EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑

Cybercrimeinfo.nl (ccinfo.nl) is geen onderdeel van de Nederlandse Politie. Lees hier meer over wie wij zijn.

In de afgelopen week heeft de cyberwereld een ongekende golf van aanvallen en beveiligingsincidenten meegemaakt die de urgentie onderstrepen van verhoogde waakzaamheid en robuuste cyberbeveiliging. Van een Russische cyberaanval op Belgische websites als vergelding voor steun aan Oekraïne, tot een escalerende cyberoorlog tussen Israël en Hamas waarbij duizenden servers zijn overgenomen. De record DDoS-aanval via een zerodaylek in het HTTP/2-protocol benadrukt nogmaals de noodzaak voor verbeterde cyberbeveiliging.

Ook de luchtvaartsector is niet immuun, zoals blijkt uit een cyberaanval op de Spaanse luchtvaartmaatschappij Air Europa, die zwakke plekken in het betalingssysteem blootlegde. Ransomwaregroepen zoals ALPHV blijven gerechtshoven en groothandels aanvallen, terwijl cybercriminelen $3 miljoen aan AVAX Tokens wisten te ontvreemden van Stars Arena.

De dreiging strekt zich uit tot verschillende technologieën en platforms. Kwaadaardige Python-pakketten zijn ontdekt die gevoelige informatie op grote schaal stelen, en een groot aantal WordPress-sites is gecompromitteerd door een lek in de tagDiv-plug-in. Zelfs 404-pagina's van webwinkels zijn niet veilig; hackers hebben deze gemanipuleerd om creditcardgegevens te stelen.

Amnesty International waarschuwt voor gecoördineerde aanvallen met Predator-spyware op journalisten en politici, terwijl het Mirai-gebaseerde IZ1H9 botnet zijn aanvalsoppervlak vergroot met 13 nieuwe exploits gericht op routers. Een kritieke zerodaylek in Atlassian Confluence wordt actief misbruikt sinds september, met verdenkingen van betrokkenheid van een staatlijke actor.

In Nederland zijn er ook ontwikkelingen op het gebied van wettelijke meldplichten bij ransomware-aanvallen, wat de complexiteit en de ernst van de huidige cyberdreigingslandschap onderstreept.

Hieronder vindt u het volledige overzicht van de cyberaanvallen van de afgelopen week, inclusief gedetailleerde analyses en implicaties voor zowel bedrijven als individuen. Het is een wake-up call voor iedereen om hun cyberbeveiligingsmaatregelen te herzien en te versterken.

Week overzicht slachtoffers

Slachtoffers Belgie en Nederland

In samenwerking met StealthMol

Sponsor Cybercrimeinfo

Cyberaanvallen nieuws

Vrouwen Politieke Leiders Top Doelwit van Verfijnde RomCom Malware Aanval

De Women Political Leaders (WPL) Summit in Brussel, gericht op gendergelijkheid en vrouwen in de politiek, is onlangs het doelwit geworden van een cyberaanval. De aanval maakte gebruik van een geavanceerde versie van de RomCom-backdoor malware. De aanvallers, geïdentificeerd door Trend Micro als 'Void Rabisu', zetten een nepwebsite op die sterk leek op de officiële WPL-site om bezoekers te lokken. Deze valse site bevatte een link naar een OneDrive-map, zogenaamd met foto's en video's van het evenement. In werkelijkheid was dit een truc om een malware-downloader te activeren, vermomd als 'niet-gepubliceerde foto's'. Deze uitvoerbare bestanden waren ondertekend met een Elbor LLC-certificaat en bevatte een reeks van 56 foto's als afleiding, terwijl een tweede versleuteld bestand van een externe host werd gedownload. Dit bestand is een DLL die is ontworpen om onopgemerkt te blijven en extra componenten te downloaden voor communicatie met de server van de aanvaller. Trend Micro wijst erop dat de nieuwste RomCom-variant is gestript om lichter en moeilijker detecteerbaar te zijn. Deze versie gebruikt ook een nieuwe TLS-handhavingstechniek om de ontdekking van het Command & Control (C2) kanaal te bemoeilijken. Trend Micro waarschuwt dat het zeer waarschijnlijk is dat Void Rabisu toekomstige grote conferenties die verband houden met speciale interessegroepen zal blijven aanvallen. De aanval illustreert een verschuiving van opportunistische ransomware-aanvallen naar hoogwaardige cyber-espionage, inclusief het uitbuiten van zero-day kwetsbaarheden in Microsoft-producten. Gezien de complexiteit en de doelgerichtheid van de aanval, is extra waakzaamheid geboden bij het bezoeken van evenementsites. (bron)

Russische Hackers Mogelijk Verantwoordelijk voor $500 Miljoen FTX Crypto Hack

De rechtszaak tegen FTX-oprichter Sam Bankman-Fried (SBF) heeft nieuwe inzichten opgeleverd over de recente hack van de cryptocurrency-exchange. Eerder deden geruchten de ronde dat SBF zelf betrokken zou zijn bij de ontvreemding van fondsen, maar deze lijken ongegrond, aangezien hij zich ten tijde van de hack in een rechtszaal bevond. Uit nader onderzoek is gebleken dat de hackers mogelijk uit Rusland komen. De totale schade van de hack bedraagt bijna $500 miljoen, waarbij 9.500 Ethereum (ETH) zijn gestolen met een marktwaarde van bijna $14,7 miljoen. Blockchain-veiligheidsbedrijf Elliptic heeft aangetoond dat veel van de gestolen fondsen zijn samengevoegd met andere fondsen die gekoppeld zijn aan Russische criminele organisaties. Dit versterkt het idee dat Russische hackers achter de aanval zitten. De cybercriminelen hebben de sporen van de ontvreemde fondsen succesvol kunnen wissen door gebruik te maken van zogeheten 'Mixers'. Dit zijn diensten die cryptocurrencies vermengen om de oorsprong van de fondsen te verbergen. Specifiek werd gebruikgemaakt van ChipMixer, een illegale mixer die eerder door het Amerikaanse Justice Department is opgerold. Hierdoor werden de fondsen moeilijker te traceren. Opmerkelijk is dat Elliptic geen reden heeft gevonden om de beruchte Noord-Koreaanse Lazarus Groep als verdachte aan te merken, ondanks dat dit hackerscollectief onlangs zijn technieken heeft vernieuwd. Hiermee blijft de focus op mogelijke Russische betrokkenheid bij de FTX hack. (bron)

Verspreiding van DarkGate Malware via Gecompromitteerde Skype-accounts Neemt Toe

Tussen juli en september hebben aanvallen met DarkGate malware gebruik gemaakt van gecompromitteerde Skype-accounts om doelwitten te infecteren. De aanvallers sturen berichten met bijlagen die een VBA (Visual Basic for Applications) loader script bevatten. Volgens onderzoekers van Trend Micro downloadt dit script een tweede AutoIT script dat de uiteindelijke DarkGate malware payload uitvoert. De toegang tot het Skype-account van het slachtoffer stelt de aanvaller in staat om bestaande berichtendraden te kapen en de bestandsnamen aan te passen aan de context van de chatgeschiedenis. Het is nog onduidelijk hoe de Skype-accounts oorspronkelijk zijn gecompromitteerd, maar het wordt vermoed dat dit ofwel gebeurt via uitgelekte inloggegevens op ondergrondse forums of een eerdere compromittering van de moederorganisatie. Daarnaast hebben de operators van DarkGate geprobeerd hun malware ook via Microsoft Teams te verspreiden in organisaties waar berichten van externe gebruikers zijn toegestaan. Er zijn eerdere phishing-campagnes opgemerkt die gebruik maken van kwaadaardige VBScript om DarkGate malware via Teams te verspreiden. Het uiteindelijke doel van deze aanvallen varieert afhankelijk van de dreigingsgroep die de DarkGate-variant gebruikt. De dreigingen kunnen variëren van ransomware tot cryptomining. Trend Micro meldt dat ze DarkGate activiteiten hebben waargenomen die veelal geassocieerd zijn met de Black Basta ransomwaregroep. Deze recente toename van DarkGate-activiteit benadrukt de groeiende invloed van deze malware-as-a-service (MaaS) operatie binnen de cybercriminele sfeer. Het laat ook zien hoe vastberaden de dreigingsactoren zijn om hun aanvallen voort te zetten, ondanks verstoringen en uitdagingen. (bron, bron2, bron3, bron4, bron5, bron6, bron7)

Cybercriminelen Actief Aanvallen: 200.000 WordPress-sites Kwetsbaar Door Ernstig Lek in Royal Elementor Addon

Beheerders van meer dan 200.000 WordPress-websites zijn op de hoogte gebracht van een ernstige kwetsbaarheid in de Royal Elementor Addons and Templates plug-in. Deze waarschuwing volgt op actieve aanvallen die al sinds augustus gaande zijn, volgens beveiligingsbedrijf Wordfence. De specifieke kwetsbaarheid, aangeduid als CVE-2023-5360, stelt niet-geauthenticeerde aanvallers in staat om kwaadaardige PHP-bestanden, zoals backdoors, te uploaden. De ernst van deze kwetsbaarheid is met een 9.8 beoordeeld op een schaal van 1 tot 10. Elementor is een populaire "page builder" plug-in die de standaard WordPress-editor vervangt en extra functionaliteiten toevoegt. Royal Elementor is een aanvullende plug-in voor Elementor en is geïnstalleerd op een aanzienlijk aantal WordPress-sites. Wordfence heeft bewijs dat er eind juli al aan een exploit werd gewerkt en de eerste aanvallen vonden plaats in augustus. Op 3 oktober was er een piek in het aantal aanvallen. Hoewel de ontwikkelaars op 6 oktober een beveiligingsupdate (versie 1.3.79) hebben uitgebracht om het lek te dichten, heeft nog niet de helft van de getroffen websites deze geïnstalleerd. WordPress-beheerders die de patch nog niet hebben toegepast, worden dringend verzocht om de update zo snel mogelijk te installeren om verdere exploitatie te voorkomen. (bron, bron2)

Kwik Trip Getroffen door Verstorende 'Netwerkincident' Vermoedelijk een Ransomware-aanval

De Amerikaanse keten Kwik Trip, met meer dan 800 gemakswinkels en tankstations in verschillende staten, heeft te kampen gehad met een reeks mysterieuze bedrijfsstoringen die wijzen op een ransomware-aanval. Het bedrijf, dat ook opereert onder de naam Kwik Star, heeft meer dan 35.000 werknemers. Sinds afgelopen weekend zijn er veel IT-systemen uitgevallen, en de bedrijfsleiding heeft geen duidelijke reden gegeven voor deze verstoringen. Werknemers melden dat ze geen nieuwe orders kunnen ontvangen, geen betalingen kunnen accepteren via het Kwik Reward-systeem, en geen toegang hebben tot de ondersteuningssystemen van het bedrijf. Dit heeft ook invloed gehad op de e-mail- en telefoonsystemen van de bedrijfskantoren van Kwik Trip. Klanten zijn in toenemende mate gefrustreerd omdat ze hun opgespaarde beloningen niet kunnen gebruiken om brandstof of boodschappen te kopen. BleepingComputer, die contact opnam met Kwik Trip na berichten van meerdere werknemers over een mogelijk cyberaanval, meldt dat het bedrijf het incident als een 'netwerkincident' heeft bevestigd. Echter, het bedrijf heeft niet gereageerd op e-mails of een verklaring afgegeven die de aanwijzingen voor een veiligheidsincident tegenspreekt. De timing en aard van de IT-storingen lijken sterk te wijzen op een ransomware-aanval, een soort cyberaanval die de afgelopen jaren steeds meer voorkomt en zeer lucratief is voor cybercriminelen. Deze aanval komt op een moment dat bedrijven en overheden worstelen met het voorkomen van dit soort incidenten, die vaak optreden tijdens het weekend wanneer er minder IT-personeel aanwezig is om verdachte activiteiten te monitoren. Het incident benadrukt het groeiende probleem van cybercriminaliteit en de urgentie voor bedrijven om hun cybersecuritymaatregelen te versterken.

