Overzicht van slachtoffers cyberaanvallen week 42-2023

Gepubliceerd op 23 oktober 2023 om 15:00

EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


In de afgelopen week is het digitale landschap wederom geschokt door een reeks alarmerende cyberaanvallen en beveiligingsincidenten. Cybercriminelen wisten toegang te krijgen tot het supportsysteem van Okta, waarbij gevoelige klantgegevens zijn gestolen. Daarnaast is er sprake van een cyberaanval op het Internationaal Strafhof in Den Haag, met sterke aanwijzingen die wijzen op spionageactiviteiten. Ook Henry Schein, een wereldleider in medische groothandel, is getroffen door een ernstig cyberbeveiligingsincident.

De risico's zijn niet alleen beperkt tot institutionele of zakelijke entiteiten; zelfs genetische onderzoeksbureaus zoals 23andMe zijn niet immuun. Miljoenen genetische profielen zijn gelekt als gevolg van een grootschalig datalek. In de gezondheidszorgsector heeft Maternus-Kliniken AG ook te maken met een data-uitstroom die momenteel onderzocht wordt. De IT-systemen van de rechtbanken in Kansas zijn eveneens gecompromitteerd, wat ernstige vragen oproept over de integriteit van juridische processen.

Ook in Nederland en België blijft men niet gespaard. KBS Accountants werd het doelwit van een NoEscape cyberaanval, en de De Groot Groep is getroffen door LockBit Ransomware. Over de grens in België werd de onderzoeksdienst FRS-FNRS gehackt door LockBit.

Hieronder vindt u het volledige overzicht van de cyberaanvallen en -incidenten van de afgelopen week. Deze gevallen onderstrepen het voortdurende belang van een robuuste cyberbeveiligingsstrategie en constante waakzaamheid tegenover de veelzijdige dreigingen die het digitale domein rijk is.



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
Edwards Business Systems 8BASE www.edwardsbusiness.com USA Home Furniture, Furnishings, And Equipment Stores 22-okt-23
Brunton Shaw 8BASE www.brunton-shaw.com United Kingdom Machinery, Computer Equipment 22-okt-23
JC Roman Construction 8BASE jcroman.net USA Construction 22-okt-23
APS - Automotive Parts Solutions 8BASE automotiveps.com USA Miscellaneous Retail 22-okt-23
chs.ca LockBit chs.ca USA Social Services 21-okt-23
Foursquare Healthcare RansomHouse www.foursquarehealthcare.com USA Health Services 21-okt-23
Panetteria Grandolfo Black Basta Unknown Italy Eating And Drinking Places 21-okt-23
Simpson Strong-Tie Black Basta www.strongtie.com USA Wholesale Trade-durable Goods 21-okt-23
Sidockgroup D0N#T (Donut Leaks) sidockgroup.com USA Engineering Services 21-okt-23
The Law Offices of Julian Lewis Sanders & Associates BlackCat (ALPHV) juliansanderslaw.com USA Legal Services 21-okt-23
Bridgeport Fittings PLAY www.bptfittings.com USA Electronic, Electrical Equipment, Components 20-okt-23
Kobi Karp Architecture and Interior Design PLAY www.kobikarp.com USA Construction 20-okt-23
RADISE PLAY www.radise.com USA Construction 20-okt-23
Polar Tech Industries PLAY www.polar-tech.com USA Rubber, Plastics Products 20-okt-23
Ipswich Bay Glass PLAY www.ibglass.com USA Construction 20-okt-23
Hygieneering PLAY www.hygieneering.com USA Engineering Services 20-okt-23
The Fountain Group PLAY www.thefountaingroup.com USA Business Services 20-okt-23
Venture Plastics PLAY www.ventureplastics.com USA Rubber, Plastics Products 20-okt-23
Milk Source PLAY www.milksource.com USA Food Products 20-okt-23
uaes.com LockBit uaes.com China Transportation Equipment 20-okt-23
charleystaxi.com LockBit charleystaxi.com USA Passenger Transportation 20-okt-23
degrootgroep.nl LockBit degrootgroep.nl Netherlands Construction 20-okt-23
Royal College of Physicians and Surgeons of Glasgow Akira rcpsg.ac.uk United Kingdom Educational Services 20-okt-23
PROTECTOR FIRE SERVICES PTY LTD Akira protectorfire.com.au Australia Justice, Public Order, And Safety 20-okt-23
Southland Integrated Services Akira www.southlandintegrated.org USA Health Services 20-okt-23
kvc constructors inc BlackCat (ALPHV) www.kvcconstructors.com USA Construction 20-okt-23
Government of Brazil BLACK SUIT www.gov.br Brazil General Government 19-okt-23
Associated Wholesale Grocers PLAY www.awginc.com USA Wholesale Trade-non-durable Goods 19-okt-23
Inventum Øst AS Akira inventumost.inventumkjeden.no Norway Miscellaneous Retail 19-okt-23
Visionary Integration Professionals (VIP) Akira trustvip.com USA IT Services 19-okt-23
frs-fnrs.be LockBit frs-fnrs.be Belgium Research Services 19-okt-23
nirolaw.com LockBit nirolaw.com USA Legal Services 19-okt-23
salaw.com LockBit salaw.com United Kingdom Legal Services 19-okt-23
QuadraNet Akira quadranet.com USA IT Services 19-okt-23
thecsi.com LockBit thecsi.com Canada Transportation Services 19-okt-23
smart-union.org LockBit smart-union.org USA Membership Organizations 19-okt-23
Innovattel LLC BlackCat (ALPHV) www.innovattel.com Puerto Rico Communications 19-okt-23
CADRE BlackCat (ALPHV) cadreservices.com USA Business Services 19-okt-23
fdf.org LockBit fdf.org United Kingdom Food Products 18-okt-23
U***** S*** S******* Inc BianLian Unknown USA Construction 18-okt-23
** P*************s, Inc BianLian Unknown USA Health Services 18-okt-23
Dow Golub Remels & Gilbreath BianLian dowgolub.com USA Legal Services 18-okt-23
Griffing & Company, P.C BianLian griffing.com USA Accounting Services 18-okt-23
KBS Accountants NoEscape kbs-accountants.nl Netherlands Accounting Services 18-okt-23
Rotorcraft Leasing Company 0mega rlcllc.com Mexico Transportation By Air 17-okt-23
kasperekusaoptical.com LockBit kasperekusaoptical.com USA Wholesale Trade-durable Goods 17-okt-23
SIIX Corporation BlackCat (ALPHV) siix.co.jp Japan Electronic, Electrical Equipment, Components 17-okt-23
STANTON WILLIAMS Black Basta www.stantonwilliams.com United Kingdom Construction 17-okt-23
Edwardian Hotels London Black Basta www.edwardian.com United Kingdom Lodging Places 17-okt-23
HAFFNER GmbH Co. Black Basta hugohaeffner.com Germany Chemical Producers 17-okt-23
Intred Black Basta www.intred.it Italy Communications 17-okt-23
PIEMME S.p.A. Black Basta www.piemmeonline.it Italy Business Services 17-okt-23
Greenpoint INC Ransom greenpoint.com USA Machinery, Computer Equipment 17-okt-23
Gasmart NoEscape www.gasmart.mx Mexico Oil, Gas 17-okt-23
cpstate.org LockBit cpstate.org USA Membership Organizations 16-okt-23
sdproducts.co.uk LockBit sdproducts.co.uk United Kingdom Fabricated Metal Products 16-okt-23
SCS SpA Cactus www.scsivrea.it Italy Miscellaneous Services 16-okt-23
OmniVision Technologies Cactus www.ovt.com USA Electronic, Electrical Equipment, Components 16-okt-23
ATI Traduction Medusa www.ati-traduction.com France Business Services 16-okt-23
EDB Medusa www.edbelettronica.it Italy Electronic, Electrical Equipment, Components 16-okt-23
Global Product Sales Medusa globalproducesales.com USA Wholesale Trade-non-durable Goods 16-okt-23
Symposia Organizzazione Congressi S.R.L Medusa www.symposiacongressi.com Italy Miscellaneous Services 16-okt-23
Believe Productions Medusa www.believekids.com USA Social Services 16-okt-23
Mount Holly Nissan NoEscape mthollynissan.com USA Automotive Dealers 16-okt-23
Boise Rescue Mission Ministries BlackCat (ALPHV) boiserm.org USA Membership Organizations 16-okt-23
BACCARAT Black Basta www.baccarat.com France Miscellaneous Manufacturing Industries 16-okt-23
Ampersand Black Basta www.ampersand.tv USA Business Services 16-okt-23

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
degrootgroep.nl LockBit degrootgroep.nl Netherlands Construction 20-okt-23
frs-fnrs.be LockBit frs-fnrs.be Belgium Research Services 19-okt-23
KBS Accountants NoEscape kbs-accountants.nl Netherlands Accounting Services 18-okt-23

In samenwerking met StealthMol

Sponsor Cybercrimeinfo


Cyberaanvallen nieuws


Deezer getroffen door DDoS-aanval, veel gebruikers ondervinden problemen

Deezer, het online muziekstreamingplatform, is op een recente zondagochtend het slachtoffer geworden van een Distributed Denial of Service (DDoS) aanval. Veel gebruikers meldden dat ze problemen ondervonden bij het verbinden met het platform. Volgens Downdetector waren er rond 11 uur 's ochtends bijna 930 meldingen van storingen. De DDoS-aanval is een bekende vorm van cyberaanval die relatief eenvoudig uit te voeren is. Het doel van deze aanvallen is meestal om een server onbereikbaar te maken door het verzenden van een overweldigend aantal verzoeken of door het uitbuiten van beveiligingslekken. Dit kan resulteren in uitval van de dienst of in ernstig verminderde prestaties. Deezer kondigde in de loop van de ochtend aan dat het actief aan het werk was om de verstoringen te verhelpen. Het aantal gemelde storingen op Downdetector begon in de vroege middag af te nemen. Deezer heeft niet aangegeven of er data is gecompromitteerd tijdens de aanval, maar de focus leek vooral te liggen op het herstellen van de normale dienstverlening. Dit incident benadrukt het belang van robuuste cybersecuritymaatregelen, niet alleen voor bedrijven in de technologie- en financiële sector, maar ook voor diensten die door veel consumenten worden gebruikt. De schade kan variëren van minimale verstoringen tot meer ernstige gevolgen, afhankelijk van de ernst van de aanval en de voorbereiding van het getroffen bedrijf. (bron)


Sterke Toename van Cybercriminaliteit in Spanje Gedurende 2022

Volgens het Cybercriminaliteit Rapport 2022 is het aantal geregistreerde cyberdelicten in Spanje aanzienlijk gestegen tot bijna 375.000 gevallen, een stijging van 22% ten opzichte van het voorgaande jaar. Het meest opvallend is de prominente rol van oplichtingspraktijken, die negen van de tien geregistreerde cyberdelicten uitmaakten en met een kwart toenamen. Deze toename markeert een duidelijke trend; in 2018 waren cyberdelicten goed voor slechts 7,5% van alle criminaliteit in Spanje, maar dat cijfer is gestegen naar 16% in 2022. Er wordt verwacht dat dit percentage in 2023 verder zal toenemen. Opvallend is dat bedreigingen en intimidaties via internet in 2022 minder vaak voorkwamen. Er werden 15.982 gevallen geregistreerd, wat een daling is vergeleken met 2021. Bovendien namen delicten tegen eer, industriële en intellectuele eigendom, en inmenging in gegevens en systemen ook af. Aanvallen op infrastructuursystemen daalden eveneens, met bijna 20% tot 546 gevallen. Het rapport geeft ook demografische informatie over de daders; de meeste cybercriminelen zijn mannen tussen de 26 en 40 jaar oud met een Spaanse nationaliteit. Het aantal arrestaties of onderzoeken naar individuen steeg met bijna 10% tot 15.097 personen. Wat betreft geografische spreiding waren Catalonië en Madrid de regio's met de meeste aangiften, gevolgd door Andalusië en de Valencia-regio. Deze gegevens benadrukken de groeiende urgentie voor zowel individuen als bedrijven om zich bewust te zijn van de risico's van cybercriminaliteit en passende maatregelen te nemen voor hun online veiligheid. (bron)


