Overzicht van slachtoffers cyberaanvallen week 40-2023

Gepubliceerd op 9 oktober 2023 om 15:00

EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑

Cybercrimeinfo.nl (ccinfo.nl) is geen onderdeel van de Nederlandse Politie. Lees hier meer over wie wij zijn.


In de afgelopen week heeft de cyberwereld een reeks verontrustende incidenten meegemaakt die zowel bedrijven als individuen hebben getroffen. Van gerichte aanvallen op Oekraïense vluchtelingen bij het OCMW Charleroi in België, tot een groot datalek bij de Belgische sekswebsite Redlights.be dat meer dan 415.000 gebruikers heeft getroffen. Telecomprovider Lyca Mobile en hotelketen Motel One zijn eveneens slachtoffers geworden van omvangrijke cyberaanvallen, waarbij gevoelige gegevens en creditcardinformatie zijn gestolen.

Sony en MGM Resorts hebben ook te maken gehad met ernstige inbreuken; de eerste door een gecompromitteerde MOVEit-server en de laatste resulterend in een verlies van $100 miljoen en diefstal van klantgegevens. DNA-testbedrijf 23andMe en Caesars Entertainment zijn niet gespaard gebleven, met datalekken veroorzaakt door verschillende soorten aanvallen, waaronder credential stuffing en ransomware. Blackbaud heeft een schikking getroffen van $49,5 miljoen na een ransomware-aanval en datalek.

Daarnaast hebben onderzoekers en overheidsinstanties zoals de NSA en CISA inzichten gedeeld over hoe cybercriminelen profiteren van veelvoorkomende cybersecurity-misconfiguraties. Er zijn waarschuwingen uitgegaan voor kwetsbaarheden in industriële controlesystemen en zero-day kwetsbaarheden in Qualcomm GPU en DSP drivers. Aanvallen zoals EvilProxy, die Indeed.com exploiteert voor Microsoft 365 phishing, en een malware-infectie in Microsoft's Bing AI-Chatbot via reclame, tonen de veelzijdigheid en het aanpassingsvermogen van cybercriminelen.

Hieronder vindt u het volledige overzicht van de cyberaanvallen van de afgelopen week, inclusief gedetailleerde analyses en aanbevelingen voor preventieve maatregelen.



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
securicon.co.za LockBit securicon.co.za South Africa Management Services 8-okt-23
Powerhouse Retail Services LLC NoEscape powerhousenow.com USA Management Services 8-okt-23
El Colegio De San Luis NoEscape colsan.edu.mx Mexico Educational Services 8-okt-23
SEFAG Zrt NoEscape www.sefag.hu Hungary Lumber And Wood Products 8-okt-23
BELLSONICA CORPORATION NoEscape bellsonica.co.jp India Transportation Equipment 8-okt-23
Scara NoEscape www.scara.fr France Membership Organizations 8-okt-23
Küng Ag Bern NoEscape www.kuengbern.ch Switzerland Automotive Dealers 8-okt-23
BPR Properties LLC NoEscape bpr-properties.com USA Real Estate 8-okt-23
Leekes Ltd NoEscape www.leekes.co.uk United Kingdom Home Furniture, Furnishings, And Equipment Stores 8-okt-23
Waterloo Media NoEscape www.waterloomedia.com USA Communications 8-okt-23
Kentie Systeemtechniek BV NoEscape www.kentie.nl Netherlands Machinery, Computer Equipment 8-okt-23
Healthy Baby Essentials Inc NoEscape www.breastpumps.com USA Miscellaneous Retail 8-okt-23
IKP NoEscape www.ikp.at Austria Electronic, Electrical Equipment, Components 8-okt-23
Kool-Air Inc NoEscape www.kool-air-inc.com Canada Machinery, Computer Equipment 8-okt-23
IKM BlackCat (ALPHV) www.ikm.com Norway Oil, Gas 8-okt-23
Petersen Johnson 8BASE petersenjohnson.com USA Legal Services 8-okt-23
The Hurley Group Cactus www.hurleygroup.net United Kingdom Health Services 7-okt-23
International Presence Ltd Ragnar_Locker www.international-presence.com USA IT Services 6-okt-23
Agència Catalana de Notícies (ACN) Medusa www.acn.cat Spain Communications 6-okt-23
tatatelebusiness.com LockBit tatatelebusiness.com In progress In progress 6-okt-23
eemotors.com LockBit eemotors.com In progress In progress 6-okt-23
bm.co.th LockBit bm.co.th In progress In progress 6-okt-23
picosoft.biz LockBit picosoft.biz In progress In progress 6-okt-23
litung.com.tw LockBit litung.com.tw In progress In progress 6-okt-23
enerjet.com.pe LockBit enerjet.com.pe Peru Electronic, Electrical Equipment, Components 6-okt-23
sinedieadvisor.com LockBit sinedieadvisor.com Spain Communications 6-okt-23
cote-expert-equipements.com LockBit cote-expert-equipements.com Canada Machinery, Computer Equipment 6-okt-23
Camara Municipal de Gondomar Rhysida www.cm-gondomar.pt Portugal General Government 6-okt-23
sirva.com LockBit sirva.com In progress Motor Freight Transportation 5-okt-23
RICOR Global Limited Cactus www.ricor.co.uk United Kingdom Transportation Equipment 5-okt-23
Cornerstone Projects Group Cactus www.cornerstoneprojectsgroup.com USA Construction 5-okt-23
Learning Partnership West Ragnar_Locker www.lpw.org.uk United Kingdom Educational Services 5-okt-23
Low Keng Huat (Singapore) Limited BianLian lkhs.com.sg Singapore Real Estate 5-okt-23
W******** ***d*** & ******g BianLian Unknown USA Legal Services 5-okt-23
G****** ******s BianLian Unknown USA Agriculture 5-okt-23
suncoast-chc.org LockBit suncoast-chc.org USA Health Services 4-okt-23
DiTRONICS Financial Services Qilin ditronics.com USA Non-depository Institutions 4-okt-23
Meridian Cooperative BlackByte www.meridian.coop USA IT Services 4-okt-23
Roof Management PLAY www.roof-management.com USA Construction 4-okt-23
Security Instrument PLAY www.securityinstrument.com USA Business Services 4-okt-23
Filtration Control PLAY www.filtrationcontrol.com United Kingdom Transportation Equipment 4-okt-23
Cinepolis USA PLAY www.cinepolisusa.com Mexico Amusement And Recreation Services 4-okt-23
CHARMANT Group PLAY www.charmant.com USA Measuring, Analyzing, Controlling Instruments 4-okt-23
Stavanger Municipality PLAY stavanger.kommune.no Norway General Government 4-okt-23
McLaren Health Care Corporation BlackCat (ALPHV) www.mclaren.org USA Health Services 4-okt-23
Gruskin Group Akira www.gruskingroup.com USA Construction 4-okt-23
American Made LLC 0mega Unknown USA Transportation Equipment 4-okt-23
US Liner Company 0mega www.uslco.com USA Transportation Equipment 4-okt-23
General Directorate of Migration of the Dominican Republic Rhysida www.migracion.gob.do Dominican Republic General Government 3-okt-23
Toscana Promozione Money Message www.toscanapromozione.it Italy General Government 3-okt-23
MD LOGISTICS Money Message www.mdlogistics.com USA Transportation Services 3-okt-23
Maxco Supply Money Message www.maxcopackaging.com USA Rubber, Plastics Products 3-okt-23
Somagic Medusa www.somagic.fr France Electronic, Electrical Equipment, Components 3-okt-23
The One Group BlackCat (ALPHV) www.theonegroup.co.uk United Kingdom Business Services 3-okt-23
co.rock.wi.us Cuba co.rock.wi.us USA General Government 3-okt-23
aicsacorp.com LockBit aicsacorp.com Guatemala Construction 3-okt-23
GDL Logística Integrada S.A Knight www.gdlogistica.com.br Brazil Transportation Services 3-okt-23
Sabian Inc 8BASE sabian.com Canada Miscellaneous Manufacturing Industries 3-okt-23
Ted Pella Inc. 8BASE www.tedpella.com USA Wholesale Trade-durable Goods 3-okt-23
AllCare Pharmacy Lorenz www.allcarepharmacy.com USA Miscellaneous Retail 2-okt-23
Pain Care BlackCat (ALPHV) paincareoregon.com USA Health Services 2-okt-23
Windak Medusa www.windakgroup.com USA Machinery, Computer Equipment 2-okt-23
Karam Chand Thapar & Bros Coal Sales Medusa kctcoalsales.com India Wholesale Trade-durable Goods 2-okt-23

