteit. Gedurende deze periodes wordt de Toegankelijkheidsdienst misbruikt om het apparaat op afstand te ontgrendelen en in real-time bankfraude uit te voeren. De belangrijkste functies van MMRat omvatten het verzamelen van netwerk-, scherm- en batterij-informatie, het exfiltreren van de contactenlijst en geïnstalleerde apps van de gebruiker, keylogging, en het vastleggen van real-time scherminhoud en cameragegevens. Wat MMRat uniek maakt, is het gebruik van een aangepast Protobuf-protocol voor data-exfiltratie, waardoor het efficiënter en minder detecteerbaar is voor netwerkbeveiligingstools. Het protocol is ontwikkeld door Google en is kleiner en sneller dan XML en JSON. Als preventieve maatregel wordt Android-gebruikers aangeraden om alleen apps te downloaden van Google Play, gebruikersrecensies te controleren, alleen vertrouwde uitgevers te vertrouwen en voorzichtig te zijn bij het verlenen van toegangsrechten tijdens de installatiefase. (bron)


Renault in Antwerpen Getroffen door LockBit Ransomware op 29 Augustus

Renault in Antwerpen, een Belgische autodealer, is het recente slachtoffer geworden van een ransomware-aanval door de cybercriminele groep LockBit. De aanval werd op 29 augustus 2023 bekendgemaakt op het darkweb. Dit incident benadrukt de voortdurende dreiging van cyberaanvallen in de automobielsector en roept vragen op over de beveiligingsmaatregelen van het bedrijf. Het is nog onduidelijk wat de impact van de aanval is op de bedrijfsvoering en klantgegevens.


Belgisch Vastgoedbedrijf Immoselekt.be Getroffen door LockBit Ransomware

Op 29 augustus 2023 werd bekend dat het Belgische vastgoedbedrijf Immoselekt.be slachtoffer is geworden van een ransomware-aanval door de cybercriminele groep LockBit. De aanval heeft mogelijk ernstige gevolgen voor de bedrijfsvoering en de bescherming van klantgegevens. Het incident onderstreept het groeiende risico van cyberaanvallen in de vastgoedsector.


Grote Computerstoring Verstoort Productie bij 12 van de 14 Toyota Fabrieken in Japan

Een omvangrijke informaticastoring heeft de productie in 12 van de 14 fabrieken van Toyota in Japan stilgelegd. De storing heeft invloed op 25 productielijnen en maakt het onmogelijk voor de fabrieken om onderdelen te bestellen. Volgens een woordvoerster van Toyota is er op dit moment geen reden om aan te nemen dat het om een cyberaanval gaat. De storing heeft ook financiële gevolgen gehad voor het bedrijf. Het aandeel van Toyota, dat de dag positief was begonnen op de beurs van Tokio, daalde na het nieuws met ongeveer 0,6%. Dit staat in contrast met de Nikkei-index, die een winst van 0,16% liet zien. Het is vermeldenswaard dat Toyota vorig jaar de productie in Japan een dag lang moest opschorten vanwege een cyberaanval op een van zijn toeleveranciers, Kojima Industries. Hoewel de huidige situatie niet als een cyberaanval wordt beschouwd, roept het wel vragen op over de kwetsbaarheid van de productieketen van het bedrijf.


Universiteit van Michigan Schakelt Netwerk Uit na Cyberaanval

De Universiteit van Michigan, een van de grootste en oudste onderwijsinstellingen in de Verenigde Staten, heeft al haar systemen en diensten offline gehaald vanwege een ernstig cybersecurity-incident. Dit gebeurde op de avond voor de start van het nieuwe academische jaar, wat een grote impact heeft op zowel studenten als personeel. Het incident veroorzaakte uitval van belangrijke online diensten zoals Google, Canvas, Wolverine Access en e-mail. Hoewel het IT-team van de universiteit onmiddellijk aan de slag ging om de getroffen systemen te herstellen, besloot de administratie om het netwerk volledig van het internet los te koppelen vanwege de ernst van de situatie. Deze actie was bedoeld om het IT-team de ruimte te geven om het probleem op de veiligst mogelijke manier aan te pakken. De timing van de aanval is opmerkelijk, aangezien het plaatsvond net voordat het nieuwe academische jaar zou beginnen. Dit heeft geleid tot het kwijtschelden van te late inschrijvings- of uitschrijvingskosten voor de maand augustus. Studenten zijn afhankelijk van de momenteel offline systemen voor toegang tot lesinformatie en om zich op de grote campus te oriënteren. Vanwege het gebrek aan toegang zal er speciale overweging worden gegeven aan studenten wat betreft aanwezigheid en opdrachten. Daarnaast waarschuwt de universiteit dat sommige betalingen van studiefinanciering en terugbetalingen vertraging zullen oplopen door de IT-storing. BleepingComputer heeft contact gezocht met de universiteit voor meer informatie over de aard van het beveiligingsincident, maar heeft op het moment van publicatie nog geen reactie ontvangen. Dit incident volgt op een moeilijke maand voor onderwijsinstellingen in Michigan; drie weken geleden maakte de Michigan State University bekend dat het was getroffen door de MOVEit data-diefstal aanvallen. (bron, bron2, bron3)


