Overzicht van slachtoffers cyberaanvallen week 43-2023

Gepubliceerd op 30 oktober 2023 om 15:00

EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


In de afgelopen week is er een alarmerende toename geweest in het aantal cyberaanvallen wereldwijd. Oktober 2023 markeert een recordaantal aanvallen, voornamelijk gericht op ransomware. Nederlandse bedrijven blijken steeds minder geneigd om losgeld te betalen in het geval van een ransomware-aanval, een trend die is versterkt door de recente 'Kaashack' bij Bakker Logistiek, waarbij financiële schade opliep tot wel 3,5 miljoen euro.

In België zijn verschillende sectoren getroffen, van gezondheidszorg tot de bouwsector en zelfs notariskantoren. Opvallend is dat familiebedrijf Verhelst Groep heeft geweigerd om miljoenen aan losgeld te betalen aan cybercriminelen. In Frankrijk hebben Russische hackers kritieke netwerken geïnfiltreerd en zelfs een Franse basketbalclub is niet gespaard gebleven.

Duitsland, Italië en de Verenigde Staten rapporteren eveneens significante aanvallen op diverse organisaties, waaronder tandartsenverenigingen, ziekenhuizen en universiteiten. Buiten Europa en Noord-Amerika zijn er aanvallen gemeld in Chili en de Filipijnen, waarbij miljoenen zijn gestolen van een Filipijnse crypto exchange.

Zelfs gevestigde techbedrijven zoals 1Password zijn niet immuun; ze werden getroffen door een beveiligingsincident naar aanleiding van een inbraak bij Okta.

Hieronder vindt u een volledig overzicht van de cyberaanvallen van de afgelopen week. Het belang van sterke cyberbeveiligingsmaatregelen kan niet genoeg worden benadrukt, gezien de toenemende frequentie en complexiteit van deze aanvallen.



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
Global Export Marketing Co. Ltd. INC Ransom globalxport.com USA Wholesale Trade-non-durable Goods 29-okt-23
WACOSA BlackCat (ALPHV) wacosa.org USA Social Services 29-okt-23
CK Associates PLAY www.c-ka.com USA Miscellaneous Services 28-okt-23
Yingling Aviation PLAY www.yinglingaviation.com USA Transportation By Air 28-okt-23
Sam Tell Companies PLAY www.samtell.com USA Wholesale Trade-durable Goods 28-okt-23
Waterstone Faucets PLAY www.waterstoneco.com USA Fabricated Metal Products 28-okt-23
Bush Refrigeration PLAY www.bushrefrigeration.com USA Wholesale Trade-durable Goods 28-okt-23
Drug Emporium PLAY www.drugemporiuminc.com USA Miscellaneous Retail 28-okt-23
Online Development PLAY www.oldi.com USA Electronic, Electrical Equipment, Components 28-okt-23
TNT Plastic Molding BianLian tntplasticmolding.com USA Rubber, Plastics Products 28-okt-23
KDI Office Technology PLAY www.kdi-inc.com USA IT Services 28-okt-23
Het Veer PLAY www.het-veer.be Belgium Health Services 28-okt-23
IBACOS 8BASE ibacos.com USA Construction 28-okt-23
Pontifica Universidad Católica de Chile Knight www.uc.cl Chile Educational Services 28-okt-23
Alam Flora Sdn Bhd INC Ransom alamflora.com.my Malaysia Electric, Gas, And Sanitary Services 27-okt-23
boeing.com LockBit boeing.com USA Aerospace 27-okt-23
Telecommunications Services of Trinidad and Tobago RansomEXX tstt.co.tt Trinidad and Tobago Communications 27-okt-23
Mutual Underwriters BlackCat (ALPHV) www.mutualunderwriters.net USA Insurance Carriers 27-okt-23
tilden-coil.com LockBit tilden-coil.com USA Construction 27-okt-23
Stanford University Akira stanford.edu USA Educational Services 27-okt-23
VOLEX.COM Black Basta volex.com United Kingdom Electronic, Electrical Equipment, Components 27-okt-23
Wilson Lewis 8BASE www.wilsonlewis.com USA Accounting Services 27-okt-23
ZINSER GmbH 8BASE www.zinser.de Germany Machinery, Computer Equipment 27-okt-23
CBS BlackCat (ALPHV) www.cbs-ee.ro Romania Engineering Services 27-okt-23
Fytisa NoEscape www.fytisa.com Spain Textile Mill Products 27-okt-23
Tru-val Electric PLAY www.tru-val.com USA Construction 26-okt-23
maniland.co.uk ThreeAM maniland.co.uk United Kingdom Real Estate 26-okt-23
caminorealcs.org LockBit caminorealcs.org USA Health Services 26-okt-23
doverchem.com LockBit doverchem.com USA Chemical Producers 26-okt-23
SG World Qilin sgworld.com United Kingdom IT Services 26-okt-23
claimtek.com ThreeAM claimtek.com USA IT Services 26-okt-23
DUHOCAAU Mallox www.duhocaau.vn Vietnam Educational Services 26-okt-23
Versatile Card Technology Private Limited Mallox www.vct.co.in India Rubber, Plastics Products 26-okt-23
Fortive Corporation Black Basta www.fortive.com USA Holding And Other Investment Offices 25-okt-23
M&n Management Snatch mandnmanagement.com USA Real Estate 25-okt-23
Ancillae-Assumpta Academy Snatch ancillae.org USA Educational Services 25-okt-23
Direct Mail Corporation INC Ransom directmail.com.au Australia Transportation Services 25-okt-23
Ashley Store Lorenz www.ashleyfurniture.com USA Home Furniture, Furnishings, And Equipment Stores 25-okt-23
Broad River Retail Lorenz broadriverretail.com USA Home Furniture, Furnishings, And Equipment Stores 25-okt-23
Cardiovascular Consultants Ltd Qilin cvcheart.com USA Health Services 25-okt-23
Carter Transport Claims 8BASE cartertransport.com.au Australia Transportation Services 25-okt-23
AVA Limited 8BASE www.avamountings.co.uk United Kingdom Machinery, Computer Equipment 25-okt-23
Pine River Pre-Pack, Inc 8BASE pineriver.com USA Food Products 25-okt-23
Harmann Studios Inc 8BASE harmann.com USA Miscellaneous Services 25-okt-23
Paul-Alexandre Doïcesco, Notaires Associés Qilin notairedoicesco.be Belgium Real Estate 25-okt-23
LBA BlackCat (ALPHV) www.lbaproperties.com USA Lodging Places 25-okt-23
BMW Munique Motors Knight www.bmwmuniquemotors.com.br Brazil Automotive Dealers 25-okt-23
camico.com LockBit camico.com USA Insurance Carriers 24-okt-23
excon.cl LockBit excon.cl Chile Construction 24-okt-23
martinsonservices.com LockBit martinsonservices.com USA Miscellaneous Services 24-okt-23
fern-plastics.co.uk LockBit fern-plastics.co.uk United Kingdom Rubber, Plastics Products 24-okt-23
linkmicrotek.com LockBit linkmicrotek.com United Kingdom Measuring, Analyzing, Controlling Instruments 24-okt-23
ambic.co.uk LockBit ambic.co.uk United Kingdom Rubber, Plastics Products 24-okt-23
mgbwlaw.com LockBit mgbwlaw.com Canada Legal Services 24-okt-23
Florists Supply Ltd NoEscape www.floristssupply.com Canada Wholesale Trade-non-durable Goods 24-okt-23
City of Victorville NoEscape victorvilleca.gov USA General Government 24-okt-23
CMC Group Akira www.cmcgroupmiami.com USA Real Estate 24-okt-23
City of Pittsburg BlackCat (ALPHV) www.pittks.org USA General Government 24-okt-23
Michels Markisen GmbH Knight michels.info Germany Construction 24-okt-23
EDUARDO G. BARROSO 8BASE plasticsurgerymd.net USA Health Services 24-okt-23
hgmonline.com LockBit hgmonline.com USA Construction 24-okt-23
farwickgrote.de Cloak farwickgrote.de Germany Construction 24-okt-23
skncustoms.com Cloak skncustoms.com Saint Kitts and Nevis Public Finance, Taxation 24-okt-23
euro2000-spa.it Cloak euro2000-spa.it Italy Electronic, Electrical Equipment, Components 24-okt-23
Thenewtrongroup.com Cloak thenewtrongroup.com USA Construction 24-okt-23
B**************.uk Cloak Unknown United Kingdom Unknown 24-okt-23
roa************.com Cloak Unknown USA Unknown 24-okt-23
a*****s.com Cloak Unknown United Kingdom Unknown 24-okt-23
Ag***********s.fr Cloak Unknown France Unknown 24-okt-23
Nov*******.au Cloak Unknown Australia Unknown 24-okt-23
grupocobra.com LockBit grupocobra.com Spain Electric, Gas, And Sanitary Services 24-okt-23
Faieta Motorcompany IT Knight faietamoto.it Italy Automotive Dealers 24-okt-23
Mario de Cecco Knight www.dececco.net Italy Apparel And Other Finished Products 24-okt-23
Kinesis Film Srl Knight www.kinesisfilm.it Italy Miscellaneous Services 24-okt-23
US Claims Solutions Knight usclaimssolutions.com USA Insurance Carriers 24-okt-23
Benefit Management Knight www.benefit-management.com USA Insurance Carriers 24-okt-23
Intellipop Fiber Internet Knight www.intellipop.co USA Communications 24-okt-23
il Centro Knight www.ilcentro.it Italy Communications 24-okt-23
Emmea Srl Knight www.emmeasrl.it Italy Motor Freight Transportation 24-okt-23
SURTECO North America 8BASE suddekorllc.com Germany Paper Products 24-okt-23
www.portage.k12.in.us BlackCat (ALPHV) www.portage.k12.in.us USA Educational Services 23-okt-23
Newconcepttech Cuba newconcepttech.com USA Machinery, Computer Equipment 23-okt-23
3-D Engineering/ 3-D Precision Machine BlackCat (ALPHV) www.3deng.com Unknown Machinery, Computer Equipment 23-okt-23
Mister Minit NoEscape www.misterminit.eu Belgium Personal Services 23-okt-23
Central University of Bayamón NoEscape www.ucb.edu.pr Puerto Rico Educational Services 23-okt-23
Motorcycles of Charlotte & Greensboro NoEscape www.bmw-ducati.com USA Automotive Dealers 23-okt-23
International Community Schools NoEscape www.icschool-uae.com United Arab Emirates Educational Services 23-okt-23
Safpro Medusa safpro.co.uk United Kingdom Apparel And Other Finished Products 23-okt-23
EHPAD Medusa www.ehpad.fr France Health Services 23-okt-23
Beaver Lake Cree Nation Medusa beaverlakecreenation.ca Canada General Government 23-okt-23
Native Counselling Services of Alberta Medusa www.ncsa.ca Canada Personal Services 23-okt-23
wellons.org Medusa Locker wellons.org USA Real Estate 23-okt-23
Ada-Borup-West School Medusa Locker www.ada.k12.mn.us USA Educational Services 23-okt-23
harlingentx.gov LockBit harlingentx.gov USA General Government 23-okt-23
mamu.be LockBit mamu.be Belgium Construction 23-okt-23
Dr. Jaime Schwartz MD, FACS Hunters International www.drjaimeschwartz.com USA Health Services 23-okt-23
UK Stratton Primary School Hunters International stratton.cornwall.sch.uk United Kingdom Educational Services 23-okt-23