Misbruik van Binance Smart Chain voor het Verbergen van Kwaadaardige Scripts: De 'EtherHiding'-Techniek

Cybercriminelen hebben een nieuwe methode ontwikkeld voor het distribueren van kwaadaardige code, bekend als 'EtherHiding'. Deze techniek maakt misbruik van slimme contracten op de Binance Smart Chain (BSC) om schadelijke scripts te verbergen in de blockchain. Voordat ze deze methode adopteerden, gebruikten de dreigingsactoren gecompromitteerde WordPress-sites die omleidden naar Cloudflare Worker-hosts om schadelijke JavaScript-code in gehackte websites te injecteren. Onderzoekers van Guardio Labs hebben deze nieuwe campagne ontdekt. Ze leggen uit dat de aanvallers gerichte WordPress-sites of gecompromitteerde admin-gegevens misbruiken om twee scripttags in webpagina's te injecteren. Deze scripts laden de BSC JavaScript-bibliotheek en halen schadelijke scripts uit de blockchain die vervolgens op de website worden geïnjecteerd. Eenmaal geladen, toont het script een nep-update-overlay voor browsers als Google Chrome, Microsoft Edge en Mozilla Firefox. Wanneer een gebruiker op de update-knop klikt, wordt een kwaadaardig uitvoerbaar bestand gedownload van Dropbox of andere legitieme hosting-sites. Deze aanvalsmethode is bijzonder hardnekkig omdat code die in de blockchain is opgeslagen, niet kan worden verwijderd. Dit maakt het voor de aanvallers gemakkelijker om hun activiteiten voort te zetten, zelfs als hun domeinen worden gemarkeerd als schadelijk. Verder zijn er geen kosten verbonden aan het wijzigen van de code in de blockchain, waardoor cybercriminelen het systeem naar believen kunnen misbruiken. Het enige mogelijke tegenmiddel op dit moment is het versterken van WordPress-beveiliging door sterke, unieke admin-wachtwoorden te gebruiken, plugins up-to-date te houden en ongebruikte add-ons en accounts te verwijderen. (bron)

Omvangrijk Datalek bij Vastgoedtak BNP Paribas in Nederland Vormt Groot Risico voor Klantgegevens en Bedrijfsgeheimen

BNP Paribas Real Estate Netherlands is slachtoffer geworden van een aanzienlijk datalek. Een zelfbenoemde klokkenluider heeft grote hoeveelheden vertrouwelijke en privacygevoelige persoonsgegevens en bedrijfsgeheimen openbaar gemaakt. Dit incident is gemeld bij de Autoriteit Persoonsgegevens en er is een intern onderzoek ingesteld. De klokkenluider had dit lek al in 2021 gemeld aan het hoofdkantoor van BNP Paribas in Parijs, wat tot het vertrek van drie directeuren leidde. Het datalek blijkt omvangrijker te zijn dan aanvankelijk gedacht en omvat gegevens van honderden bedrijven en vastgoedbeleggers. Bekende namen zoals supermarktketen Ahold Delhaize en private equity firma Lone Star zijn ook getroffen. Het lek bevat een scala aan gevoelige informatie, waaronder details over huurcontracten, makelaarsvergoedingen, en geheimhoudingsverklaringen. Ook persoonlijke gegevens zoals bankrekeningnummers, burgerservicenummers (BSN), paspoortkopieën, en vertrouwelijke correspondentie zijn gelekt. Volgens een externe woordvoerder van BNP Paribas zijn klanten deze week geïnformeerd over het incident. De bank benadrukte ook het belang van strikte naleving van externe en interne klokkenluidersregelgeving. Het is nog onbekend of er aangifte is gedaan bij de politie. Privacyexpert Vincent Böhre van Privacy First noemt het lek 'ernstig en grootschalig'. Hij beklemtoont dat organisaties zoals BNP Paribas de morele en maatschappelijke plicht hebben om dit soort incidenten grondig te onderzoeken. (bron)

Amerikaanse Overheid Publiceert Lijst om Organisaties te Beschermen tegen Cybercriminelen Gespecialiseerd in Ransomware

De Amerikaanse overheid, onder leiding van het Cybersecurity and Infrastructure Security Agency (CISA), heeft een omvangrijke lijst uitgebracht van kwetsbaarheden en misconfiguraties die actief worden uitgebuit door cybercriminelen voor het verspreiden van ransomware. Deze lijst heeft als doel organisaties te assisteren bij het identificeren en prioriteren van beveiligingsupdates die dringend geïnstalleerd moeten worden. Sinds 2021 houdt CISA een database bij van actief aangevallen kwetsbaarheden en deze is nu verrijkt met een sectie specifiek toegespitst op ransomware: 'Known to be Used in Ransomware Campaigns'. Naast deze lijst van kwetsbaarheden heeft CISA ook een overzicht samengesteld van misconfiguraties die vaak misbruikt worden door criminelen achter ransomware-aanvallen. Op dit moment bestaat dit overzicht uit vijf kritieke items: Remote Desktop Protocol (RDP), File Transfer Protocol (FTP), Telnet, Server Message Block (SMB) en Virtual Network Computing (VNC). Het advies luidt onder meer om FTP niet te gebruiken, en om RDP- en VNC-verkeer via een VPN te routeren. Tevens wordt aanbevolen om voor RDP gebruik te maken van multifactorauthenticatie. Deze initiatieven van de Amerikaanse overheid dienen niet alleen als leidraad voor organisaties, maar worden ook gebruikt om federale instanties te verplichten om bepaalde beveiligingspatches voor een gestelde deadline te installeren. Met deze gecoördineerde aanpak hoopt de overheid het groeiende probleem van ransomware effectief te bestrijden en organisaties te wapenen tegen toekomstige aanvallen. (bron, bron2, bron3)

Client-side Scanning in Chatapps: Een Risico voor Gebruikers en Een Feest voor Cybercriminelen

Het implementeren van client-side scanning in chatapplicaties als Signal en WhatsApp kan onbedoelde en ernstige gevolgen hebben voor de privacy en veiligheid van gebruikers. Dit was de kernboodschap van beveiligingsexpert Bert Hubert in een recent rondetafelgesprek in de Tweede Kamer. De Europese Commissie overweegt het invoeren van deze technologie om chatberichten te monitoren op misbruikmateriaal en grooming. Echter, volgens experts, brengt deze aanpak niet alleen ethische vraagstukken met zich mee, maar ook significante beveiligingsrisico's. Eén van de voornaamste zorgen is dat client-side scanning de end-to-end encryptie ondermijnt en daarmee een vorm van massasurveillance wordt. Daarnaast waarschuwt Hubert voor de technische kwetsbaarheden die de scanner introduceert. Deze scanners moeten allerlei bestandsformaten kunnen analyseren, wat hen vatbaar maakt voor aanvallen. Een kwaadwillende kan bijvoorbeeld een geprepareerde afbeelding versturen om smartphones op afstand over te nemen. Verder stelt Hubert dat chatapplicaties kwetsbaarheden meestal snel kunnen patchen via updates, maar dat de EU-scanner naar alle waarschijnlijkheid minder snel zal worden bijgewerkt. Dit maakt de technologie bijzonder aantrekkelijk voor statelijke actoren en cybercriminelen. Afpersing via gecompromitteerde chat-accounts vormt een ander dreigend scenario. Ook false positives, waarbij onschuldige content als misbruikmateriaal wordt geïdentificeerd, kunnen ernstige consequenties hebben voor de betrokkenen. Client-side scanning lijkt dus meer problemen te creëren dan het oplost, en zou wel eens een gevaarlijke wending kunnen zijn in de strijd tegen cybercriminaliteit en online misbruik. (bron, bron2)

Grootschalige Aanvalscampagne Zet Routers Om in Zombies voor DDoS-aanvallen

Onderzoekers van Fortinet hebben ontdekt dat er een grootschalige aanvalscampagne aan de gang is die routers in zogenaamde "bots" verandert om DDoS-aanvallen uit te voeren. Het doelwit zijn voornamelijk apparaten van D-Link en TP-Link, maar ook andere merken zoals Netis, Sunhillo en Zyxel zijn getroffen. De aanvallers gebruiken een variant van Mirai, een oudere soort malware, om Linux-netwerkapparaten te infecteren. Deze variant, genaamd IZ1H9, is uitgerust met dertien nieuwe payloads die zijn aangepast om specifieke apparaten te kunnen aanvallen. Eenmaal geïnfecteerd worden deze routers onderdeel van een botnet, wat de aanvallers de mogelijkheid geeft om verdere aanvallen uit te voeren, zoals DDoS- en brute-force aanvallen. Telemetriegegevens tonen aan dat vele duizenden routers getroffen zijn door niet-geauthenticeerde commando-injecties. De piek in exploitatie vond plaats op 6 september, waarbij de trigger-tellingen volgens Fortinet’s IPS-handtekeningen varieerden van enkele duizenden tot tienduizenden. De impact van deze campagne wordt versterkt door het snelle gebruik van nieuwe kwetsbaarheden. D-Link-apparaten zijn het zwaarst getroffen, met vier nieuwe kritieke kwetsbaarheden waardoor aanvallers commando-injecties kunnen uitvoeren. Na het injecteren van de payload begint deze met het verwijderen van logs om zijn activiteiten te verbergen, waarna diverse botclients worden gedownload en uitgevoerd. Ondanks dat er patches beschikbaar zijn, blijft het aantal geëxploiteerde apparaten alarmerend hoog. Fortinet adviseert gebruikers daarom dringend om patches tijdig toe te passen en de standaard inloggegevens te wijzigen om deze dreiging tegen te gaan. (bron)

Cyberaanval treft Duitse Gemeente Grasellenbach: E-mailaccounts van Burgemeester en Secretaresse Gecompromitteerd

De gemeente Grasellenbach in Duitsland is onlangs het doelwit geworden van een cyberaanval. De e-mailaccounts van de burgemeester Markus Röth en zijn secretaresse zijn hierbij specifiek getroffen. Ondanks digitale beveiligingsmaatregelen zoals firewalls en virusscanners, kon de aanval niet worden afgewend. Volgens Röth zijn gelukkig alleen zijn computer en die van zijn secretaresse aangetast. De aanval werd bekend toen andere overheidsorganisaties contact opnamen om te melden dat ze gehackte e-mails van de gemeente hadden ontvangen. De gemeente heeft direct de IT-dienstverlener e-com en de regionale privacytoezichthouder op de hoogte gesteld. Alle computers in het stadhuis werden uit voorzorg uitgeschakeld. Uit onderzoek bleek dat de aanvallers toegang hadden verkregen tot de twee getroffen e-mailaccounts en schadelijke PDF-bestanden of links hadden verstuurd naar derden. Als reactie heeft de IT-dienstverlener alle e-mailaccounts binnen de gemeente doorgelicht en alle wachtwoorden gereset. Ook zijn alle betrokken partners en mogelijke slachtoffers per brief gewaarschuwd voor het openen van schadelijke bestanden en links. Röth maakt duidelijk dat ondanks deze acties niet kan worden uitgesloten dat e-mails, inclusief persoonlijke data, zijn gelekt. De burgemeester benadrukt dat zij alles in het werk stellen om de schade te beperken en de daders op te sporen. Ondanks de aanval kon de lokale verkiezing zonder problemen doorgaan. Hoewel de situatie ernstig is, zorgt het voorlopig niet voor een algehele ontwrichting van de gemeentelijke dienstverlening. Wel vreest Röth dat de werkzaamheden van hem en zijn secretaresse de komende dagen flink beïnvloed zullen worden. (bron)

Datalek bij University Federal Credit Union Treft 100.000 Klanten door MOVEit Software Hack

De University Federal Credit Union (UFCU) heeft bevestigd dat het slachtoffer is geworden van een datalek dat gerelateerd is aan de hack van de derde partij MOVEit software. Dit datalek voegt UFCU toe aan de groeiende lijst van organisaties die zijn getroffen door de cyberaanval uitgevoerd door de in Rusland gevestigde ransomware groep Cl0p. UFCU heeft aangegeven dat het na een vier maanden durend onderzoek heeft vastgesteld dat er daadwerkelijk een datalek heeft plaatsgevonden. De organisatie was oorspronkelijk getipt door MOVEit tijdens de initiële aanval van Cl0p in mei. Na de melding van het datalek aan de openbaar aanklager in Maine, die strikte meldingsvereisten oplegt bij datalekken, werd onthuld dat het lek mogelijk de financiële rekening- en creditcardgegevens van 102.650 mensen heeft blootgesteld. Ondanks de ernst van het lek stelt UFCU dat er "geen bewijs is dat enige van uw informatie is gebruikt om financiële fraude te plegen". Toch wordt algemeen erkend dat dergelijke data gebruikt kan en zal worden om online misdrijven met betrekking tot fraude en identiteitsdiefstal te plegen. UFCU heeft zijn getroffen klanten een jaar gratis identiteitsdiefstal beschermingsdiensten aangeboden en roept hen op waakzaam te blijven voor mogelijke toekomstige aanvallen die de blootgestelde data kunnen benutten. Met dit incident wordt opnieuw het belang onderstreept van het actief monitoren van financiële rekeningoverzichten en creditrapporten om verdachte of onregelmatige activiteiten tijdig op te sporen. (bron)