Barracuda Email Security Gateways Opnieuw Getroffen door Zeroday-aanval

Barracuda Email Security Gateways zijn opnieuw het doelwit geworden van een geraffineerde zeroday-aanval. Volgens een analyse van securitybedrijf Mandiant hebben de aanvallers nieuwe malware geïnstalleerd op de reeds getroffen en opgeschoonde gateways. Deze malware, genaamd Submarine of Depthcharge, werd uitgerold een week nadat Barracuda het bestaan van een zerodaylek (CVE-2023-2868) openbaar maakte. De aanvallers lijken vooral geïnteresseerd te zijn in e-mailaccounts van medewerkers met een politieke of strategische waarde voor de Chinese overheid. De kwetsbaarheid in de gateway maakt het mogelijk voor aanvallers om systeemcommando's uit te voeren en een backdoor te installeren door het versturen van een speciaal geprepareerd .tar-bestand. Het lek is beoordeeld met een 9.4 op een schaal van 1 tot 10, wat wijst op een hoge impact. Barracuda had het lek ontdekt op 19 mei, maar volgens Mandiant wordt er al sinds 10 oktober vorig jaar misbruik van gemaakt. Ongeveer vijf procent van alle Barracuda gateways wereldwijd is gecompromitteerd, voornamelijk in de Verenigde Staten en Canada. De FBI heeft recentelijk gewaarschuwd dat de updates van Barracuda onvoldoende zijn om het lek te dichten en adviseert om de getroffen gateways onmiddellijk uit het netwerk te verwijderen. (bron)


Nederlandse Magnetenproducent Kendrion Slachtoffer van LockBit Ransomware-aanval

De Nederlandse magnetenproducent Kendrion is recentelijk getroffen door een ransomware-aanval uitgevoerd door de criminele groep LockBit. Kendrion, een bedrijf dat elektromagneten levert aan diverse industriële sectoren en de automotive-industrie, heeft een jaarlijkse omzet van meer dan 519 miljoen euro. Het bedrijf ontdekte een "cyber security incident" waarbij een onbevoegde derde toegang kreeg tot hun bedrijfssystemen. Als reactie hierop heeft Kendrion zijn systemen uitgeschakeld. Hoewel er weinig details zijn vrijgegeven over hoe de aanvallers toegang hebben gekregen, heeft het bedrijf een noodplan geactiveerd om de bedrijfsvoering voort te zetten. Het is nog onduidelijk of er data is gestolen, maar de mogelijkheid wordt niet uitgesloten. LockBit, dat zijn diensten aanbiedt als Ransomware-as-a-Service (RaaS), heeft de aanval opgeëist via hun eigen website. De groep heeft Kendrion drie dagen de tijd gegeven om losgeld te betalen, anders dreigen ze de mogelijk gestolen data op 2 september openbaar te maken. Deze aanval benadrukt het groeiende risico van ransomware-aanvallen op bedrijven en de complexiteit van het beveiligen van bedrijfssystemen tegen dergelijke dreigingen. (bron)