Grote Europese Scheepvaartmaatschappijen Getroffen door DDoS-Aanvallen

Op afgelopen vrijdag is de scheepvaartsector in heel Europa ernstig verstoord door een gecoördineerde DDoS-aanval. Viking Line, een prominente rederij opgericht in 1959, was een van de belangrijkste doelwitten van de aanval. De rederij, die meer dan 50 schepen in haar vloot heeft en meer dan 2000 medewerkers in dienst heeft, biedt diverse diensten aan zoals cruises, vracht- en passagiersdiensten, voornamelijk op de Oostzee. De websites van Viking Line en andere getroffen scheepvaartmaatschappijen waren gedurende de aanval overbelast en onbereikbaar. De IT-teams van de betrokken maatschappijen hebben geprobeerd de aanval te neutraliseren, maar de specifieke reden achter de aanval is tot nu toe onbekend. De aanval kan deel uitmaken van een reeks lopende DDoS-aanvallen die onlangs op diverse Europese bedrijven en gemeenten zijn uitgevoerd. Deze incidenten werden voor het eerst opgemerkt in een bericht van de Cyber Express-website, en sindsdien zijn ze breed uitgemeten in technologieblogs en nieuwsuitzendingen. Hoewel er tot nu toe geen specifieke details zijn over de daders of hun motieven, heeft de aanval wel aanzienlijke verstoringen veroorzaakt in de scheepvaartindustrie. Deze gebeurtenis benadrukt het groeiende belang van cyberbeveiliging in sectoren die traditioneel niet als hoge risico's voor cyberaanvallen worden beschouwd. De aanval vormt een ernstig veiligheidsrisico en toont aan hoe kwetsbaar zelfs grootschalige, goed gefinancierde organisaties kunnen zijn voor cyberaanvallen. Het is essentieel voor bedrijven in alle sectoren om hun cyberbeveiligingsmaatregelen te herzien en te versterken om zich tegen toekomstige aanvallen te beschermen. (bron)


De Groot Groep (NL) Getroffen door LockBit Ransomware

In Nederland is bouwbedrijf De Groot Groep het slachtoffer geworden van een cyberaanval uitgevoerd door de LockBit ransomware-groep. De criminelen hebben dit op 20 oktober bekendgemaakt op het darkweb. Dit benadrukt wederom de noodzaak voor bedrijven, met name in de bouwsector, om hun cybersecuritymaatregelen te versterken. Het is van belang om alert te blijven en adequate beveiligingsprotocollen te handhaven.


Cyberaanval treft Museum für Naturkunde Berlin: Maatregelen en Onderzoek in Volle Gang

Het Museum für Naturkunde Berlin, ook bekend als het Leibniz-Instituut voor Evolutie- en Biodiversiteitsonderzoek, is onlangs het slachtoffer geworden van een cyberaanval. De omvang van de aanval wordt momenteel onderzocht door een crisiscomité in samenwerking met de relevante onderzoeksautoriteiten. Volgens de persmededeling van het museum zijn de medewerkers van het Museum für Naturkunde Berlin (MfN) niet bereikbaar via hun gebruikelijke e-mailadressen. Contact kan echter nog steeds telefonisch worden opgenomen, en de contactgegevens zijn te vinden op de teampagina van de organisatie. Om het publiek en de bezoekers op de hoogte te houden van de huidige situatie, werkt het museum aan het instellen van een centraal telefoonnummer voor algemene vragen van bezoekers. Verdere updates en informatie over de situatie worden gepubliceerd op de officiële website van het museum. Dit incident onderstreept het belang van cyberbeveiligingsmaatregelen voor instellingen van alle soorten en maten. Hoewel het museum voornamelijk een wetenschappelijke instelling is, laat dit voorval zien dat geen enkele organisatie immuun is voor de dreigingen die cyberaanvallen vormen. Het is van cruciaal belang dat organisaties voorbereid zijn op dergelijke incidenten en passende maatregelen nemen om de schade te minimaliseren en de bedrijfscontinuïteit te waarborgen. (bron)


Hack treft Canadese Defensie: Persoonlijke Gegevens van Militairen op Straat

Een particulier bedrijf genaamd Brookfield Global Relocation Services (BGRS), dat verantwoordelijk is voor de verhuizingen van Canadese militairen en buitenlandse diensten, is het slachtoffer geworden van een cyberaanval. De hack is bevestigd door het Canadese Ministerie van Nationale Defensie (DND) in een intern bericht. Het beveiligingsincident heeft gevolgen voor persoonlijke informatie van medewerkers van de Canadese overheid die door BGRS worden bewaard. De website van het bedrijf is sinds 29 september offline. Het federale overheidsbericht roept de betrokkenen op om voorzorgsmaatregelen te nemen, zoals het bijwerken van inloggegevens. Ook wordt er aangeraden om financiële en persoonlijke online accounts te controleren op ongewone activiteiten. Het interne bericht gaf echter geen duidelijkheid over de omvang van de data-inbreuk. BGRS is al sinds 1995 verantwoordelijk voor verhuisdiensten voor de Canadese overheid en beheert jaarlijks ongeveer 20.000 federale verhuizingen, waarbij meer dan 8.000 leveranciers betrokken zijn. Militaire leden die midden in een verhuisproces zitten, hadden al weken om updates gevraagd en er gingen geruchten dat de site vanwege een cyberaanval offline was gehaald. De federale overheid is momenteel nog bezig met het beoordelen van de impact en het onderzoeken van het incident. (bron)


Amerikaanse Verzekeringsgigant American Family Insurance Bevestigt Cyberaanval als Oorzaak van IT-Storingen

American Family Insurance, een toonaangevende Amerikaanse verzekeringsmaatschappij met een focus op persoonlijke en commerciële eigendoms-, ongevallen-, auto- en levensverzekeringen, heeft bevestigd dat een cyberaanval de oorzaak is van de recente IT-storingen. De aanval resulteerde in verschillende onderbrekingen van de online diensten van het bedrijf, waardoor klanten niet in staat waren om rekeningen te betalen of claims in te dienen. Volgens een verklaring van het bedrijf werden ongebruikelijke activiteiten gedetecteerd op hun netwerk, waarna delen van de IT-systemen onmiddellijk werden uitgeschakeld om verdere verspreiding van de aanval te voorkomen. Hoewel er tot dusver geen compromittering van kritieke zakelijke of klantgegevens is vastgesteld, zijn er wel impacten op klanten, agenten en medewerkers van het bedrijf. Naast het beïnvloeden van de eigen systemen van American Family Insurance, werden ook andere bewoners van hetzelfde gebouw getroffen doordat internetconnectiviteit werd afgesloten. Onderzoek naar de aard en de omvang van de cyberaanval is nog steeds gaande, met zowel interne als externe experts betrokken bij het proces. Het is nog onduidelijk welk type aanval het bedrijf precies heeft getroffen, maar er zijn aanwijzingen dat deze vergelijkbaar is met ransomware-aanvallen die momenteel in opmars zijn. Veel van deze aanvallen vinden plaats tijdens het weekend, wanneer er minder medewerkers actief zijn om verdachte activiteiten te detecteren. Het incident is een herinnering aan het toenemende risico van cyberaanvallen in de verzekeringssector en benadrukt het belang van proactieve cybersecuritymaatregelen. (bron)


LockBit Hackt Belgische Onderzoeksdienst FRS-FNRS

Op 19 oktober maakte LockBit, een bekende cybercriminele groep, bekend dat ze succesvol de systemen van FRS-FNRS hebben gehackt. Deze Belgische organisatie biedt onderzoeksdiensten aan en is nu slachtoffer van deze ingrijpende cyberaanval. De gevolgen voor de onderzoeksprojecten en de data-integriteit kunnen ernstig zijn. Extra waakzaamheid is geboden.


Valse Banenaanbiedingen van Corsair op LinkedIn Verspreiden DarkGate Malware

Cybersecuritybedrijf WithSecure heeft een nieuwe vorm van cyberaanval geïdentificeerd waarbij valse LinkedIn-berichten en directe berichten worden gebruikt om mensen te verleiden tot het downloaden van informatie-stelende malware zoals DarkGate en RedLine. De aanval richt zich op professionals in de socialemediabeheer sector en lokt hen met een nepvacature voor een Facebook Ads-specialist bij hardwarefabrikant Corsair. Voornamelijk gebruikers in de VS, het VK en India zijn het doelwit, aangezien zij waarschijnlijk toegang hebben tot zakelijke Facebook-accounts. De aanvalscampagne is gelinkt aan Vietnamese cybercriminele groepen die verantwoordelijk zijn voor de eerdere 'Ducktail'-campagnes. Deze campagnes hebben tot doel waardevolle Facebook-zakelijke accounts te stelen, die kunnen worden gebruikt voor malafide advertentiecampagnes of kunnen worden doorverkocht aan andere cybercriminelen. De malware DarkGate werd voor het eerst ontdekt in 2017 maar werd pas in juni 2023 breed beschikbaar toen de auteur besloot de toegang tot de malware te verkopen. Recente voorbeelden van het gebruik ervan omvatten phishing-aanvallen via Microsoft Teams en het gebruik van gecompromitteerde Skype-accounts om VBS-scripts te versturen die een infectieketen triggeren. Slachtoffers worden gelokt naar een URL die hen doorstuurt naar Google Drive of Dropbox om een ZIP-bestand te downloaden. Dit bestand bevat een VBS-script dat zichzelf de-obfusceert en DarkGate construeert. Kort na de installatie probeert de malware beveiligingssoftware van het gecompromitteerde systeem te verwijderen. LinkedIn heeft weliswaar functies geïntroduceerd om misbruik tegen te gaan, maar de verantwoordelijkheid om de echtheid van accounts te controleren ligt nog steeds bij de gebruikers. WithSecure heeft een lijst van indicatoren van compromis (IoC's) vrijgegeven om organisaties te helpen zich te verdedigen tegen deze dreiging. (bron)


Cybercriminelen Breken In op Okta Supportsysteem en Stelen Gevoelige Klantdata

Op 21 oktober 2023 heeft Okta, een toonaangevend authenticatieplatform, bekendgemaakt dat het slachtoffer is geworden van een data-inbraak. Aanvallers hebben toegang gekregen tot gevoelige klantgegevens via het supportsysteem van het bedrijf. De inbraak werd uitgevoerd met behulp van gestolen inloggegevens, volgens David Bradbury, Chief Security Officer bij Okta. Okta is een platform dat wereldwijd door duizenden bedrijven wordt gebruikt om werknemers toegang te verlenen tot verschillende systemen en applicaties. Het incident betreft HTTP Archive (HAR) bestanden, die normaal gesproken door klanten worden geüpload voor probleemoplossing. Deze HAR-bestanden kunnen cookies en sessietokens bevatten, die door aanvallers kunnen worden gebruikt om zich voor te doen als legitieme gebruikers. Het beveiligingsbedrijf BeyondTrust was een van de getroffen klanten en ontdekte de aanval. Ze hadden een HAR-bestand geüpload op verzoek van Okta en merkten dat er binnen een half uur een inlogpoging werd gedaan op hun eigen Okta-beheerdersconsole. BeyondTrust informeerde Okta al op 2 oktober over de aanval, maar kreeg pas op 19 oktober een bevestiging van het datalek. Okta heeft niet bekendgemaakt hoeveel klanten zijn getroffen door deze inbraak en heeft evenmin details vrijgegeven over hoe de inloggegevens zijn gestolen. Als reactie op de inbraak heeft het bedrijf wel de gestolen sessietokens ongeldig gemaakt om verdere schade te beperken. Het is het tweede incident van deze aard in evenveel jaren, wat vragen oproept over de beveiligingsprotocollen van het bedrijf. (bron, bron2)