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
Kentie Systeemtechniek BV NoEscape www.kentie.nl Netherlands Machinery, Computer Equipment 8-okt-23

In samenwerking met StealthMol


Cyberaanvallen nieuws


Groot Datalek bij Belgische Sekswebsite Redlights.be: 415.000 Gebruikers Getroffen

De Belgische sekswebsite Redlights.be is het recente slachtoffer van een omvangrijk datalek. Een onbekende aanvaller heeft de privégegevens van 415.000 bezoekers en adverteerders weten te bemachtigen door te profiteren van een 'manuele fout in de codering'. De website, die als platform dient voor volwassenen om afspraken te maken met sekswerkers, heeft hiermee de privacy van zijn gebruikers in gevaar gebracht. Volgens de beheerders van Redlights.be was de website 'van nature al erg beveiligd'. Toch konden de aanvallers door een fout in de codering toegang krijgen tot privégegevens en berichten van gebruikers. De getroffen accounts omvatten 287.000 inactieve en 128.000 actieve accounts, waarvan 87.000 van bezoekers en 41,000 van adverteerders zijn. De site had eerder dit jaar een extra beveiligingslaag toegevoegd, gericht op versleuteling en codering van gegevens. Daardoor zouden recent actieve gebruikers volgens het bedrijf veilig moeten zijn, hoewel technische details over deze extra beveiligingsmaatregelen niet zijn vrijgegeven. Gebruikers en adverteerders zijn opgeroepen hun wachtwoorden te wijzigen als een voorzorgsmaatregel. Ondertussen dreigt de aanvaller de gestolen data te verkopen op het dark web aan de hoogste bieder. De federale politie en het parket zijn een onderzoek gestart om de identiteit van de hacker te achterhalen en gerechtelijke stappen te ondernemen. Deze ernstige inbreuk toont wederom het belang aan van robuuste cybersecurity, zeker voor platforms die gevoelige persoonlijke informatie opslaan. Het voorval benadrukt ook het belang van transparantie en openheid over beveiligingsprocedures en -incidenten richting de gebruikers. (bron)


Caesars Entertainment Getroffen Door Groot Ransomware-Datalek; Klanten Gewaarschuwd

Caesars Entertainment, een grote Amerikaanse casino- en hotelketen, heeft zijn klanten geïnformeerd over een ernstig datalek na een ransomware-aanval. Hoewel het totale aantal getroffen klanten onduidelijk is, zijn er alleen al in de Amerikaanse staat Maine meer dan 41.000 slachtoffers. Dit is bekendgemaakt in een officiële datalekmelding aan de procureur-generaal van de Verenigde Staten. Het incident begon op 18 augustus toen aanvallers toegang kregen tot de systemen van de onderneming door social engineering-technieken toe te passen op een externe IT-leverancier. Vijf dagen later werden klantgegevens ontvreemd. Het lek werd op 7 september ontdekt. Het betreft data van klanten die deelnemen aan het loyaliteitsprogramma van Caesars. Een verontrustend detail is dat Caesars heeft toegegeven $15 miljoen losgeld te hebben betaald aan de cybercriminelen met de belofte dat de gestolen data zou worden vernietigd. Desondanks kan het bedrijf niet garanderen dat de data daadwerkelijk is verwijderd. Er zijn tot nu toe geen aanwijzingen dat de gegevens zijn gedeeld of misbruikt. Als compensatie biedt Caesars getroffen klanten twee jaar gratis toegang tot een identiteitsdiefstalbeschermingsdienst, die onder meer het 'dark web' en creditmonitoring omvat. Dit incident onderstreept nogmaals het belang van strenge cybersecuritymaatregelen, vooral gezien de betrokkenheid van externe leveranciers in de beveiligingsketen. (bron)


Amerikanen lijden 'verbluffende' verliezen door sociale media-oplichting, waarschuwt de FTC

De Federal Trade Commission (FTC) van de Verenigde Staten heeft gewaarschuwd voor de enorme financiële verliezen door oplichting via sociale media. Sinds 2021 hebben Amerikanen minstens $2,7 miljard verloren, een cijfer dat waarschijnlijk veel hoger ligt door het gebrek aan meldingen. Een recent onderzoek toont aan dat slechts 4,8% van de slachtoffers een klacht indient bij de Better Business Bureau of een overheidsinstelling. Emma Fletcher, Senior Data Researcher bij de FTC, merkt op dat de gerapporteerde verliezen veel hoger zijn dan bij andere contactmethoden. Oplichters maken vaak gebruik van valse advertenties voor producten of lokken mensen met valse investeringskansen, vaak gerelateerd aan cryptocurrency. Een andere veelvoorkomende tactiek is het sturen van onverwachte vriendschapsverzoeken, vaak met een romantische inslag, om later geld te vragen. De FTC raadt Amerikaanse consumenten aan om voorzichtig te zijn en beschermende maatregelen te nemen. Zo wordt aangeraden om het aantal sociale media-contacten te beperken en om direct telefonisch contact op te nemen met personen die via sociale media om geld vragen. Ook wordt geadviseerd om grondig onderzoek te doen naar bedrijven voordat men overgaat tot een aankoop. Zoekopdrachten met de bedrijfsnaam en trefwoorden als 'oplichting' kunnen waardevolle inzichten bieden. Tijdens de eerste helft van dit jaar waren de meest gerapporteerde oplichtingspraktijken gerelateerd aan online winkelen, met 44% van de meldingen die wezen op fraude bij het kopen of verkopen van producten online. De waarschuwing van de FTC volgt op een toename van fraude via sociale media in 2021, waarbij Amerikanen meer dan $770 miljoen verloren, wat een 18-voudige toename is ten opzichte van de verliezen in 2017 en meer dan een verdubbeling ten opzichte van 2020. (bron, bron2)


Kentie Systeemtechniek BV Getroffen door NoEscape Cyberaanval

Op 8 oktober heeft de cybercriminele groep NoEscape bekendgemaakt dat zij inbreuk hebben gemaakt op de systemen van Kentie Systeemtechniek BV, een Nederlands bedrijf gespecialiseerd in machines en computerapparatuur. De groep heeft de data openbaar gemaakt op het darkweb. Bedrijven en individuen wordt aangeraden extra waakzaam te zijn en hun cyberbeveiliging op orde te brengen. (darkweb)


Genetica Bedrijf 23andMe Bevestigt Diefstal van Gebruikersdata door Credential Stuffing Aanval

Genetica en biotechnologiebedrijf 23andMe heeft bevestigd dat er gebruikersgegevens zijn gestolen en dat deze circuleren op hackerfora. Het bedrijf wijt dit aan een 'credential stuffing' aanval, een techniek waarbij hackers eerder gelekte inloggegevens gebruiken om toegang te krijgen tot andere online diensten waar mensen dezelfde inloggegevens hebben hergebruikt. 23andMe biedt klanten genetische testdiensten aan, waarbij men een speekselmonster opstuurt en een rapport ontvangt over hun afkomst en genetische predisposities. Het eerste datalek was relatief beperkt en bevatte ongeveer 1 miljoen regels aan data gericht op Ashkenazi mensen. Echter, de dreigingsactor bood later bulkverkoop van gestolen 23andMe-profielen aan voor prijzen variërend van $1 tot $10 per account, afhankelijk van het aankoopvolume. Volgens een woordvoerder van 23andMe is de gestolen data legitiem. De aanvallers zouden de gegevens hebben verkregen door gebruik te maken van inloggegevens die zijn gelekt bij eerdere datalekken van andere online platforms. Hierbij benadrukte het bedrijf dat er geen indicatie is dat hun eigen systemen gecompromitteerd zijn. De gelekte informatie omvat volledige namen, gebruikersnamen, profielfoto’s, geslacht, geboortedata, genetische afkomstresultaten en geografische locaties. Daarnaast waren de gecompromitteerde accounts degenen die hadden gekozen voor de 'DNA Relatives' functie, die gebruikers in staat stelt genetische verwanten te vinden. 23andMe raadt alle gebruikers aan om tweefactorauthenticatie in te schakelen als een extra beschermingsmaatregel en pleit voor het gebruik van sterke, unieke wachtwoorden voor elk online account. Het aantal verkochte accounts door de cybercrimineel weerspiegelt niet het totale aantal gecompromitteerde 23andMe accounts, wat suggereert dat de werkelijke impact van de aanval wellicht groter is dan tot nu toe bekend. (bron)