Aanvallen op Citrix NetScaler Systemen Gelinkt aan Ransomware Groep FIN8

Een cybercriminele groep, vermoedelijk gelieerd aan de bekende FIN8 hacking groep, maakt gebruik van een ernstige kwetsbaarheid (CVE-2023-3519) in Citrix NetScaler systemen om grootschalige aanvallen uit te voeren. Deze kwetsbaarheid, met een CVSS-score van 9.8, stelt de aanvallers in staat om op afstand code uit te voeren op ongepatchte systemen. Sophos, een cybersecuritybedrijf, heeft deze aanvalscampagne sinds medio augustus in de gaten gehouden. De aanvallers injecteren payloads, gebruiken BlueVPS voor malware staging, zetten versleutelde PowerShell-scripts in en plaatsen PHP-webshells op de systemen van slachtoffers. Er zijn sterke overeenkomsten met een eerdere aanval die Sophos deze zomer waarnam, wat suggereert dat dezelfde groep gespecialiseerd is in ransomware-aanvallen. Ondanks dat Citrix op 18 juli beveiligingsupdates heeft uitgebracht, blijven veel systemen kwetsbaar. Shadowserver ontdekte begin augustus 640 webshells op gecompromitteerde Citrix servers. Dit aantal werd twee weken later door Fox-IT verhoogd naar 1,952. Medio augustus waren er nog steeds meer dan 31.000 kwetsbare Citrix NetScaler instances. Sophos heeft een lijst van indicatoren van compromis (IoCs) gepubliceerd om verdedigers te helpen de dreiging te detecteren en te stoppen. Als u de beveiligingsupdates nog niet heeft toegepast op uw Citrix ADC en Gateway apparaten, wordt dringend aangeraden dit zo snel mogelijk te doen. (bron, bron2)


Nieuwe 'MalDoc in PDF' Aanval Omzeilt Detectie door Malafide Word-documenten in PDF's te Verbergen

Japan's Computer Emergency Response Team (JPCERT) heeft een nieuwe cyberaanvalsmethode ontdekt, genaamd 'MalDoc in PDF', die in juli 2023 werd gedetecteerd. Deze aanval maakt gebruik van polyglot-bestanden, die twee verschillende bestandsformaten bevatten en door verschillende applicaties kunnen worden geopend. In dit geval gaat het om een PDF-bestand dat een ingebed Word-document bevat. Deze polyglot-bestanden worden door de meeste scanmotoren en tools herkend als een regulier PDF-bestand. Echter, als het bestand wordt geopend met een Office-toepassing, wordt het herkend als een Word-document (.doc). Het Word-document bevat een VBS-macro die een MSI-malwarebestand downloadt en installeert als het als een .doc-bestand in Microsoft Office wordt geopend. JPCERT heeft niet gespecificeerd welk type malware wordt geïnstalleerd. Deze methode wordt vooral gebruikt om detectie te omzeilen en analyse-instrumenten in verwarring te brengen. Traditionele PDF-analysetools zoals 'pdfid' zijn niet in staat om de malafide inhoud te detecteren omdat ze alleen de buitenste laag van het bestand onderzoeken. Echter, andere analyse-instrumenten zoals 'OLEVBA' kunnen nog steeds de kwaadaardige inhoud detecteren. Het is belangrijk op te merken dat deze aanvalsmethode niet de beveiligingsinstellingen omzeilt die de automatische uitvoering van macro's in Microsoft Office uitschakelen. Gebruikers moeten deze beveiligingen handmatig uitschakelen om het risico te lopen geïnfecteerd te raken. JPCERT heeft ook een Yara-regel gedeeld om onderzoekers en verdedigers te helpen bestanden te identificeren die deze 'MalDoc in PDF'-techniek gebruiken. Deze regel controleert of een bestand begint met een PDF-handtekening en patronen bevat die duiden op een Word-document, Excel-werkboek of een MHT-bestand. (bron)


Spaanse Politie Waarschuwt voor Geavanceerde LockBit Locker Ransomware Aanvallen op Architectenbureaus

De Nationale Politie van Spanje heeft een waarschuwing uitgegeven over een lopende ransomware-campagne genaamd 'LockBit Locker', die zich specifiek richt op architectenbureaus in Spanje via phishing-e-mails. De aanvallers maken gebruik van een zeer geavanceerde methode waarbij ze zich voordoen als een nieuw fotografiebedrijf dat een renovatieplan en kostenraming vraagt aan de architectenbureaus. Na het opbouwen van vertrouwen door middel van e-mailuitwisseling, sturen ze een schijfbeeldbestand (.img) dat automatisch wordt gemount als een schijfletter in nieuwere versies van Windows. Dit bestand bevat een map met de naam 'fotoprix' en bevat meerdere Python-bestanden, batchbestanden en uitvoerbare bestanden. Een daarvan is een kwaadaardig Python-script dat wordt uitgevoerd wanneer een Windows-snelkoppeling genaamd 'Caracteristicas' wordt gelanceerd. Als de gebruiker beheerdersrechten heeft, worden er wijzigingen aangebracht voor persistentie en wordt de LockBit Locker ransomware uitgevoerd om bestanden te versleutelen. Als de gebruiker geen beheerder is, wordt de Fodhelper UAC-bypass gebruikt om de ransomware met beheerdersrechten uit te voeren. Hoewel de aanvallers beweren te zijn geaffilieerd met de beruchte LockBit ransomware-operatie, gelooft BleepingComputer dat deze campagne wordt uitgevoerd door andere dreigingsactoren die gebruik maken van de gelekte LockBit 3.0 ransomware-bouwer. De aanval is bijzonder verontrustend vanwege de hoge mate van verfijning en het gebruik van sociale manipulatie, waardoor het voor bedrijven moeilijker wordt om de aanval te detecteren. (bron, bron2, bron3, bron4)