Slachtoffers België en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
Het Veer PLAY www.het-veer.be Belgium Health Services 28-okt-23
Paul-Alexandre Doïcesco, Notaires Associés Qilin notairedoicesco.be Belgium Real Estate 25-okt-23
Mister Minit NoEscape www.misterminit.eu Belgium Personal Services 23-okt-23
mamu.be LockBit mamu.be Belgium Construction 23-okt-23

In samenwerking met StealthMol

Sponsor Cybercrimeinfo


Cyberaanvallen nieuws


Belgisch Gezondheidsbedrijf Het Veer Getroffen door Cyberaanval van PLAY

Op 28 oktober 2023 hebben cybercriminelen van de groep PLAY bekendgemaakt dat ze een succesvolle aanval hebben uitgevoerd op Het Veer, een Belgisch bedrijf in de gezondheidssector. De aanval en daaropvolgende datalek vormen een ernstige bedreiging voor zowel de organisatie als haar cliënten. Extra waakzaamheid is geboden voor mogelijke phishingpogingen of andere cyberaanvallen die kunnen volgen.


Explosieve Toename van 'Rug Pulls' in de Crypto Sector

In de crypto-wereld zijn er tal van manieren waarop oplichters hun slag proberen te slaan, maar een recent onderzoek door Hacken wijst uit dat 'rug pulls', oftewel 'exit scams', met een alarmerende snelheid toenemen. In deze scams verzamelen projectteams geld van investeerders, om vervolgens de stekker uit het project te trekken en er met het geïnvesteerde geld vandoor te gaan. De nietsvermoedende investeerders blijven hierdoor met enorme verliezen achter. Uit de studie blijkt dat in het derde kwartaal van 2023 maar liefst 65,1% van de crypto-oplichtingen uit 'rug pulls' bestond, met een totale schade van 682 miljoen euro. Dit bedrag markeert een significante stijging ten opzichte van het vorige kwartaal, waarin het totale gestolen bedrag uitkwam op 352 miljoen euro. Interessant is dat het aantal hacks in hetzelfde tijdsbestek is afgenomen van 131 naar 117, maar dat de omvang van deze hacks aanzienlijk is toegenomen. De onderzoekers wijzen erop dat het gemak waarmee tokens binnen de crypto-wereld gecreëerd kunnen worden bijdraagt aan deze groei. Veel investeerders stappen ook impulsief in uit 'Fear of Missing Out' (FOMO) zonder adequaat onderzoek te doen. Als rode vlaggen wijzen experts op projecten waarbij het achterliggende team onbekend is of waar geen openbare audit heeft plaatsgevonden. Uit het onderzoek van Hacken bleek dat slechts 12 van de 78 onderzochte 'rug pulls' een audit hadden ondergaan.


Ouders Ontvangen Gestolen Gegevens van Hun Kinderen

De Clark County School District (CCSD) in Nevada (VS), de vijfde grootste schooldistrict in de VS, is getroffen door een ernstig datalek. Hackers hebben ouders e-mails gestuurd met daarin persoonlijke gegevens van hun kinderen die zij beweren te hebben gestolen bij een cyberaanval eerder deze maand. De aanval werd op 16 oktober bevestigd door CCSD, die meldde dat onbevoegden toegang hadden gekregen tot hun e-mailservers rond 5 oktober. Sindsdien hebben ouders gemeld dat ze e-mails hebben ontvangen met PDF-bestanden die gestolen studentgegevens bevatten, zoals foto's, adressen, studenten-ID's en e-mailadressen. De hackers, die zichzelf 'SingularityMD' noemen, hebben beweerd dat ze de gegevens van 200,000 studenten hebben gelekt. Ze gaven ook aan nog steeds toegang te hebben tot de CCSD-systemen en dreigen meer data te lekken als er niet aan hun losgeld-eis wordt voldaan. Deze eis betreft minder dan een derde van het jaarlijkse salaris van de superintendent van de school. De hackers hebben kritiek geuit op de beveiligingsmaatregelen van CCSD, zoals het feit dat studenten gedwongen werden hun verjaardag als wachtwoord te gebruiken. Dit incident heeft veel onrust veroorzaakt onder ouders en studenten, die vrezen dat hun gegevens voor andere kwaadaardige doeleinden kunnen worden gebruikt, zoals identiteitsdiefstal of verdere phishing-aanvallen. CCSD heeft in reactie op de aanval externe toegang tot zijn Google Workspace uitgeschakeld en alle studentenwachtwoorden gereset. De instelling werkt samen met justitie en forensische experts om de omvang van het datalek te bepalen en eventuele verdere incidenten te voorkomen. (bron, bron2, bron3, bron4, bron5)


Boeing Doelwit van LockBit Cyberaanval

Boeing is op 27 oktober 2023 slachtoffer geworden van een cyberaanval uitgevoerd door de LockBit-groep. Volgens de criminelen zelf is de aanval nog in uitvoering en zijn de gevolgen nog niet duidelijk. Dit meldt LockBit op het darkweb. Het is essentieel voor bedrijven en individuen om waakzaam te blijven en hun cyberveiligheidsmaatregelen te versterken. Meer updates volgen. (anoniem)


Recordaantal Ransomware-aanvallen in Oktober 2023

Ransomware-aanvallen blijven in een alarmerend tempo toenemen, met afgelopen maand als recordhouder voor 2023. Volgens gegevens van de NCC Group werden er in september 514 aanvallen uitgevoerd, wat het vorige record van 459 aanvallen in maart 2023 overtreft. Deze stijging wordt ook bevestigd door Check Point Software, die een toename van 3% in aanvallen voor 2023 rapporteert. Een rapport van Chainalysis voorspelt zelfs dat de betalingen aan ransomware dit jaar de grens van $500 miljoen zullen overschrijden. Microsoft heeft onlangs een rapport vrijgegeven over de Octo Tempest-extortiegroep, die wordt beschouwd als een van de 'meest gevaarlijke financiële criminele groepen'. Deze groep, ook bekend als Scattered Spider, Oktapus en UNC3944, wordt in verband gebracht met recente aanvallen op MGM Resorts en Caesars en eerdere aanvallen op platforms zoals Reddit, MailChimp, Twilio, DoorDash en Riot Games. Octo Tempest maakt gebruik van geavanceerde social engineering en hacktechnieken, en in sommige gevallen zelfs dreigementen met geweld, om toegang te krijgen tot bedrijfsgegevens. Daarnaast zijn er recente cyberaanvallen gemeld op organisaties zoals American Family Insurance, BHI Energy en vijf ziekenhuizen in Ontario, Canada. Er is zelfs een datalek bevestigd bij het Franse ASVEL-basketbalteam na een ransomware-aanval. In dit groeiende landschap van cyberdreigingen blijft het essentieel om bewust te zijn van de nieuwste ontwikkelingen en maatregelen te nemen om potentiële risico's te minimaliseren. (bron, bron2, bron3)


Lazarus Hackersgroep Maakt Herhaaldelijk Misbruik van Softwareontwikkelaar om SIGNBT Malware te Verspreiden