DNA-testbedrijf 23andMe Slachtoffer van Datalek Door Credential Stuffing-aanval

23andMe, een bedrijf dat DNA-testen aanbiedt, heeft bevestigd dat het slachtoffer is geworden van een datalek. Dit lek is veroorzaakt door een zogenaamde credential stuffing-aanval, waarbij aanvallers gebruikmaken van eerder gestolen inloggegevens om toegang te krijgen tot andere websites. De aanvallers wisten binnen te dringen in gebruikersaccounts en stalen daarbij persoonlijke gegevens zoals namen, geslacht, geboortejaar, profielfoto's en details over de DNA-tests. Deze informatie werd vervolgens te koop aangeboden op een forum. 23andMe benadrukte dat hun eigen systemen niet gecompromitteerd zijn. De aanval was enkel succesvol omdat gebruikers dezelfde wachtwoorden gebruikten voor meerdere online services, wat de aanvallers de kans gaf om binnen te dringen. Als een account was aangemeld voor de 'DNA Relatives'-service, maakten de aanvallers ook gebruik van deze functie om gegevens over andere gebruikers in de database te stelen. Deze service helpt gebruikers verwanten te vinden die hun DNA ook via 23andMe hebben laten testen. Op het forum waar de gestolen data werd aangeboden, is te lezen dat de aanbieders beweren toegang te hebben tot uiterst gedetailleerde informatie van miljoenen mensen. Er wordt zelfs $1.000 gevraagd voor honderd profielen en $100.000 voor honderdduizend profielen. 23andMe heeft aangekondigd een onderzoek te hebben ingesteld naar de aanval en diverse postings op het forum zijn inmiddels verwijderd. Het is nog onbekend hoeveel gebruikers precies zijn getroffen door dit datalek. (bron, bron2, bron3)


Ransomware-aanval op MGM Resorts resulteert in verlies van $100 miljoen en diefstal van klantgegevens

MGM Resorts, een grote speler in de horeca- en entertainmentsector, heeft onlangs bekendgemaakt dat het vorige maand slachtoffer is geworden van een omvangrijke cyberaanval. Deze aanval heeft het bedrijf een financiële klap van $100 miljoen opgeleverd en heeft geleid tot diefstal van persoonlijke informatie van klanten. Het beveiligingsincident dat plaatsvond op 11 september 2023, had invloed op verschillende bedrijfsonderdelen, waaronder de hoofdwebsite, online reserveringssystemen en diverse in-casinoservices zoals gokautomaten, creditcardterminals en geldautomaten. De verantwoordelijke partij achter de aanval is een partner van de BlackCat/ALPHV ransomwaregroep, bekend als Scattered Spider. Deze cybercriminelen hebben toegang gekregen tot het netwerk van MGM Resorts via social engineering, waarbij gevoelige data werd gestolen en meer dan honderd ESXi hypervisors werden versleuteld. Als gevolg hiervan werd een breed scala aan bedrijfsoperaties verstoord. Naast het inkomstenverlies van $100 miljoen heeft MGM Resorts ook minder dan $10 miljoen aan eenmalige kosten moeten betalen voor risicobeperking, juridisch advies en responsmaatregelen. Het bedrijf geeft aan dat het verwacht volledig gedekt te zijn door zijn cyberverzekeringspolis en dat de financiële impact voornamelijk beperkt zal blijven tot het derde kwartaal van 2023. Op het gebied van gestolen klantgegevens betreft het informatie zoals volledige naam, telefoonnummer, e-mailadres, postadres, geslacht, geboortedatum, rijbewijs, socialezekerheidsnummer en paspoortnummer. Hoewel wachtwoorden, bankrekeningnummers en betaalkaartinformatie naar verluidt niet zijn blootgesteld, waarschuwt MGM zijn klanten voor het risico van fraude en identiteitsdiefstal. Het bedrijf biedt gratis kredietbewaking en identiteitsbeschermingsservices aan de getroffen individuen aan. (bron)


Blackbaud Schikt voor $49,5 Miljoen na Ransomware-aanval en Datalek

Cloudsoftwarebedrijf Blackbaud heeft een schikking getroffen van 49,5 miljoen dollar met 49 Amerikaanse staten naar aanleiding van een datalek veroorzaakt door een ransomware-aanval in 2020. Blackbaud levert diverse diensten, waaronder CRM-systemen, aan non-profitorganisaties en onderwijsinstellingen. Tijdens de aanval kregen cybercriminelen toegang tot gegevens van dertienduizend klanten, waarna ze ook gegevens van miljoenen gebruikers van deze klanten bemachtigden. Onder de getroffen instellingen bevonden zich ook de TU Delft en de Universiteit Utrecht. Ondanks dat Blackbaud de aanvallers betaalde om de gestolen data te vernietigen, werd ontdekt dat er toch gevoelige informatie was buitgemaakt. Dit werd echter niet correct gemeld bij de SEC in augustus 2020, mede door het ontbreken van interne meldprocedures. De procureurs-generaal van de betrokken Amerikaanse staten stelden dat Blackbaud meerdere wetten heeft overtreden, waaronder die betreffende consumentenbescherming, het melden van datalekken en zorgwetgeving. De schikking kwam tot stand omdat Blackbaud geen passende beveiligingsmaatregelen had genomen en bekende kwetsbaarheden niet had aangepakt. Dit maakte het voor de aanvallers mogelijk om het netwerk binnen te dringen. Verder had het bedrijf zijn klanten en gebruikers niet tijdig en adequaat geïnformeerd over het lek. Naast de financiële schikking is Blackbaud verplicht om verschillende maatregelen te nemen, zoals het opstellen van een datalekplan en het trainen van personeel. (bron)


Toenemende Risico's van Zeroday-aanvallen via Advertenties: Een Waarschuwing voor Smartphonegebruikers

Bill Marczak van Citizen Lab waarschuwt voor een groeiende dreiging: de mogelijke verspreiding van spyware via advertenties. Deze advertenties kunnen de volgende vector zijn voor zeroday-aanvallen op smartphones. Marczak adviseert iPhone-gebruikers om de Lockdown Mode in te schakelen als beschermingsmaatregel. Deze mode beperkt de functionaliteiten van de telefoon en blokkeert daarmee duurdere aanvallen die tot wel twintig miljoen dollar kunnen kosten. De laatste jaren zijn smartphones een steeds populairder doelwit voor commerciële spywareleveranciers geworden. Hoewel deze bedrijven beweren dat hun producten helpen bij het opsporen van criminelen en terroristen, blijkt uit de praktijk dat ook journalisten, politieke tegenstanders en activisten veelvuldig het doelwit zijn. Citizen Lab, gevestigd aan de universiteit van Toronto, is een leidende organisatie in het onderzoek naar deze leveranciers en heeft al meerdere zerodaylekken ontdekt en geholpen om te dichten. Tijdens het IMEDD International Journalism Forum 2023 heeft Marczak een presentatie gegeven waarin hij de laatste ontwikkelingen besprak. Er zijn verschillende aanvalsmethoden, waaronder het klikken op een malafide link en 'zero-click' aanvallen, waarbij het slachtoffer niets hoeft te doen om geïnfecteerd te raken. Onlangs is er ook een geval van man-in-the-middle-aanval op een Egyptische journalist en politicus gemeld. Een alarmerende ontwikkeling is dat Israëlische cyberbedrijven technologie ontwikkelen om spyware via advertenties te verspreiden. De advertentiemarkt maakt het namelijk mogelijk om zeer gerichte advertenties aan specifieke groepen te tonen, waardoor spyware op een efficiënte manier kan worden verspreid. Dit verhoogt het risico op zeroday-aanvallen via deze nieuwe methode, wat de cybersecuritygemeenschap en smartphonegebruikers extra waakzaam maakt. (bron, bron2, bron3)