Kendrion.com Getroffen door LockBit Ransomware op 29 Augustus

Het Nederlandse bedrijf Kendrion.com, actief in de sector van machines en computerapparatuur, is het slachtoffer geworden van een ransomware-aanval door de cybercriminele groep LockBit. De aanval werd op 29 augustus 2023 bekendgemaakt op het darkweb. Dit benadrukt het toenemende risico van cyberaanvallen op industriële sectoren en de noodzaak voor verhoogde cybersecurity-maatregelen.


Cybercriminelen Krijgen Toegang tot Juniper Firewalls Door Nieuw Ontdekte Kwetsbaarheden

Er is een nieuwe reeks kwetsbaarheden ontdekt in Juniper SRX firewalls die cybercriminelen in staat kunnen stellen om op afstand code uit te voeren op ongepatchte apparaten. Een proof-of-concept exploit is publiekelijk beschikbaar gesteld, waardoor het risico op daadwerkelijke aanvallen toeneemt. De kwetsbaarheden zijn gevonden in de PHP-gebaseerde J-Web interface, die normaal gesproken wordt gebruikt door netwerkbeheerders om Juniper-apparaten te configureren. Juniper heeft twee weken geleden al patches uitgebracht voor vier medium-ernstige bugs in hun EX switches en SRX firewalls. Echter, de nieuwe exploit maakt gebruik van een combinatie van deze kwetsbaarheden, waaronder een ontbrekende authenticatie voor een kritieke functie (CVE-2023-36846) en een PHP externe variabele modificatiebug (CVE-2023-36845). Onderzoekers van watchTowr Labs hebben de proof-of-concept exploit ontwikkeld en een gedetailleerde technische analyse gepubliceerd. Ze waarschuwen dat aanvallen op Juniper-apparaten waarschijnlijk op handen zijn, vooral op apparaten die nog niet zijn bijgewerkt met de nieuwste beveiligingspatches. Beheerders worden dringend aangeraden om de beschikbare patches te installeren of JunOS te upgraden naar de meest recente versie. Gezien de ernst van de kwetsbaarheden en het gemak waarmee ze kunnen worden uitgebuit, is het risico op grootschalige aanvallen door cybercriminelen aanzienlijk. Als tijdelijke maatregel kunnen beheerders ook de toegang tot de J-Web interface uitschakelen om het risico op een aanval te minimaliseren. (bronbron2)


Cybercriminelen Richten Grote Schade Aan: Datalek bij Mom's Meals Treft 1,2 Miljoen Mensen

PurFoods, dat in de Verenigde Staten opereert onder de naam 'Mom's Meals', heeft een ernstig datalek aangekondigd dat 1,2 miljoen klanten en medewerkers treft. Het bedrijf, gespecialiseerd in het leveren van medische maaltijden, werd het slachtoffer van een ransomware-aanval. De onregelmatigheden in hun netwerk werden voor het eerst opgemerkt op 22 februari 2023, toen bestanden op hun systemen werden versleuteld door ransomware. Een diepgaand onderzoek, afgerond op 10 juli 2023, bevestigde dat de aanvallers toegang hadden tot een breed scala aan gevoelige gegevens. Dit omvatte geboortedata, rijbewijsnummers, financiële rekeninginformatie, medische dossiernummers, en zelfs Medicare- en Medicaid-identificatie. Meer dan 1% van de getroffen personen had ook hun sofinummers blootgesteld. Het lek heeft niet alleen invloed op klanten die maaltijdpakketten van Mom's Meals hebben ontvangen, maar ook op huidige en voormalige werknemers en onafhankelijke contractanten. Als compensatie biedt het bedrijf alle getroffen personen 12 maanden gratis kredietbewaking en identiteitsbescherming aan via Kroll. Gezien de gevoelige aard van de gelekte informatie, lopen de getroffen individuen een hoog risico op oplichting, phishing en social engineering-aanvallen. Daarom wordt aangeraden om uiterst waakzaam te zijn bij alle inkomende communicatie, of het nu gaat om e-mails, sms-berichten of telefoontjes. (bron, bron2, bron3)