De Noord-Koreaanse hackersgroep Lazarus heeft een softwareontwikkelaar meerdere malen gecompromitteerd om SIGNBT malware te verspreiden, ondanks beschikbare patches en waarschuwingen van de ontwikkelaar. Deze herhaalde inbraken wijzen erop dat de aanvallers tot doel hadden om broncode te stelen of een aanval op de softwaretoeleveringsketen uit te voeren. De cyberbeveiligingsfirma Kaspersky, die de aanval in juli 2023 ontdekte, plaatst deze binnen een bredere campagne waarbij Lazarus tussen maart en augustus 2023 diverse softwarebedrijven als doelwit had. De SIGNBT malware richt zich op legitieme beveiligingssoftware gebruikt voor webcommunicatieversleuteling. De exacte methode van exploitatie is nog onbekend. SIGNBT maakt gebruik van een complexe infectieketen en toolset na compromittering, waaronder een kwaadaardige DLL-bestand ('ualapi.dll') dat bij het opstarten wordt uitgevoerd om persistentie te garanderen. Dit bestand voert identiteitsverificatiechecks uit op het slachtoffer voordat de malware wordt geladen, om er zeker van te zijn dat de infectie op de bedoelde doelwitten wordt uitgevoerd. De malware heeft verschillende functies, zoals het beheren van processen, het manipuleren van bestanden en het uitvoeren van commando's via zijn command-and-control server (C2). Tevens kan SIGNBT aanvullende payloads van de C2 ontvangen en deze op het getroffen systeem implementeren, wat Lazarus operationele veelzijdigheid biedt. LPEClient, een andere malware die door Lazarus wordt ingezet, dient als informatie-ontvreemder en malware-lader. De activiteiten van de Lazarus-groep benadrukken de noodzaak voor organisaties om proactief hun software te patchen en de uitbuiting van kwetsbaarheden te voorkomen. (bron)


‘Kaashack’ Veroorzaakt Financiële Schade van 3,5 Miljoen Euro voor Bakker Logistiek

In april 2021 werd Bakker Logistiek, de huisvervoerder van Albert Heijn, getroffen door een cyberaanval die leidde tot een kaastekort in de winkels van de supermarktketen. Recent vrijgegeven financiële rapporten onthullen dat deze 'kaashack' het transportbedrijf een financiële last van 3,5 miljoen euro heeft opgeleverd. Het incident heeft een ernstige impact gehad op de jaarrekening van 2021; het bedrijf rapporteerde een nettoverlies van bijna twee miljoen euro. De cybercriminelen wisten gebruik te maken van een kwetsbaarheid in de Microsoft Exchange-server van Bakker Logistiek. Na de aanval kon het bedrijf pas na bijna een week, met hulp van Northwave Intelligent Security Operations, zijn normale bedrijfsvoering hervatten. Van de totale financiële schade van 3,5 miljoen euro is 1,3 miljoen euro opgenomen als 'kostprijs van de omzet', en het restant van 2,2 miljoen euro wordt beschouwd als algemene beheerskosten. Of losgeld onderdeel was van deze kosten is niet gespecificeerd. Als reactie op het incident heeft Bakker Logistiek zijn cybersecurity-maatregelen aanzienlijk aangescherpt, inclusief de migratie van hun serverpark naar een ISO 27001-gecertificeerd datacentrum en de vervanging van verouderde netwerkcomponenten. Het bedrijf heeft ook 'managed detection and response' geïmplementeerd om proactief cyberaanvallen te detecteren en passende maatregelen te nemen. Deze gebeurtenis benadrukt het belang van robuuste cybersecurity-maatregelen, vooral gezien het feit dat de financiële gevolgen verreikend kunnen zijn en invloed kunnen hebben op zowel de leveringsketen als de eindconsument. (bron)


Alarmerend Aantal Cisco IOS XE-systemen Nog Steeds Besmet met Backdoor

Het securitybedrijf Censys waarschuwt dat wereldwijd vermoedelijk nog tienduizenden Cisco IOS XE-systemen besmet zijn met een backdoor. De aanwezigheid van deze backdoor geeft aanvallers toegang tot de betreffende apparaten, die veelal worden gebruikt in switches en routers. Opmerkelijk is dat er voor verschillende versies van IOS XE nog geen beveiligingsupdates beschikbaar zijn, behalve voor versie 17.9. Het is nog onbekend wanneer updates voor andere versies zoals 17.6, 17.3 en 16.12 zullen verschijnen. Eerder deze maand werd al bekend dat aanvallers gebruik maken van twee zerodaylekken, aangeduid als CVE-2023-20273 en CVE-2023-20198, om de systemen volledig op afstand over te nemen. Na het compromitteren van het systeem, installeerden de aanvallers een backdoor om blijvende toegang tot het systeem te verkrijgen. Ze kunnen vervolgens verdere aanvallen uitvoeren of dataverkeer onderscheppen. Censys heeft in een hoogtepunt 53.000 besmette IOS XE-systemen geteld. Na bekendmaking van de zerodaylekken hebben de aanvallers hun backdoor aangepast, zodat deze alleen nog reageert op specifieke http-headers. Dit heeft het moeilijker gemaakt voor onderzoekers om het exacte aantal besmette apparaten vast te stellen. Een recente, zij het minder precieze, telling van Censys schat het aantal besmette systemen nu op ongeveer 29.000. Censys benadrukt dat dit een goed gecoördineerde en uitgevoerde aanval is. Niet alleen is er gebruik gemaakt van bestaande kwetsbaarheden, maar de aanvallers hebben ook aanzienlijke moeite gedaan om systeemspecifieke backdoors te implementeren, wat wijst op een hoge mate van technische expertise. (bron)


Oudenburgs (B) Familiebedrijf Verhelst Groep Weigert Miljoenen aan Losgeld te Betalen aan Cybercriminelen

Twee weken geleden werd het in Oudenburg gevestigde familiebedrijf Verhelst Groep het slachtoffer van een cyberaanval. Cybercriminelen eisten een aanzienlijk losgeld in de vorm van miljoenen euro's om de gegijzelde bedrijfsgegevens vrij te geven. De directie van het bedrijf besloot echter niet op deze eis in te gaan. Gedelegeerd bestuurder Kathleen Verhelst verklaarde dat de omvang van de financiële schade nog moet worden vastgesteld. De aanval had een ingrijpende impact op de bedrijfsvoering. Belangrijke gegevens zoals klantinformatie, bestelgegevens en transportinformatie werden door de cybercriminelen gewist. Hierdoor lag het bedrijf twee weken stil, wat ongetwijfeld heeft geleid tot financiële verliezen en operationele uitdagingen. Hoewel de directie niet heeft toegegeven aan de eisen van de cybercriminelen, is het duidelijk dat het incident aanzienlijke gevolgen heeft gehad voor het bedrijf. Het benadrukt het belang van robuuste cyberbeveiligingsmaatregelen om te voorkomen dat bedrijven slachtoffer worden van soortgelijke aanvallen. Het incident laat ook zien dat het betalen van losgeld geen garantie is voor het herstellen van gegevens en dat het wellicht beter is om het losgeld niet te betalen, maar te investeren in preventie en herstel. In de nasleep van de aanval werkt het bedrijf waarschijnlijk aan het versterken van hun cyberbeveiligingsinfrastructuur om toekomstige aanvallen te weerstaan en de impact op de bedrijfscontinuïteit te minimaliseren. (bron)


Incident Informatique in Ville d'Annecy Leidt tot Verhoogde Cyberveiligheidsmaatregelen

In de nacht van woensdag op donderdag heeft de Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) de gemeentediensten van de stad Annecy gewaarschuwd voor een mogelijke inbraak in hun informatiesystemen. Als reactie hierop heeft de stad direct preventieve maatregelen genomen en een grondige analyse van haar informatiesystemen uitgevoerd om eventuele kwaadwillige activiteiten te detecteren. Tot dusver zijn er geen ernstige afwijkingen gevonden, maar de preventieve maatregelen zullen doorgaan tot maandag 30 oktober. Als voorzorgsmaatregel zal het internetnetwerk van de stad tijdelijk worden uitgeschakeld, van 17.30 uur tot 08.00 uur de volgende dag en gedurende het weekend. Tijdens deze periodes zal de mogelijkheid om met een creditcard te betalen bij verschillende stadsfaciliteiten zoals zwembaden, theaters, en parkings niet gegarandeerd zijn. Andere diensten zoals het videobewakingssysteem en de tunnel Courrier zullen operationeel blijven, terwijl toegang tot familieportalen, bibliotheken en stedelijke planning tijdelijk onbeschikbaar zal zijn. Deze maatregelen komen twee jaar nadat de stad een grootschalige cyberaanval heeft ervaren. Sindsdien heeft de stad diverse cybersecuritytools en goede praktijken geïmplementeerd om zich tegen dergelijke risico's te beschermen. De diensten van de stad zijn volledig gemobiliseerd om de overlast die door deze situatie kan ontstaan tot een minimum te beperken. (bron)


Twee Miljoen Downloads voor Malafide Android Apps op Google Play

Verschillende malafide apps op Google Play zijn meer dan twee miljoen keer gedownload en zorgen voor opdringerige advertenties op de getroffen apparaten. Deze apps weten zichzelf ook goed te verbergen op de geïnfecteerde smartphones. Volgens een maandelijks rapport van Doctor Web, een bedrijf dat zich specialiseert in mobiele beveiliging, zijn er verschillende Trojaanse apps geïdentificeerd die gelinkt zijn aan de malwarefamilies 'FakeApp,' 'Joker,' en 'HiddenAds'. Vier apps die zich voordoen als spellen - waaronder 'Super Skibydi Killer' met 1 miljoen downloads en 'Agent Shooter' met 500.000 downloads - zijn in het bijzonder onder de loep genomen. Na installatie veranderen deze apps hun iconen naar die van Google Chrome of gebruiken een transparant icoon om zichzelf te verbergen in de app-lade van de gebruiker. Ze draaien vervolgens stilletjes op de achtergrond en gebruiken de browser om advertenties te lanceren, waarmee ze inkomsten genereren voor de exploitanten. Onderzoekers hebben ook apps ontdekt die gebruikers omleiden naar investeringsfraude websites en andere apps die twijfelachtige online casino’s laden, in strijd met Google Play’s beleid. Twee andere apps van de 'Joker' familie abonneren gebruikers zelfs op premium betaaldiensten zonder hun medeweten. Doctor Web heeft alle kwaadaardige apps gerapporteerd en deze zijn inmiddels verwijderd uit de Google Play Store. Gebruikers die deze apps eerder hebben gedownload, wordt geadviseerd ze onmiddellijk te verwijderen en een volledige apparaatscan uit te voeren met Play Protect en andere mobiele antivirusgereedschappen. Voor een veiligere downloadervaring wordt aangeraden om het aantal apps dat je installeert te minimaliseren, gebruikersbeoordelingen zorgvuldig te lezen en de betrouwbaarheid van de uitgever te verifiëren. (bron, bron2)