Dringende waarschuwing van Cisco over Actief Aangevallen Zerodaylek in IOS XE

Cisco heeft onlangs een dringende waarschuwing afgegeven over een actief aangevallen zerodaylek in hun IOS XE besturingssysteem. Het bedrijf heeft ook een update aangekondigd om een eerder gemeld zerodaylek te verhelpen. Het nieuwe lek, aangeduid als CVE-2023-20198, maakt het mogelijk voor aanvallers om IOS XE-systemen te compromitteren. Helaas is er op dit moment nog geen permanente beveiligingsupdate beschikbaar; wel heeft Cisco een tijdelijke mitigatiemaatregel aangeboden. IOS XE is het besturingssysteem dat draait op netwerkapparaten van Cisco zoals switches en routers. Aanvallers hebben dit lek gebruikt om een backdoor te installeren en zo toegang te behouden tot het getroffen systeem. Volgens beveiligingsbedrijf Censys zijn er ongeveer 42.000 systemen besmet geraakt via dit lek. Hoewel sommige van deze systemen inmiddels zijn opgeschoond, blijft het aantal besmette systemen alarmerend hoog, met een huidige telling van 36.500. Naast CVE-2023-20198 heeft Cisco ook het bestaan van een tweede zerodaylek bekendgemaakt, CVE-2023-20273. Beide lekken worden gecombineerd gebruikt in aanvallen. Het tweede lek maakt het mogelijk voor de aanvaller om de rechten van een net aangemaakte gebruiker te verhogen naar 'root', om vervolgens de backdoor te installeren. Zowel Cisco als de Amerikaanse overheid roepen organisaties op om de aangekondigde mitigaties zo snel mogelijk door te voeren en de komende updates, die beide lekken moeten verhelpen, te installeren zodra deze beschikbaar zijn op 22 oktober. Dit incident benadrukt de dringende noodzaak voor organisaties om up-to-date te blijven met beveiligingsupdates en waarschuwingen serieus te nemen om hun netwerkinfrastructuur te beschermen. (bron, bron2)


KBS Accountants (NL) het Doelwit van NoEscape Cyberaanval

Op 18 oktober 2023 heeft de cybercriminele groep NoEscape bekendgemaakt een aanval te hebben uitgevoerd op KBS Accountants, een Nederlands accountancybedrijf. De aanval is publiekelijk aangekondigd op het darkweb. Cliënten en partners van KBS Accountants worden aangeraden om extra waakzaam te zijn op verdachte activiteiten en hun beveiligingsmaatregelen te herzien. Het is van cruciaal belang om alert te blijven en de situatie nauwlettend in de gaten te houden.


Cyberaanval op Internationaal Strafhof in Den Haag Gelinkt aan Spionage

Het Internationaal Strafhof (ICC) in Den Haag is onlangs het doelwit geweest van een cyberaanval die volgens de instantie gericht was op spionage. Het beschikbare bewijs wijst op een geraffineerde en doelgerichte aanval om de werkzaamheden van het ICC te ondermijnen. Hoewel het nog niet mogelijk is om de daders te identificeren, zijn de Nederlandse autoriteiten een onderzoek gestart om meer inzicht te krijgen in de aanval. Direct na de ontdekking van de aanval zijn er stappen ondernomen om de impact te minimaliseren. Het ICC kreeg hierbij ondersteuning van Nederlandse autoriteiten en externe cyberbeveiligingsexperts. Er zijn ook maatregelen in gang gezet om toekomstige aanvallen te voorkomen, wat de algehele cyberveiligheid van het ICC ten goede komt. Interessant is dat het ICC momenteel van meerdere kanten wordt belaagd. Naast cyberaanvallen heeft Rusland strafzaken geopend tegen de hoofdaanklager en rechters van het ICC. Dit volgde op een arrestatiebevel dat het ICC had uitgevaardigd tegen de Russische president Vladimir Poetin in verband met de deportatie van kinderen uit door Rusland bezette delen van Oekraïne. Het is duidelijk dat het ICC zich in een precaire situatie bevindt, waarbij het van verschillende kanten wordt aangevallen en ondermijnd. Dit toont het belang van robuuste cyberveiligheidsmaatregelen en internationale samenwerking om dergelijke instellingen te beschermen. (bron)


Kwik Trip Bevestigt Cyberaanval Maar Zegt Dat Betaalkaartinformatie Veilig Is

Kwik Trip, een bedrijf in de Verenigde Staten, heeft bevestigd dat het bijna twee weken te maken heeft gehad met een IT-storing als gevolg van een cyberbeveiligingsincident. Het bedrijf maakte donderdagavond bekend dat er geen aanwijzingen zijn dat de betaalkaartinformatie van klanten betrokken is bij het incident. Verdere details over de bron van de cyberaanval zijn niet gedeeld door de officiële instanties. De problemen begonnen met een stroomuitval die ervoor zorgde dat gebruikers van de Kwik Trip-app hun app niet konden gebruiken. Ook konden klanten die een Kwik Trip-kaart hebben, geen aankopen doen. Het incident heeft zelfs geleid tot tekorten aan producten zoals melk en brood in verschillende gebieden. De getroffen systemen zijn gerelateerd aan productiefaciliteiten in La Crosse, waar het hoofdkantoor van het bedrijf is gevestigd. Alex Holden, Chief Information Security Officer bij Hold Security, heeft de situatie bestempeld als een ernstige cyberaanval. Volgens hem lijkt het incident alle kenmerken van een ransomware-aanval te hebben, waarbij kwaadwillenden toegang krijgen tot de systemen van het bedrijf, deze versleutelen en mogelijk ook data stelen. Deze aanvallen worden steeds vaker gemeld. FBI-gegevens tonen aan dat internetmisdaden in 2021 verantwoordelijk waren voor $6,9 miljard aan verliezen, een cijfer dat in het afgelopen jaar is gestegen naar $10,2 miljard. Ook in Wisconsin, de thuisstaat van Kwik Trip, zijn de verliezen door ransomware aanzienlijk gestegen van $15,000 in 2021 naar $286,200 in het afgelopen jaar. Het is duidelijk dat de ernst en frequentie van cyberaanvallen toenemen, en het is een waarschuwing voor zowel bedrijven als individuen om hun cyberbeveiligingsmaatregelen te versterken. (bron)


Urgente Cyberaanval op HealthAlliance: Maatregelen en Gevolgen

Na de ontdekking van een cyberaanval op HealthAlliance heeft de organisatie onmiddellijk de New York State Department of Health en lokale autoriteiten van Ulster en Delaware County geïnformeerd. Samen met wetshandhavingsinstanties, waaronder de FBI en een externe cybersecurityfirma, wordt de omvang van de aanval onderzocht. Dit onderzoek is nog steeds gaande. Om de dreiging het hoofd te bieden, zijn er plannen om alle verbonden IT-systemen van HealthAlliance Hospital, Margaretville Hospital en Mountainside Residential Care Center vanaf 10 uur 's avonds op vrijdag 20 oktober tijdelijk offline te halen. Dit zal naar verwachting 24 uur duren, waarna de systemen gefaseerd weer online worden gebracht gedurende het weekend. De eerste prioriteit van HealthAlliance is de veiligheid van de patiënten. Als voorzorgsmaatregel worden ambulances tijdelijk omgeleid naar nabijgelegen medische faciliteiten. Bovendien wordt besloten of huidige patiënten kunnen worden ontslagen of overgeplaatst naar andere ziekenhuizen binnen het WMCHealth-netwerk. HealthAlliance Hospital blijft open voor patiënten die op eigen gelegenheid komen; deze patiënten worden beoordeeld en zo nodig gestabiliseerd en overgebracht naar andere zorginstellingen. Alle betrokken partijen, zoals lokale EMS-operators, potentieel getroffen medische instellingen, verkozen functionarissen en de families van patiënten, zijn geïnformeerd. HealthAlliance werkt aan een snelle oplossing van het probleem en betreurt eventuele ongemakken. Verdere updates worden verstrekt zodra deze beschikbaar zijn. (bron)


Actief Misbruik Gemeld van Oud Cisco IOS XE-lek Dat Aanvallers Rootrechten Geeft

Cisco waarschuwt voor misbruik van een twee jaar oude kwetsbaarheid in zijn IOS XE besturingssysteem, die aanvallers in staat stelt om rootrechten te verkrijgen op gecompromitteerde systemen. Dit besturingssysteem draait op de switches en routers van het netwerkbedrijf. De kwetsbaarheid, met kenmerk CVE-2021-1435, maakt het voor een geauthenticeerde aanvaller mogelijk om op afstand willekeurige commando's te injecteren die als root worden uitgevoerd. Hoewel er een beveiligingsupdate beschikbaar was sinds maart 2021, was er toen nog geen sprake van actief misbruik. Echter, een recente update van het beveiligingsbulletin van Cisco geeft aan dat dit nu wel het geval is. Wat het nog complexer maakt, is het feit dat deze waarschuwing samenvat met actief misbruik van een nog niet gepatcht zerodaylek in Cisco IOS XE, aangeduid als CVE-2023-20198. De Amerikaanse federale overheid heeft reeds opgedragen dat federale instanties de patch voor CVE-2021-1435 moeten hebben geïnstalleerd voor 9 november. Ondanks de ernst van het probleem heeft Cisco geen gedetailleerde informatie over de aanvallen gegeven. Dit roept vragen op over de noodzaak van aanvullende veiligheidsmaatregelen, zoals het plaatsen van een firewall voor routers, vooral omdat het zerodaylek nog actief wordt misbruikt en er nog geen update voor beschikbaar is. Dit benadrukt het belang van het tijdig bijwerken van systemen, maar ook van een gelaagde beveiligingsaanpak om het risico van compromittatie te minimaliseren. (bron)


BlackCat Ransomware Introduceert ‘Munchkin’ Linux VM voor Verhullende Aanvallen

De BlackCat/ALPHV ransomware-operatie heeft een nieuwe tool genaamd 'Munchkin' geïntroduceerd, die gebruikmaakt van virtuele machines om versleutelaars onopgemerkt op netwerkapparaten te plaatsen. Deze toevoeging maakt de Ransomware-as-a-Service (RaaS) aantrekkelijker voor cybercriminelen die als ransomware-affiliate willen optreden. Munchkin is een aangepaste versie van het Alpine OS Linux-besturingssysteem dat als een ISO-bestand komt. Zodra een apparaat is gecompromitteerd, installeren de aanvallers VirtualBox en maken ze een nieuwe virtuele machine met de Munchkin ISO. Deze virtuele machine bevat een reeks scripts en hulpprogramma's die de aanvallers in staat stellen om wachtwoorden te dumpen, zich lateraal over het netwerk te verspreiden, een BlackCat 'Sphynx' versleutelaar payload te bouwen en programma's op netwerkcomputers uit te voeren. Op het moment van opstarten verandert Munchkin het root-wachtwoord naar een wachtwoord dat alleen bij de aanvallers bekend is. Het maakt gebruik van de 'tmux' utility om een Rust-gebaseerde malware-binary genaamd 'controller' uit te voeren die scripts laadt die in de aanval worden gebruikt. Deze 'controller' gebruikt een configuratiebestand dat toegangstokens, slachtoffergegevens en authenticatiegeheimen bevat, en die worden gebruikt om op maat gemaakte BlackCat versleutelaar uitvoerbare bestanden te genereren. Deze worden vervolgens naar externe apparaten gestuurd om bestanden te versleutelen. De virtuele machine biedt een laag van isolatie, waardoor detectie en analyse door beveiligingssoftware moeilijker wordt. Het kleine digitale voetafdruk van Alpine OS en de geautomatiseerde werkingen van Munchkin verminderen de behoefte aan handmatige tussenkomst. De aanvallers waarschuwen affiliates om de Munchkin virtuele machines en ISO's te verwijderen om het lekken van toegangstokens te voorkomen. (bron)