Ongepatchte WS_FTP Servers Nu Doelwit van Ransomware-aanvallen

Ransomware-aanvallers hebben hun focus verlegd naar internetgekoppelde WS_FTP servers die niet zijn bijgewerkt tegen een kritieke kwetsbaarheid. Zoals recentelijk opgemerkt door Sophos X-Ops incidentresponders, probeerde de Reichsadler Cybercrime Group, zonder succes, ransomware payloads te implementeren met behulp van een in september 2022 gestolen LockBit 3.0 builder. Ondanks dat Progress Software in september 2023 een oplossing voor deze kwetsbaarheid heeft uitgebracht, zijn nog niet alle servers bijgewerkt. De aanvallers probeerden extra rechten te verkrijgen via het open-source GodPotato-hulpmiddel. Dit maakt het mogelijk om privilege-escalatie uit te voeren naar 'NT AUTHORITY\SYSTEM' op zowel Windows-client- als serverplatforms. Gelukkig werd hun poging om de ransomware payloads op de systemen van het slachtoffer te implementeren, verijdeld. Opmerkelijk genoeg eisten de dreigingsactoren alsnog een losgeld van $500, te betalen vóór 15 oktober, Moskou Standaardtijd. Deze relatief lage losgeldeis suggereert dat er mogelijk sprake is van grootschalige geautomatiseerde aanvallen of een onervaren ransomware-operatie. De kwetsbaarheid, getraceerd als CVE-2023-40044, wordt veroorzaakt door een .NET deserialisatie-probleem. Beveiligingsonderzoekers van Assetnote schatten dat ongeveer 2.9k hosts op het internet deze WS_FTP-software draaien, en deze zijn voornamelijk in beheer bij grote ondernemingen, overheden en onderwijsinstellingen. Als tijdelijke maatregel kunnen organisaties inkomende aanvallen blokkeren door de kwetsbare WS_FTP Server Ad Hoc Transfer Module uit te schakelen. Deze aanvallen komen na een reeks data-diefstalaanvallen eerder dit jaar, waarbij meer dan 2.500 organisaties en 64 miljoen individuen werden getroffen. Progress Software is momenteel bezig met het afhandelen van de nasleep. (bon, bron2)

Kwaadaardige Solana en Kucoin Pakketten Infecteren NuGet Ontwikkelaars met SeroXen RAT

Kwaadaardige softwarepakketten die zich voordoen als legitieme cryptocurrency wallets en beurzen zijn ontdekt op NuGet, een open-source pakketbeheersysteem gebruikt door ontwikkelaars. Deze pakketten zijn geüpload door een gebruiker genaamd 'Disti' en bevatten het SeroXen remote access trojan (RAT), een hulpmiddel dat op afstand toegang verschaft tot besmette systemen. Onderzoekers van Phylum hebben de bedreiging aan het licht gebracht. De zes geïnfecteerde pakketten, met namen als Kraken.Exchange, KucoinExchange.Net, en SolanaWallet, vertonen opgeblazen downloadaantallen, vermoedelijk om hun geloofwaardigheid te vergroten. Deze aantallen, die in de miljoenen lopen, worden waarschijnlijk kunstmatig verhoogd door geautomatiseerde scripts of botnets. De pakketten bevatten twee PowerShell-scripts die tijdens de installatie op de computer van het slachtoffer worden uitgevoerd. Deze scripts downloaden en voeren een bestand uit dat een verdere PowerShell-script opbouwt en uitvoert. Uiteindelijk wordt de SeroXen RAT geladen op het systeem van het slachtoffer. De SeroXen RAT is een feature-rijke trojan die wordt vermarkt als een legitiem programma voor $15/maand of een eenmalige "levenslange" aankoop van $60. De trojan is in populariteit aan het toenemen onder cybercriminelen vanwege de lage detectiepercentages en krachtige mogelijkheden. Het is belangrijk voor ontwikkelaars om waakzaam te zijn en alleen vertrouwde pakketten van bekende bronnen te gebruiken om de risico's van infectie te minimaliseren. (bron)

Russische Cyberaanval Viseert Belgische Websites als Vergelding voor Steun aan Oekraïne

Donderdagnamiddag hebben verschillende belangrijke Belgische websites te maken gehad met een cyberaanval. De websites van onder andere het Koninklijk Paleis, premier De Croo en de Belgische Senaat waren hierdoor onbereikbaar. De aanval wordt toegeschreven aan Russische hackers, die volgens een boodschap op de getroffen websites, wraak nemen voor de steun die België heeft beloofd aan Oekraïne. Deze steun omvat onder meer een financiële bijdrage van 1,7 miljard euro en de belofte om F-16's te leveren in 2025. De boodschap van de hackers, die zichzelf NoName057 noemen, was duidelijk. Ze beweren naar België te zijn gekomen om "Rusland-hatende sites te vernietigen". De aankondiging dat België aanzienlijke steun zou verlenen aan wat de hackers "Oekraïense neonazi’s" noemen, was voor hen de aanleiding om tot deze vergeldingsactie over te gaan. De cyberaanvallen beperkten zich niet alleen tot Belgische instellingen. Eerder op de dag waren er ook aanvallen op Duitse en Roemeense websites. Op het moment van schrijven was de website van de Belgische Senaat nog steeds niet bereikbaar. Het is een zorgwekkende ontwikkeling die de kwetsbaarheid van digitale infrastructuur onderstreept, niet alleen in België maar ook in andere Europese landen. De aanval komt op een moment dat geopolitieke spanningen hoog oplopen, met onder meer de situatie in Oekraïne die aanleiding geeft tot internationale bezorgdheid. Het zet tevens vraagtekens bij de cyberveiligheid van overheidswebsites en roept op tot verhoogde waakzaamheid en beveiliging.

ToddyCat Hackers Richten Zich op Aziatische Telecoms met Wegwerp-Malware

Een recent ontdekte cyberaanvalsoperatie, genaamd "Stayin' Alive", heeft sinds 2021 overheidorganisaties en telecomproviders in Azië onder vuur genomen. Volgens cybersecuritybedrijf Check Point zijn de meeste doelen van deze campagne gevestigd in Kazachstan, Oezbekistan, Pakistan en Vietnam. De operatie is naar verluidt nog steeds gaande en wordt toegeschreven aan de Chinese spionagegroep bekend als 'ToddyCat'. Deze groep gebruikt speervis-mails met schadelijke bijlagen om een reeks malware-loaders en achterdeuren te installeren. Wat deze aanvalsoperatie onderscheidt, is het gebruik van verschillende soorten 'wegwerp'-malware, ontworpen om detectie te ontlopen en aanvallen van elkaar los te koppelen. De aanval begint met een specifiek op individuen gerichte speervis-mail die hen aanmoedigt een bijgevoegd ZIP-bestand te openen. Dit bestand bevat een uitvoerbaar bestand en een kwaadaardige DLL die een kwetsbaarheid in Audinate's Dante Discovery-software exploiteert om de "CurKeep" malware op het systeem te installeren. CurKeep is een achterdeur van slechts 10 kb die aanhoudend aanwezig blijft op het gecompromitteerde apparaat en systeeminformatie naar een command-and-control (C2) server stuurt. Daarnaast heeft de campagne verschillende andere tools ingezet, zoals CurLu, CurCore, en CurLog loaders, elk met unieke functionaliteiten en infectiemechanismen. Een andere opmerkelijke achterdeur is 'StylerServ', die passief netwerkverkeer monitort op vijf poorten. Volgens het rapport zijn deze tools hoogstwaarschijnlijk onderdeel van een breder scala aan nog niet ontdekte tools en aanvalsmethoden. Ze zijn op maat gemaakt en gemakkelijk vervangbaar, maar ze maken allemaal verbinding met dezelfde infrastructuur, eerder gekoppeld aan ToddyCat door Kaspersky. (bron)

Datalek bij Shadow PC: Hacker biedt Gegevens van Meer dan 500.000 Klanten Te Koop Aan

Shadow PC, een aanbieder van high-end cloudcomputingdiensten, heeft haar klanten gewaarschuwd voor een datalek waarbij persoonlijke informatie is blootgesteld. De aanval werd uitgevoerd via sociale manipulatie (social engineering) gericht op een van de medewerkers van het bedrijf. De aanval begon op het Discord-platform, waar de medewerker werd verleid om malware te downloaden via een spel op het Steam-platform. Deze malware was een zogenaamde 'info-stealer' en maakte het mogelijk voor de aanvaller om een authenticatiecookie te stelen. Met deze cookie kon de hacker toegang krijgen tot de beheerinterface van een van Shadow's SaaS-providers. De aanvaller heeft hiermee volledige namen, e-mailadressen, geboortedata, factuuradressen en vervaldatums van creditcards van klanten onttrokken. Belangrijk is dat er geen wachtwoorden of andere gevoelige betaal-/bankgegevens zijn gelekt. Het bedrijf heeft maatregelen genomen om herhaling te voorkomen, zoals het intrekken van de gestolen authenticatiecookie en het blokkeren van de toegang van de hacker tot hun systemen. Bovendien heeft het bedrijf extra beveiligingslagen toegevoegd en klanten geadviseerd om waakzaam te zijn voor phishing en scam-pogingen en om multi-factor-authenticatie (MFA) te activeren op al hun accounts. Ondanks deze maatregelen heeft een dreigingsactor beweerd verantwoordelijk te zijn voor het lek en biedt de gestolen database aan op een bekend hackersforum. Er zijn ook IP-verbindingenlogs gestolen tijdens de inbreuk, wat extra risico's met zich meebrengt. Er zijn echter nog geen officiële verklaringen over het incident gepubliceerd op de website of sociale media kanalen van het bedrijf. (bron, bron2)

Steam Voert Verplichte 2FA in voor Ontwikkelaars na Aanvallen door Cybercriminelen

Het bekende gamingplatform Steam heeft aangekondigd vanaf 24 oktober tweefactorauthenticatie (2FA) te verplichten voor ontwikkelaars die game-updates willen publiceren. Deze beslissing komt als reactie op recente incidenten waarbij accounts van meerdere ontwikkelaars werden overgenomen om malware te verspreiden. Volgens Valve, het bedrijf achter Steam, waren er minder dan honderd gebruikers die de getroffen spellen hadden geïnstalleerd toen de malware werd toegevoegd; deze gebruikers zijn allemaal ingelicht. De nieuwe beveiligingsmaatregel houdt in dat ontwikkelaars een telefoonnummer aan hun Steam-account moeten toevoegen. Bij het uitrollen van een update moeten zij een code invoeren die zij via sms ontvangen. Valve heeft ook aangegeven dat deze 2FA-verplichting in de toekomst zal worden uitgebreid naar andere 'backend actions', aldus het medium PC Gamer. Valve benadrukt dat deze maatregel is genomen om zowel de Steam-gebruikers als de ontwikkelaars te beschermen. Naast het recente incident zijn er ook andere geavanceerde aanvallen op ontwikkelaarsaccounts gesignaleerd, hoewel Valve niet specificeert wat deze aanvallen zo geraffineerd maakt. Het invoeren van 2FA wordt gezien als een belangrijke stap in het tegengaan van dit soort beveiligingsincidenten en het verhogen van de algehele veiligheid van het platform. (bron, bron2)

SEC onderzoekt grootschalige zeroday-aanval door cybercriminelen via MOVEit Transfer