Russische Hackersgroep APT28 Infiltreren Kritische Netwerken in Frankrijk

Sinds de tweede helft van 2021 heeft de Russische hackersgroep APT28, ook bekend als 'Strontium' of 'Fancy Bear', verschillende kritieke netwerken in Frankrijk aangevallen. Deze groep, die gelieerd is aan de Russische militaire inlichtingendienst GRU, heeft zich gericht op overheidsinstanties, bedrijven, universiteiten, onderzoeksinstituten en denktanks. Dit wordt bevestigd in een recent gepubliceerd rapport van ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), de Franse nationale agentschap voor informatiesysteembeveiliging. De aanvallers hebben verschillende kwetsbaarheden geëxploiteerd, waaronder een remote code execution kwetsbaarheid in WinRAR en een zero-day privilege elevation flaw in Microsoft Outlook. Ze zijn ook afgestapt van het gebruik van achterdeuren om detectie te ontwijken, en hebben in plaats daarvan randapparatuur van Franse organisaties gecompromitteerd. ANSSI heeft de TTP's (technieken, tactieken en procedures) van APT28 in kaart gebracht. De groep maakt gebruik van brute-forcing en gelekte databanken met inloggegevens om toegang te krijgen tot accounts en netwerkapparaten zoals Ubiquiti routers. Ze hebben ook phishing-campagnes uitgevoerd en meerdere andere kwetsbaarheden uitgebuit. De aanvallers richten zich specifiek op data-acquisitie en -exfiltratie, waarbij zij gebruik maken van een verscheidenheid aan tools en VPN-clients om hun activiteiten te maskeren. ANSSI benadrukt het belang van emailbeveiliging als een cruciale verdedigingsmaatregel tegen deze groep. Dit alles toont de groeiende complexiteit en het aanpassingsvermogen van cyberaanvallers, waardoor het noodzakelijk is om een veelomvattende benadering van cybersecurity te hanteren. (bron)

CERTFR 2023 CTI 009
PDF – 2,4 MB 54 downloads

StripedFly Malware Infecteert Meer dan 1 Miljoen Windows en Linux Systemen Onder de Radar

Een geavanceerd malware-platform genaamd StripedFly is erin geslaagd om vijf jaar lang onopgemerkt te blijven, waarbij het meer dan een miljoen Windows en Linux systemen heeft geïnfecteerd. Onderzoekers van Kaspersky hebben de ware aard van dit kwaadaardige framework ontdekt, dat ten onrechte was geclassificeerd als een eenvoudige Monero cryptocurrency miner. StripedFly maakt gebruik van complexe technieken, zoals TOR-gebaseerde verkeersversleuteling, automatische updates van vertrouwde platforms en worm-achtige verspreidingsmogelijkheden. Het framework gebruikt ook een aangepaste EternalBlue SMBv1 exploit, die werd ontwikkeld vóór de openbare bekendmaking van deze kwetsbaarheid. De malware kan zich aanpassen aan de aanwezigheid van PowerShell op Windows-systemen en gebruikt verschillende methoden voor persistentie op Linux-systemen. Er is bewijs gevonden dat suggereert dat StripedFly eerst systemen binnendrong via internet-geëxposeerde computers met behulp van deze EternalBlue exploit. Het commando- en controlecentrum (C2) van de malware is gehuisvest op het TOR-netwerk. Het totale aantal geïnfecteerde systemen wordt geschat op meer dan een miljoen, waaronder ten minste 220.000 Windows-systemen sinds februari 2022. StripedFly is modulair van aard, waardoor het verschillende taken kan uitvoeren, variërend van datadiefstal tot systeemexploitatie. Hoewel de primaire doelstellingen van de aanvallers nog onduidelijk zijn, benadrukt Kaspersky dat de complexiteit van de malware wijst op een geavanceerde, aanhoudende dreiging (APT). Deze ontdekking werpt belangrijke vragen op over de effectiviteit van huidige detectiemechanismen en benadrukt de behoefte aan voortdurende waakzaamheid in de strijd tegen cyberdreigingen. (bron, bron2)


Toename in Hyper-Volumetrische HTTP DDoS-aanvallen Signaleert Nieuwe Fase in Cyberdreigingslandschap

In het derde kwartaal van 2023 heeft Cloudflare een ongekende stijging waargenomen in het aantal hyper-volumetrische HTTP DDoS-aanvallen. Dit suggereert dat het veld van cyberdreigingen een nieuwe fase is ingegaan. DDoS-aanvallen zijn erop gericht servers te overbelasten met grote hoeveelheden ongewenst verkeer, waardoor legitieme gebruikers geen toegang meer krijgen tot de betreffende apps, websites of online diensten. Uit een rapport van Cloudflare blijkt dat tijdens dit kwartaal duizenden van dergelijke aanvallen zijn tegengehouden. Opmerkelijk is dat meer dan 89 van deze aanvallen een piek bereikten van boven de 100 miljoen verzoeken per seconde (rps). De grootste aanval had een piek van 201 miljoen rps, drie keer groter dan het vorige record in februari 2023. Deze aanvallen zijn mogelijk gemaakt door een nieuwetechniek, genaamd 'HTTP/2 Rapid Reset', die sinds augustus 2023 als een zero-day exploit wordt gebruikt. De aanvallen maken nu gebruik van VM-gebaseerde botnets met een omvang tussen de 5-20 duizend nodes, in plaats van miljoenen zwakke IoT-apparaten, waardoor ze veel effectiever zijn. Cloudflare rapporteert een algehele stijging van 65% in het geaggregeerde volume van HTTP DDoS-aanvalverkeer in het afgelopen kwartaal en een toename van 14% in L3/L4 DDoS-aanvallen. Wat betreft de doelwitten waren dit kwartaal vooral gaming- en gokentiteiten het mikpunt, gevolgd door IT en internetdiensten, cryptocurrency, software en telecommunicatie. Bijna 5% van al het HTTP DDoS-verkeer was gericht op entiteiten in de Verenigde Staten, gevolgd door Singapore met 3,1% en China met 2,2%. Naast deze trends zijn er ook minder bekende aanvalsvectoren in opkomst, zoals een toename van 456% in mDNS-aanvallen en een stijging van 387% in CoAP-aanvallen. Deze nieuwe trends vereisen een herziening van de huidige verdedigingsstrategieën om effectief te blijven in het tegengaan van deze geavanceerde aanvalsmethoden. (bron)


Nieuwe iLeakage-aanval Bedreigt Veiligheid van Apple Safari

Onderzoekers van verschillende academische instellingen hebben een nieuwe kwetsbaarheid ontdekt in Apple's Safari-webbrowser, genaamd iLeakage. Deze aanval maakt gebruik van speculatieve uitvoering, een techniek die moderne CPU's gebruiken om de prestaties te verbeteren. iLeakage is de eerste gedemonstreerde speculatieve uitvoeringsaanval tegen Apple Silicon CPU's en de Safari-browser. Het heeft de mogelijkheid om met "bijna perfecte nauwkeurigheid" gevoelige informatie zoals e-mails en wachtwoorden te extraheren, niet alleen uit Safari maar ook uit Firefox, Tor en Edge op iOS-apparaten. De aanval is een timerloze versie van de Spectre-aanval, die standaardbeveiligingsmaatregelen omzeilt die door alle webbrowserontwikkelaars zijn geïmplementeerd. De onderzoekers slaagden erin om deze beschermingslagen te omzeilen door gebruik te maken van eennieuwe techniek die de JavaScript window.open API gebruikt. Deze techniek stelt een aanvallende pagina in staat om hetzelfde adresbereik te delen als willekeurige slachtofferpagina's. De proof-of-concept code voor de aanval is geschreven in JavaScript en WebAssembly. Het belangrijkste is dat deze aanval alle Apple-apparaten beïnvloedt die sinds 2020 zijn uitgebracht en draaien op Apple's A-serie en M-serie ARM-processors. Het is een gecompliceerde aanval die geavanceerde kennis vereist, maar laat geen sporen na op het systeem van het slachtoffer, behalve mogelijk een vermelding van de aanvallende webpagina in de browsercache. Apple is op de hoogte gebracht en heeft mitigaties ontwikkeld, maar deze kunnen enige instabiliteit veroorzaken. De ontdekking benadrukt ook de potentiële risico's van speculatieve uitvoering in opkomende ARM-gebaseerde platforms.