Acht maanden onopgemerkte aanwezigheid van Iraanse hackers in Midden-Oosters overheidsnetwerk

De Iraanse hacker groep bekend als OilRig (APT34) heeft van februari tot september 2023 toegang gehad tot ten minste twaalf computers van een Midden-Oosters overheidsnetwerk. Deze groep is gelieerd aan het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS) en staat bekend om aanvallen op de VS, het Midden-Oosten en Albanië. Symantec's dreigingsteam ontdekte dat de aanvallen werden uitgevoerd om wachtwoorden en gegevens te stelen en een PowerShell backdoor genaamd 'PowerExchange' te installeren. Deze backdoor stond in verbinding met Microsoft Exchange en accepteerde commando's voor uitvoering via e-mail. Zodra een e-mail met specifieke kenmerken werd ontvangen, voerde de malware willekeurige PowerShell commando's uit, vaak gericht op het schrijven van bestanden of het uitvoeren van data-exfiltratie, en verplaatste de berichten vervolgens naar 'Verwijderde Items' om detectie te minimaliseren. De aanval begon met een PowerShell-script en verspreidde zich later naar andere computers in het netwerk. Gedurende de aanval maakte de groep gebruik van verschillende soorten malware en tools, waaronder Backdoor.Tokel, Trojan.Dirps, Infostealer.Clipog, en Mimikatz. De hackers gebruikten deze tools voor diverse doeleinden zoals het verzamelen van inloggegevens, het stelen van gegevens uit het klembord, en het uitvoeren van zijwaartse bewegingen binnen het netwerk. Symantec concludeert dat ondanks een lek van hun gereedschappen in 2019, OilRig actiever is dan ooit. De aanval illustreert de geavanceerde capaciteiten van de groep, die een mix van tools, scripts en technieken gebruikt om toegang te verkrijgen en te behouden binnen een gecompromitteerd netwerk. (bron)


Toename in DDoS-aanvallen: Europese websites in het vizier

DDoS-aanvallen (Distributed Denial of Service) zijn in opkomst en vormen een steeds groter probleem voor overheidsinstellingen, industrieën en organisaties. Volgens voorspellingen van Cisco zullen er voor het einde van 2023 bijna 15 miljoen DDoS-aanvallen plaatsvinden. In september 2023 werden meerdere Europese entiteiten getroffen, waaronder het Finse transport- en communicatieagentschap Traficom en de Thomas Moore University in Antwerpen. Deze aanvallen hebben grote impact op bedrijfsvoering en dienstverlening. Een van de grote vragen is waarom deze oudere vormen van cyberaanvallen nog steeds succesvol zijn, ondanks moderne webapplicaties en geavanceerde netwerkfilteringsdiensten zoals Cloudflare. Uit onderzoek van Black Lotus Labs blijkt dat de evolutie van multi-vector DDoS-aanvallen hier een belangrijke rol in speelt. Deze aanvallen zijn complexer en moeilijker te verdedigen omdat ze verschillende soorten aanvalsstrategieën combineren en gebruikmaken van ontwijkingstechnieken. Ook het financiële en reputatieverlies voor getroffen organisaties is aanzienlijk. Een sterk online bedrijf met een omzet van 100 miljoen dollar per jaar kan jaarlijks te maken krijgen met tientallen DDoS-aanvallen die gemiddeld acht uur duren en totale kosten kunnen oplopen tot 5 miljoen dollar. Verschillende Russische cybercrimegroepen zoals NoName en Killnet zijn actief betrokken bij deze multi-vector DDoS-aanvallen, vaak met een politieke agenda, zoals het verspreiden van pro-Russische propaganda. Ter verdediging tegen deze aanvallen wordt aangeraden een gelaagde verdedigingsstrategie te hanteren, die onder meer bestaat uit robuuste cloud-gebaseerde DDoS-beschermingsdiensten, een webtoepassingsfirewall (WAF) en continue monitoring van netwerkverkeer. Kortom, ondanks de technologische vooruitgang blijven DDoS-aanvallen een ernstige dreiging vormen, met name door de evolutie naar multi-vector aanvallen. Het is daarom cruciaal dat organisaties hun digitale verdediging versterken om deze aanvallen effectief te kunnen pareren.


Datalek bij Casio treft klanten in 149 landen: ClassPad Onderwijsplatform Gecompromitteerd

Het Japanse elektronicabedrijf Casio heeft een datalek gemeld dat klanten uit 149 landen treft. Het incident werd ontdekt op 11 oktober nadat een database van het ClassPad onderwijsplatform faalde binnen de ontwikkelingsomgeving van het bedrijf. Bewijsmateriaal suggereert dat aanvallers een dag later, op 12 oktober, toegang kregen tot klantgegevens. De blootgestelde data omvat namen van klanten, e-mailadressen, landen van verblijf, details over het gebruik van de dienst en aankoopinformatie zoals betalingsmethoden en licentiecodes. Casio bevestigt dat er geen creditcardinformatie in de gecompromitteerde database was opgeslagen. Op 18 oktober was bekend dat de aanvallers toegang hadden tot 91.921 items van Japanse klanten en 35.049 records van klanten uit andere landen en regio's. Volgens Casio werd het lek veroorzaakt door operationele fouten en ontoereikend operationeel beheer, waardoor de netwerkbeveiligingsinstellingen in de ontwikkelomgeving waren uitgeschakeld. Dit maakte ongeautoriseerde toegang mogelijk. Het bedrijf heeft het incident gemeld bij de Japanse Personal Information Protection Commission en werkt samen met wetshandhavingsautoriteiten en externe cybersecurity-experts om de oorzaken te onderzoeken en passende tegenmaatregelen te treffen. Het ClassPad.net-platform blijft operationeel en het lijkt erop dat de aanvallers geen toegang hadden tot andere systemen. Het is vermeldenswaard dat er in augustus ook claims waren over een datalek bij Casio, waarbij een dreigingsactor genaamd 'thrax' beweerde meer dan 1,2 miljoen gebruikersrecords te hebben gelekt. Casio heeft echter nog niet gereageerd op deze eerdere claims. (bron)


Alarmerende Toename van Gecompromitteerde Cisco XE-systemen door Zerodaylek

Volgens recente bevindingen van securitybedrijf Censys zijn er inmiddels al 42.000 Cisco XE-systemen voorzien van een backdoor door middel van een zerodaylek. Cisco XE is het besturingssysteem dat wordt gebruikt in de switches en routers van het netwerkbedrijf Cisco. De kwetsbaarheid in dit systeem is benoemd als CVE-2023-20198 en maakt het voor ongeauthenticeerde aanvallers mogelijk om volledige controle over de getroffen systemen te krijgen. De ernst van deze beveiligingsfout is beoordeeld met een 10.0 op een schaal van 1 tot en met 10, wat de maximale score is. Deze kwetsbaarheid treft zowel fysieke als virtuele apparaten die het Cisco IOS XE besturingssysteem draaien en beschikken over een ingeschakelde HTTP of HTTPS Server feature. Aanvallers kunnen door misbruik van deze kwetsbaarheid een account aanmaken met ‘privilege 15’, wat hen de volledige controle over het systeem geeft. Eerste signalen van misbruik werden al op 18 september opgemerkt. Het securitybedrijf VulnCheck meldde destijds dat er al zeker 10.000 systemen waren gecompromitteerd. Echter, Censys heeft nu bevestigd dat dit aantal is gestegen naar 42.000. Het merendeel van de getroffen systemen is gelokaliseerd in de Verenigde Staten, gevolgd door de Filipijnen, Mexico, Chili en India. Hoewel Cisco nog geen permanente oplossing heeft uitgebracht, is er een tijdelijke mitigatie beschikbaar gesteld waarmee organisaties hun systemen kunnen beschermen tegen deze kwetsbaarheid. (bron)


Waakzaamheid Geboden: Malafide Google-advertenties Misleiden Gebruikers van KeePass via Punycode

Cyberbeveiligingsonderzoekers trekken aan de bel over malafide Google-advertenties die de gebruikers misleiden door zich voor te doen als legitieme links naar de KeePass-website. Volgens Jerome Segura van antivirusbedrijf Malwarebytes, maken deze advertenties gebruik van punycode om een misleidende domeinnaam te genereren die sterk lijkt op de echte KeePass-website. Wanneer gebruikers zoeken naar 'KeePass' op Google, zien zij een gesponsorde advertentie die naar KeePass.info lijkt te leiden. Echter, in werkelijkheid verwijst deze naar een domein dat begint met 'xn--eepass-vbb'. Door middel van punycode wordt deze domeinnaam in de webbrowser weergegeven als 'keepass' maar dan met een licht afwijkende 'k'. De subtiele verandering is vaak nauwelijks zichtbaar voor de gebruikers. Punycode is een techniek die wordt gebruikt om internationale domeinnamen weer te geven met een beperkte karakterset. Dit maakt het voor aanvallers mogelijk om misleidende domeinnamen te creëren die zeer dicht bij de originele domeinnamen liggen. Deze techniek is al jaren in gebruik door cybercriminelen en blijft een effectieve manier om gebruikers te misleiden in combinatie met gesponsorde advertenties. Segura benadrukt het belang van waakzaamheid en raadt gebruikers aan om extra voorzichtig te zijn bij het downloaden van software. Het misleiden gebeurt in twee stappen: eerst via de ogenschijnlijk legitieme Google-advertentie en daarna via het lookalike-domein. Gebruikers moeten dus goed letten op de bronnen waarvan zij hun software downloaden. (bron)


Cyberbeveiligingsincident Treft Wereldleider in Medische Groothandel Henry Schein

Medische groothandel Henry Schein, die zichzelf als de grootste in de gezondheidszorg wereldwijd beschouwt, is onlangs getroffen door een cyberbeveiligingsincident. Het bedrijf, met een omzet van 12,6 miljard dollar vorig jaar, is een belangrijke speler in de levering van een breed scala aan producten, variërend van geneesmiddelen en medische instrumenten tot diervoeders en verzorgingsproducten. Op zaterdag 14 oktober constateerde het bedrijf dat een deel van hun productie- en distributieactiviteiten door een cyberbeveiligingsincident is aangetast. Als reactie op het incident heeft Henry Schein direct verschillende voorzorgsmaatregelen genomen. Dit omvat het offline halen van bepaalde systemen om verdere verspreiding van het incident te voorkomen. Deze actie heeft tot een tijdelijke onderbreking van sommige bedrijfsactiviteiten geleid. Het bedrijf is actief bezig met het oplossen van het probleem om de normale bedrijfsvoering zo snel mogelijk te hervatten. Henry Schein gaf aan dat het incident geen impact heeft op de praktijkbeheersoftware die door klanten wordt gebruikt. Over de specifieke aard van het cyberbeveiligingsincident heeft het bedrijf geen verdere details vrijgegeven. Er loopt momenteel een onderzoek om de situatie verder te analyseren. Dit incident onderstreept het groeiende belang van robuuste cyberbeveiligingsmaatregelen, vooral in sectoren die kritieke infrastructuur en diensten leveren. De impact van dergelijke incidenten kan verstrekkende gevolgen hebben, niet alleen voor het getroffen bedrijf maar ook voor de zorgsector als geheel. (bron, bron2)