De Amerikaanse Securities and Exchange Commission (SEC), de beurswaakhond van de Verenigde Staten, heeft een onderzoek ingesteld naar een grootschalige zeroday-aanval uitgevoerd via MOVEit Transfer. Deze applicatie wordt veel gebruikt voor het delen van bestanden en vertrouwelijke informatie binnen organisaties. De aanval is bekendgemaakt door softwareleverancier Progress Software en heeft meer dan 2500 organisaties getroffen. Bijna 65 miljoen individuen zijn het slachtoffer geworden van datadiefstal, volgens antivirusbedrijf Emsisoft. De aanval werd eind mei uitgevoerd en werd toegeschreven aan de cybercriminelen achter de Clop-ransomware. Zij wisten toegang te verkrijgen tot de MOVEit-servers van duizenden organisaties en stalen daarbij een breed scala aan gegevens. De Clop-groep heeft de namen van de getroffen organisaties gepubliceerd op hun website en dreigt de gestolen data te openbaren als het gevraagde losgeld niet wordt betaald. Tot nu toe hebben 23 klanten van Progress Software gemeld dat ze getroffen zijn door deze aanval. Een aantal van deze klanten eist een schadevergoeding. Progress Software is ook onderdeel van 58 massaclaims ingediend door individuen wiens gegevens zijn gestolen. Eerder deze maand ontving Progress Software een dagvaarding van de SEC om documentatie en andere informatie met betrekking tot de MOVEit-kwetsbaarheid te overhandigen. Volgens Progress Software is dit een feitenonderzoek en betekent dit niet noodzakelijk dat het bedrijf Amerikaanse wetgeving heeft overtreden. De zaak laat zien hoe ernstig de impact van een zeroday-aanval kan zijn, niet alleen voor individuen maar ook voor bedrijven en regelgevende instanties. Het onderzoek van de SEC is nog gaande. (bron)

Nieuwe WordPress-malware creëert valse beheerder voor website-overname

Een recent ontdekte malware richt zich op WordPress-sites en doet zich voor als een legitieme caching-plug-in. Deze malware stelt cybercriminelen in staat om een beheerdersaccount aan te maken en zo de controle over de website te verkrijgen. Onderzoekers van Defiant, de makers van de beveiligingsplug-in Wordfence, hebben de malware in juli geïdentificeerd tijdens het opschonen van een gecompromitteerde website. De malware fungeert als een backdoor en biedt een scala aan functies, zoals het beheren van plug-ins, verbergen in de lijst van actieve plug-ins en het omleiden van gebruikers naar kwaadaardige locaties. De code bevat een 'professioneel ogende openingsopmerking' om handmatige inspecties te omzeilen. Eenmaal geïnstalleerd, kan de malware een gebruiker met de naam 'superadmin' en met beheerdersrechten aanmaken en verwijderen om sporen te wissen. Andere functies omvatten het detecteren van bots en het serveren van spam, het wijzigen van websitecontent en het activeren of deactiveren van willekeurige WordPress-plug-ins. De malware kan zelfs zijn sporen uit de database van de site verwijderen, waardoor de activiteit verborgen blijft. Defiant heeft een detectiesignatuur vrijgegeven en beveelt website-eigenaren aan om sterke en unieke inloggegevens te gebruiken en plug-ins up-to-date te houden. Het aantal getroffen websites en de oorspronkelijke toegangsweg zijn nog onbekend. De malware vormt een ernstige bedreiging voor de SEO-rankings van de website en de privacy van de gebruikers. (bron)

Malwarebesmetting treft meer dan 200 modellen van Android TV-boxen

Recent onderzoek van het Amerikaanse cybersecurity-bedrijf HUMAN Security heeft uitgewezen dat meer dan 200 verschillende modellen van Android TV-boxen besmet zijn met gevaarlijke malware. Dit is niet de eerste keer; eerder dit jaar werd ontdekt dat het model T95 reeds uit de doos met malware kwam. De malware in kwestie is de beruchte Triada-malware, die al sinds 2016 bestaat en gebruikt wordt voor onder meer advertentiefraude en datadiefstal op populaire apps zoals WhatsApp, Facebook en Gmail. Een Android TV-box is een betaalbare optie om je televisie te veranderen in een smart-tv door hem via HDMI aan te sluiten. Met prijzen die soms beginnen bij slechts 25 euro, zijn deze apparaten erg populair. Echter, de geïnfecteerde boxen fungeren als een 'Zwitsers zakmes voor het doen van slechte dingen op het internet', aldus Gavin Reid, de CISO bij HUMAN Security. Triada-malware opent als het ware een achterdeur in je apparaat, waardoor criminelen volledige toegang en controle kunnen krijgen zonder dat de gebruiker hier iets van merkt. Bovendien is uit het rapport gebleken dat ook minimaal 39 apps op Android en iOS deze malware bevatten. Google en Apple hebben actie ondernomen door respectievelijk 20 en enkele besmette apps te verwijderen. Als u een van de geïdentificeerde modellen (o.a. T95, T95Z, T95MAX, X88, Q9, X12PLUS, MXQ Pro 5G) in huis hebt, is het dringend advies om het apparaat onmiddellijk van het internet los te koppelen en contact op te nemen met de leverancier. Reid adviseert toekomstige kopers om alleen apparatuur van bekende en betrouwbare merken aan te schaffen. (bron, bron2)

BianLian Extortion Groep Claimt Verantwoordelijkheid voor Datalek bij Air Canada

De cybercriminele groep BianLian beweert verantwoordelijk te zijn voor een recente inbreuk op het netwerk van Air Canada, de grootste luchtvaartmaatschappij van het land en een oprichtend lid van Star Alliance. De groep zegt 210GB aan data te hebben gestolen, ondanks eerdere beweringen van Air Canada dat er slechts "beperkte persoonlijke informatie van enkele medewerkers en bepaalde dossiers" zijn aangetast. Als bewijs hebben de aanvallers screenshots en gedetailleerde beschrijvingen van de gestolen data op hun darkweb-site geplaatst. De door BianLian buitgemaakte data zou uitgebreide technische en operationele informatie bevatten, gaande van het jaar 2008 tot en met 2023. Naast de persoonlijke gegevens van werknemers zijn er gegevens gestolen over leveranciers, vertrouwelijke documenten, SQL-back-ups en archieven van bedrijfsdatabases. De groep benadrukt dat de buit veel waardevoller is dan alleen de persoonsgegevens van werknemers. BianLian is sinds juni 2022 actief en richt zich op kritieke infrastructuurorganisaties in de VS en Australië. Ze zijn overgestapt op alleen afpersing in januari 2023, nadat Avast een decryptor voor hun ransomware had vrijgegeven. Air Canada heeft nog geen specifieke details bekendgemaakt over het aantal getroffen werknemers, de datum van de inbreuk of wanneer de aanval werd ontdekt. Desondanks hebben ze hun klanten via e-mail gewaarschuwd om SMS-gebaseerde tweefactorauthenticatie in te schakelen op hun Aeroplan-accounts en sterke wachtwoorden te gebruiken om zich te verdedigen tegen credential stuffing en password spraying aanvallen. Dit is niet de eerste keer dat Air Canada het doelwit is van een cyberaanval. In 2018 werden de profielgegevens van 20.000 mobiele app-gebruikers gehackt, waarna de luchtvaartmaatschappij alle 1,7 miljoen mobiele app-accounts moest vergrendelen om de klantgegevens te beschermen.

Cyberaanvallen in Israëlisch-Palestijns Conflict: Meerdere Websites Overgenomen

Tientallen Israëlische en Joodse websites zijn gehackt door pro-Palestijnse hackersgroepen, waaronder het Islamic Hacker Army. De aanvallers hebben de voorpagina's van de websites vervangen door Palestijnse vlaggen en berichten die steun uitspreken voor Palestina. Eén van de leiders van deze hackersgroepen verklaarde: "Onze aanvallen op de zionisten zullen niet stoppen totdat ze Palestina verlaten." De aanvallen maken deel uit van een breder offensief genaamd 'Operation Israel', dat als doel heeft om zoveel mogelijk Israëlische online doelen te compromitteren. De gehackte websites variëren van bedrijven tot informatievoorzieningen, en er is ook een aanval gepleegd op een Joodse community in Duitsland. Voor zover bekend zijn er geen Nederlandse websites getroffen. Naast het overnemen van websites worden ook DDoS-aanvallen uitgevoerd, waardoor websites tijdelijk onbereikbaar worden. De Jerusalem Post, een bekende Israëlische krant, en diverse Israëlische overheidswebsites zijn hierdoor getroffen. Anonymous Syria, een andere groep betrokken bij de aanvallen, is gespecialiseerd in deze DDoS-aanvallen. Het is niet eenzijdig; er zijn ook pro-Israëlische digitale aanvallen waargenomen. Deze omvatten DDoS-aanvallen op de Universiteit van Gaza en het Palestijnse ministerie van Buitenlandse Zaken. Daarnaast is er een datalek gemeld waarbij de persoonlijke gegevens van 3,5 miljoen Palestijnen zijn verspreid. De situatie toont een verontrustende escalatie van cyberaanvallen als middel om politieke boodschappen over te brengen in het reeds gespannen Israëlisch-Palestijns conflict. (bron: anoniem)

Cyberaanval Veroorzaakt Operationele Verstoringen bij Simpson Manufacturing

Simpson Manufacturing, een toonaangevende Amerikaanse producent van bouw- en constructiematerialen, heeft onlangs via een SEC 8-K indiening een cyberbeveiligingsincident gemeld dat operationele verstoringen heeft veroorzaakt. Deze verstoringen zijn naar verwachting van langdurige aard. Met 5.150 werknemers en een jaarlijkse netto-omzet van $2,12 miljard (2022) is het bedrijf een dominante speler in Noord-Amerika op het gebied van structurele connectoren en ankers. Het bedrijf ontdekte afgelopen dinsdag IT-problemen en applicatie-uitval, en realiseerde zich al snel dat deze werden veroorzaakt door een cyberaanval. Als reactie hierop heeft Simpson alle getroffen systemen offline gehaald om verdere verspreiding van de aanval te voorkomen. De verklaring van het bedrijf verduidelijkt dat het lopende herstelproces enige tijd in beslag kan nemen, waardoor de operationele onderbrekingen zullen voortduren. Lange onderbrekingen zijn vaak het gevolg van ransomware-aanvallen, die complex zijn om te verhelpen omdat ze data-encryptie met zich meebrengen. Ook is het risico van datadiefstal een significante zorg, aangezien het bedrijf een schat aan bedrijfseigen informatie zou kunnen bezitten. Simpson Manufacturing exploiteert zeven laboratoria voor het testen van nieuwe ontwerpen en materialen en heeft meer dan tweeduizend patenten en handelsmerken. Tot op heden is het type cyberbeveiligingsincident dat Simpson Manufacturing heeft getroffen nog niet vastgesteld, en geen enkele ransomwaregroep heeft de verantwoordelijkheid voor de aanval opgeëist. Het bedrijf heeft externe experts ingeschakeld voor het onderzoek en het herstel, die beide nog in de beginfase zijn. Het nieuws van de cyberaanval heeft tot nu toe geen negatieve invloed gehad op de aandelenkoers van het bedrijf. (bron)

LinkedIn Smart Links opnieuw misbruikt in phishingaanvallen gericht op Microsoft-accounts

Hackers zijn opnieuw bezig met het misbruiken van LinkedIn Smart Links in phishingaanvallen om de beveiligingsmaatregelen van e-mail te omzeilen en zo Microsoft-accountgegevens te stelen. Smart Links maken deel uit van LinkedIn's Sales Navigator-service, die voornamelijk wordt gebruikt voor marketing en het volgen van klantbetrokkenheid. Omdat deze links een domein van LinkedIn gebruiken, worden ze vaak gezien als afkomstig van een betrouwbare bron, waardoor ze emailbeveiliging kunnen omzeilen. Het misbruik van deze functie is niet nieuw; cybersecuritybedrijf Cofense ontdekte deze techniek al in een campagne uit 2022 gericht op Slowaakse gebruikers. De meest recente aanvallen vonden plaats tussen juli en augustus 2023 en werden uitgevoerd via nieuw gecreëerde of gecompromitteerde LinkedIn-zakelijke accounts. Volgens data van Cofense waren de meest getroffen sectoren financiën, productie, energie, bouw en gezondheidszorg. Het blijkt echter dat de campagne een algemene aanval was om zoveel mogelijk inloggegevens te verzamelen, zonder specifieke focus op een bepaalde sector. De phishing-e-mails bevatten onderwerpen gerelateerd aan betalingen, human resources, documenten en beveiligingsmeldingen, en leiden het slachtoffer via een serie omleidingen naar een phishingpagina. Deze pagina lijkt sterk op een legitieme Microsoft-inlogpagina en vult zelfs automatisch het e-mailadres van het slachtoffer in om een vals gevoel van authenticiteit te creëren. Om jezelf te beschermen tegen dergelijke aanvallen is het van belang niet uitsluitend te vertrouwen op e-mailbeveiligingstools, aangezien hackers steeds vaker legitieme diensten misbruiken om deze te omzeilen. (bron)