Ileakage
PDF – 2,0 MB 52 downloads

CCleaner en MOVEit Transfer Getroffen door Zeroday Aanval: Wat U Moet Weten

Softwarebedrijf CCleaner heeft zijn klanten geïnformeerd over een ernstig datalek dat plaatsvond eind mei, veroorzaakt door een zeroday kwetsbaarheid in MOVEit Transfer. MOVEit Transfer is een applicatie die wordt gebruikt voor het veilig uitwisselen van bestanden en wordt breed ingezet bij verschillende organisaties om vertrouwelijke informatie te delen. Criminelen achter de Clop-ransomware wisten toegang te krijgen tot de MOVEit-servers van duizenden organisaties en daarbij persoonsgegevens en andere vertrouwelijke informatie te stelen. De Clop-groep heeft de namen van de getroffen organisaties op hun website gepubliceerd. Ze dreigen met het openbaar maken van de gestolen data als er niet aan hun losgeldeisen wordt voldaan. De exacte omvang van het aantal getroffen CCleaner klanten is momenteel niet bekend. Echter, volgens antivirusbedrijf Emsisoft zijn door deze zeroday aanval bijna 2600 organisaties getroffen, en zijn er meer dan 66,3 miljoen persoonsgegevens gestolen. CCleaner, dat sinds 2017 een dochteronderneming is van Avast, biedt zijn getroffen klanten zes maanden gratis toegang tot BreachGuard aan, een dienst die helpt bij het monitoren van datalekken. Tegelijkertijd heeft de Amerikaanse beurswaakhond SEC een onderzoek aangekondigd naar de aanval en is MOVEit-ontwikkelaar Progress onderdeel van 58 massaclaims door getroffen individuen. Deze aanval benadrukt het groeiende risico van zeroday kwetsbaarheden en de noodzaak voor organisaties om hun cyberbeveiligingsmaatregelen voortdurend te updaten en te monitoren.


Kaspersky Plaatst Besmette iPhones in Faraday-Zakken: Vier Zero-Days Ontdekt en Gerapporteerd aan Apple

In oktober 2023 bracht antivirusbedrijf Kaspersky naar buiten dat iPhones van hun personeel op het hoofdkantoor in Moskou waren besmet via meerdere zeroday-lekken. Het onderzoek naar deze cyberaanval onthulde uiteindelijk vier zerodays in het iOS-besturingssysteem. Kaspersky nam stringente veiligheidsmaatregelen, zoals het plaatsen van de besmette iPhones in Faraday-zakken, om te voorkomen dat de aanvallers konden meeluisteren via de microfoon van de toestellen. De besmetting werd voor het eerst opgemerkt door ongewoon netwerkverkeer. Wegens een gebrek aan gespecialiseerde forensische software voor iPhones, gebruikten de onderzoekers iTunes-back-ups als alternatieve methode voor device imaging. Dit proces werd discreet uitgevoerd om de cybercriminelen niet te alarmeren. Uit voorzorg gingen de onderzoekers ervan uit dat de aanvallers de mogelijkheid hadden om gesprekken via de microfoon af te luisteren en e-mails en chatberichten te lezen. Daarom werden bijeenkomsten persoonlijk gehouden en telefoons in vliegtuigmodus of in Faraday-zakken geplaatst. De spyware gaf de aanvallers de mogelijkheid om een breed scala aan data te stelen, de microfoon in te schakelen en locatiegegevens te verkrijgen. Uiteindelijk achterhaalden de onderzoekers dat de aanvallers gebruik maakten van een onzichtbare iMessage met een malafide bijlage, gecombineerd met andere kwetsbaarheden, om de iPhones te besmetten zonder interactie van de gebruiker. Deze bevindingen zijn aan Apple gerapporteerd, die vervolgens updates uitbracht om de zerodays te dichten. (bron)


Octo Tempest: Een Verontrustende Evolutie in Cybercriminaliteit Volgens Microsoft

Microsoft heeft recentelijk een diepgaand onderzoek gepubliceerd over de cybercriminele groep Octo Tempest, die zich richt op financiële afpersing en datadiefstal. De groep, die voor het eerst in 2022 werd opgemerkt, is bijzonder veelzijdig in hun aanpak en maakt gebruik van geavanceerde tactieken, technieken en procedures (TTP's). Octo Tempest is een financieel gemotiveerd collectief van Engelssprekende cybercriminelen die oorspronkelijk gericht waren op mobiele telecommunicatie en bedrijfsprocessen. Ze monetariseerden hun aanvallen door SIM-swaps te verkopen aan andere criminelen en cryptovaluta te stelen van vermogende individuen. Eind 2022 en begin 2023 breidden ze hun activiteiten uit naar kabeltelecommunicatie-, e-mail- en technologieorganisaties en begonnen ze zelfs met het toepassen van fysieke bedreigingen. Vanaf medio 2023 is de groep geaffilieerd geraakt met ALPHV/BlackCat, een ransomware-as-a-service (RaaS) operatie. Dit is opvallend omdat Oost-Europese ransomwaregroepen doorgaans geen zaken doen met Engelssprekende criminelen. Octo Tempest implementeert nu ALPHV/BlackCat ransomware payloads op de systemen van hun slachtoffers, met name gericht op VMWare ESXi-servers. De groep heeft hun focus uitgebreid naar diverse sectoren, waaronder natuurlijke hulpbronnen, gaming, gastvrijheid, detailhandel, en financiële diensten. Hun TTP's zijn bijzonder geavanceerd en omvatten alles van social engineering en SIM-swapping tot meer technische methoden, zoals het uitvoeren van verkenningen in multi-cloudomgevingen. Ze richten zich vaak op technische beheerders en maken gebruik van uitgebreide tactieken om toegang te krijgen, zoals zich voordoen als nieuwe medewerkers of het resetten van multifactorverificatie. (bron)


Cyberaanval Verlamt IT-Systemen van Tandartsenvereniging Baden-Württemberg (D)

De Landeszahnärztekammer Baden-Württemberg, een vereniging van tandartsen in de Duitse regio Baden-Württemberg, is het slachtoffer geworden van een gerichte cyberaanval. Deze aanval heeft diverse essentiële processen binnen de organisatie platgelegd. Als preventieve maatregel zijn verschillende diensten zoals e-mailverkeer en data-uitwisselingssystemen tijdelijk uitgeschakeld. De impact van de aanval wordt momenteel geëvalueerd door een crisisbestuur, dat in nauw overleg staat met de relevante opsporingsautoriteiten. Het Landeskriminalamt Baden-Württemberg en de Kriminalpolizei Stuttgart, bijgestaan door een team van IT-experts, zijn een onderzoek gestart om de oorzaak van de cyberaanval te achterhalen en de verantwoordelijken op te sporen. Ondertussen werkt de organisatie parallel aan het herstel vanhaar communicatie-infrastructuur. Terwijl de lokale kantoren van de vereniging wel telefonisch bereikbaar zijn, geldt dit nog niet voor het hoofdkantoor. Er wordt continue bijgewerkte informatie over de situatie gepubliceerd op de officiële website van de Landeszahnärztekammer. Het volledige herstel van de communicatienetwerken is in volle gang, aldus de persafdeling van de organisatie. Deze gebeurtenis benadrukt het groeiende belang van cyberbeveiliging voor professionele organisaties, en hoe kwetsbaar zelfs gespecialiseerde groepen kunnen zijn voor cyberaanvallen. (bron)


Chileense Telecomgigant GTD Getroffen door Rorschach Ransomware Aanval

Chileense telecomgigant Grupo GTD heeft een ernstige cyberaanval gemeld die invloed heeft op haar Infrastructure as a Service (IaaS) platform. Deze aanval heeft diverse online diensten verstoord, waaronder datacenters, internettoegang en Voice-over-IP (VoIP) services. Het bedrijf, actief in Latijns-Amerika en Spanje, meldde deze incidenten op 23 oktober en heeft daarop het getroffen IaaS-platform losgekoppeld van het internet om verdere verspreiding van de malware te voorkomen. Het Chileense Computer Security Incident Response Team (CSIRT) bevestigt dat het gaat om een ransomware-aanval. Hoewel de exacte ransomware variant niet is vrijgegeven, is uit onderzoek van BleepingComputer gebleken dat het om de Rorschach ransomware gaat. Deze ransomware, ook bekend als BabLock, is een relatief nieuwe maar zeer geavanceerde variant die apparaten inslechts 4 minuten en 30 seconden kan versleutelen. bHet opmerkelijke aan deze aanval is de technische methode waarop de ransomware werd afgeleverd. De aanvallers maakten gebruik van DLL sideloading kwetsbaarheden in legitieme software van Trend Micro, BitDefender en Cortex XDR om een kwaadaardige DLL te laden. Dit gebeurt via het injecteren van een ransomware payload genaamd "config[.]ini" in een Notepad-proces, waarna de versleuteling van bestanden start. Chile’s CSIRT heeft een lijst van indicatoren van compromis (IOCs) gedeeld en adviseert alle organisaties die verbonden zijn met GTD’s IaaS om een grondige scan van hun infrastructuur te doen en verdachte software of accounts onmiddellijk te verwijderen. Het incident komt enkele maanden nadat het Chileense leger ook slachtoffer werd van een ransomware-aanval, waarbij 360.000 documenten werden gestolen. (bron)


Seiko Getroffen door Black Cat Ransomware: Gevoelige Klant- en Personeelsgegevens Gelekt

Het Japanse horlogemerk Seiko heeft bevestigd dat het eerder dit jaar slachtoffer is geworden van een ransomware-aanval uitgevoerd door de Black Cat/ALPHV ransomware-bende. Deze aanval heeft geleid tot een datalek waarbij gevoelige informatie van klanten, zakenpartners en personeel is blootgesteld. Uit het interne onderzoek van Seiko blijkt dat in totaal 60.000 'items van persoonlijke gegevens' uit verschillende afdelingen van het bedrijf zijn gecompromitteerd. De aanval werd voor het eerst opgemerkt op 10 augustus 2023, maar onbevoegde toegang tot ten minste één server was al op 28 juli 2023 verkregen. Op 21 augustus voegde de Black Cat/ALPHV-groep Seiko toe aan hun afpersingssite en claimde productieplannen, scans van werknemerspaspoorten, plannen voor nieuwe modellen, gespecialiseerde labtestresultaten en vertrouwelijke technische schema's te hebben gestolen. Het blijkt dat Black Cat toegang tot het netwerk van Seiko had gekocht van een initiële toegangsmakelaar (IAB) een dag voor de detectie van de inbraak. Seiko heeft toegegeven dat bepaalde informatie is gelekt en belooft een grondiger evaluatie zodra hun onderzoek is afgerond. Wat betreft de gelekte gegevens gaat het om klantinformatie zoals namen, adressen, telefoonnummers en e-mailadressen. Ook zijn er contactgegevens van zakelijke tegenpartijen en sollicitatie-informatie gelekt. Gelukkig hebben de cybercriminelen geen toegang gekregen tot creditcardinformatie van klanten. Seiko is inmiddels actief bezig met het versterken van hun IT-systemen en zal alle betrokkenen individueel informeren over het beveiligingsincident. (bron)