Oekraïense Cyber Alliantie Ontmantelt Trigona Ransomware Gang

Een groep cyberactivisten genaamd de Oekraïense Cyber Alliantie (UCA) heeft succesvol de servers van de Trigona ransomwarebende gehackt en alle gegevens gewist na het kopiëren van beschikbare informatie. De UCA gebruikte een publiek toegankelijke kwetsbaarheid, bekend als CVE-2023-22515 in Confluence Data Center en Server, om op afstand beheerdersrechten te verkrijgen op de infrastructuur van de Trigona ransomware. Na de eerste inbraak op de Confluence-server van Trigona, wist de UCA onopgemerkt toegang te behouden en de volledige infrastructuur van de cybercriminelen in kaart te brengen. Gedurende een week hebben de activisten gegevens onttrokken van de beheer- en slachtofferpanelen van de dreigingsactor, hun blog, data-lekwebsite en interne tools zoals Rocket.Chat, Jira en Confluence servers. Hoewel het nog onduidelijk is of de onttrokken informatie decryptiesleutels bevat, heeft de groep aangegeven deze te zullen vrijgeven als ze worden gevonden. Naast het wissen van de gegevens, hebben de activisten de sites van de Trigona-groep ook gedefaceerd en sleutels voor het beheerderspaneel gedeeld. De UCA beweert tevens honderden gigabytes aan waarschijnlijk gestolen documenten te hebben veiliggesteld. Dit alles resulteert in het volledig offline gaan van de openbare websites en diensten van de Trigona ransomware groep, waardoor hun operatie effectief is ontwricht. De Oekraïense Cyber Alliantie is sinds 2014 actief en is nu een geregistreerde NGO. De groep richt zich op het beschermen van de Oekraïense cyberspace tegen Russische agressie en heeft in het verleden al meerdere succesvolle hackoperaties uitgevoerd.


Cybercriminelen Leiden Tot Grootschalig Datalek bij 23andMe: Miljoenen Genetische Profielen Gelekt

Een hacker heeft opnieuw 4,1 miljoen genetische data profielen gelekt van mensen uit Groot-Brittannië en Duitsland. Deze lek volgt op een eerdere openbaring deze maand, waarbij gegevens van 1 miljoen Ashkenazi Joden werden vrijgegeven. Het bedrijf 23andMe gaf aan dat de gegevens verkregen zijn via 'credential stuffing'-aanvallen, waarbij zwakke wachtwoorden of eerder blootgestelde inloggegevens werden gebruikt. Volgens het bedrijf was er geen sprake van een beveiligingsincident binnen hun IT-systemen. De gelekte informatie is afkomstig van accounts die de 'DNA Relatives'-functie hadden ingeschakeld, wat het voor de hacker mogelijk maakte om een groot aantal individuele profielen te verzamelen. De dreigingsactor die beweert achter de aanvallen te zitten, genaamd 'Golem', heeft deze aanvullende 4,1 miljoen data-profielen gelekt op het BreachForums hacking forum. Onder de data bevindt zich ook informatie van prominente families zoals de Britse koninklijke familie, de Rothschilds en de Rockefellers, hoewel deze claims nog niet zijn geverifieerd. TechCrunch heeft bevestigd dat een deel van de nieuw gelekte data uit Groot-Brittannië overeenkomt met bekende en openbare gebruikers- en genetische informatie. Het wordt ook gemeld dat sommige van de 23andMe-gegevens al in augustus 2023 werden verkocht op het inmiddels gesloten Hydra-hackingforum. Deze opeenvolgende lekken hebben al geleid tot een reeks rechtszaken tegen 23andMe, waarin wordt beweerd dat er een gebrek is aan informatie over de datalekken en dat het bedrijf zijn klanten onvoldoende heeft beschermd. Het is waarschijnlijk dat er meer datalekken zullen volgen, gezien de dreigingsactor claimt "honderden TB's aan data" in bezit te hebben. (bron, bron2, bron3)


Five Eyes Inlichtingendiensten Waarschuwen: China Maakt Gebruik van AI voor Spionage en Diefstal van Intellectueel Eigendom

De inlichtingendiensten van de Vijf Ogen-landen (Verenigde Staten, Groot-Brittannië, Canada, Australië en Nieuw-Zeeland) hebben in een zeldzame gezamenlijke verklaring China ervan beschuldigd kunstmatige intelligentie (AI) in te zetten voor spionage en hacking. Deze uitspraken volgden op bijeenkomsten met private bedrijven in Silicon Valley, het innovatiecentrum van de VS. Christopher Wray, directeur van de FBI in de Verenigde Staten, sprak van een "ongekende dreiging" die China vormt voor wereldwijde innovatie. China zou volgens de functionarissen op verscheidene sectoren inbreuk maken, variërend van kwantumtechnologie en robotica tot biotechnologie en AI. Wray gaf aan dat China op meer gedurfde en gevaarlijke wijze te werk gaat door een combinatie van cyberaanvallen, menselijke inlichtingenoperaties en schijnbaar onschuldige bedrijfsinvesteringen. In reactie hierop heeft een woordvoerder van de Chinese overheid de beschuldigingen van de grond weerlegd en benadrukt dat China toegewijd is aan de bescherming van intellectueel eigendom. Desondanks is dit de eerste keer dat de Vijf Ogen-landen zich gezamenlijk publiekelijk tegen China hebben uitgesproken over de kwestie van intellectuele eigendomsdiefstal. De verklaring benadrukt ook de grootschalige en geraffineerde wijze waarop China intellectueel eigendom en expertise steelt, volgens Mike Burgess, directeur-generaal van de Australische Veiligheidsinlichtingendienst. Tot slot riepen de functionarissen op tot samenwerking tussen de private sector en de academische wereld om deze dreigingen tegen te gaan, met een specifieke focus op de rol van AI als een 'versterker van wangedrag'. (bron)


Noord-Koreaanse Dreigingsactoren Maken Misbruik van TeamCity-kwetsbaarheid

Sinds begin oktober 2023 heeft Microsoft vastgesteld dat twee Noord-Koreaanse dreigingsactoren, bekend als Diamond Sleet en Onyx Sleet, een beveiligingslek misbruiken in de TeamCity-software van JetBrains. Dit lek, aangeduid als CVE-2023-42793, maakt het mogelijk om op afstand code uit te voeren op de getroffen servers. TeamCity wordt veel gebruikt voor continue integratie en levering (CI/CD) in softwareontwikkelingsprocessen. Diamond Sleet en Onyx Sleet gebruiken unieke sets van gereedschappen en technieken na een succesvolle exploitatie. Diamond Sleet is bekend om aanvallen op de toeleveringsketen van software en richt zich vooral op media, IT-diensten en defensie-gerelateerde organisaties. Ze hebben eerder de ForestTiger backdoor en een methode van DLL search-order hijacking ingezet om systemen te compromitteren. Onyx Sleet richt zich daarentegen voornamelijk op defensie- en IT-diensten in Zuid-Korea, de Verenigde Staten en India. Deze groep maakt een nieuwe gebruikersaccount aan op de gecompromitteerde systemen, voert systeemontdekkingscommando's uit en plaatst een unieke payload. Beide groepen zijn in staat om zich langdurig toegang te verschaffen tot gecompromitteerde omgevingen. Microsoft neemt proactieve maatregelen door getroffen klanten direct te informeren en te adviseren over beveiligingsmaatregelen. Het bedrijf raadt aan om de door JetBrains uitgebrachte patch voor CVE-2023-42793 zo snel mogelijk te installeren en om aanvullende detectie- en preventiemethoden toe te passen, zoals het inschakelen van Microsoft Defender Antivirus. Dit incident benadrukt de noodzaak voor organisaties om hun beveiligingspostuur te blijven aanscherpen, vooral in het licht van toenemende dreigingen van door de staat gesponsorde actoren. (bron)


Geüpdatet MATA Malware Framework Bypasses EDR in Aanvallen op Defensiebedrijven

Een geüpdatete versie van het MATA malware framework is actief geweest tussen augustus 2022 en mei 2023. Deze versie richtte zich op bedrijven in de olie- en gassector en de defensie-industrie in Oost-Europa. De aanvallen maakten gebruik van spear-phishing e-mails om slachtoffers te verleiden tot het downloaden van kwaadaardige uitvoerbare bestanden. Deze bestanden misbruikten een kwetsbaarheid in Internet Explorer (CVE-2021-26411) om een infectieketen te initiëren. Het MATA framework combineert een loader, een hoofdtrojaan en een infostealer om een achterdeur te creëren en persistentie te verkrijgen binnen doelnetwerken. De versie van MATA die in deze aanvallen werd gebruikt, lijkt sterk op eerdere versies die zijn gelinkt aan de Noord-Koreaanse Lazarus-hackgroep, maar heeft geüpdatete mogelijkheden. De malware verspreidt zich door het omzeilen van security compliance-oplossingen en het exploiteren van hun zwakke punten. Bij nader onderzoek bleek dat de aanvallers zich toegang hadden verschaft tot financiële softwareservers, verbonden met diverse dochterondernemingen van het doelbedrijf. Ze misbruikten toegang tot de beheerpanelen van twee beveiligingsoplossingen om surveillance uit te voeren en malware te verspreiden. In het geval van Linux-servers gebruikten aanvallers een Linux-variant van MATA. Het nieuwste MATA-framework bevat uitgebreide afstandsbedieningsfuncties en ondersteunt meerdere protocollen voor verbinding met de besturingsservers. Daarnaast worden er extra plugins geladen die het uitvoeren van aanvullende 75 commando's mogelijk maken, variërend van informatievergaring tot netwerkverkenning. Belangrijk is dat onderzoekers ontdekten dat de aanvallers EDR en beveiligingstools omzeilden met behulp van een publiekelijk beschikbare exploit. Als deze methode faalde, schakelden ze over op eerder gedocumenteerde technieken. Hoewel er vermoedens zijn van betrokkenheid van de Lazarus-groep, is de attributie op dit moment niet duidelijk. (bron, bron2)

Updated MATA Attacks Eastern Europe Full Report ENG
PDF – 1,9 MB 66 downloads
VB 2022 Kalnai Havranek
PDF – 3,2 MB 67 downloads

Qubitstrike Aanval Richt Zich op Jupyter Linux Servers om Inloggegevens te Stelen