Chinese Cyberspionnen richten zich op Semiconductorbedrijven met Cobalt Strike

Cyberaanvallers die banden hebben met China zijn onlangs betrokken geweest bij een grootschalige cyber-espionagecampagne tegen semiconductorbedrijven die voornamelijk Chinees spreken. De campagne werd ontdekt door EclecticIQ en lijkt zich te concentreren op bedrijven gevestigd in Taiwan, Hongkong en Singapore. De aanvallers maken gebruik van vervalste documenten die gerelateerd zijn aan Taiwan Semiconductor Manufacturing Company (TSMC), 's werelds grootste fabrikant van halfgeleiders met een jaaromzet van $73,5 miljard en meer dan 73.000 werknemers. De modus operandi van de aanvallers omvat het gebruik van spear-phishing e-mails om de zogenaamde HyperBro loader te verspreiden. Zodra deze op een apparaat wordt geïnstalleerd, installeert het een Cobalt Strike beacon, wat de aanvallers op afstand toegang geeft tot het gecompromitteerde systeem. Om detectie te voorkomen, wordt er een nep-TSMC PDF getoond wanneer HyperBro wordt geopend. De payload wordt in het geheugen geladen door gebruik te maken van DLL side-loading, wat helpt om antivirusdetectie te omzeilen. De aanvallers gebruiken ook een legitieme jQuery CDN om hun commando- en besturingsserver te verbergen, waardoor ze de firewall kunnen omzeilen. In een tweede variant van de aanval gebruikten de hackers een gecompromitteerde Cobra DocGuard-webserver om aanvullende malware payloads te droppen. Een nieuw ontwikkelde Go-gebaseerde achterdeur genaamd 'ChargeWeapon' werd ook ingezet, ontworpen om hostgegevens in base64-gecodeerde vorm te verzenden. EclecticIQ meldt met een hoge mate van zekerheid dat de aanval waarschijnlijk wordt uitgevoerd en ontwikkeld door een door de Chinese overheid gesteunde dreigingsactor. Deze conclusie wordt verder ondersteund door eerdere rapporten van Symantec en ESET, die vergelijkbare tactieken hebben waargenomen bij door China gesponsorde APT's (Advanced Persistent Threats). (bron)


Hoe Cybercriminelen Profiteren van de Top 10 Cybersecurity Misconfiguraties: Inzichten van NSA en CISA

De Amerikaanse National Security Agency (NSA) en de Cybersecurity and Infrastructure Security Agency (CISA) hebben een gezamenlijk rapport uitgebracht waarin de tien meest voorkomende cybersecurity-misconfiguraties worden beschreven. Deze misconfiguraties zijn ontdekt door hun zogenaamde Red en Blue teams tijdens assessments en incidentresponsactiviteiten bij grote organisaties. Deze teams hebben de beveiligingshouding van netwerken geëvalueerd binnen verschillende sectoren, waaronder het Department of Defense, federale burgerlijke uitvoerende takken, staats-, lokale, tribale en territoriale overheden, en de particuliere sector. De top 10 misconfiguraties omvatten: standaard software- en applicatie-instellingen, onjuiste scheiding van gebruiker-/beheerdersrechten, ontoereikende interne netwerkmonitoring, gebrek aan netwerksegmentatie, slecht patchbeheer, omzeiling van systeemtoegangscontroles, zwakke of slecht geconfigureerde meerfactorauthenticatie (MFA), ontoereikende toegangscontrolelijsten (ACL's) op netwerkshares en -diensten, slechte inloggegevenshygiëne en onbeperkte code-uitvoering. Eric Goldstein, Executive Assistant Director voor Cybersecurity bij CISA, benadrukt dat deze misconfiguraties iedere Amerikaan in gevaar kunnen brengen. Daarom is er een dringende noodzaak voor softwarefabrikanten om ‘secure-by-design’ principes te adopteren en een proactieve aanpak te hanteren om deze kwetsbaarheden effectief aan te pakken. Daarnaast spoort het rapport netwerkbeheerders aan om de aanbevolen mitigerende maatregelen te implementeren, zoals het elimineren van standaardcredentials, het deactiveren van ongebruikte services, en het automatiseren van het patchproces. Het rapport adviseert ook om de beveiligingsprogramma's van organisaties te testen en te valideren tegen het MITRE ATT&CK voor Enterprise-raamwerk, en om bestaande beveiligingscontroles te toetsen aan de ATT&CK-technieken beschreven in de advisory. (bron)

JOINT CSA TOP TEN MISCONFIGURATIONS TLP CLEAR PDF
PDF – 1,1 MB 69 downloads

Clorox Geconfronteerd met Kwartaalverlies door Cyberaanval in Augustus

Clorox, een toonaangevende fabrikant van bleekmiddelen en andere huishoudelijke producten, heeft op 4 oktober 2023 aangekondigd een verlies te verwachten in het eerste kwartaal van het fiscale jaar. Dit komt als een direct gevolg van een cyberaanval die het bedrijf in augustus heeft getroffen. De aanval veroorzaakte grootschalige operationele verstoringen, inclusief uitval van productie en vertragingen in de verwerkingsprocessen van het bedrijf. Als gevolg hiervan voorspelt Clorox een verlies per aandeel te zullen noteren tussen 75 cent en 35 cent voor het kwartaal dat eindigde op 30 september. Het aandeel van Clorox op de New York Stock Exchange (NYSE) heeft ook gevolgen ondervonden; de koers daalde na sluitingstijd op de dag van de aankondiging. Analisten en investeerders zullen dit nauwlettend in de gaten houden, aangezien dit een belangrijke indicator kan zijn voor de financiële gezondheid van het bedrijf en mogelijk een bredere impact kan hebben op de sector van huishoudelijke producten. Dit incident onderstreept het groeiende belang van cybersecurity in de moderne zakelijke omgeving, zelfs voor bedrijven die traditioneel niet als technologie-gedreven worden beschouwd. Het toont ook aan hoe kwetsbaar bedrijven kunnen zijn voor cyberaanvallen, die niet alleen de dagelijkse operaties kunnen ontregelen, maar ook een langdurige impact kunnen hebben op de financiële prestaties. Het is daarom cruciaal voor bedrijven om te investeren in robuuste cyberbeveiligingsmaatregelen om dergelijke incidenten te voorkomen of te mitigeren. (bron)


OCMW Charleroi (B) Getroffen door Gerichte Cyberaanval op Oekraïense Vluchtelingen

Op 21 augustus jongstleden werd het Openbaar Centrum voor Maatschappelijk Welzijn (OCMW) van Charleroi slachtoffer van een omvangrijke cyberaanval. De systemen van de instelling lagen voor een lange periode plat. Volgens de Franstalige krant 'La Nouvelle Gazette', eisten de aanvallers losgeld om de systemen weer vrij te geven. Hoewel het OCMW niet inging op deze eis en in plaats daarvan externe experts inschakelde, maakten de hackers gebruik van de situatie om persoonlijke gegevens in te zien. Opvallend genoeg richtte de aanval zich voornamelijk op de data van Oekraïense vluchtelingen die hulp ontvangen van het OCMW. De aanvallers zouden specifiek de paspoortgegevens van deze vluchtelingen hebben bekeken. Daarnaast werd bekend dat er mogelijk al veel eerder aanvallen op het systeem hadden plaatsgevonden, mogelijk al in mei, wat duidt op een langdurige inbreuk. Het OCMW heeft laten weten dat het extra veiligheidsmaatregelen neemt en de betrokken Oekraïners op de hoogte heeft gesteld. Er loopt momenteel een politieonderzoek om meer duidelijkheid te krijgen over de omvang en de mogelijke daders van de cyberaanval. Hoewel er volgens het centrum geen sprake lijkt te zijn van grootschalige datadiefstal, zijn de persoonlijke gegevens van zowel personeelsleden als van Oekraïense vluchtelingen ingezien door de hackers, waardoor de privacy van deze individuen op ernstige wijze is geschonden. Het incident roept vragen op over de veiligheid van gevoelige data binnen publieke instellingen en de toenemende gerichtheid van cyberaanvallen. (bron: anoniem) Meer info over de cyberoorlog 🇺🇦 🇷🇺