Kritieke Zerodaylek in Atlassian Confluence Actief Misbruikt Sinds September, Staatelijke Actor Verdacht

Microsoft heeft onthuld dat een zerodaylek in Atlassian Confluence Data Center en Server al sinds 14 september wordt uitgebuit door kwaadwillenden. Dit ondanks het feit dat een beveiligingsupdate pas op 4 oktober beschikbaar kwam. Zowel Microsoft als Atlassian geven aan dat een 'statelijke actor' vermoedelijk achter de cyberaanvallen zit. Atlassian Confluence is een wikiplatform dat door organisaties wordt gebruikt voor teamwerk. De kwetsbaarheid, genaamd CVE-2023-22515, is zeer ernstig en scoort een 10.0 op een schaal van 1 tot 10. Het lek stelt aanvallers in staat om zonder toestemming adminaccounts aan te maken in Confluence, waardoor ze toegang krijgen tot de Confluence-installatie van het getroffen bedrijf. Microsoft wijst een groep met de naam 'Storm-0062' aan als de dader van deze aanvallen. Deze groep zou vanuit China opereren en staat ook bekend onder andere namen zoals DarkShadow en Oro0lxy. Atlassian heeft hun eigen beveiligingsadvies bijgewerkt, waarin ze vermelden dat er aanwijzingen zijn dat een 'bekende statelijke actor' actief gebruikmaakt van deze kwetsbaarheid. Verdere details zijn door Microsoft niet vrijgegeven. Dit incident onderstreept het belang van snelle updates en patches in de strijd tegen cybercriminaliteit, zeker als er indicaties zijn van betrokkenheid van staatshackers. Gezien de ernst van de situatie is het dringend geadviseerd om de beveiligingsupdate zo snel mogelijk te implementeren als u gebruik maakt van Atlassian Confluence. (bron)

Actief Misbruik van Kritieke Kwetsbaarheid in Adobe Acrobat en Reader Gesignaleerd door Amerikaanse Overheid

Een recente waarschuwing van het Cybersecurity and Infrastructure Security Agency (CISA), een onderdeel van het Amerikaanse ministerie van Homeland Security, heeft aangetoond dat aanvallers actief misbruik maken van een kritieke kwetsbaarheid in Adobe Acrobat en Reader. Het beveiligingslek, bekend onder de code CVE-2023-21608, stelt kwaadwillenden in staat om systemen over te nemen via een malafide PDF-bestand. Deze kwetsbaarheid werd oorspronkelijk op 10 januari van dit jaar door Adobe gedicht, en er was tot dat moment geen sprake van misbruik. Het lek laat een aanvaller toe om een zogenaamde 'use-after-free' situatie te creëren, wat kan resulteren in het uitvoeren van willekeurige code met de rechten van de ingelogde gebruiker. In maart van dit jaar verscheen er online exploitcode voor deze kwetsbaarheid, wat sindsdien tot actieve aanvallen heeft geleid. Hoewel CISA geen specifieke details over de aanvallen heeft vrijgegeven, heeft het agentschap Amerikaanse overheidsinstanties opgedragen om de nodige updates vóór 17 november te installeren om het risico te mitigeren. Gebruikers van Adobe Acrobat en Reader worden daarom dringend aangeraden om hun software bij te werken naar de laatste versie om zich te beschermen tegen deze hoge risico's. Het incident onderstreept het voortdurende gevaar van verouderde software en het belang van het tijdig installeren van beveiligingsupdates. (bron, bron2, bron3)

Bezorgdheid Onder Beveiligingsexperts Over Europese Meldplicht voor Zerodaylekken

Beveiligings- en privacyexperts hebben hun bezorgdheid geuit over de voorgestelde Europese Cyber Resilience Act (CRA). Deze wet zou softwareleveranciers verplichten om binnen 24 uur na ontdekking zerodaylekken bij overheidsinstanties te melden. Deze instanties zouden de informatie kunnen gebruiken voor surveillance en inlichtingendoeleinden, wat risico's met zich meebrengt. Artikel 11 van het CRA-wetsvoorstel introduceert deze meldplicht. Experts waarschuwen dat dit ernstige gevolgen kan hebben. Ten eerste zouden meerdere overheidsinstanties toegang krijgen tot een database vol met software die ongepatchte kwetsbaarheden bevat. Dit maakt de database een potentieel doelwit voor cyberaanvallen. Daarnaast kunnen overheden deze zerodays gebruiken voor surveillanceactiviteiten en inlichtingenvergaring, wat ingaat tegen de principes van privacy en burgerrechten. Verder stellen de experts dat het verplicht melden van deze kwetsbaarheden de samenwerking tussen beveiligingsonderzoekers en softwareleveranciers kan hinderen. Er is zelfs een risico dat onderzoekers uit angst voor mogelijke negatieve gevolgen helemaal stoppen met het melden van kwetsbaarheden. De experts pleiten voor het volledig schrappen of aanpassen van artikel 11. Ze stellen dat meldingen alleen zouden moeten plaatsvinden als er updates beschikbaar zijn om de kwetsbaarheden te verhelpen. Ook zou de meldplicht niet moeten gelden voor lekken die zijn gemeld in het kader van 'good faith security research'. De open brief met deze bezorgdheden is ondertekend door medewerkers van diverse prominente organisaties, waaronder ESET, Rapid7, en Google. Met deze waarschuwingen in het achterhoofd is het belangrijk dat er zorgvuldig wordt omgegaan met de implementatie van nieuwe cyberwetgeving om de balans tussen veiligheid en privacy te waarborgen.

Verhoogde veiligheidsrisico's in Hong Kong: Binance-klanten verliezen 3,5 miljoen HKD aan phishing-aanvallen

In Hong Kong hebben 11 klanten van het crypto-handelsplatform Binance gezamenlijk een verlies van 3,5 miljoen Hong Kong dollar (ongeveer 500.000 Amerikaanse dollars) geleden door phishing-aanvallen. De politie van Hong Kong heeft hiervoor gewaarschuwd en roept op tot extra waakzaamheid. De aanvallers maakten gebruik van sms-berichten die ogenschijnlijk afkomstig waren van Binance en waarin stond dat de gebruikers hun identiteit moesten verifiëren via een link. Na het klikken op deze link verkregen de hackers toegang tot de Binance-accounts en konden ze alle activa uit de wallets stelen. De politie bracht dit nieuws naar buiten via hun Facebook-pagina "CyberDefender" en heeft ook een lijst gedeeld van door de Hong Kong Securities and Futures Commission (SFC) geverifieerde handelsplatforms voor virtuele activa. Momenteel hebben alleen HashKey en OSL een volledige vergunning voor retail investeringen in Hong Kong. Deze phishing-aanval staat niet op zichzelf. Er zijn ook andere alarmerende incidenten in de cryptomarkt in Hong Kong. Zoals het JPEX-schandaal, een niet-gelicenseerd handelsplatform dat gebruikers heeft gelokt met hoge rendementen en daarna de opnamekosten verhoogde, resulterend in een geschat verlies van $180 miljoen en meer dan 2300 officiële klachten. Als reactie hierop is de SFC van plan een lijst te publiceren van zowel volledig gelicentieerde als "verdachte" crypto-platforms om toekomstige fraude te helpen voorkomen. Het groeiende aantal van dergelijke incidenten onderstreept de dringende noodzaak voor betere regelgeving en bewustwording rondom online beveiligingsrisico's in de crypto-industrie. (bron)

Google Weert Recordbrekende DDoS-aanval met 398 Miljoen Verzoeken per Seconde

Google heeft onlangs de grootste DDoS-aanval in zijn geschiedenis weten af te slaan, met een piek van maar liefst 398 miljoen verzoeken per seconde (rps). Dit is niet alleen een record voor Google, maar ook de grootste bekende DDoS-aanval ooit. De aanval, die in augustus plaatsvond, was gericht op de Cloud-infrastructuur van Google. Deze DDoS-aanval maakte gebruik van een nieuwe techniek genaamd 'Rapid Reset', gericht op het HTTP/2-protocol. Rapid Reset is een Layer 7-aanval die de functionaliteit van HTTP/2 uitbuit om meerdere streams tegelijk te starten en weer te stoppen. Hierdoor kan een groter aantal verzoeken in een kortere tijd worden gedaan, los van de zogenaamde round-trip time. Google heeft deze kwetsbaarheid geregistreerd als CVE-2023-44487 en er een uitgebreide blogpost over geschreven om andere bedrijven te informeren. Het is niet bekend wie achter de aanval zit. Echter, Google heeft informatie over de aanval gedeeld met andere organisaties, zodat deze zich beter kunnen wapenen tegen soortgelijke aanvallen. De aanval toont een aanzienlijke stijging in de schaal en complexiteit van DDoS-aanvallen. Ter vergelijking: in 2022 piekte een grote aanval op 46 miljoen rps, en het nieuwe record van 398 miljoen rps is ruim 7,5 keer zo groot. Dit duidt op een exponentiële groei van dergelijke cyberaanvallen, wat zowel voor bedrijven als voor beveiligingsdiensten een punt van zorg is. Deze gebeurtenis onderstreept de noodzaak voor organisaties om hun beveiligingssystemen up-to-date te houden en informatie te delen om dergelijke grootschalige cyberaanvallen in de toekomst te kunnen afweren. (bron)

Mirai-gebaseerde IZ1H9 Botnet Vergroot Aanvalsoppervlak met 13 Nieuwe Exploits gericht op Routers

Een recent artikel beschrijft hoe een botnet, aangeduid als IZ1H9 en gebaseerd op de beruchte Mirai DDoS (Distributed Denial of Service) malware, zijn arsenaal heeft uitgebreid met dertien nieuwe payloads. Deze zijn specifiek ontworpen om Linux-gebaseerde routers en routers van merken zoals D-Link, Zyxel, TP-Link en TOTOLINK aan te vallen. Fortinet-onderzoekers melden dat er in de eerste week van september een piek was in de exploitatiepogingen, waarbij tienduizenden kwetsbare apparaten werden getarget. IZ1H9 is gespecialiseerd in het compromitteren van deze apparaten om ze vervolgens toe te voegen aan zijn DDoS-"zwerm". Het botnet voert daarna grootschalige DDoS-aanvallen uit op opgegeven doelen, vermoedelijk in opdracht van klanten die zijn aanvalscapaciteit huren. Het botnet maakt gebruik van een scala aan beveiligingslekken, variërend van CVE's uit 2015 tot 2023, om verschillende apparaten te exploiteren. Na succesvolle exploitatie injecteert een IZ1H9-payload een commando in het apparaat om een shellscript-downloader, genaamd "l.sh", van een specifieke URL te halen. Dit script wist logs om de kwaadaardige activiteit te verbergen en haalt vervolgens botclients op die zijn aangepast voor verschillende systeemarchitecturen. Bovendien wijzigt het script de iptables-regels van het apparaat om verbindingen op specifieke poorten te blokkeren, waardoor het moeilijker wordt om de malware te verwijderen. Fortinet meldt ook dat IZ1H9 over een gegevenssectie beschikt met daarin hardcoded inloggegevens die worden gebruikt voor brute-force-aanvallen, wat handig kan zijn voor verdere verspreiding naar aangrenzende apparaten. Eigenaren van IoT-apparaten wordt aangeraden sterke admin-gebruikersgegevens te gebruiken, hun apparaten te updaten naar de nieuwste firmwareversie en, indien mogelijk, hun blootstelling aan het openbare internet te minimaliseren. (bron)

Air Europa Waarschuwt Klanten na Groot Datalek: Annuleer uw Creditcards

De Spaanse luchtvaartmaatschappij Air Europa, de derde grootste van het land en lid van de SkyTeam-alliantie, heeft klanten op maandag dringend geadviseerd hun creditcards te annuleren. Dit advies volgt op een recent datalek waarbij aanvallers toegang kregen tot gevoelige kaartinformatie. In e-mails naar getroffen klanten stelde Air Europa dat er onlangs een cybersecurity-incident is ontdekt, waarbij mogelijk ongeoorloofde toegang tot bankkaartgegevens heeft plaatsgevonden. Het bedrijf heeft maatregelen genomen om hun systemen te beveiligen en heeft de betrokken autoriteiten en instellingen, waaronder de AEPD (Spaanse Autoriteit Persoonsgegevens), INCIBE (Spaans Cybersecurity Instituut), en banken, op de hoogte gebracht. Het gaat om creditcardnummers, vervaldatums en de 3-cijferige CVV-codes die zijn blootgesteld. De luchtvaartmaatschappij waarschuwt ook voor het risico van kaartvervalsing en fraude en adviseert klanten om geen persoonlijke informatie of pincodes te verstrekken aan derden die hen telefonisch of via e-mail benaderen. Het is nog niet bekend hoeveel klanten precies zijn getroffen door dit datalek, evenals de exacte datum van het incident. Twee jaar geleden kreeg Air Europa ook al een boete van €600.000 van de Spaanse Autoriteit Persoonsgegevens voor overtredingen van de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie. Destijds waren er ongeveer 489.000 mensen getroffen en werden gegevens van rond de 4.000 bankkaarten frauduleus gebruikt. Dit incident onderstreept het voortdurende risico van cyberaanvallen op grote organisaties en de noodzaak voor klanten om waakzaam te zijn bij het beheren van hun persoonlijke en financiële informatie.