Belgisch Notariskantoor Paul-Alexandre Doïcesco Slachtoffer van Qilin Cyberaanval

Op 25 oktober 2023 hebben cybercriminelen van de groep Qilin bekendgemaakt een succesvolle aanval te hebben uitgevoerd op het Belgische notariskantoor Paul-Alexandre Doïcesco, Notaires Associés. Het kantoor, gespecialiseerd in vastgoed, is hiermee het nieuwste slachtoffer in een reeks cyberaanvallen die zijn gericht op Europese juridische entiteiten. Het is nog onduidelijk welke data precies zijn buitgemaakt. Extra waakzaamheid is geboden. (darkweb)


Toename Ransomware-aanvallen: Een Alarmerende Trend

Het digitale landschap verandert snel, en cybercriminelen passen zich daar vlot op aan. Waar cyberaanvallen ooit voornamelijk bestonden uit het verspreiden van virussen, is er een nieuwe, meer verwoestende soort aanval in opkomst: ransomware. Volgens een rapport van Malwarebytes is het aantal globale ransomware-aanvallen in 2023 gestegen, met 1.900 geregistreerde aanvallen in slechts vier landen: de VS, Duitsland, Frankrijk en het VK. Cyber Security Ventures voorspelt zelfs dat tegen 2031 elke twee seconden een ransomware-aanval zal plaatsvinden, met een geschat jaarlijks verlies van $265 miljard. Ransomware-aanvallers richten zich niet alleen op grote organisaties; ook kleine en middelgrote bedrijven en zelfs scholen zijn doelwitten. Daarnaast maakt het Ransomware-as-a-Service (RaaS) model het voor beginnende cybercriminelen eenvoudiger om aanvallen uit te voeren. Ze hoeven alleen een affiliate fee te betalen voor het gebruik van kant-en-klare ransomware-pakketten. De methoden die ransomware-groepen gebruiken, worden ook steeds geraffineerder. Vaak beginnen aanvallen met password-gerelateerde methoden zoals credential stuffing, password spraying en phishing. De LockBit ransomware, die in 2022 het meest werd ingezet, maakt vooral gebruik van geavanceerde technieken die verband houden met wachtwoordaanvallen. Ter bestrijding van ransomware is het cruciaal om een gelaagd beveiligingsmodel te hanteren. Specops Software biedt bijvoorbeeld uitgebreide wachtwoordbeleidfuncties om aanvallen die profiteren van zwakke wachtwoordpraktijken te mitigeren. Het is duidelijk dat ransomware een voorkeursmodel blijft voor cybercriminelen, en organisaties moeten hun cyberverdediging daarom continu aanscherpen. (bron)


Zerodaylek in Roundcube Webmail Geëxploiteerd voor E-maildiefstal door Spionagegroep

Een ernstige zeroday-kwetsbaarheid in Roundcube Webmail is actief misbruikt om toegang te krijgen tot e-mailaccounts, volgens een recent rapport van antivirusbedrijf ESET. Deze kwetsbaarheid, gecategoriseerd onder de Common Vulnerabilities and Exposures (CVE) als CVE-2023-5631, maakt stored cross-site scripting (XSS) aanvallen mogelijk. Aanvallers kunnen via een kwaadaardige e-mail JavaScript-code injecteren in de browser van het slachtoffer, waarmee vervolgens alle e-mails in het betreffende account kunnen worden gestolen. De aanvallen worden toegeschreven aan een spionagegroep genaamd Winter Vivern. Deze groep richt zich voornamelijk op overheden in Europa en Centraal-Azië. De groep had eerder soortgelijke aanvallen uitgevoerd door het misbruiken van een XSS-kwetsbaarheid in Zimbra-webmail. ESET rapporteerde het beveiligingslek aan Roundcube op 12 oktober 2023, en binnen vier dagen heeft Roundcube patches uitgebracht om het probleem te verhelpen. Organisaties die gebruikmaken van deze opensource-webmailsoftware worden sterk aangeraden om zo snel mogelijk te updaten naar versie 1.6.4, 1.5.5 of 1.4.15 van Roundcube om verdere risico's te beperken. Dit incident benadrukt het belang van tijdige patching en voortdurende waakzaamheid tegen cybersecurity-dreigingen, zeker voor organisaties die vertrouwen op webmaildiensten voor hun communicatie. (bron)


Herhaalde Datalekken bij New York Life Insurance door MOVEit-aanvallen

New York Life Insurance Company (NYLIC), de grootste levensverzekeringsmaatschappij in de VS, is meerdere malen getroffen door datalekken. De problemen ontstonden nadat een derde partij, Andesa Services, die de bedrijfsverzekeringen van NYLIC beheert, aankondigde getroffen te zijn door de MOVEit Transfer-aanvallen. Een onbekende aanvaller wist toegang te krijgen tot de MOVEit Transfer-server door een tot dan toe onbekende kwetsbaarheid uit te buiten. Dit gebeurde tussen 30 en 31 mei 2023. Onder de gelekte gegevens bevonden zich de namen en burgerservicenummers van klanten. NYLIC is niet het enige bedrijf dat is getroffen door deze aanvallen. In augustus werd Pension Benefit Information (PBI), een andere serviceprovider van NYLIC, eveneens getroffen door een MOVEit-breach. Uit onderzoek blijkt dat in totaal ongeveer 670 organisaties en 46 miljoen mensen zijn getroffen door MOVEit Transfer-aanvallen. De Russia-linked Cl0p ransomware-groep heeft de verantwoordelijkheid opgeëist en slachtoffersinformatie op hun dark web-lekwebsite geplaatst sinds juni. Het Office van de Maine Attorney General heeft bevestigd dat meer dan 30.000 mensen getroffen zijn door de recente breach bij NYLIC. Als compensatie biedt NYLIC de getroffen individuen gratis kredietmonitoring en identiteitsdiefstal beschermingsdiensten aan, verzorgd door Experian. Het bedrijf beweert momenteel niet op de hoogte te zijn van enig feitelijk of poging tot misbruik van de persoonlijke gegevens. (bron)


Geavanceerde Backdoor-aanval Richt zich op Russische Staats- en Industriële Organisaties

In een recente cyberaanval zijn verschillende Russische staats- en industriële organisaties getroffen door een op maat gemaakte backdoor, geschreven in de programmeertaal Go. Deze backdoor is ontworpen om data te stelen en lijkt te zijn gebruikt om spionage-activiteiten te ondersteunen. Het beveiligingsbedrijf Kaspersky ontdekte de aanvalscampagne voor het eerst in juni 2023 en merkte in augustus een geoptimaliseerde versie van de malware op. De identiteit van de aanvallers blijft onbekend, maar Kaspersky heeft indicatoren van compromis (IoC's) gedeeld om verdediging tegen deze dreiging te vergemakkelijken. De aanval begint meestal met een e-mail die een kwaadaardig ARJ-archief bevat. Dit archief bevat een afleidings-PDF en een script dat de hoofdmalware van een externe URL ophaalt en activeert. Zodra het is geactiveerd, neemt de backdoor verschillende functies op zich: het kan bestanden en mappen in een specifieke directory vermelden, data naar een Command & Control (C2) server sturen, klembordinhoud ophalen, en screenshots maken. Bovendien zoekt het naar specifieke bestandsextensies zoals .docx, .pdf en .xlsx om deze te exfiltreren. De data wordt eerst AES-gecodeerd voordat deze naar de C2-server wordt verzonden om detectie te voorkomen. Een nieuwe versie van de backdoor, ontdekt in augustus, voegt ook de mogelijkheid toe om wachtwoorden te stelen die zijn opgeslagen in 27 verschillende webbrowsers, waaronder Chrome en Firefox. Deze nieuwe variant gebruikt zowel AES- als RSA-encryptie om de communicatie met de C2-server te beveiligen. Het is duidelijk dat de aanvallers hun tactieken voortdurend aanpassen en optimaliseren, waardoor het essentieel is voor verdedigende partijen om waakzaam te blijven. (bron)


Franse Basketbalclub LDLC ASVEL Slachtoffer van NoEscape Ransomware Aanval

Het Franse professionele basketbalteam LDLC ASVEL heeft bevestigd dat het het doelwit is geweest van een cyberaanval uitgevoerd door de NoEscape ransomware groep. Het team, gevestigd in Villeurbanne, Lyon, staat onder leiding van de voormalige NBA-ster Tony Parker en is één van de meest succesvolle basketbalclubs in Frankrijk. De aanval werd publiekelijk bekend toen ASVEL werd toegevoegd aan het afpersingsportaal van NoEscape op 9 oktober 2023. De club werd geïnformeerd over de mogelijke inbreuk op 12 oktober via de pers. In een officieel persbericht geeft LDLC ASVEL aan dat na het inschakelen van cybersecurityspecialisten, het inderdaad slachtoffer is geworden van een datalek. De cybercriminelen beweren 32 GB aan gegevens te hebben ontvreemd. Dit omvat persoonlijke gegevens van spelers, paspoorten, ID-kaarten, financiële documenten, contracten en andere juridische documenten. NoEscape heeft gedreigd deze informatie publiekelijk vrij te geven tenzij er over een losgeld wordt onderhandeld. Tot op heden zijn er geen financiële gegevens van fans gelekt. Wel loopt er een onderzoek om de schade voor derde partijen te beoordelen, inclusief mogelijke blootstelling van betaalinformatie van ticketkopers. De zaak is gerapporteerd aan de CNIL (Commission Nationale de l'Informatique et des Libertés), de Franse nationale autoriteit voor gegevensbescherming, en er wordt binnenkort een formele klacht ingediend bij de rechtshandhavingsinstanties. Opmerkelijk is dat de club inmiddels is verwijderd van het afpersingsportaal van NoEscape, wat zou kunnen suggereren dat er onderhandelingen met de ransomwaregroep gaande zijn om verdere datalekkage te voorkomen. NoEscape is een relatief nieuwe groep die is opgericht in juni 2023 en zich richt op organisaties buiten de voormalige Sovjet-Unie met dubbele afpersingsaanvallen. (bron)