Kwaadaardige Python-pakketten Stelen Gevoelige Informatie op Grote Schaal

Een groeiend aantal kwaadaardige Python-pakketten zijn ontdekt op open-source platformen, waarschuwt een onderzoeksteam van Checkmarx's Supply Chain Security. Deze pakketten zijn sinds april 2023 ongeveer 75.000 keer gedownload en hebben als doel gevoelige data te stelen van geïnfecteerde systemen. Het aantal kwaadaardige pakketten bedraagt inmiddels 272, en de malware is steeds geavanceerder aan het worden, met meer complexe verhullingslagen en detectie-ontwijkende technieken. De malware richt zich op een breed scala aan gevoelige informatie, waaronder antivirus tools die op het apparaat draaien, Wi-Fi-wachtwoorden, browsergegevens, en zelfs informatie van cryptocurrency wallet apps zoals Atomic en Exodus. Daarnaast heeft het de mogelijkheid om screenshots te nemen en individuele bestanden van de computer te stelen. Het kwaadaardige programma houdt ook het klembord in de gaten om cryptocurrency-adressen te vervangen en zo betalingen om te leiden naar de aanvaller. Een onderscheidend kenmerk van deze campagne is de app-manipulatie: de malware past zelfs kernbestanden van apps zoals Exodus aan en injecteert JavaScript-code in Discord om data te exfiltreren. Het kan ook de ‘hosts’ bestanden in Windows manipuleren zodat beveiligingsproducten niet meer met hun servers kunnen communiceren. De campagne heeft tot nu toe ongeveer $100.000 in cryptocurrency gestolen en blijft evolueren, met nieuwe methoden zoals het uitschakelen van antivirusproducten en toevoeging van Telegram aan de lijst van doelwitten. Onderzoekers waarschuwen dat open-source gemeenschappen en ontwikkelaarsecosystemen nog steeds vatbaar zijn voor dit soort aanvallen en raden gebruikers aan om extra waakzaam te zijn bij het kiezen van projecten en pakketuitgevers. (bron, bron2, bron3)


Onderzoekers waarschuwen voor 100.000 industrieële controlesystemen blootgesteld aan cyberaanvallen

Een recent onderzoek door cybersecuritybedrijf BitSight heeft aangetoond dat ongeveer 100.000 industriële controlesystemen (ICS) openbaar toegankelijk zijn via het internet. Dit vormt een ernstig risico, aangezien deze systemen onder meer de stroomvoorziening, verkeerslichten en waterbeheerssystemen reguleren. De toegankelijke ICS-units bevatten een scala aan componenten, zoals sensoren, actuatoren en schakelaars, die van cruciaal belang zijn voor de infrastructuur. BitSight analyseerde de situatie door middel van massale scans van IP-adressen en het loggen van deze gegevens. Hierdoor konden ze verschillende protocollen en systemen identificeren. Volgens het bedrijf zijn veel Fortune 1000-bedrijven in 96 landen getroffen door deze blootstelling. Hoewel de data een verbetering laat zien sinds 2019, blijft de situatie zorgwekkend. De meest kwetsbare landen zijn de Verenigde Staten, Canada, Italië, het Verenigd Koninkrijk, Frankrijk, Nederland, Duitsland, Spanje, Polen en Zweden. Sectoren zoals onderwijs, technologie, overheid en financiën blijken het minst veilig te zijn als het gaat om ICS-beveiliging. Eerder schatte beveiligingsbedrijf Kaspersky al dat ongeveer 20% van alle ingezette ICS-systemen vatbaar is voor ernstige kwetsbaarheden. Ondanks meerdere waarschuwingen van autoriteiten blijft het moeilijk te schatten hoeveel van de 100.000 blootgestelde ICS-systemen daadwerkelijk uitgebuit kunnen worden en welke schade dit kan veroorzaken. BitSight adviseert ten minste basale beveiligingsmaatregelen te implementeren, zoals VPN-toegang, meerfactorauthenticatie, rolgebaseerde toegangscontrole en netwerksegmentatie om het risico van ongeoorloofde toegang te minimaliseren. (bron)


Lyca Mobile Klanten Getroffen door Omvangrijke Cyberaanval

Klanten van de telecomprovider Lyca Mobile ondervonden meerdere dagen hinder in de vorm van connectiviteitsproblemen, waardoor ze niet konden bellen en sms'en. De problemen begonnen afgelopen vrijdagmiddag en waren ook zichtbaar op de klachtenwebsite Downdetector. In eerste instantie communiceerde Lyca Mobile via hun eigen website dat er technische problemen waren. Later gaven ze toe dat ze het slachtoffer waren geworden van een cyberaanval. De aanval had niet alleen invloed op de mogelijkheid om te bellen en sms'en, maar klanten konden ook hun tegoeden niet opwaarderen. Dit gebeurde op alle markten waar Lyca Mobile actief is, met uitzondering van de Verenigde Staten, Australië, Oekraïne en Tunesië. Volgens de laatste updates van de provider zijn alle mobiele telecomdiensten inmiddels hersteld, hoewel sommige operationele diensten nog steeds problemen ondervinden. Lyca Mobile heeft niet gespecificeerd wat voor soort cyberaanval het betrof en of er klantgegevens zijn gestolen. Het onderzoek naar de aanval en de mogelijke gevolgen daarvan is nog gaande. Zodra er meer informatie beschikbaar is, zal Lyca Mobile een nieuwe update verstrekken. (bron, bron2, bron3)


Cybercriminelen compromitteren MOVEit Server van Sony en treffen duizenden medewerkers

Sony Interactive Entertainment heeft recentelijk een ernstig datalek ervaren dat bijna 6800 huidige en voormalige medewerkers treft. Het bedrijf ontdekte dat een zeroday-aanval was uitgevoerd op hun MOVEit Transfer-server, een applicatie gebruikt voor het uitwisselen van bestanden en vertrouwelijke informatie binnen de organisatie. Deze aanval werd ontdekt op 2 juni, waarna een grondig onderzoek werd gestart om de omvang van het lek en de gestolen gegevens in kaart te brengen. De aanval is niet geïsoleerd; hij maakt deel uit van een wereldwijde campagne waarbij de criminelen achter de Clop-ransomware MOVEit-servers van duizenden organisaties compromitteren. Volgens beveiligingsbedrijf Emsisoft zijn meer dan 2300 organisaties en bedrijven het slachtoffer geworden van deze aanval, waarbij data van meer dan 62,6 miljoen personen is gestolen. De Clop-groep publiceert namen van getroffen organisaties en dreigt de gestolen gegevens openbaar te maken als het losgeld niet wordt betaald. Sony heeft inmiddels datalekmeldingen gestuurd naar de procureur-generaal van de Amerikaanse staat Maine en is begonnen met het informeren van de getroffen medewerkers. Onder de gestolen gegevens bevinden zich ook gevoelige informatie zoals social-securitynummers. Dit incident onderstreept het groeiende gevaar van gerichte cyberaanvallen en de noodzaak voor bedrijven om hun cybersecurity-maatregelen te intensiveren. (bron, bron2)


Duitse Hotelketen Motel One Getroffen door ALPHV-Ransomware: Een Kwestie van Omstreden Impact

De Duitse hotelketen Motel One is recentelijk het slachtoffer geworden van een ransomware-aanval. De aanval is uitgevoerd door de cybercriminelen achter ALPHV-ransomware, ook bekend als BlackCat. Er is echter onenigheid over de omvang van de impact. Volgens de officiële verklaring van Motel One was de schade 'relatief beperkt' dankzij de uitgebreide veiligheidsmaatregelen die het bedrijf had genomen. Ze bevestigen dat adresgegevens en details van ongeveer 150 creditcards zijn gestolen. Aan de andere kant beweren de aanvallers veel meer data in handen te hebben. Zij stellen dat ze zes terabyte aan gegevens hebben buitgemaakt, waaronder reserveringsgegevens van de afgelopen drie jaar en een groot aantal creditcardgegevens. De cybercriminelen dreigen deze informatie openbaar te maken als er geen losgeld wordt betaald. Dit incident benadrukt het voortdurende risico van ransomware-aanvallen op bedrijven en de noodzaak voor organisaties om hun cybersecuritymaatregelen te versterken. Het roept ook vragen op over de transparantie van bedrijven na een cyberaanval, aangezien er tegenstrijdige accounts zijn over de werkelijke impact. Het is cruciaal voor zowel consumenten als bedrijven om alert te blijven en te investeren in geavanceerde beveiligingstechnologieën om dergelijke aanvallen te mitigeren. (bron)


Cloudbeveiliging onder Druk: Aanvallers Proberen Zijwaartse Bewegingen te Maken van SQL Server naar Cloudomgevingen