Gevoelig Datalek Treft Tienduizenden Britse Politieagenten

De Britse Metropolitan Police heeft een waarschuwing uitgestuurd naar tienduizenden van haar agenten over een ernstig datalek. Het lek vond plaats bij een niet nader genoemd bedrijf dat verantwoordelijk is voor het drukken van politie-identificatie en passen. Dit bedrijf had toegang tot gevoelige informatie zoals namen, rangen, foto's, veiligheidsniveaus en 'pay numbers' van het politiepersoneel. Er zijn echter geen adresgegevens, telefoonnummers of financiële informatie gelekt. Alle 47.000 medewerkers van de Metropolitan Police zijn gewaarschuwd en er zijn beveiligingsmaatregelen genomen, hoewel details hierover niet zijn vrijgegeven. De Metropolitan Police Federation, die de belangen van de agenten behartigt, heeft het datalek als 'zorgwekkend' bestempeld en benadrukt dat de gelekte gegevens in verkeerde handen tot grote schade kunnen leiden. Dit incident volgt kort op een ander datalek bij de Noord-Ierse politie, waarbij de gegevens van alle tienduizend medewerkers werden gelekt door een fout in een Freedom of Information Request. (bron, bron2, bron3)


Kroll Getroffen door Datalek na SIM-Swap Aanval op Medewerker

Consultancybureau Kroll is het slachtoffer geworden van een datalek, veroorzaakt door een sim-swap aanval op een van hun medewerkers. De aanvallers kregen toegang tot het T-Mobile-account van de medewerker en daarmee tot gevoelige informatie van crypto-investeerders. Deze investeerders hadden geld gestoken in de inmiddels failliete cryptobedrijven BlockFi, FTX en Genesis. Kroll, dat advies geeft op het gebied van risico's, governance en financiële zaken, was belast met het afhandelen van de schuldvorderingen voor deze personen. De sim-swap werd uitgevoerd door de Amerikaanse tak van T-Mobile, zonder toestemming van de betrokken medewerker of Kroll zelf. Na de ontdekking van het lek heeft Kroll maatregelen genomen om de getroffen accounts te beveiligen en de betrokken personen te informeren. Het bedrijf werkt nu samen met de FBI en waarschuwt klanten voor mogelijke phishingaanvallen. (bron)


Cisco Waarschuwt voor Ransomware-aanvallen op VPN's Zonder MFA

Cisco heeft onlangs aangekondigd dat VPN's zonder multifactorauthenticatie (MFA) een verhoogd risico lopen op ransomware-aanvallen. De aanvallen worden uitgevoerd door de Akira-ransomwaregroep, die sinds maart actief is. Deze groep richt zich specifiek op organisaties die geen MFA hebben ingeschakeld voor hun VPN-gebruikers. Volgens Cisco is het waarschijnlijk dat de aanvallers bruteforce-technieken hebben gebruikt om toegang te krijgen tot de VPN-servers. Een andere mogelijkheid is dat ze gestolen inloggegevens hebben gebruikt, die ze bijvoorbeeld via online fora hebben verkregen. Cisco kan dit echter niet met zekerheid zeggen, omdat er geen logging was ingeschakeld op de aangevallen VPN-servers. Omar Santos van Cisco benadrukt het belang van MFA. Door MFA te implementeren kunnen organisaties het risico op ongeautoriseerde toegang en daarmee ook het risico op ransomware-infecties aanzienlijk verminderen. MFA biedt een extra beveiligingslaag die kan voorkomen dat aanvallers toegang krijgen tot de VPN, zelfs als ze in het bezit zijn van inloggegevens. (bron, bron2, bron3)