Cybercriminelen Compromitteren 14 Miljoen 23andMe Accounts: Wachtwoorden Gereset Na Omvangrijk Datalek

Dna-testbedrijf 23andMe heeft recent de wachtwoorden van 14 miljoen gebruikers gereset als reactie op een datalek. De aanvallers verkregen toegang tot de accounts via een credential stuffing-aanval, waarbij eerder gelekte inloggegevens werden uitgeprobeerd op de 23andMe-website. Het lek resulteerde in de ongeoorloofde toegang tot persoonlijke informatie zoals namen, geslacht, geboortejaren, profielfoto's, en zelfs details over dna-tests. Deze gegevens werden vervolgens te koop aangeboden op een forum. Opmerkelijk is dat het lek niet alleen gebruikers trof die herbruikbare wachtwoorden hadden gebruikt. Zelfs accounts met sterke, unieke wachtwoorden bleken compromitteerbaar. Nadat de aanvallers toegang verkregen tot een account, maakten ze gebruik van de 'DNA Relatives'-service van 23andMe om aanvullende informatie over andere gebruikers te verzamelen. 23andMe meldt dat het onderzoek naar de omvang van de datadiefstal nog steeds gaande is. Als preventieve maatregel heeft het bedrijf besloten om alle 14 miljoen klantwachtwoorden te resetten. Daarnaast raadt 23andMe het gebruik van multifactorauthenticatie aan en zegt het klanten direct te zullen informeren als hun account is gecompromitteerd door deze aanval. Het exacte aantal getroffen gebruikers is nog onbekend. Dit incident benadrukt het belang van sterke, unieke wachtwoorden en multifactorauthenticatie, maar laat ook zien dat zelfs deze methoden niet altijd voldoende zijn om de veiligheid van gevoelige persoonlijke gegevens te waarborgen. (bron)

Anonymous-affiliaties lekken omvangrijke Rusland-gerelateerde data via Discord

Hackers geaffilieerd met het Anonymous-collectief hebben een schat aan gegevens over Russische belangen gelekt op het Discord-platform. De gelekte informatie omvat alles van accounts die propaganda verspreiden tot gevoelige data van de Russische ruimtevaartorganisatie Roscosmos. De hackers gebruiken Discord om zowel aanvallen te coördineren als om data te delen. Een bericht op hun Discord-server roept zelfs op tot het verstoren van het Russische internet in de Krim en het platleggen van enkele Russische luchtvaartmaatschappijen. De omvang van de verzamelde data is enorm en is op verschillende manieren vergaard, waaronder Open-Source Intelligence (OSINT) methoden. De gegevens zijn georganiseerd in honderden mappen met namen van specifieke organisaties, zoals "Roscosmos," of types van gegevens, zoals corrupte functionarissen en kwetsbare CCTV-camera's in Rusland. Technischere informatie die is gelekt, kan waardevol zijn voor diegenen die acties achter de vijandelijke linies plannen of de bewegingen van Russische militaire activa willen volgen. Het Cybernews-onderzoeksteam benadrukt dat de hackers ook interesse hebben in het blootstellen van Ruslands kritieke infrastructuur en prominente Russische publieke figuren, zoals Maria Zakharova en Margarita Simonyan. Ze nemen ook specifieke social media accounts op de korrel die volgens hen Russische propaganda verspreiden. Dit lek komt te midden van verhoogde hacktivistische activiteit gerelateerd aan Ruslands oorlog in Oekraïne, die begon in februari 2022. Anonymous heeft in reactie op deze oorlog een cyberoorlog tegen Rusland verklaard. De gelekte data kan gebruikt worden voor gerichte aanvallen op organisaties en individuen, waardoor het risico op cyberaanvallen toeneemt. Het feit dat dit alles gebeurt op een platform als Discord, dat eerder dit jaar in opspraak kwam voor het lekken van geclassificeerde Amerikaanse defensiedocumenten, benadrukt de veelzijdigheid en risico's van het platform.

Russische Hacktivisten Richten zich op Israëlische Overheid en Media na Dodelijke Aanvallen van Hamas

Na recente dodelijke aanvallen door Hamas-militanten is Israël nu ook het doelwit van cyberaanvallen. Verschillende hacktivistengroepen, waaronder de beruchte Russische groep Killnet, hebben aanvallen uitgevoerd op Israëlische overheids- en mediawebsites. De overheidswebsite gov.il was wereldwijd onbereikbaar, en Killnet nam snel de verantwoordelijkheid op zich via het sociale netwerk Telegram. De groep beschuldigde de Israëlische overheid van steun aan "het terroristische regime in Oekraïne" en van verraad aan Rusland. Killnet benadrukte echter dat hun aanvallen niet gericht zijn tegen de gewone Israëlische burger maar tegen het “regime”. Een andere hacktivistengroep, Anonymous Sudan, die waarschijnlijk Russisch is en niet Soedanees, heeft The Jerusalem Postaangevallen en beweert ook Israël's Iron Dome en verschillende waarschuwingsapplicaties te hebben aangevallen. Daarnaast zijn er ook pro-Israëlische hacktivisten actief; bijvoorbeeld, de officiële Hamas-website werd naar verluidt neergehaald door Indiase hackers. Het cybersecuritybedrijf uit Singapore, Group-IB, meldde dat verschillende dreigingsactorgroepen zijn toegetreden tot het escalerende conflict tussen Israël en Hamas. Dit roept vragen op over de effectiviteit van de Israëlische cyberbeveiliging, die als een van de beste ter wereld wordt beschouwd, vooral na de recente controverse rond het Pegasus-spionagesoftwareprogramma van NSO. De cyberaanvallen komen te midden van een al zeer gespannen situatie, waarbij zowel Israël als Hamas zware verliezen lijden. Het totaal aantal doden aan beide zijden bereikte 600 op zondagavond. Israëlische defensiehoofden staan onder toenemende druk om uit te leggen hoe deze ramp kon gebeuren, ondanks hun geavanceerde inlichtingenapparaat.

Cyberoorlog Tussen Israël en Hamas Escaleert: Hacktivisten Nemen Duizenden Servers Over

De cyberoorlog tussen Israël en de Palestijnse terreurbeweging Hamas is in volle gang, waarbij zowel pro-Israëlische als pro-Palestijnse hacktivisten betrokken zijn. De belangrijkste doelwitten voor deze hackers zijn SCADA-systemen, die industriële processen regelen. Volgens de hackers hebben ze de controle over de IP-routering van meer dan 5.000 servers in de Gazastrook, waardoor ze in staat zouden zijn om kritieke infrastructuur volledig uit te schakelen. Naast fysieke steun in de vorm van vlaggen, demonstraties en hulpgoederen, zien sommige partijen cyberaanvallen als een aanvullende manier om steun te betuigen of chaos te creëren. Kort na de eerste aanvallen zijn er tal van DDoS-aanvallen op Israëlische media- en overheidswebsites gemeld. Bekende hacktivistengroepen zoals ThreatSec en SiegedSec hebben via Telegram aangekondigd beide partijen aan te vallen en hebben al massale aanvallen uitgevoerd op de Israëlische infrastructuur. Mantas Sasnauskas van Cybernews deed onderzoek naar de situatie en ontdekte dat veel industriële controlesystemen (ICS) en SCADA-systemen kwetsbaar zijn. Zijn team vond zo'n vierhonderd 'openbare' ICS- en SCADA-systemen die als aantrekkelijke doelwitten kunnen dienen voor deze hackers. Deze aanvallen kunnen ernstige gevolgen hebben, zoals operationele verstoringen, veiligheidsrisico's, economische kosten en reputatieschade. Daarom is het volgens Sasnauskas cruciaal dat cyberbeveiliging een topprioriteit wordt voor organisaties die met deze systemen werken. (bron)

Record DDoS-aanval via Zerodaylek in HTTP/2-protocol Onderstreept de Noodzaak van Verhoogde Cyberbeveiliging

In augustus werd er een record DDoS-aanval uitgevoerd die gebruik maakte van een zerodaylek in het HTTP/2-protocol. De aanval bereikte een piek van 398 miljoen requests per seconde en werd uiteindelijk gestopt door Google. Deze aanval was 7,5 keer groter dan de recordaanval die Google eind vorig jaar stopte. Het HTTP/2-protocol is een fundamenteel onderdeel voor de werking van het internet. De aanval maakte misbruik van een specifieke feature van dit protocol, namelijk de RST_STREAM frame. Deze feature maakt het voor clients mogelijk om een bestaande datastroom te annuleren zonder coördinatie met de server. In de zogenaamde "Rapid Reset" aanval stuurde de aanvaller een request naar de server en annuleerde dit direct, maar liet de HTTP/2-verbinding open. Hierdoor werd de server gedwongen om deze valse verzoeken te verwerken, wat uiteindelijk leidde tot overbelasting. Opvallend is dat de aanval uitgevoerd kon worden met een relatief klein botnet van ongeveer 20.000 machines. Volgens Amazon Web Services, Cloudflare en Google zijn alle webapplicaties, services en API’s die via HTTP/2 communiceren potentieel kwetsbaar voor dit soort aanvallen. Google heeft na het stoppen van de aanval informatie gedeeld over de kwetsbaarheid (aangeduid als CVE-2023-44487) met andere cloudproviders en partijen die de HTTP/2-protocol stack implementeren, wat heeft geleid tot verdere beveiligingsmaatregelen en patches. Google adviseert alle providers die HTTP/2-services aanbieden om te controleren op kwetsbaarheden. Dit incident onderstreept het belang van een proactieve aanpak in cyberbeveiliging en de noodzaak van voortdurende waakzaamheid. (bron, bron2, bron3, bron4)

Marokkaanse Hacktivisten Richten zich op Israëlische Cyberinfrastructuur na Aanval van Hamas

In de nasleep van de verrassingsaanval door de Palestijnse islamitische beweging Hamas op Israël, zijn verschillende hacktivistische groepen, waaronder het Marokkaanse 'Black Cyber Army', actief geworden tegen Israël. Deze groepen hebben operaties gelanceerd onder de namen OPISRAEL en OpIsraelV2 met het doel om Israëlische digitale bronnen te verstoren en chaos te creëren. Deze hacktivistische groepen hebben succesvol een Distributed Denial-of-Service (DDoS) aanval uitgevoerd tegen een institutionele website in Israël. Een dergelijke aanval heeft de potentie om complete steden zonder stroom te zetten. Israël, dat als een van de pioniers op het gebied van cybersecurity wordt gezien en het hoofdkantoor is van talloze wereldwijde cybersecuritybedrijven, zou een tegenaanval kunnen overwegen. Deze recente cyberaanvallen volgen op eerdere acties van GhostSec, een andere hacktivistische groep die vorig jaar beweerde de controle te hebben overgenomen van 55 PLC's van Israëlische industriële organisaties als onderdeel van de "Free Palestine" campagne. Deze aanval was specifiek gericht op Israëlische SCADA/ICS-systemen. De toenemende cyberactiviteiten compliceren de toch al gevoelige verhoudingen tussen Marokko en Israël, vooral in het licht van eerdere politieke ontwikkelingen zoals Marokko's annulering van de Negev Top als reactie op Israëlische expansie. Het is een indicatie van het escalerende cyberlandschap in een regio die al wordt gekenmerkt door geopolitieke spanningen. (bron)

Cyberaanval op Spaanse luchtvaartmaatschappij Air Europa legt zwakke plekken in betalingssysteem bloot