Microsoft heeft recentelijk een nieuwe cyberaanval tactiek ontdekt waarbij aanvallers proberen lateraal naar cloudomgevingen te bewegen via SQL Server-instanties. Deze aanpak is niet eerder waargenomen bij SQL Server; het is een nieuwe vector in de evoluerende landschap van cloudgebaseerde aanvalstechnieken. De aanval begint met het uitbuiten van een SQL-injectie kwetsbaarheid in een applicatie binnen de doelomgeving. Hiermee verkrijgen de aanvallers verhoogde permissies op een Microsoft SQL Server die is ingezet in een Azure Virtual Machine. Deze permissies worden vervolgens misbruikt om te proberen zijwaarts te bewegen naar aanvullende cloudbronnen. Dit gebeurt door misbruik te maken van de 'cloud identity' (cloud-identiteit) van de server, die mogelijk verhoogde permissies heeft voor acties in de cloud. Microsoft's verdedigingssystemen, waaronder Microsoft Defender voor SQL, hebben meerdere waarschuwingen gegenereerd die deze nieuwe aanvalstechniek aan het licht brachten. Hoewel de aanval in dit specifieke geval niet succesvol was, is het belangrijk dat beveiligingsteams zich bewust zijn van deze nieuwe aanvalsmethode en de stappen die genomen kunnen worden om potentiële aanvallen te mitigeren. Een van de specifieke technieken die werden gebruikt, is het inschakelen van de 'xp_cmdshell'-opdracht, een SQL Server-functie waarmee je besturingssysteemopdrachten kunt uitvoeren. De aanvallers gebruikten ook een unieke methode voor data-exfiltratie via een openbare dienst genaamd "webhook.site". Deze aanval benadrukt ook het belang van het toepassen van het principe van minimale bevoegdheid bij het ontwerpen en implementeren van zowel cloudgebaseerde als on-premises oplossingen. Onzorgvuldig beheer van cloudidentiteiten kan leiden tot vergelijkbare risico's en organisaties wordt geadviseerd alleen de noodzakelijke permissies en privileges toe te kennen. (bron)


Ajax Versterkt Digitale Beveiliging na Cyberinbraak bij KNVB

Ajax meldt in het jaarverslag van 2022/2023 (pdf) dat er maatregelen zijn getroffen om kwaadwillenden geen kans te bieden om in te breken in de digitale systemen van de club. Deze beslissing volgde op een cyberinbraak bij de KNVB in april. Om te voorkomen dat Ajax een vergelijkbaar lot zou treffen, werden verschillende initiatieven ondernomen. Zo werden er onder meer periodieke sessies georganiseerd om het bewustzijn van medewerkers te verhogen aangaande het zorgvuldig omgaan met privacygevoelige gegevens. De digitale omgeving van Ajax is standaard uitgerust met beveiligingssoftware, waardoor veilig werken op elke locatie mogelijk is. Hiervoor maakt de club gebruik van de meest uitgebreide Microsoft 365-licentie, aangevuld met dubbele spam- en malwarefilters.

Ajax Jaarverslag 2022 2023
PDF – 10,5 MB 72 downloads

Qualcomm waarschuwt voor actief misbruikte zero-day kwetsbaarheden in GPU en DSP drivers

Qualcomm, de Amerikaanse halfgeleiderproducent, heeft een waarschuwing uitgegeven voor drie zero-day kwetsbaarheden in zijn Graphics Processing Unit (GPU) en Compute DSP drivers die momenteel actief worden misbruikt door hackers. Google's Threat Analysis Group (TAG) en Project Zero teams hebben Qualcomm geïnformeerd dat de kwetsbaarheden, geïdentificeerd als CVE-2023-33106, CVE-2023-33107, en CVE-2022-22071, onderworpen kunnen zijn aan gerichte exploitatie. Qualcomm heeft beveiligingsupdates vrijgegeven die deze problemen aanpakken en heeft de getroffen Original Equipment Manufacturers (OEM's) ook op de hoogte gesteld. Vooral de CVE-2022-22071, openbaar gemaakt in mei 2022, is een ernstig probleem (CVSS v3.1 score van 8.4) dat van lokaal belang is en invloed heeft op populaire chips zoals de SD855, SD865 5G en SD888 5G. Qualcomm zal in december 2023 meer informatie verstrekken over de actief misbruikte kwetsbaarheden. Naast deze zero-days waarschuwt het beveiligingsbulletin van deze maand ook voor drie andere kritieke kwetsbaarheden met betrekking tot geheugencorruptie en cryptografische problemen in Qualcomm’s Modem en Data Modem componenten. Deze zijn allemaal op afstand te exploiteren, waardoor ze vanuit een beveiligingsperspectief als kritiek worden beschouwd. Voor eindgebruikers is het helaas voornamelijk wachten op updates via de reguliere OEM-kanalen. Daarnaast wordt Android-gebruikers geadviseerd het aantal apps dat zij downloaden te beperken en deze alleen uit betrouwbare bronnen te halen. (bron, bron2)


EvilProxy Exploiteert Indeed.com voor Microsoft 365 Phishing Aanval

Een recent ontdekte phishing-campagne richt zich op Microsoft 365 accounts van topmanagers in organisaties die gevestigd zijn in de Verenigde Staten. Deze aanval maakt misbruik van open omleidingen (redirects) op de Amerikaanse banensite Indeed.com. De cybercriminelen gebruiken een dienst genaamd EvilProxy, die gespecialiseerd is in het verzamelen van sessiecookies. Deze cookies kunnen worden gebruikt om multi-factor authenticatie (MFA) te omzeilen. Onderzoekers van Menlo Security stellen dat de aanval zich voornamelijk richt op executives en hooggeplaatste medewerkers uit diverse sectoren, waaronder elektronica, bankwezen, vastgoed en verzekeringen. Open omleidingen zijn in wezen zwakheden in de websitecode waarmee automatische doorverwijzingen naar willekeurige online locaties kunnen worden gecreëerd. Aanvallers benutten deze zwakke plekken om slachtoffers naar phishingpagina's te leiden. Omdat de link afkomstig is van een betrouwbare bron (Indeed.com), kunnen deze phishing pogingen emailbeveiligingsmechanismen omzeilen of verschijnen in zoekresultaten zonder argwaan te wekken. Zodra een gebruiker op de vervalste link klikt, worden ze doorgeleid naar een phishingwebsite die zich voordoet als de inlogpagina van Microsoft. De aanvallers zijn dan in staat om de authenticatiecookies te vangen. Dit geeft hen volledige toegang tot de Microsoft 365 accounts van de slachtoffers, zelfs als MFA is ingeschakeld. Het gebruik van reverse proxykits voor phishing is in opkomst en de combinatie met open omleidingen vergroot de effectiviteit van dergelijke campagnes aanzienlijk. Menlo Security heeft verschillende artefacten van de aanval hersteld die de toewijzing aan EvilProxy bevestigen, waaronder specifieke serverdetails en gebruik van FingerprintJS-bibliotheek voor browser fingerprinting. (bron)


Dringende waarschuwing: Kritiek lek in WS_FTP-servers actief uitgebuit

Aanvallers misbruiken actief een kritische kwetsbaarheid in WS_FTP-servers, waarschuwt het beveiligingsbedrijf Rapid7. WS_FTP, of WinSock File Transfer Protocol, is een protocol voor het veilig uitwisselen van bestanden en telt wereldwijd meer dan veertig miljoen gebruikers. De kwetsbaarheid bevindt zich in de Ad Hoc Transfer-module van de FTP-server en staat bekend als CVE-2023-40044. Het betreft een ernstige .NET deserialization fout waardoor ongeauthenticeerde aanvallers op afstand willekeurige commando’s kunnen uitvoeren op de getroffen FTP-server. Deze kwetsbaarheid heeft een maximale beoordeling van 10.0 op een schaal van 1 tot 10 ontvangen, wat de ernst onderstreept. Op 27 september bracht softwareontwikkelaar Progress beveiligingsupdates uit voor deze kwetsbaarheid, die initieel was ontdekt door onderzoekers van Assetnote. Echter, al op 30 september signaleerde Rapid7 de eerste actieve aanvallen op hun klanten. Assetnote maakte op 1 oktober verdere details over dit beveiligingslek openbaar. Gezien de ernst van de situatie wordt organisaties die de beveiligingsupdates nog niet hebben geïnstalleerd dringend aangeraden dit zo spoedig mogelijk te doen. De impact van dit lek is zeer groot, en het actieve misbruik van de kwetsbaarheid vergroot de urgentie voor onmiddellijke actie. (bron, bron2, bron3)