VMware waarschuwt voor openbaar exploit van kwetsbaarheid in vRealize Log Insight

VMware heeft klanten gewaarschuwd voor de beschikbaarheid van Proof-of-Concept (PoC) exploit code voor een authenticatie-omzeilingsfout in hun vRealize Log Insight-software, nu bekend als VMware Aria Operations for Logs. Deze kwetsbaarheid, geïdentificeerd als CVE-2023-34051, maakt het mogelijk voor niet-geauthenticeerde aanvallers om op afstand code uit te voeren met rootrechten, mits aan bepaalde voorwaarden wordt voldaan. Horizon3, het beveiligingsonderzoeksteam dat de bug ontdekte, publiceerde een technische root cause-analyse en benadrukte dat succesvolle exploitatie afhankelijk is van het vermogen van de aanvaller om een host binnen de doelomgeving te compromitteren. Bovendien moet de aanvaller toestemming hebben om een extra interface of statisch IP-adres toe te voegen. Horizon3 heeft ook een PoC exploit en een lijst van indicatoren van compromis (IOCs) vrijgegeven die netwerkverdedigers kunnen gebruiken om exploitatiepogingen te detecteren. Deze nieuwe kwetsbaarheid functioneert ook als een omzeiling voor een reeks kritieke fouten die door VMware in januari zijn gepatcht. Deze fouten maakten eveneens remote code-uitvoering mogelijk en stonden bekend als CVE-2022-31706 (directory traversal bug), CVE-2022-31704 (gebroken toegangscontrole), en CVE-2022-31711 (informatie-openbaarmakingsbug). Hoewel de kwetsbaarheid eenvoudig te exploiteren is, benadrukken de onderzoekers dat het vereist dat de aanvaller al enige infrastructuur heeft opgezet om kwaadaardige payloads te serveren. Daarnaast zijn producten met deze kwetsbaarheid waarschijnlijk niet direct toegankelijk via internet, wat betekent dat de aanvaller waarschijnlijk al een positie binnen het netwerk heeft verworven. Desondanks zijn kwetsbare VMware-apparaten waardevolle interne doelwitten voor aanvallers die laterale bewegingen binnen reeds gecompromitteerde netwerken willen maken. (bron, bron2, bron3, bron4)


Cyberaanval op Canadese IT-Provider Verstoort Ziekenhuisafspraken

Vijf Canadese ziekenhuizen zijn gedwongen om patiëntenafspraken te annuleren als gevolg van een cyberaanval op hun IT-provider, TransForm. Het bedrijf maakte eerst melding van een 'systeemuitval' zonder verdere specificaties te geven, maar later bevestigde het dat het om een cyberaanval ging. Deze aanval heeft niet alleen gevolgen voor de gemaakte afspraken, maar ook voor de e-mailcommunicatie van de getroffen ziekenhuizen. TransForm is nog steeds bezig met het onderzoeken van de omvang en de oorzaak van de aanval. Onderdeel van dit onderzoek is of er patiëntgegevens zijn getroffen. De firma heeft verdere updates beloofd zodra er meer informatie beschikbaar is. Het type cyberaanval en de mogelijke daders zijn op dit moment nog niet bekendgemaakt. De aanval onderstreept de kwetsbaarheid van gezondheidszorginstellingen die steeds meer afhankelijk zijn van digitale systemen. Dit heeft directe impact op de zorgverlening, aangezien afspraken verplaatst moeten worden, wat op zijn beurt de toch al vaak overbelaste zorgsystemen verder onder druk zet. Het incident roept ook vragen op over de beveiligingsmaatregelen die zijn getroffen om de gevoelige patiëntgegevens en de integriteit van de zorgsystemen te waarborgen. De zaak is nog in onderzoek en meer details worden verwacht. (bron, bron2)


Cloudflare bekritiseert Okta voor nalatige afhandeling van beveiligingsincidenten

Internetbedrijf Cloudflare is recentelijk opnieuw het slachtoffer geworden van een inbraak via het authenticatieplatform Okta en roept Okta op om beveiligingsmeldingen serieuzer te nemen. Okta biedt een authenticatieplatform dat wereldwijd door duizenden bedrijven wordt gebruikt om werknemers toegang te geven tot diverse systemen en applicaties. Een aanvaller wist toegang te krijgen tot het supportsysteem van Okta, waardoor gevoelige klantinformatie, zoals sessietokens, gestolen kon worden. Met deze gestolen informatie wist de aanvaller in te loggen op de omgeving van Cloudflare. Opmerkelijk is dat Cloudflare zelf de inbraak ontdekte, meer dan 24 uur voordat Okta het bedrijf hierover inlichtte. Cloudflare meldt dat twee Okta-accounts gecompromitteerd werden. Dit incident is niet het eerste van zijn soort; ook vorig jaar was Okta doelwit van een vergelijkbare inbraak, wat toen al leidde tot een wachtwoordreset door Cloudflare voor haar medewerkers. Cloudflare bekritiseert Okta voor het niet serieus nemen van beveiligingsmeldingen. Het bedrijf wijst erop dat Okta al op 2 oktober door securitybedrijf BeyondTrust op de hoogte werd gebracht van het beveiligingsincident, maar dat de aanvallers tot en met 18 oktober nog toegang hadden tot het supportsysteem van Okta. Cloudflare pleit ervoor dat Okta klanten sneller en transparanter informeert over beveiligingsincidenten en stelt voor om hardwarematige beveiligingssleutels in te zetten voor betere beveiliging. (bron)


Calgary in Canada Ziet Explosieve Stijging in Crypto-Zwendel: $22 Miljoen Verlies in 2023

In 2023 hebben inwoners van Calgary, Alberta, Canada, meer dan $22 miljoen verloren aan verschillende vormen van crypto-gerelateerde fraude. Dit markeert een aanzienlijke toename vergeleken met 2022, toen het totale verlies ongeveer $14 miljoen bedroeg. Volgens de Calgary Police Service (CPS) is dit cijfer waarschijnlijk slechts het topje van de ijsberg, omdat veel gevallen van crypto-zwendel nog steeds niet worden gemeld. Het gebrek aan meldingen bemoeilijkt het opsporingsproces voor de politie. Beleggingszwendel is de meest voorkomende vorm van fraude waar Canadese investeerders mee te maken hebben. De politie waarschuwt dat beloften van buitensporige rendementen op cryptocurrency-investeringen een rode vlag moeten zijn en dat alleen oplichters dergelijke hoge winsten garanderen. Daarnaast zullen overheidsinstanties nooit volledige betalingen eisen via de telefoon, vooral niet in crypto. Uit een enquête van de denktank van de Toronto Metropolitan University blijkt dat één op de drie crypto-bezitters in Canada het slachtoffer is geweest van cryptozwendel. Dit werpt een onrustbarend licht op de groeiende uitdagingen waarmee cryptocurrency-investeerders worden geconfronteerd. Het gebrek aan vertrouwen in crypto-uitwisselingsplatforms is ook zorgwekkend, aangezien bijna de helft van de Canadese respondenten aangaf weinig vertrouwen te hebben in deze platforms. Een ander verontrustend aspect is het gebruik van valse accounts door oplichters op platforms met gouden verificatievinkjes, die normaal gesproken zijn gereserveerd voor legitieme organisaties. Dit alles benadrukt de noodzaak van zowel strenge regelgeving als voorlichting om de cryptomarkt veilig en eerlijk te houden en het vertrouwen van investeerders te herstellen. (bron)


Cyberaanval op AOUI-ziekenhuis in Verona (IT): Diensten Verstoord, Geen Claim van Verantwoordelijkheid

Het Azienda Ospedaliera Universitaria Integrata (AOUI) van Verona is getroffen door een ernstige cyberaanval die een breed scala aan diensten heeft verstoord. De aanval begon in de vroege ochtenduren en heeft onder andere de online services en telefoonlijnen lamgelegd. Vooral het boekingssysteem voor afspraken is hard getroffen en functioneert niet meer naar behoren. Tot op heden is er geen claim van verantwoordelijkheid voor de aanval, en geen van de bekende criminele groepen heeft de actie opgeëist. Volgens een officiële verklaring van het ziekenhuis zijn de diensten voor noodgevallen niet aangetast, en lijkt het erop dat er geen gevoelige patiëntgegevens zijn gelekt. Desondanks heeft de aanval het ziekenhuis gedwongen om een noodprocedure in gang te zetten. De impact is vooral voelbaar in de ziekenhuizen Borgo Trento en Borgo Roma, waar meldingen zijn binnengekomen van ernstige verstoringen. Ook het systeem voor bloeddonaties kon niet worden bereikt door problemen met de telefoonlijnen. De regionale president Luca Zaia informeerde het publiek via Facebook over de opschorting van het afsprakenboekingssysteem en meldde dat er onderzoeken lopen om de aard van de aanval te achterhalen. Het IT-team van het ziekenhuis werkt onophoudelijk aan het herstellen van de systemen, maar het is nog onbekend hoe lang het zal duren om de situatie volledig te normaliseren. Deze cyberaanval op een kritieke gezondheidsinfrastructuur benadrukt de kwetsbaarheid van digitale systemen, vooral in sectoren die essentieel zijn voor het welzijn van de gemeenschap. Het incident dient als een dringende herinnering aan het belang van het versterken van cybersecurity in alle sectoren. (bron)