De Spaanse luchtvaartmaatschappij Air Europa is onlangs het slachtoffer geworden van een cyberaanval gericht op haar online betalingssysteem. Hierdoor zijn de creditcardgegevens van een onbekend aantal klanten gelekt. Volgens een officiële verklaring van de maatschappij zijn getroffen klanten per e-mail geïnformeerd en zijn financiële instellingen op de hoogte gesteld. Desondanks heeft het bedrijf nog geen uitspraken gedaan over de omvang van de inbreuk of de financiële gevolgen ervan. Air Europa heeft aangegeven dat er tot dusver geen bewijs is dat de gelekte informatie is gebruikt voor frauduleuze doeleinden. Deze cyberaanval komt op een cruciaal moment voor de maatschappij, die momenteel wordt overgenomen door de International Consolidated Airlines Group, eigenaar van British Airways. Hoewel er nog veel onbekend is over de omvang en de potentiële financiële impact van de cyberaanval, roept dit incident vragen op over de veiligheid van online betalingssystemen binnen de luchtvaartindustrie. Het benadrukt de noodzaak voor bedrijven in deze sector om hun cyberbeveiligingsmaatregelen te versterken, zeker gezien de hoeveelheid gevoelige klantinformatie die zij beheren. Dit incident onderstreept het groeiende belang van cyberbeveiliging in een tijd waarin cyberaanvallen steeds geavanceerder worden. Het dient als een waarschuwing voor andere bedrijven om hun beveiligingsprotocollen tegen het licht te houden en waar nodig te verbeteren. (bron)

Overzicht en Implicaties van Wettelijke Meldplichten Bij Ransomware Aanvallen in Nederland

De Rijksoverheid heeft een document uitgebracht dat inzicht geeft in de wettelijke meldplichten bij ransomware aanvallen. Dit document dient als een bijlage bij een Kamerbrief over de voortgang van de Nederlandse Cybersecuritystrategie (NLCS). Het rapport belicht twee belangrijke wetten, namelijk de Wet beveiliging netwerk- en informatiesystemen (Wbni) en de Algemene Verordening Gegevensbescherming (AVG). Volgens de Wbni zijn organisaties die van cruciaal belang zijn voor het nationale informatiesysteem verplicht om significante cyberincidenten te melden bij het Nationaal Cyber Security Centrum (NCSC). Hieronder vallen bijvoorbeeld nutsbedrijven en financiële instellingen. Deze meldplicht heeft als doel om de weerbaarheid tegen cyberaanvallen te vergroten en de impact ervan te beperken. Tegelijkertijd stelt de AVG dat organisaties die persoonsgegevens verwerken, verplicht zijn om datalekken, inclusief ransomware aanvallen waarbij persoonsgegevens zijn betrokken, te melden bij de Autoriteit Persoonsgegevens. Daarnaast moeten getroffen individuen geïnformeerd worden als er een hoog risico is op negatieve gevolgen voor hun privacy. Het document benadrukt het belang van naleving van deze wetten, niet alleen voor juridische redenen maar ook voor het handhaven van publiek vertrouwen. Het biedt een nuttige leidraad voor organisaties om te begrijpen wat hun verplichtingen zijn in het geval van een ransomware aanval en hoe ze deze adequaat kunnen nakomen. De richtlijnen zijn vooral relevant in het huidige digitale landschap, waarin cyberaanvallen steeds geavanceerder en frequent worden.

ALPHV Ransomwaregroep valt Gerechtshoven in Noordwest-Florida aan

De ransomwaregroep ALPHV, ook bekend als BlackCat, heeft de verantwoordelijkheid opgeëist voor een cyberaanval die vorige week de gerechtshoven in Noordwest-Florida heeft getroffen. Deze aanval heeft ernstige implicaties voor de gerechtelijke procedures in de regio, met name in de provincies Escambia, Okaloosa, Santa Rosa en Walton. De groep beweert persoonlijke gegevens van medewerkers, inclusief rechters, te hebben verkregen. Dit gaat onder meer om sofinummers en CV's. Daarnaast claimt ALPHV een gedetailleerde netwerkkaart van de systemen van de rechtbank te bezitten, inclusief lokale en externe service-inloggegevens. Ransomwaregroepen zoals ALPHV dreigen vaak met het lekken van gestolen gegevens om de slachtoffers tot onderhandelingen te dwingen. Het feit dat er een datalekpagina van het Eerste Gerechtelijk Circuit van Florida op de website van ALPHV verscheen, duidt erop dat er geen succesvolle onderhandelingen zijn geweest of dat de eisen van de groep resoluut zijn afgewezen. De rechtbank bevestigde vorige week dat er een onderzoek gaande is naar de cyberaanval die de operaties heeft verstoord. Hoewel essentiële gerechtelijke procedures prioriteit krijgen, zijn andere zaken geannuleerd en uitgesteld. De autoriteiten van het gerechtshof hebben nog niet bevestigd dat de claims van ALPHV waar zijn. ALPHV kwam in november 2021 voor het eerst in beeld als een rebranding van DarkSide/BlackMatter en heeft sindsdien zijn tactieken voortdurend aangepast. De groep kreeg internationale bekendheid door de inbreuk op Colonial Pipeline en is sindsdien onderwerp van wereldwijde wetshandhavingsscrutiny geweest. In een recent incident claimde een gelieerde groep, Scattered Spider, verantwoordelijk te zijn voor een aanval op MGM Resorts, wat leidde tot verliezen van ongeveer $100 miljoen. (bron)

Hackers Manipuleren 404-Pagina's van Webwinkels om Creditcardgegevens te Stelen

Een recent ontdekte Magecart-kaartskimmingcampagne richt zich op de 404-foutpagina's van online retailers. Hackers injecteren schadelijke code in deze pagina's om creditcardinformatie van klanten te stelen. Deze innovatieve methode werd ontdekt door de Akamai Security Intelligence Group, die nog twee andere varianten heeft geobserveerd: één die de code verbergt in de 'onerror'-attribuut van HTML-afbeeldingstag en een andere die deze maskeert als Meta Pixel-codesnippet. De campagne richt zich specifiek op websites die gebruikmaken van Magento en WooCommerce en heeft slachtoffers gelinkt aan gerenommeerde organisaties in de voedsel- en detailhandelsectoren. De hackers gebruiken de standaard '404 Niet Gevonden' pagina om hun kwaadaardige code te verbergen. Deze aanpak is nooit eerder gezien in Magecart-campagnes en biedt de acteurs verschillende creatieve opties voor verbeterde verberging en ontwijking. De schadelijke code initieert een fetch-verzoek naar een pad genaamd 'icons'. Omdat dit pad niet bestaat, resulteert het verzoek in een 404-fout. De loader zoekt vervolgens naar een specifieke tekenreeks in de HTML van de 404-pagina. Wanneer deze tekenreeks wordt gevonden, wordt een base64-gecodeerde string onthuld die de JavaScript-skimmer bevat. Eenmaal actief, toont de skimmer een valse betalingsformulier waarin klanten hun creditcardnummer, vervaldatum en beveiligingscode moeten invoeren. Nadat deze informatie is ingevoerd, ontvangt het slachtoffer een valse "sessie-timeout" foutmelding, terwijl de ingevoerde informatie versleuteld en naar de aanvallers wordt gestuurd. Deze methode is vooral verraderlijk omdat het erin slaagt de meeste beveiligingstools te omzeilen. Het benadrukt de evoluerende tactieken en veelzijdigheid van Magecart-acteurs. (bron)

HelloKitty Ransomware Broncode Openbaar Gemaakt op Hackersforum: Dubbelzijdige Implicaties

Een dreigingsactor heeft onlangs de complete broncode van de eerste versie van de HelloKitty ransomware gelekt op een Russischtalig hackersforum. De persoon, die zichzelf 'kapuchin0' noemt, beweert een nieuwe en krachtigere encryptietool in ontwikkeling te hebben. Cybersecurity onderzoeker 3xp0rt ontdekte het lek en identificeerde de dreigingsactor ook als 'Gookee', een alias eerder geassocieerd met diverse kwaadaardige activiteiten, waaronder het aanbieden van toegang tot het Sony Network Japan in 2020. De broncode bevat een Microsoft Visual Studio-oplossing die de HelloKitty encryptor en decryptor bouwt, evenals de NTRUEncrypt-bibliotheek die deze versie van de ransomware gebruikt om bestanden te versleutelen. Michael Gillespie, een expert op het gebied van ransomware, heeft bevestigd dat het om de legitieme broncodegaat die werd gebruikt toen de HelloKitty ransomware-operatie in 2020 werd gelanceerd. Hoewel de openbare beschikbaarheid van de broncode nuttig kan zijn voor beveiligingsonderzoek, brengt het ook nadelen met zich mee. Eerdere lekken zoals die van de HiddenTear en Babuk ransomware hebben geleid tot een golf van nieuwe aanvallen, waarbij de vrijgegeven code werd gebruikt voor afpersingsacties. Tot op heden zijn er meer dan negen ransomware-operaties die de Babuk broncode als basis gebruiken. HelloKitty is een ransomware-bende die actief is sinds november 2020 en is berucht om het hacken van bedrijfsnetwerken, het stelen van data en het versleutelen van systemen. Een van hun meest gepubliceerde aanvallen was op CD Projekt Red in februari 2021, waarbij broncode van verschillende spellen werd gestolen en later verkocht. Ondanks dat het Federal Bureau of Investigation (FBI) indicatoren van compromis (IOCs) heeft vrijgegeven om aanvallen van deze groep te bestrijden, zijn deze mogelijk verouderd vanwege de evoluerende aard van de ransomware. (bron, bron2, bron3)

Groot Aantal WordPress-sites Gecompromitteerd Door Lek in tagDiv-plug-in

De afgelopen weken zijn duizenden WordPress-websites het slachtoffer geworden van een beveiligingslek in de tagDiv-plug-in. Deze plug-in wordt veelal ingezet in combinatie met het Newspaper theme van tagDiv voor het eenvoudig publiceren van artikelen en blogposts. Naar schatting wordt het Newspaper theme door ongeveer 135.000 sites gebruikt. In september werden de details van een kwetsbaarheid met de code CVE-2023-3169 bekendgemaakt. Dit lek maakt ongeauthenticeerde stored cross-site scripting aanvallen mogelijk. Criminelen kunnen hierdoor kwaadaardige scripts toevoegen aan kwetsbare WordPress-sites en op die manier de cookies van de sitebeheerder stelen. Na het verkrijgen van deze cookies kunnen de aanvallers zich toegang verschaffen tot de WordPress-site. Eenmaal binnengedrongen, voegen de aanvallers vaak verdere kwaadaardige code toe die bezoekers doorstuurt naar verschillende scamsites. Vorige maand werd deze code op zo'n 17.000 WordPress-sites aangetroffen. Meer dan 9.000 van deze websites werden gecompromitteerd via het lek in de tagDiv-plug-in, volgens een rapport van securitybedrijf Sucuri. Als voorzorgsmaatregel wordt aangeraden om de tagDiv-plug-in te updaten naar versie 4.2, waarin het beveiligingsprobleem is verholpen. Het incident benadrukt het belang van het up-to-date houden van software en het periodiek controleren van plug-ins op mogelijke kwetsbaarheden. (bron, bron2, bron3, bron4, bron5, bron6, bron7)

Criminelen Exploiteren Kwetsbaarheid in Citrix NetScalers om Gebruikersinformatie te Stelen

Op 9 oktober 2023 heeft IBM Security X-Force een waarschuwing uitgegeven over een ernstig beveiligingslek in Citrix NetScalers. Criminelen maken gebruik van deze kwetsbaarheid, genaamd CVE-2023-3519, om een script te installeren dat inloggegevens van gebruikers steelt. De NetScaler-productlijn dient als een buffer tussen organisatieservers en het internet, met als doel het optimaliseren en beveiligen van inkomend verkeer. Vooral de Gateway-versie van NetScaler wordt veel gebruikt voor thuiswerkoplossingen. Citrix had al op 18 juli beveiligingsupdates uitgebracht om het lek te dichten. Desondanks waren er op het moment van de aanval nog 31.000 kwetsbare Citrix NetScalers. Volgens de laatste rapporten waren er in augustus nog ruim 1800 apparaten besmet met een webshell, een script dat aanvallers toegang geeft tot de server voor verdere aanvallen. IBM Security X-Force ontdekte in september een nieuwe aanvalscampagne. Hierbij werd een script geïnstalleerd op de inlogpagina van kwetsbare apparaten om inloggegevens van gebruikers te stelen. Bijna 600 IP-adressen van getroffen NetScalers zijn geïdentificeerd, voornamelijk in Europa en de Verenigde Staten. Het lijkt erop dat deze aanvalsmethode actief is sinds 11 augustus. De situatie heeft een golf van reacties teweeggebracht in de cybersecuritygemeenschap. Sommigen beschuldigen organisaties van nalatigheid omdat ze de patches niet tijdig hebben geïnstalleerd, terwijl anderen het slachtofferblaming noemen en stellen dat de verantwoordelijkheid bij de aanvallers ligt. Het incident onderstreept het belang van tijdige patching en continue waakzaamheid in het cyberlandschap. Het benadrukt ook het cruciale belang van multi-factor authenticatie en andere extra beveiligingslagen om de gevolgen van dergelijke kwetsbaarheden te minimaliseren. (bron)