In een recente cyberaanvalsoperatie, genaamd "Qubitstrike", richten hackers zich op internet-blootgestelde Jupyter Notebooks om Linux servers te infiltreren. Het doel van deze aanvallen is om een mix van malware te installeren, waaronder een Linux rootkit, crypto miners en scripts die wachtwoorden stelen. Jupyter Notebooks zijn open-source interactieve computerruimtes gebruikt voor data-analyse en wetenschappelijk onderzoek. Ze werden recentelijk ook aangevallen door een andere malware genaamd 'PyLoose'. Volgens een rapport van Cado Research worden de schadelijke payloads voor Qubitstrike gehost op codeberg.org. Dit markeert de eerste keer dat dit platform wordt misbruikt voor het verspreiden van malware. De aanval begint met een handmatige scan om blootgestelde Jupyter Notebooks te vinden, gevolgd door CPU-identificatie om het potentieel voor cryptomining te evalueren. Vervolgens zoeken de aanvallers naar bestanden met inloggegevens die ze kunnen stelen. De aanvallers gebruiken een script genaamd 'mi.sh', verantwoordelijk voor de meeste van de kwaadaardige activiteiten op een gecompromitteerde Linux-server. Dit script configureert onder andere cron jobs voor persistentie, installeert een rootkit genaamd 'Diamorphine' en steelt inloggegevens. 'Diamorphine' is een bekende rootkit in Linux-malwarekringen en wordt gebruikt om lopende scripts en malware payloads te verbergen. Wat betreft credential-diefstal, zoekt Qubitstrike naar inloggegevens op de gecompromitteerde servers en stuurt deze via de Telegram Bot API terug naar de operators. Verder maakt de malware gebruik van Discord-bots voor commando- en controle-operaties. Onderzoekers suggereren dat deze aanvalsmethode een voorloper kan zijn van een ander script en blijven de ontwikkelingen nauwlettend volgen. (bron, bron2)


Staatlijke Actoren Exploiteren WinRAR-Kwetsbaarheid, waarschuwt Google

Een recente analyse van Google heeft aangetoond dat staatlijke actoren misbruik maken van een bekende kwetsbaarheid in WinRAR, een populaire archiveringssoftware. De kwetsbaarheid, gelabeld als CVE-2023-38831, is al eerder gebruikt door cybercriminelen bij zogenaamde zeroday-aanvallen. Hoewel er een beveiligingsupdate beschikbaar is om dit lek te dichten, blijven veel gebruikers kwetsbaar omdat ze de update niet hebben geïnstalleerd. De kwetsbaarheid komt naar voren bij het verwerken van zip-bestanden. Aanvallers kunnen de bestandsextensies in het zip-bestand vervalsen, waardoor het voor het slachtoffer lijkt alsof een onschuldig bestand, zoals een afbeelding of tekstbestand, wordt geopend. In werkelijkheid gaat het echter om een kwaadaardig script dat het systeem besmet met malware en zo de aanvaller toegang geeft tot accounts. Volgens Google maken nu ook door de overheid gesteunde groepen uit landen als China en Rusland misbruik van deze kwetsbaarheid. De malware die via de kwetsbare zip-bestanden wordt verspreid, is in staat om inloggegevens uit browsers te stelen en als achterdeur te fungeren voor verdere aanvallen. Google benadrukt het belang van het tijdig updaten van software en pleit voor een gebruiksvriendelijke manier voor het installeren van updates. Deze ontwikkeling onderstreept het aanhoudende gevaar van bekende kwetsbaarheden die ondanks beschikbare patches blijven bestaan. Het wijst op de noodzaak voor individuen en organisaties om hun software up-to-date te houden als een cruciale stap in het waarborgen van cyberveiligheid. (bron)


Forse Toename in Phishing Schade in België: 60% Stijging naar €40 Miljoen

In België is de financiële schade door phishing in het afgelopen jaar met maar liefst 60% gestegen, tot een totaal van 40 miljoen euro. Deze verontrustende cijfers zijn bekendgemaakt door Febelfin, de overkoepelende organisatie van Belgische banken. Deze stijging is grotendeels toe te schrijven aan een significante toename in het aantal verzonden phishingberichten. Uit onderzoek van Febelfin blijkt dat 69% van de Belgische bevolking in de afgelopen zes maanden ten minste één phishingbericht heeft ontvangen. Het percentage van de bevolking dat daadwerkelijk slachtoffer is geworden van phishing ligt op 8%. Dit percentage is onder jongeren zelfs nog hoger, namelijk 12%. Van deze slachtoffers wist 62% welke stappen ze moesten ondernemen om het probleem aan te pakken. Verontrustend is dat 8% van de Belgen nog nooit van phishing heeft gehoord; onder jongeren is dit zelfs 23%. Miguel De Bruycker van het Centrum voor Cybersecurity België benadrukt dat phishingberichten een hardnekkig probleem vormen. Hij stelt dat mensen vaak nieuwsgierig of bang zijn en daardoor vatbaar zijn voor de tactieken van cybercriminelen. Om de bevolking te helpen malafide websites te herkennen, heeft de Belgische overheid een browser-extensie ontwikkeld voor Google Chrome. Deze extensie beoordeelt de betrouwbaarheid van websites op basis van diverse bekende factoren, waaronder het domein en het certificatieniveau. Op het moment van schrijven heeft deze extensie meer dan tweeduizend gebruikers. (bron, bron2)


VS Coördineert Internationaal Initiatief tegen Losgeldbetalingen bij Ransomware

De Verenigde Staten zijn op zoek naar internationale samenwerking om de betaling van losgeld bij ransomware-aanvallen aan te pakken. Later deze maand vindt in Washington een bijeenkomst plaats waar vertegenwoordigers van 47 landen samenkomen om te spreken over de strijd tegen ransomware. Het initiatief, genaamd het International Counter Ransomware Initiative (CRI), heeft als doel een brede aanpak van het probleem te formuleren. Hierbij wordt niet alleen gefocust op het tegengaan van losgeldbetalingen maar ook op het verstoren van ransomware-operaties en het verbeteren van de samenwerking tussen internationale opsporingsdiensten. Daarnaast zet het initiatief diplomatieke druk op landen die ransomwaregroepen binnen hun grenzen tolereren. Anne Neuberger, de Amerikaanse nationale veiligheidsadviseur, gaf aan dat de VS willen dat deelnemende landen zich openlijk uitspreken tegen het betalen van losgeld. Ze benadrukte dat ransomware-aanvallen vooral populair en winstgevend zijn omdat slachtoffers vaak kiezen voor het betalen van losgeld. Door middel van een gezamenlijke verklaring hoopt men deze cyclus te doorbreken. Neuberger stelt dat het aanpakken van het losgeld de kern van het probleem is, en dus essentieel voor een succesvolle strategie. Belangrijk om op te merken is dat de voorgestelde verklaring alleen voor overheden zal gelden en niet voor bedrijven. Als er geen overeenstemming bereikt wordt over de verklaring vóór de bijeenkomst, zal dit onderwerp verder besproken worden tijdens de bijeenkomst zelf. Dit initiatief vertegenwoordigt volgens Neuberger een eerste stap in een bredere strategie om losgeldbetalingen aan criminelen te ontmoedigen. (bron)


Kritieke Zero-Day Kwetsbaarheid in Citrix NetScaler Actief Misbruikt Sinds Augustus

Een ernstige zero-day kwetsbaarheid in Citrix NetScaler, bekend als CVE-2023-4966, is actief uitgebuit sinds eind augustus 2023, volgens het beveiligingsbedrijf Mandiant. Hoewel Citrix op 10 oktober een beveiligingsupdate uitbracht, werd er aanvankelijk niet gecommuniceerd dat het om een actief aangevallen kwetsbaarheid ging. Een bijgewerkt beveiligingsbulletin maakte dit later alsnog duidelijk. Citrix NetScaler ADC fungeert als een tussenlaag tussen servers van organisaties en het internet. Het zorgt voor de verdeling van inkomend internetverkeer om zo de toegankelijkheid van websites en applicaties te waarborgen. Het platform wordt ook veel gebruikt voor telewerken, waardoor medewerkers van bedrijven via de NetScaler Gateway op afstand toegang kunnen krijgen tot bedrijfsapplicaties en -omgevingen. De kwetsbaarheid maakt het voor aanvallers mogelijk om gevoelige informatie van achterliggende systemen te achterhalen. Het stelt aanvallers tevens in staat om bestaande gebruikerssessies te kapen. Hierdoor kunnen zij multifactorauthenticatie en andere inlogvereisten omzeilen. Opvallend is dat de gekaapte sessies actief kunnen blijven, zelfs nadat de beveiligingsupdate is geïnstalleerd. Mandiant rapporteert dat het aanvallen heeft waargenomen waarbij de gestolen sessiegegevens pas na installatie van de patch werden gebruikt om verdere toegang te krijgen. Diverse sectoren, waaronder professionele dienstverleners, technologiebedrijven en overheidsinstellingen, zijn getroffen door aanvallen die deze kwetsbaarheid exploiteren. Dit benadrukt het kritieke belang van snelle patching en voortdurende waakzaamheid tegen cyberdreigingen. (bron, bron2)


Fantom Foundation Lijdt $550.000 Verlies na Aanval op Hot Wallet

De Fantom Foundation, verantwoordelijk voor het Fantom-netwerk, is onlangs het slachtoffer geworden van een cyberaanval waarbij meer dan $550.000 aan cryptocurrency werd gestolen. Oorspronkelijke berichten suggereerden een veel hoger verlies van ongeveer $7 miljoen, maar deze cijfers werden later bijgesteld. De stichting heeft bevestigd dat het merendeel van de gestolen fondsen afkomstig was van externe gebruikers en dat 99% van de fondsen van de stichting zelf ongedeerd zijn gebleven. Een grondig onderzoek is momenteel gaande. Er was aanvankelijk verwarring over de werkelijke omvang van het verlies omdat bepaalde wallets ten onrechte waren geïdentificeerd als zijnde van de Fantom Foundation. Deze wallets waren in werkelijkheid overgedragen aan een medewerker en bevatten geen bedrijfsmiddelen meer. Het Fantom-netwerk, een slim contractplatform compatibel met de Ethereum Virtual Machine, was zelf niet het doelwit van de aanval; het was de stichting en de gebruikers van de Fantom-wallets die werden getroffen. Volgens gegevens van DefiLlama heeft het Fantom-netwerk meer dan $45 miljoen aan activa in zijn contracten vastgelegd. Blockchain-beveiligingsplatform CertiK bevestigde de aanval en herzag ook de oorspronkelijke schattingen van het verlies. Transacties naar bekende zwendelaccounts wijzen erop dat de privésleutels van het ontwikkelingsteam mogelijk zijn gecompromitteerd. Met deze aanval wordt opnieuw het belang van robuuste beveiligingsmaatregelen binnen de cryptocurrency-sector benadrukt. (bron)


FBI Waarschuwt voor Afpersing Patiënten Plastisch Chirurgen via Gestolen Gevoelige Foto's

De FBI waarschuwt voor een toename in cyberaanvallen gericht op plastisch chirurgen en hun klinieken. Het primaire doel van deze aanvallen is het stelen van gevoelige foto's en medische gegevens van patiënten om hen vervolgens af te persen. De aanvallen worden uitgevoerd in drie fases. Ten eerste verkrijgen de aanvallers toegang tot medische data via phishing-aanvallen. In de tweede fase worden deze gegevens verrijkt door gebruik te maken van open bronnen zoals social media en methoden van social engineering. Tenslotte wordt er afpersing toegepast op zowel de patiënten als de chirurgen. Als er niet aan de eisen voor betaling in cryptovaluta wordt voldaan, dreigen de criminelen de gevoelige informatie openbaar te maken of te delen met vrienden, familie en collega's van het slachtoffer. De FBI adviseert mensen om hun privacyinstellingen op social media aan te passen en deze op privé te zetten. Daarnaast wordt aangeraden om de vriendenlijst te controleren en alleen bekenden toe te laten. Het gebruik van een wachtwoordmanager voor het creëren van sterke wachtwoorden wordt ook aanbevolen. In het geval van afpersing dient men direct contact op te nemen met de FBI. Deze ontwikkeling benadrukt het belang van digitale veiligheid en bewustwording bij zowel zorgverleners als patiënten. Het beveiligen van medische en persoonlijke data is niet alleen de verantwoordelijkheid van de medische instellingen, maar vergt ook een proactieve houding van individuen om hun eigen privacy te beschermen. (bron)