Massale Datadiefstal Via Kwetsbaarheid in MOVEit Transfer Software

De criminelen achter de Clop-ransomware hebben een ernstige kwetsbaarheid in de MOVEit Transfer-software geëxploiteerd om de gegevens van zestig miljoen mensen te stelen. Volgens het beveiligingsbedrijf Emsisoft zijn er duizend organisaties getroffen door deze aanval. MOVEit Transfer is een applicatie die veel organisaties gebruiken voor het uitwisselen van bestanden en vertrouwelijke informatie. De aanval vond eind mei plaats en maakte gebruik van een zogenaamde zerodaylek in de software. Als reactie publiceerde de Clop-groep de namen van de getroffen organisaties op hun eigen website en dreigde de gestolen data te publiceren als er geen losgeld werd betaald. De grootste datadiefstal vond plaats bij de Amerikaanse dienstverlener Maximus, waarbij de gegevens van elf miljoen mensen werden buitgemaakt. De Franse werkgelegenheidsdienst Pôle emploi volgt op de tweede plaats met tien miljoen getroffen personen. Het merendeel van de getroffen organisaties (84%) is gevestigd in de Verenigde Staten, gevolgd door Duitsland, Canada en het Verenigd Koninkrijk. Vooral financiële en professionele dienstverleners en onderwijsinstellingen zijn getroffen, die samen vijftig procent van de getroffen organisaties uitmaken. (bron, bron2)


Nederlandse Luchthavens Onder Vuur van Russische Cyberaanvallen

Nederlandse vliegvelden zijn opnieuw het doelwit geworden van cyberaanvallen, mogelijk uitgevoerd door een pro-Russische hackersgroep. De website van Groningen Airport Eelde was enkele uren onbereikbaar, vermoedelijk als gevolg van een DDoS-aanval. De hackersgroep heeft de verantwoordelijkheid voor deze aanval opgeëist. Ook Schiphol, de grootste luchthaven van Nederland, ondervond kortstondig hinder van een DDoS-aanval. Echter, dankzij effectieve beheersmaatregelen van de IT-afdeling bleef de website van Schiphol gedurende de aanval bereikbaar. De aanval duurde minder dan een half uur, volgens een woordvoerder van de luchthaven. Deze incidenten volgen op eerdere cyberaanvallen gericht tegen Nederlandse infrastructuur en roepen vragen op over de cyberveiligheid van kritieke nationale voorzieningen. Het is onduidelijk wat de motieven achter deze aanvallen zijn, maar de betrokkenheid van een pro-Russische groep wijst op mogelijke geopolitieke intenties. Deze aanvallen onderstrepen het belang van robuuste cyberbeveiligingsmaatregelen voor nationale infrastructuur, met name in sectoren die essentieel zijn voor de openbare veiligheid en economie. Het is van cruciaal belang dat er verder onderzoek wordt gedaan naar deze incidenten om toekomstige aanvallen te voorkomen en de daders te identificeren.


Rhysida Ransomware Groep Viseert Prospect Medical Holdings, Dreigt Gevoelige Data te Verkopen

De Rhysida ransomware groep heeft de verantwoordelijkheid opgeëist voor een grootschalige cyberaanval op Prospect Medical Holdings (PMH), een Amerikaans gezondheidszorgbedrijf. De aanval vond naar verluidt plaats op 3 augustus 2023. PMH, dat 16 ziekenhuizen en 166 poliklinieken in verschillende Amerikaanse staten beheert, moest zijn IT-netwerken uitschakelen om verdere verspreiding van de ransomware te voorkomen. Dit resulteerde in een tijdelijke terugkeer naar papieren patiëntendossiers. Rhysida beweert meer dan 500.000 sofinummers, bedrijfsdocumenten en patiëntgegevens te hebben gestolen. De groep dreigt deze gevoelige informatie te verkopen voor 50 Bitcoins, wat ongeveer $1,3 miljoen waard is. Ze claimen 1 TB aan documenten en een 1,3 TB SQL-database te hebben buitgemaakt, die onder meer paspoorten, rijbewijzen en medische dossiers van patiënten bevatten. Hoewel de systemen van PMH inmiddels weer operationeel zijn, is het werk om de papieren patiëntendossiers te digitaliseren nog steeds gaande. Er is echter geen communicatie geweest naar de medewerkers over de vraag of hun gegevens ook zijn gestolen. De Rhysida groep, die pas in mei 2023 werd gelanceerd, heeft snel aan notoriëteit gewonnen en was eerder verantwoordelijk voor aanvallen op het Chileense leger en andere zorgorganisaties. Het Amerikaanse Ministerie van Volksgezondheid had al eerder gewaarschuwd voor de activiteiten van deze ransomware groep.



Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Meer weekoverzichten

Februari 2024
Januari 2024