Amnesty Waarschuwt: Gecoördineerde Aanvallen met Predator-Spyware op Journalisten en Politici

Amnesty International heeft een alarmerend rapport uitgebracht over gerichte cyberaanvallen op journalisten, politici, academici en maatschappelijke organisaties in de Europese Unie, de Verenigde Staten en Azië. De aanvallen zijn uitgevoerd via social media-platforms en maken gebruik van een geavanceerde spyware genaamd Predator. Deze spyware geeft aanvallers toegang tot de camera, microfoon en andere gegevens op de geïnfecteerde telefoon, zoals contacten en berichten. Van februari tot juni van dit jaar zijn minstens vijftig accounts van 27 personen en 23 instellingen aangevallen. Onder de slachtoffers bevinden zich prominente figuren zoals de voorzitter van het Europees Parlement Roberta Metsola en de president van Taiwan Tsai Ing-Wen. De aanvallen vonden voornamelijk plaats via malafide links in openbare berichten of direct messages op social media. Soms werden deze links vermomd als betrouwbare nieuwsbronnen om het slachtoffer te misleiden. De spyware maakt gebruik van beveiligingslekken om de telefoon van het slachtoffer te infecteren zodra deze de gelinkte website bezoekt. Om dergelijke aanvallen te voorkomen, adviseert Amnesty onder meer om geen berichten van onbekende afzenders te accepteren en vriendverzoeken zorgvuldig te screenen. Daarnaast moeten gebruikers voorzichtig zijn bij het openen van links van onbekende bronnen. Dit rapport werpt een zorgwekkend licht op de risico's van gecoördineerde cyberaanvallen en benadrukt het belang van robuuste digitale beveiligingsmaatregelen voor individuen en organisaties. Het toont ook aan dat geavanceerde spionagetools niet alleen worden gebruikt door statelijke actoren, maar ook beschikbaar zijn voor andere kwaadwillende partijen. (bron)

Groothandel Van Oirschot Slachtoffer van RansomHouse Aanval

Op 10 oktober 2023 maakte de cybercriminele groep RansomHouse bekend dat zij de Belgische groothandel Van Oirschot hebben aangevallen. Het bedrijf, gespecialiseerd in handel van niet-duurzame goederen, staat nu mogelijk voor dataverlies en financiële schade. Het incident onderstreept het blijvende gevaar van cyberaanvallen op het bedrijfsleven. Voorzichtigheid en up-to-date cybersecuritymaatregelen zijn essentieel. (darkweb)

Datalek bij Grootste Belgische Prostitutiesite: Risico op Verspreiding op het Darkweb

De grootste prostitutiesite van België, Redlights.be, is gehackt en de gegevens van gebruikers en adverteerders dreigen te worden gepubliceerd op het darkweb. Het betreft 415.000 accounts, waarvan 128.000 nog actief zijn en 41.000 toebehoren aan adverteerders. De site heeft haar gebruikers gewaarschuwd om hun gebruikersnamen en wachtwoorden onmiddellijk te wijzigen om mogelijke toekomstige inbraken te voorkomen. De hackers hebben toegang gekregen tot de gegevens door een manuele fout in de codering van de website. Hoewel Redlights.be beweert dat de website van nature goed beveiligd is, blijkt uit de hack dat er ruimte voor verbetering is. Het bedrijf achter de site, Link Media, heeft eerder dit jaar in februari een extra beveiligingslaag toegevoegd die alle privégegevens en berichten extra versleutelt. Als gevolg hiervan zijn de gebruikers en adverteerders die vanaf februari 2023 actief zijn op de site niet betrokken bij dit lek. Ondanks het feit dat veel gebruikers en adverteerders schuilnamen en anonieme e-mailadressen gebruiken, loopt de reputatie van zowel de site als haar gebruikers groot risico. Het incident heeft tevens geleid tot verschillende discussies over cybersecurity en de kwetsbaarheid van online platforms, en roept vragen op over de verantwoordelijkheid van bedrijven om hun gebruikersgegevens adequaat te beschermen.

Volex PLC Ondergaat Cyberaanval maar Anticipeert Minimale Financiële Impact

Op 9 oktober 2023 meldde Volex PLC een cyberincident waarbij ongeautoriseerde partijen toegang kregen tot bepaalde IT-systemen en gegevens. Volex is een in Basingstoke, Engeland, gevestigde fabrikant gespecialiseerd in kritieke stroom- en datatransmissieproducten. Na de ontdekking van het incident activeerde het bedrijf onmiddellijk zijn IT-beveiligingsprotocollen en nam stappen om de ongeautoriseerde toegang te stoppen. Externe adviseurs zijn ingeschakeld om de aard en omvang van het incident te onderzoeken en om een incidentbestrijdingsplan uit te voeren. Ondanks het beveiligingsincident is de operationele impact op het bedrijf minimaal gebleven. Volex gaf aan dat alle vestigingen operationeel zijn en dat de wereldwijde productieniveaus slechts minimaal zijn verstoord. Het bedrijf blijft ook handelen met zijn klanten en leveranciers. Financieel gezien verwacht Volex geen materiële gevolgen van dit incident. De aandelen van het bedrijf noteerden echter 3,3% lager op 300,35 pence na de bekendmaking van het nieuws. Deze situatie benadrukt het groeiende belang van cyberbeveiliging voor bedrijven in alle sectoren, zelfs voor degenen die gespecialiseerd zijn in technologische infrastructuur zoals Volex. Hoewel het incident momenteel een beperkte impact lijkt te hebben, dient het als een waarschuwing voor andere bedrijven om hun cyberbeveiligingsmaatregelen te herzien en te versterken. (bron)

Cybercriminelen Plunderen Stars Arena: $3 Miljoen aan AVAX Tokens Ontvreemd

Het recentelijk geïntroduceerde web3 sociale mediaplatform Stars Arena heeft een ernstige beveiligingsinbreuk ondervonden. De aanval, die via een DDOS-methode werd uitgevoerd, vond plaats op 7 oktober en resulteerde in de diefstal van $3 miljoen aan AVAX tokens uit het platform. De AVAX token is gebaseerd op het Avalanche blockchain-netwerk, en deze inbreuk heeft opnieuw vragen opgeworpen over de veiligheid van gedecentraliseerde financiële (DeFi) platforms. Eerder deze week was een ander web3-platform voor online gemeenschappen ook al het slachtoffer van een vergelijkbare aanval. Volgens rapporten hebben de aanvallers het gestolen bedrag verplaatst naar de crypto-exchange Fixed Float. Daar probeerden ze het om te zetten in een andere valuta voordat de autoriteiten konden ingrijpen. Ondanks het lek is het team achter Stars Arena vastbesloten om de gestolen fondsen te recupereren. Ze hebben financiële middelen veiliggesteld om het probleem aan te pakken en hebben een team van ‘white hat’ hackers ingeschakeld om de beveiliging van het platform te evalueren en verbeteren. Na de inbreuk heeft Stars Arena het belang van een gedegen beveiligingsaudit benadrukt om te zorgen dat hun smart contracts volledig veilig zijn. Hoewel er nog geen datum is vastgesteld voor de heropening van het platform, heeft het team aangekondigd dat dit 'zeer binnenkort' zal plaatsvinden. De recente aanval is niet de eerste keer dat Stars Arena met beveiligingsproblemen kampt; slechts enkele dagen voor deze grote aanval werd er al $2.000 aan AVAX tokens gestolen. Na de onthulling van de hack daalde de waarde van de AVAX token met ongeveer 10%. (bron)

Derde Datalek bij Flagstar Bank Sinds 2021 Raakt 800.000 Klanten in de VS

Flagstar Bank heeft voor de derde keer sinds maart 2021 te maken met een ernstig datalek dat meer dan 800.000 Amerikaanse klanten treft. Deze bank, nu onderdeel van New York Community Bank en voorheen een van de grootste banken in de VS, maakte gebruik van de diensten van Fiserv voor betalingsverwerking en mobiel bankieren. Fiserv werd het slachtoffer van de grootschalige CLOP MOVEit Transfer-data-aanvallen, die wereldwijd meer dan 64 miljoen mensen en tweeduizend organisaties hebben getroffen, volgens een rapport van Emsisooft. De cybercriminelen wisten toegang te krijgen tot de systemen van Fiserv door een zero-day kwetsbaarheid in het MOVEit Transfer-product te misbruiken. Eenmaal binnen, stalen ze de klantgegevens van Flagstar die Fiserv bewaarde om zijn diensten te kunnen leveren. Hoewel de exacte soorten van de gecompromitteerde gegevens niet zijn vrijgegeven, zijn er minimaal namen en burgerservicenummers (Social Security Numbers) ontvreemd volgens het datalekportaal van Maine. Dit meest recente incident brengt het totale aantal getroffen klanten van Flagstar op 837,390 in de VS. Het is niet alleen zorgwekkend voor Flagstar maar ook voor andere financiële instellingen, omdat Fiserv diensten levert aan honderden banken en in het verleden ook al indirecte blootstelling aan beveiligingsincidenten heeft veroorzaakt. Eerdere datalekken bij Flagstar in maart 2021 en juni 2022 hadden ook al een aanzienlijke impact. Klant- en medewerkersinformatie, waaronder namen, adressen, telefoonnummers, belastinggegevens en burgerservicenummers, werden in die incidenten eveneens ontvreemd. De aanhoudende beveiligingsincidenten roepen serieuze vragen op over de beveiliging van zowel Flagstar Bank als hun derde-partij dienstverleners. (bron, bron2, bron3, bron4)

Kwaadaardige Python-pakketten Stelen Gevoelige Informatie op Grote Schaal

Een groeiend aantal kwaadaardige Python-pakketten zijn ontdekt op open-source platformen, waarschuwt een onderzoeksteam van Checkmarx's Supply Chain Security. Deze pakketten zijn sinds april 2023 ongeveer 75.000 keer gedownload en hebben als doel gevoelige data te stelen van geïnfecteerde systemen. Het aantal kwaadaardige pakketten bedraagt inmiddels 272, en de malware is steeds geavanceerder aan het worden, met meer complexe verhullingslagen en detectie-ontwijkende technieken. De malware richt zich op een breed scala aan gevoelige informatie, waaronder antivirus tools die op het apparaat draaien, Wi-Fi-wachtwoorden, browsergegevens, en zelfs informatie van cryptocurrency wallet apps zoals Atomic en Exodus. Daarnaast heeft het de mogelijkheid om screenshots te nemen en individuele bestanden van de computer te stelen. Het kwaadaardige programma houdt ook het klembord in de gaten om cryptocurrency-adressen te vervangen en zo betalingen om te leiden naar de aanvaller. Een onderscheidend kenmerk van deze campagne is de app-manipulatie: de malware past zelfs kernbestanden van apps zoals Exodus aan en injecteert JavaScript-code in Discord om data te exfiltreren. Het kan ook de ‘hosts’ bestanden in Windows manipuleren zodat beveiligingsproducten niet meer met hun servers kunnen communiceren. De campagne heeft tot nu toe ongeveer $100.000 in cryptocurrency gestolen en blijft evolueren, met nieuwe methoden zoals het uitschakelen van antivirusproducten en toevoeging van Telegram aan de lijst van doelwitten. Onderzoekers waarschuwen dat open-source gemeenschappen en ontwikkelaarsecosystemen nog steeds vatbaar zijn voor dit soort aanvallen en raden gebruikers aan om extra waakzaam te zijn bij het kiezen van projecten en pakketuitgevers. (bron, bron2, bron3)

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Meer weekoverzichten