Cyberaanval treft Maternus-Kliniken AG: Gegevensuitstroom onderzocht

Op 17 oktober 2023 is bekendgemaakt dat de IT-infrastructuur van Maternus-Kliniken AG, een Duits zorgconglomeraat, is getroffen door een cyberaanval. De raad van bestuur van het bedrijf heeft aangegeven dat er sprake is geweest van een datalek, waarvan de omvang momenteel wordt onderzocht. Tot dusverre is er geen versleuteling van data waargenomen, en de operationele activiteiten van de onderneming lijken niet substantieel te zijn aangetast. Direct na de ontdekking van de aanval zijn er noodmaatregelen getroffen conform het vooraf opgestelde noodplan van de onderneming. Een speciaal samengestelde werkgroep, in samenwerking met cybersecurity-experts, is in het leven geroepen om de situatie te evalueren en corrigerende maatregelen te nemen. Hoewel de volledige impact op de financiële vooruitzichten van het bedrijf nog niet bekend is, wordt een effect op de economische ontwikkeling van Maternus-Kliniken AG niet uitgesloten. Het bedrijf heeft haar stakeholders geïnformeerd via een Ad-hoc persbericht, conform de Europese regelgeving rondom de openbaarmaking van 'insider informatie'. De kwestie is in behandeling bij Mario Ruano-Wohlers, een bestuurslid van de onderneming, die verantwoordelijk is voor het contact met de media en investeerders. Op het moment van het persbericht was verdere informatie omtrent de aard en reikwijdte van het incident nog niet beschikbaar. De cyberaanval en het daaropvolgende onderzoek zijn cruciaal, niet alleen voor de direct betrokkenen maar ook voor de bredere gezondheidszorgsector, die steeds vaker het doelwit is van cybercriminelen. Het incident onderstreept het belang van robuuste cybersecurity-maatregelen en snelle responsplannen. (bron)


Cybercriminelen Richten Zich op Provincie Perugia (I): Snelle Respons Voorkomt Ernstige Schade

De Provincie Perugia in Italië is recentelijk het doelwit geworden van een cyberaanval. Deze aanval was primair gericht op het veroorzaken van een dienstonderbreking door het versleutelen van gegevens op interne servers. Gelukkig was een snelle reactie van de technische teams van de entiteit en de ondersteuning van cybersecurity-experts voldoende om de aanval te neutraliseren. De focus op ICT-beveiliging van de Provincie Perugia is altijd hoog geweest; in juli werd er een nieuw generatie firewall geïmplementeerd en in september heeft de provincie ook geïnvesteerd in het Consip "Cybersecurity 2" raamakkoord. Deze investeringen hebben geholpen om het effect van de aanval te minimaliseren. Direct na de aanval is de Polizia Postale (de postpolitie van Italië, die onder andere cybercrime onderzoekt) ingeschakeld voor verder onderzoek. Op dit moment worden alle noodzakelijke controles uitgevoerd om de volledige impact van de aanval te beoordelen. Ondanks het incident zijn alle kantoren van de Provincie Perugia regulier geopend. Dit incident benadrukt het belang van proactieve investeringen in cybersecurity. Het feit dat de aanval snel werd gedetecteerd en geneutraliseerd is deels te danken aan recente upgrades in de beveiligingsinfrastructuur van de Provincie. Het onderzoek naar de aanval is nog aan de gang en zal hopelijk leiden tot identificatie en vervolging van de verantwoordelijke partijen. (bron)


Harlingen (VS) in Herstel na Cyberaanval: Een Waarschuwing voor Publieke Diensten

De stad Harlingen in Texas, VS, werkt momenteel aan het herstellen van een cyberaanval die alle telefoon- en internetdiensten van stadsafdelingen heeft uitgeschakeld. De aanval werd geconstateerd op een maandag en de telefoondiensten zijn inmiddels hersteld. Terwijl de stad hard werkt aan het volledig herstellen van de diensten en het beveiligen van hun systemen, komt er een waarschuwing van een cybersecurity-expert. Alex Alcoser, cybersecurity-instructeur aan de Texas State Technical College, geeft aan dat iedereen die technologie gebruikt dat is aangesloten op het internet, een potentieel slachtoffer kan zijn van een cyberaanval. De meest voorkomende methode waarop mensen slachtoffer worden is door te klikken op een malafide link. Dit kan komen via een e-mail (phishing) of een tekstbericht op mobiele apparaten. Downloads die zijn bijgevoegd in dergelijke berichten kunnen ook schadelijke software bevatten. Onbeveiligde en verouderde software maken technologie eveneens kwetsbaar voor aanvallen. De exacte omvang van de cyberaanval op Harlingen is nog onbekend. Het goede nieuws is dat de inwoners van Harlingen vooralsnog niet zijn getroffen door de aanval. Het IT-departement van de stad is actief bezig om ervoor te zorgen dat alle cybersecurity-systemen en stadscomputers naar behoren functioneren. Deze gebeurtenis dient als een dringende herinnering aan het belang van up-to-date en robuuste cybersecurity-maatregelen, niet alleen voor individuen maar ook voor publieke diensten. (bron)


Malafide Google Ads voor Notepad++ Omzeilen Maandenlang Detectie

Een nieuw verslag wijst op een geavanceerde malafide advertentiecampagne die gericht is op gebruikers die de populaire teksteditor Notepad++ willen downloaden. Deze malafide Google Ads-campagne maakt gebruik van verfijnde technieken om detectie en analyse te ontwijken. Volgens het cybersecuritybedrijf Malwarebytes is de campagne al enkele maanden actief maar is deze tot nu toe onopgemerkt gebleven. De aanvallers maken misbruik van Google Ads om valse softwarewebsites te promoten die malware verspreiden. De uiteindelijke payload die aan de slachtoffers wordt geleverd, is onbekend, maar de kans is groot dat het gaat om Cobalt Strike, een tool die vaak voorafgaat aan grootschalige ransomware-aanvallen. De malafide campagne promoot URL's die duidelijk niet gerelateerd zijn aan het Notepad++ softwareproject, maar gebruikt misleidende titels in de Google zoekresultaten. Zodra iemand op een van de advertenties klikt, wordt hun IP-adres gecontroleerd om crawlers, VPN's en bots uit te sluiten. Deze worden omgeleid naar een onschuldige decoy-site. Legitieme doelwitten worden echter doorgestuurd naar een site die de echte Notepad++ website nabootst. Na het klikken op downloadlinks wordt een tweede controle uitgevoerd om te valideren dat de bezoeker geen sandbox gebruikt. Slachtoffers die als geschikt worden gemarkeerd, krijgen een HTA-script met een unieke ID, waarschijnlijk om de infecties te kunnen volgen. Om veilig te blijven, adviseert het rapport om gepromote resultaten op Google Search te vermijden en dubbel te controleren of je op de officiële domeinnaam van het softwareproject bent geland. (bron)


D-Link Bevestigt Datalek na Phishing-aanval op Medewerker

Het Taiwanese netwerkapparatuur bedrijf D-Link heeft een datalek bevestigd waarbij informatie uit hun netwerk is gestolen en te koop is aangeboden op het hackersforum BreachForums. De aanvaller beweert de broncode van D-Link’s D-View netwerkbeheersoftware te hebben gestolen, samen met miljoenen gegevens van klanten en medewerkers, waaronder details over de CEO van het bedrijf. De gestolen data omvat naar verluidt namen, e-mails, adressen, telefoonnummers, account registratiedata en laatste inlogdata. De aanvaller heeft samples van 45 gestolen records gepresenteerd met tijdstempels tussen 2012 en 2013. Hierop reageerde een andere deelnemer dat de data erg verouderd lijkt. De data is sinds 1 oktober beschikbaar voor aankoop op het hackersforum, waarbij $500 wordt gevraagd voor de gestolen klantinformatie en de vermeende D-View broncode. D-Link gaf aan dat het lek het gevolg was van een medewerker die slachtoffer werd van een phishing-aanval. Als reactie heeft het bedrijf onmiddellijk de mogelijke getroffen servers uitgeschakeld en alle gebruikersaccounts behalve twee gedeactiveerd voor het onderzoek. Het bedrijf benadrukte dat de indringer toegang had tot een productregistratiesysteem binnen een "testlabomgeving" op een verouderd D-View 6-systeem, dat zijn levensduur al in 2015 had bereikt. In tegenstelling tot de beweringen van de aanvaller, bevatte het gecompromitteerde systeem slechts ongeveer 700 records met informatie over accounts die al minstens zeven jaar inactief zijn. D-Link vermoedt ook dat de dreigingsactor opzettelijk de recente inlog-tijdstempels heeft gemanipuleerd om de illusie van een meer recente datadiefstal te creëren. Het bedrijf gaf verder aan dat de meeste van zijn bestaande klanten waarschijnlijk niet door dit incident zullen worden getroffen. (bron)


SpyNote Android-malware verspreidt zich via valse vulkaanuitbarstingswaarschuwingen in Italië

Het Android-malwareprogramma 'SpyNote' is recentelijk opgemerkt in een campagne die zich richt op Italië. Deze campagne maakt gebruik van een nagemaakte website van 'IT-alert', een legitieme openbare waarschuwingsdienst van de Italiaanse overheid. Deze dienst is bedoeld om de bevolking te informeren over naderende of lopende rampen, zoals bosbranden, overstromingen en aardbevingen. De vervalste IT-alert-website waarschuwt voor een verhoogde kans op een vulkaanuitbarsting en spoort bezoekers aan om een app te installeren om op de hoogte te blijven. Wanneer bezoekers van de nepwebsite op de downloadknop klikken, worden gebruikers van iOS-apparaten omgeleid naar de echte IT-alert-website. Android-gebruikers daarentegen krijgen direct een APK-bestand (Android-pakket) genaamd 'IT-Alert.apk' aangeboden. Eenmaal geïnstalleerd, krijgt het SpyNote-malwareprogramma toegang tot toegankelijkheidsdiensten op het apparaat. Dit stelt de aanvallers in staat om een breed scala aan invasieve acties uit te voeren, waaronder het stelen van inloggegevens via overlay-aanvallen, het opnemen van camera- en telefoongesprekken en het tracken van locaties. SpyNote, dat voor het eerst werd gedocumenteerd in 2022, zit nu in zijn derde grote versie en wordt via Telegram verkocht aan cybercriminelen. Sinds de broncode van een variant uitlekte in januari 2023, zijn er spikes in detecties waargenomen. Sommige cybercriminelen hebben aangepaste varianten gecreëerd die zich richten op specifieke banken, terwijl anderen ervoor kozen om het te vermommen als apps zoals Google's Play Store en WhatsApp. Ter verdediging tegen deze bedreigingen wordt aangeraden om APK's alleen te downloaden van betrouwbare bronnen zoals de Google Play Store. Een woordvoerder van Google heeft bevestigd dat SpyNote niet aanwezig is in apps die beschikbaar zijn op de officiële Android app-winkel. (bron, bron2)