Microsoft's Bing AI-Chatbot Geïnfecteerd door Malware via Reclame

Microsoft heeft onlangs een AI-chatbot, gebaseerd op ChatGPT van OpenAI, geïntegreerd in zijn zoekmachine Bing. Hoewel deze integratie de populariteit van Bing heeft verhoogd, heeft het ook de aandacht getrokken van cybercriminelen. Volgens Malwarebytes is Bing nu een broedplaats voor malware. De kern van het probleem ligt niet bij de AI-chatbot zelf, maar bij de beslissing van Microsoft om reclame te plaatsen tussen de AI-antwoorden. Cybercriminelen maken gebruik van legitieme advertentienetwerken om kwaadaardige reclame te verspreiden. Omdat deze netwerken als betrouwbaar worden beschouwd, worden de advertenties automatisch opgenomen in de zoekresultaten van Bing. Bij het gebruik van de AI-chatbot verschijnen antwoorden in een chatscherm, wat de gebruiker de illusie geeft van een echte conversatie. Dit maakt de aanwezigheid van reclame nog verwarrender voor de gebruiker. Bovendien kunnen bedrijven deze reclameruimte kopen, wat betekent dat hoe meer een bedrijf betaalt, hoe vaker hun advertenties verschijnen in de chatinterface. De malware wordt meestal verspreid via zogenaamde 'malvertising', een combinatie van 'malware' en 'advertising'. De advertenties lokken gebruikers naar een andere website waar ze per ongeluk ransomware kunnen downloaden. Deze ransomware vergrendelt bestanden en vraagt om losgeld voor ontgrendeling. Microsoft staat voor de uitdaging om dit probleem snel op te lossen. Hoewel het bedrijf met Bing wil concurreren met Google, komt malware in die laatste zoekmachine veel minder vaak voor, en zeker niet op prominente posities. Het advies luidt nu dan ook om voorzichtig te zijn met het klikken op links in Bing, wat problematisch is voor legitieme bedrijven die via de zoekmachine adverteren.


Thunderbird waarschuwt voor Snatch-ransomware die zich voordoet als Legitieme Software

De ontwikkelaars van de e-mailclient Thunderbird hebben een waarschuwing uitgegeven over een ransomware-aanval die zich voordoet als hun eigen software. Deze malafide activiteit wordt uitgevoerd door de criminelen achter de zogenaamde Snatch-ransomware. Ze maken gebruik van betaalde advertenties op Google.com om hun kwaadaardige software te verspreiden. Deze advertenties zijn zo ontworpen dat ze lijken te linken naar bekende en vertrouwde software zoals Microsoft Teams, Adobe Reader, Thunderbird zelf en Discord. In werkelijkheid zijn het echter downloadlinks voor ransomware. Mozilla, het bedrijf achter Thunderbird, is momenteel bezig om de websites die deze ransomware hosten offline te halen. Dit blijkt echter een lastige opgave te zijn aangezien de servers in Rusland staan, waar de aanpak van dergelijke activiteiten gecompliceerd is en vaak niet effectief blijkt te zijn. Als tijdelijke oplossing adviseren de ontwikkelaars om Thunderbird alleen te downloaden vanuit vertrouwde bronnen zoals Thunderbird.net of via de softwarewinkel van je eigen Linux-distributie. Ze geven ook instructies over hoe gebruikers hun Thunderbird-downloads kunnen verifiëren om zeker te zijn van de authenticiteit. Deze ontwikkelingen onderstrepen het belang van waakzaamheid bij het downloaden van software, zelfs als deze afkomstig lijkt van betrouwbare bronnen. Het is essentieel om altijd de bron van de software te controleren en extra stappen te nemen om de legitimiteit ervan te verifiëren. (bron, bron2)


BunnyLoader: Een veelzijdige Malware-as-a-Service opkomst in cybercriminele kringen

Beveiligingsonderzoekers hebben een nieuwe Malware-as-a-Service (MaaS) ontdekt genaamd 'BunnyLoader'. Deze malware wordt gepromoot op diverse hackersfora als een fileless loader die de inhoud van het systeemklembord kan stelen en vervangen. BunnyLoader is in snelle ontwikkeling en kent al meerdere versies sinds zijn eerste release op 4 september. Naast basisfuncties zoals het downloaden en uitvoeren van payloads en keylogging, heeft de malware ook de mogelijkheid om gevoelige data en cryptocurrency te stelen. Ook kan het op afstand commando's uitvoeren. De ontwikkelaars hebben verschillende anti-detectiemechanismen en extra informatie-diefstal functionaliteiten toegevoegd. Dit maakt het een aantrekkelijke optie voor cybercriminelen, mede doordat de malware tegen een lage prijs wordt aangeboden. Zscaler, een cloudbeveiligingsbedrijf, merkt op dat BunnyLoader snel populair wordt onder cybercriminelen. BunnyLoader beschikt over een commando- en controlepaneel dat zelfs laaggeschoolde cybercriminelen in staat stelt om een tweede fase payload in te stellen, keylogging en credential stealing mogelijk te maken, en commando's op geïnfecteerde apparaten uit te voeren. Na uitvoering op een gecompromitteerd apparaat maakt de malware een nieuwe waarde aan in het Windows-register voor persistentie en registreert het slachtoffer in het controlepaneel. Bovendien kan de malware detecteren of hij in een gesimuleerde omgeving draait en past daar zijn gedrag op aan. De gestolen data worden gecomprimeerd in een ZIP-archief voordat ze worden geëxtraheerd naar de C2-server van de dreigingsactor. Het feit dat BunnyLoader zowel payloads naar de schijf kan schrijven als ze vanuit het systeemgeheugen kan uitvoeren, maakt het een veelzijdige bedreiging. Met een lage prijs en snelle ontwikkelcyclus wordt BunnyLoader gezien als een lucratieve keuze voor cybercriminelen die op zoek zijn naar veelbelovende malwareprojecten. (bron)


Kritieke TeamCity Kwetsbaarheid Nu Misbruikt door Ransomwaregroepen

Ransomwarebendes richten zich nu op een recent gepatchte, kritieke kwetsbaarheid in JetBrains' TeamCity, een platform voor continue integratie en deployment. De kwetsbaarheid, aangeduid als CVE-2023-42793 en beoordeeld met een ernstscore van 9.8 op 10, stelt niet-geverifieerde aanvallers in staat om op afstand code uit te voeren (Remote Code Execution, RCE). Deze aanvallen zijn van lage complexiteit en vereisen geen interactie van de gebruiker. Het Zwitserse beveiligingsbedrijf Sonar ontdekte deze kwetsbaarheid en publiceerde technische details een week na het uitbrengen van de beveiligingsupdate TeamCity 2023.05.4 op 21 september door JetBrains. Deze kwetsbaarheid heeft alleen invloed op on-premises servers die draaien op Windows, Linux en macOS, of die in Docker zijn geïnstalleerd. Aanvallers kunnen hiermee niet alleen broncode stelen, maar ook toegang krijgen tot opgeslagen dienstgeheimen en privésleutels. Bovendien kunnen ze kwaadaardige code injecteren in het bouwproces van software, wat de integriteit van software releases en alle downstream gebruikers in gevaar brengt. Volgens onderzoekers van de non-profit internetbeveiligingsorganisatie Shadowserver Foundation zijn er 1240 ongepatchte TeamCity-servers die kwetsbaar zijn voor aanvallen. Kort na de publicatie van het Sonar-blogbericht begonnen meerdere aanvallers deze kritieke fout te misbruiken. Bedrijven in dreigingsinformatie zoals GreyNoise en PRODAFT melden dat meerdere ransomware-operaties deze exploit al hebben toegevoegd aan hun arsenaal. Aanvallen zijn waargenomen vanuit minstens 56 verschillende IP-adressen die zich richten op TeamCity-servers op het internet. Het is essentieel voor organisaties om hun servers zo snel mogelijk te patchen om het risico op compromittering te minimaliseren. (bron, bron2, bron3, bron4, bron5)


Cybercriminelen Actief Gericht op Kwetsbaarheden in Mali GPU-Driver, Waarschuwt Arm