Grootschalige Zero-Day Aanval Treft Meer dan 10.000 Cisco IOS XE Apparaten

In een recente ontwikkeling zijn meer dan 10.000 apparaten die draaien op Cisco's IOS XE software getroffen door een kritieke zero-day kwetsbaarheid. Deze kwetsbaarheid, aangeduid als CVE-2023-20198, is geëxploiteerd om kwaadaardige implantaten in de systemen te installeren. Apparaten die risico lopen omvatten zakelijke switches, industriële routers, toegangspunten en draadloze controllers. Volgens het bedrijf voor dreigingsinformatie VulnCheck is de kwetsbaarheid vooral uitgebuit bij systemen waar de Web User Interface (Web UI) en HTTP of HTTPS Server-functies zijn ingeschakeld. VulnCheck heeft een speciale scanner vrijgegeven om besmette hosts op te sporen en merkt op dat het werkelijke aantal getroffen systemen waarschijnlijk veel hoger is dan de momenteel geïdentificeerde 10.000. De kwetsbaarheid geeft aanvallers de mogelijkheid om netwerkverkeer te monitoren, toegang te krijgen tot beschermde netwerken en man-in-the-middle-aanvallen uit te voeren. Cisco zelf waarschuwt dat ongeauthenticeerde aanvallers volledige beheerdersrechten kunnen krijgen over de getroffen apparaten. Als tijdelijke oplossing adviseert Cisco om de kwetsbare HTTP-serverfunctie op alle internetgeconfronteerde systemen uit te schakelen totdat er een patch beschikbaar is. Het is cruciaal voor organisaties om hun systemen te controleren op compromittering en, indien nodig, direct actie te ondernemen. Dit omvat het uitschakelen van de webinterface en het verwijderen van alle beheerinterfaces van het internet. Cisco heeft ook geadviseerd om te zoeken naar verdachte of onlangs gecreëerde gebruikersaccounts als mogelijke indicatoren van kwaadaardige activiteit gerelateerd aan deze dreiging. (bron)


IT-Systemen van Rechtbanken in Kansas Gecompromitteerd: Overgang naar Papierwerk als Noodmaatregel

De IT-systemen van de rechtbanken in de Amerikaanse staat Kansas zijn sinds 12 oktober offline vanwege een ernstig security-incident. Hoewel rechtszaken nog wel doorgang kunnen vinden, heeft het incident een grote impact op de dagelijkse operaties van de rechtbanken. Men moet noodgedwongen terugvallen op papier voor processen die normaal gesproken digitaal worden afgehandeld. Verschillende systemen zijn getroffen, waaronder het systeem waar advocaten juridische documenten kunnen indienen en systemen voor casemanagement en digitale betalingen. Ook andere databases zoals die voor het verwerken van huwelijken en het opzoeken van gegevens van advocaten zijn geraakt. Hierdoor moeten griffiers nu papieren documenten in ontvangst nemen, en moeten advocaten hun documenten fysiek of via fax indienen. Om eventuele problemen op te vangen zijn bepaalde deadlines voor het indienen van documenten verlengd, aldus het Hooggerechtshof in Kansas. Het Office of Judicial Administration in Kansas, dat de dagelijkse operaties van de rechtbanken ondersteunt, is momenteel bezig met een onderzoek naar het incident, in samenwerking met experts. Er zijn echter nog geen details bekend over de aard van het security-incident of wanneer de systemen weer operationeel zullen zijn. Opvallend is dat dit het tweede security-incident is dat Amerikaanse rechtbanken treft in een korte periode. Twee weken eerder werd het rechtssysteem in het noordwesten van Florida getroffen door een soortgelijk incident, dat later werd opgeëist door de ransomwaregroepering ALPHV, ook bekend als BlackCat. 

2023 CC 074
PDF – 146,9 KB 65 downloads

Cyberaanval treft Psychiatrie Baselland in Zwitserland

Op 16 oktober 2023 werd Psychiatrie Baselland, een psychiatrische instelling in Zwitserland, het doelwit van een gecoördineerde cyberaanval. Een nog ongeïdentificeerde hacker-groep heeft een aanzienlijk deel van de IT-infrastructuur van de instelling versleuteld, waardoor de interne systemen uit voorzorg zijn uitgeschakeld. In samenwerking met externe experts is de instelling druk bezig om de aard van het probleem te analyseren en corrigerende maatregelen te treffen. Deze herstelacties zullen naar verwachting enige tijd in beslag nemen. Als gevolg van de aanval is de communicatie binnen en buiten de instelling ernstig beperkt. Hoewel het verzenden en ontvangen van e-mails momenteel onmogelijk is, blijft Psychiatrie Baselland bereikbaar via telefoon en post. Daarnaast blijft hun website operationeel waar belangrijke contactgegevens beschikbaar zijn. De autoriteiten zijn op de hoogte gebracht van het incident. Verdere details zijn op dit moment schaars, en de instelling zal meer informatie verschaffen zodra nieuwe feiten bekend zijn. Ze bieden hun excuses aan voor het ongemak dat dit incident heeft veroorzaakt. (bron)


Discord blijft een broeinest voor malware en geavanceerde aanvallen

Het communicatieplatform Discord is steeds vaker het doelwit van cybercriminelen en nu ook van APT-groepen (Advanced Persistent Threats). Dit blijkt uit een recent rapport van beveiligingsbedrijf Trellix. Discord wordt op drie primaire manieren misbruikt. Ten eerste wordt het Content Delivery Network (CDN) van Discord gebruikt om malware te verspreiden, wat vaak niet wordt opgemerkt door antivirusprogramma's omdat het verkeer afkomstig is van een vertrouwd domein. Ten tweede wordt de Discord-client aangepast om wachtwoorden te stelen, en ten derde worden Discord-webhooks gebruikt om data te stelen van het systeem van het slachtoffer. Volgens Trellix zijn er minstens 10.000 malware-exemplaren die Discord's CDN gebruiken om tweede-fase payloads te laden. Deze payloads zijn voornamelijk bekende malware zoals RedLine stealer, Vidar, AgentTesla, zgRAT, en Raccoon stealer. Ook zijn er sinds augustus 2021 zeventien malware-families die webhooks misbruiken voor datadiefstal, waaronder Agent Tesla en UmbralStealer. Opmerkelijk is de betrokkenheid van APT-groepen, die nu ook Discord beginnen te gebruiken. Zij waarderen vooral de mogelijkheid om hun activiteiten te vermengen met legitieme Discord-gebruikers, wat opsporing bemoeilijkt. In een recent geval gebruikte een onbekende APT-groep spear-phishing om kritieke infrastructuur in Oekraïne aan te vallen via Discord-webhooks. Ondanks de groeiende schaal van het probleem heeft Discord geen effectieve maatregelen kunnen nemen om deze vormen van misbruik te stoppen. De mogelijkheden voor schaalbaarheid, encryptie en legitiem gebruik van dezelfde features maken het bijzonder moeilijk voor Discord om malafide gebruikers effectief te onderscheiden van legitieme gebruikers. Het rapport suggereert dat het probleem in de toekomst waarschijnlijk zal verergeren. (bron)


FBI en CISA waarschuwen voor ernstige Confluence-kwetsbaarheid en verwachten grootschalig misbruik

De FBI en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) hebben een dringende waarschuwing uitgegeven over een kritieke kwetsbaarheid in Atlassian Confluence, een populair wikiplatform dat vaak door organisaties wordt gebruikt voor samenwerking. Deze beveiligingslek, aangeduid met het kenmerk CVE-2023-22515, heeft een beoordeling van 10.0 op een schaal van 1 tot 10, wat de ernst van het probleem onderstreept. Het lek stelt aanvallers in staat om ongeautoriseerde adminaccounts te creëren binnen de Confluence-installatie, waardoor ze volledige toegang krijgen tot het netwerk van een organisatie. Verschillende 'threat actors' hebben al gebruik gemaakt van deze kwetsbaarheid als een zeroday-aanval. Hoewel Atlassian een beveiligingsupdate heeft vrijgegeven op 4 oktober, blijven er aanvallen plaatsvinden. De FBI en CISA benadrukken de noodzaak voor organisaties om de beschikbare beveiligingsupdate zo snel mogelijk te installeren. Vanwege de eenvoud waarmee het beveiligingslek is te exploiteren, verwachten de Amerikaanse overheidsdiensten dat er grootschalig misbruik van zal worden gemaakt. Als aanvullende beveiligingsmaatregel zijn er Indicators of Compromise (IoC) verstrekt, waarmee organisaties kunnen controleren of hun Confluence-installatie al dan niet is gecompromitteerd. Deze situatie toont de urgentie aan voor organisaties om hun cybersecuritymaatregelen te herzien en up-to-date te houden, gezien de snel evoluerende dreigingslandschap. (bron)


Gebruik van Gekaapte Teams- en Skype-accounts voor Malware Verspreiding aan het Licht Gebracht

In een recent rapport heeft antivirusbedrijf Trend Micro onthuld dat cybercriminelen gekaapte Teams- en Skype-accounts gebruiken om malware te distribueren. De tactiek van de aanvallers is verraderlijk eenvoudig en effectief. Zodra ze toegang krijgen tot een account, gaan ze verder met een bestaand gesprek en sturen een bestand dat op een PDF-overeenkomst lijkt. Echter, dit bestand is in feite een VBS-script dat bedoeld is om malware te installeren op de computer van het slachtoffer. De cybercriminelen gebruiken bestandsnamen die beginnen met 'naam.pdf', gevolgd door een aantal spaties en vervolgens 'www.skype.vbs'. Het doel is om het slachtoffer te misleiden door hem of haar te laten denken dat het om een onschuldig PDF-bestand gaat. In het geval van aanvallen via Teams, wordt er een bestand met een dubbele extensie gebruikt, bijvoorbeeld 'Position_Guidelines.pdf.lnk', waardoor opnieuw malware wordt geïnstalleerd wanneer het wordt geopend. De specifieke malware die wordt geïnstalleerd, DarkGate genaamd, heeft meerdere functies. Het kan remote access software zoals AnyDesk installeren, het systeem gebruiken voor cryptomining, toetsaanslagen loggen en zelfs informatie stelen uit webbrowsers. Hoe de Teams- en Skype-accounts oorspronkelijk worden gekaapt is nog onduidelijk, maar het kan mogelijk te maken hebben met gestolen inloggegevens die online worden verkocht of zijn buitgemaakt bij een eerdere aanval. Het is cruciaal dat gebruikers waakzaam zijn bij het openen van bestanden die via deze platforms worden gedeeld om te voorkomen dat ze slachtoffer worden van deze geraffineerde aanvallen. (bron)


Signal Weerspreekt Geruchten Over Zogenaamde Zero-Day Kwetsbaarheid

Signal, de versleutelde berichtenservice, heeft de afgelopen dagen onderzoek gedaan naar geruchten over een vermeende zero-day beveiligingslek. De geruchten verspreidden zich in het weekend en waren gericht op de 'Generate Link Previews'-functie van de app. Verschillende bronnen hadden tegen BleepingComputer en op Twitter gezegd dat deze kwetsbaarheid tot een volledige overname van apparaten zou kunnen leiden. Signal heeft deze geruchten echter onderzocht en in een verklaring op Twitter laten weten dat er geen bewijs is om te suggereren dat deze kwetsbaarheid echt bestaat. De beweringen over de zero-day waren naar verluidt afkomstig van niet nader genoemde bronnen binnen de Amerikaanse regering. Deze bronnen stelden dat de kwetsbaarheid kon worden verholpen door de 'Generate Link Previews'-instelling in Signal uit te schakelen. BleepingComputer heeft echter aangegeven dat ze de geldigheid van deze uitspraken niet konden bevestigen, ondanks dat ze van meerdere personen hetzelfde hebben gehoord. Signal blijft vragen dat als iemand nieuwe en "echte" informatie heeft over een mogelijke kwetsbaarheid, zij contact opnemen met het beveiligingsteam van Signal. Hoewel er op dit moment geen bewijs is voor het bestaan van deze zero-day, is het nog steeds een lopend onderzoek. Als voorzorgsmaatregel adviseren sommigen om de Link Previews-functie uit te schakelen totdat volledig is bevestigd dat er geen sprake is van een kwetsbaarheid.



Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Meer weekoverzichten

Mei 2024
April 2024