Arm heeft een beveiligingsadvies uitgebracht waarin het bedrijf waarschuwt voor een actief geëxploiteerde kwetsbaarheid in de wijdverbreide Mali GPU-drivers. De kwetsbaarheid, geïdentificeerd als CVE-2023-4211, werd ontdekt en gemeld door onderzoekers van Google's Threat Analysis Group (TAG) en Project Zero. Hoewel de details niet publiekelijk beschikbaar zijn, wordt de beveiligingsfout beschreven als onjuiste toegang tot eerder vrijgegeven geheugen, wat kan leiden tot het compromitteren of manipuleren van gevoelige gegevens. Arm meldt dat een lokale, niet-bevoorrechte gebruiker de GPU-geheugenverwerking kan misbruiken om toegang te krijgen tot al vrijgegeven geheugen. Het bedrijf heeft ook bewijs gevonden dat de kwetsbaarheid mogelijk gericht wordt uitgebuit. Verschillende versies van de GPU-driver zijn getroffen, waaronder de Midgard, Bifrost, Valhall en Arm's 5e generatie GPU-architectuur kernel drivers. Deze drivers zijn te vinden in diverse populaire apparaten zoals de Samsung Galaxy S20, Xiaomi Redmi K30/K40 en OnePlus Nord 2. Arm heeft de kwetsbaarheid aangepakt voor de Bifrost, Valhall en 5e generatie GPU-architectuur met kernel driver versie r43p0, uitgebracht op 24 maart 2023. Midgard wordt niet meer ondersteund en zal waarschijnlijk geen patch ontvangen. De beschikbaarheid van een patch hangt af van de snelheid waarmee de apparaatmaker en de leverancier deze in een betrouwbare update kunnen integreren. Daarnaast heeft Arm nog twee andere kwetsbaarheden onthuld, CVE-2023-33200 en CVE-2023-34970, die ook misbruik maken van onjuiste toegang tot geheugen. Alle drie de kwetsbaarheden zijn uit te buiten door een aanvaller met lokale toegang tot het apparaat, wat meestal wordt bereikt door gebruikers te misleiden om applicaties te downloaden van niet-officiële bronnen. (bron)


Motel One Slachtoffer van Ransomware-aanval: Gegevens en Creditcardinformatie Gestolen

Motel One Group, een budgetvriendelijke hotelketen met locaties in meerdere Europese landen en de Verenigde Staten, is onlangs het doelwit geworden van een ransomware-aanval. Volgens een persbericht van het bedrijf zijn onbekende aanvallers erin geslaagd om het interne netwerk binnen te dringen met de intentie om ransomware te plaatsen. Hoewel het bedrijf stelt dat hun beveiligingsmaatregelen de impact tot een minimum hebben beperkt, is er enige klantinformatie buitgemaakt, waaronder details van 150 creditcards. De situatie is complexer gemaakt door tegenstrijdige beweringen van de ransomwaregroep BlackCat/ALPHV, die de verantwoordelijkheid voor de aanval heeft opgeëist. Volgens deze groep zijn er bijna 24,5 miljoen bestanden gestolen, met een totale grootte van 6 TB, waaronder zeer gevoelige bedrijfsdocumenten en klantinformatie zoals PDF- en RTF-boekingsbevestigingen van de afgelopen drie jaar. Het hotel heeft de getroffen klanten geïnformeerd en heeft ook onmiddellijk IT-experts ingeschakeld om het incident te onderzoeken en te herstellen. De relevante gegevensbeschermingsautoriteiten zijn eveneens op de hoogte gesteld. BlackCat/ALPHV heeft Motel One een ultimatum van vijf dagen gegeven om te onderhandelen over losgeld, met de dreiging dat anders alle gestolen gegevens openbaar gemaakt zullen worden. Het is op dit moment onduidelijk of het bedrijf van plan is in te gaan op de eisen van de aanvallers. (bron)


FBI Waarschuwt voor Toename van 'Fantoom Hacker*' Oplichting Gericht op Ouderen

De Amerikaanse federale onderzoeksdienst FBI heeft een openbare waarschuwing uitgegeven over een significante toename in het aantal 'fantoom hacker' oplichtingszaken die zich richten op ouderen. Volgens de FBI zijn deze scams een evolutie van algemene technische ondersteuningsfraude. De oplichters doen zich voor als vertegenwoordigers van banken, financiële instellingen of zelfs de overheid om het vertrouwen van hun slachtoffers te winnen. In deze geraffineerde oplichtingsmethode nemen meerdere fraudeurs contact op met hun slachtoffers en beweren dat hun bankrekeningen zijn gehackt. Vervolgens gebruiken ze verschillende tactieken om toegang te krijgen tot deze rekeningen en te beoordelen of er genoeg geld op staat om verdere acties te rechtvaardigen. Indien dit het geval is, wordt er een tweede contact opgenomen waarbij het slachtoffer wordt aangeraden zijn of haar geld over te maken naar een zogenaamd 'veilige' rekening, die in werkelijkheid onder controle staat van de oplichters. Mochten slachtoffers weerstand bieden, dan wordt er een derde poging ondernomen, ditmaal door iemand die zich voordoet als een vertegenwoordiger van de Amerikaanse overheid. Tussen januari en juni 2023 ontving de FBI’s Internet Crime Complaint Center (IC3) ongeveer 19.000 klachten gerelateerd aan technische ondersteuningsfraude, met een geschat verlies van meer dan $542 miljoen. Bijna de helft van de slachtoffers was ouder dan 60 jaar, en zij maakten 66% uit van de totale verliezen. De FBI adviseert mensen om voorzichtig te zijn met ongevraagde pop-ups, tekstberichten of e-mailbijlagen en om nooit controle over hun computer te geven aan onbekenden. De FBI benadrukt ook dat de Amerikaanse overheid nooit betaling zal eisen in de vorm van cryptocurrency, cadeaubonnen of internationale geldovermakingen. Slachtoffers worden aangemoedigd om incidenten te melden bij het IC3. (bron, bron2)

*Een “Fantoom Hacker” is geen officieel erkende term in de wereld van cybersecurity. Het kan echter verwijzen naar een hacker die zeer bedreven is in het onopgemerkt blijven, bijna als een “fantoom” of “spook”. Deze hackers kunnen geavanceerde technieken gebruiken om hun identiteit te verbergen, hun sporen te wissen en onopgemerkt te blijven terwijl ze hun activiteiten uitvoeren. Het is belangrijk op te merken dat hackers, ongeacht hun vaardigheidsniveau of de technieken die ze gebruiken, illegale activiteiten uitvoeren die ernstige gevolgen kunnen hebben voor de getroffen individuen of organisaties.


Cybercriminelen Exploiteren Kritiek Beveiligingslek in TeamCity Servers voor Ransomware-aanvallen

Een kritiek beveiligingslek in TeamCity-servers wordt actief misbruikt door cybercriminelen om ransomware-aanvallen uit te voeren. TeamCity, ontwikkeld door JetBrains, is een platform voor softwareontwikkeling met wereldwijd meer dan 30.000 klanten. Organisaties kunnen kiezen om TeamCity op hun eigen servers te hosten of gebruik te maken van cloud-gebaseerde oplossingen. De kwetsbaarheid, aangeduid als CVE-2023-42793, stelt een aanvaller in staat om zonder authenticatie op afstand willekeurige code uit te voeren op de server. De ernst van dit lek wordt beoordeeld met een 9,8 op een schaal van 1 tot 10, wat de urgentie van het probleem benadrukt. De update om dit lek te dichten is sinds 21 september beschikbaar, maar er zijn nog steeds minstens 1.300 kwetsbare servers actief op het internet, waarvan meer dan 60 in Nederland. Dit is gemeld door de Shadowserver Foundation. Securitybedrijf Sonar Source, die het lek ontdekte en rapporteerde aan JetBrains, heeft aangegeven dat de kwetsbaarheid waarschijnlijk actief zal worden misbruikt gezien de eenvoud van het uitbuiten van dit lek. Securitybedrijf Prodaft meldt dat diverse bekende ransomwaregroepen de CVE-2023-42793 kwetsbaarheid nu al actief in hun 'workflow' opnemen. Het is cruciaal dat organisaties direct handelen en hun TeamCity-servers patchen om verdere exploitatie en mogelijke ransomware-aanvallen te voorkomen. (bron)



Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Meer weekoverzichten

Mei 2024
April 2024