Cyberaanval treft vijf ziekenhuizen in Zuidwest-Ontario (VS), afspraken patiënten moeten worden verzet

Vijf ziekenhuizen in Zuidwest-Ontario zijn het slachtoffer geworden van een cyberaanval, waardoor online diensten zoals patiëntendossiers en e-mails sinds maandagochtend onbereikbaar zijn. De IT-dienstverlener van de ziekenhuizen, TransForm, heeft bevestigd dat er sprake is van een cyberaanval. TransForm is een lokale non-profitorganisatie die is opgericht door de getroffen ziekenhuizen om IT, supply chain en administratie te beheren. TransForm verklaarde maandagavond dat de aanval invloed heeft op de zorgverlening in verschillende opzichten. Patiënten met geplande afspraken in de komende dagen zullen door het ziekenhuis worden gecontacteerd om nieuwe afspraken te maken of om alternatieve regelingen te treffen. Het is nog onduidelijk of er patiëntengegevens zijn gecompromitteerd; dit wordt nog onderzocht. Een gezamenlijke verklaring van alle getroffen ziekenhuizen benadrukte dat ze mogelijk niet alle patiënten op tijd kunnen bereiken en dat afspraken mogelijk persoonlijk moeten worden verzet. De ziekenhuizen vragen aan mensen die geen spoedeisende zorg nodig hebben om contact op te nemen met hun huisarts of lokale kliniek, om de druk op de ziekenhuizen te verminderen. TransForm had eerder op maandag verklaard dat de patiëntenzorg niet werd beïnvloed door de uitval, maar later gaven ze aan dat er wel degelijk impact is op de zorgverlening. Het is nog onduidelijk wanneer de systemen weer online zullen zijn. TransForm blijft het incident onderzoeken en zal updates verstrekken zodra er meer informatie beschikbaar is. (bron)


Noord-Koreaanse IT-werknemers Infiltreren Amerikaanse Bedrijven om Miljoenen naar Pyongyang te Sturen

Volgens de Amerikaanse Federale Recherche (FBI) hebben Noord-Koreaanse IT-specialisten jarenlang onder valse identiteiten voor Amerikaanse bedrijven gewerkt en miljoenen dollars teruggestuurd naar het regime in Pyongyang. Deze IT-medewerkers gebruikten gestolen identiteitskaarten en sofinummers en betaalden Amerikaanse werknemers om video-sollicitatiegesprekken en conference calls voor hen te doen. Bovendien verborgen ze hun echte locatie door gebruik te maken van Amerikaanse Wi-Fi en IP-adressen. Deze infiltratie heeft geleid tot het terugsturen van miljoenen dollars aan salarissen naar Noord-Korea, geld dat volgens de FBI wordt gebruikt om het Noord-Koreaanse wapenprogramma te financieren. De FBI was al sinds het voorjaar van 2022 op de hoogte van deze praktijken en heeft nu 17 websites en bankrekeningen met $1,5 miljoen aan illegale fondsen in beslag genomen. De websites waren zo ontworpen dat ze leken op domeinen van legitieme, in de VS gevestigde IT-dienstverlenende bedrijven, waardoor de Noord-Koreaanse IT-werknemers hun ware identiteit en locatie konden verbergen. Naast het genereren van inkomsten voor Noord-Korea hebben deze IT-specialisten ook computer netwerken van hun onwetende werkgevers geïnfiltreerd om informatie te stelen en toegang te behouden voor toekomstige hacking- en afpersingsplannen. De FBI benadrukt dat bedrijven extra waakzaam moeten zijn bij het inhuren van personeel en adviseert om aanvullende proactieve stappen te nemen bij het aannemen van externe IT-medewerkers om de risico's van interne bedreigingen te minimaliseren. (bron)


Recordaantal Ransomware-aanvallen in September 2023

September 2023 heeft een recordaantal ransomware-aanvallen laten zien, aldus data van de NCC Group. Na een relatief rustige augustusmaand, waarin het aantal aanvallen nog steeds boven het zomerse gemiddelde lag, vonden er in september maar liefst 514 aanvallen plaats. Dit overtreft het vorige record van 459 aanvallen in maart 2023. Opmerkelijk is dat de Clop-groep, bekend van hun MOVEit Transfer data-diefstallen, deze maand inactief was. Dit zou een aanwijzing kunnen zijn dat zij zich voorbereiden op een nieuwe grote aanval. Echter, het record is vooral te danken aan andere dreigingsgroepen zoals LockBit 3.0, LostTrust en BlackCat, met respectievelijk 79, 53 en 47 aanvallen. LostTrust is een nieuwe speler die zich meteen op de tweede plaats nestelde. Deze groep wordt gezien als een rebranding van MetaEncryptor, gezien significante code-overeenkomsten. RansomedVC, een andere nieuwe speler, maakte gebruik van GDPR-dreigementen in hun aanvallen en stond op de vierde plaats met 44 aanvallen, hoewel sommige van hun claims later overdreven bleken te zijn. Dit betekent dat ongeveer één op de vijf aanvallen afkomstig was van een nieuwe ransomware-operatie. Qua geografische spreiding waren Noord-Amerika (50%), Europa (30%) en Azië (9%) het meest getroffen. De meest getroffen sectoren waren industrie, consumenten en technologie. Uit de NCC-rapportage blijkt verder dat er tussen januari en september bijna 3.500 aanvallen zijn opgetekend, met de verwachting dat dit aantal tegen het eind van het jaar dicht bij de 4.000 zal liggen. Ondanks de inspanningen van wetshandhavingsdiensten blijft ransomware een zich constant ontwikkelende dreiging. (bron)

Opgenomen ransomware-aanvallen (NCC Group)

Meest gerichte sectoren in september 2023 (NCC Group)


Universiteit van Michigan Getroffen door Omvangrijke Cyberaanval: Persoonlijke, Financiële en Medische Gegevens Gestolen

De Universiteit van Michigan heeft bekendgemaakt dat het slachtoffer is geworden van een cyberaanval die plaatsvond tussen 23 en 27 augustus. De hackers wisten toegang te krijgen tot systemen waarin gevoelige informatie is opgeslagen van studenten, sollicitanten, alumni, donateurs, werknemers, patiënten en deelnemers aan onderzoeksstudies. Onder de gestolen data bevinden zich persoonlijke identificatiegegevens zoals naam, sofinummer en rijbewijsnummer, maar ook financiële informatie zoals bankrekening- of betaalkaartnummers. Daarnaast is er ook toegang geweest tot medische dossiers en onderzoeksdata. Na het detecteren van verdachte activiteiten heeft de universiteit haar volledige netwerk van het internet afgesloten om verdere schade te beperken. Een gespecialiseerd team heeft een grondige analyse uitgevoerd en bevestigt dat de aanval niet alleen persoonlijke, maar ook financiële en medische informatie heeft getroffen. Alle betrokken individuen zijn op de hoogte gebracht en er zijn stappen ondernomen om de getroffen accounts te beveiligen, waaronder het verplicht stellen van een wachtwoordwijziging. Uit voorzorg biedt de universiteit de gedupeerden gratis kredietbewakingsdiensten aan. De universiteit, die een van de oudste en grootste educatieve instellingen in de Verenigde Staten is met meer dan 30.000 medewerkers en ongeveer 51.000 studenten, heeft de inbraak kort na de ontdekking openbaar gemaakt. Met deze cyberaanval wordt opnieuw onderstreept hoe belangrijk het is voor educatieve instellingen om hun cyberbeveiliging op orde te hebben, gezien de brede scala aan gevoelige informatie die ze beheren. (bron)


Zeldzame transparantie: BHI Energy onthult hoe Akira ransomware hun systemen hackte

In een ongewoon transparante beweging heeft het Amerikaanse energiedienstenbedrijf BHI Energy gedetailleerde informatie vrijgegeven over een aanval van de Akira ransomware-groep. BHI Energy, dat deel uitmaakt van Westinghouse Electric Company, is een gespecialiseerde dienstverlener in de energie-industrie en ondersteunt verschillende soorten energie-opwekkingsfaciliteiten en elektriciteitstransmissiesystemen. De aanval vond plaats op 30 mei 2023 en begon met het compromitteren van VPN-credentials van een externe aannemer. De dreigingsactor (TA) gebruikte deze toegang om het interne netwerk van BHI te verkennen. Tussen 20 en 29 juni werden maar liefst 767.000 bestanden met een totale grootte van 690 GB gestolen, inclusief de Windows Active Directory-database van BHI. Op 29 juni werd de ransomware geactiveerd, waardoor bestandenop alle apparaten werden versleuteld. Na ontdekking van de aanval nam BHI direct contact op met de autoriteiten en riep de hulp in van externe experts om de systemen te herstellen. Gelukkig kon het bedrijf veel data herstellen via een cloud-back-up die niet was getroffen door de aanval, waardoor losgeld betalen niet nodig was. Als respons op de aanval heeft BHI de beveiliging verhoogd door multifactorauthenticatie voor VPN-toegang in te stellen, een wereldwijde wachtwoordreset uit te voeren en extra EDR- en AV-tools te implementeren. Hoewel het systeem inmiddels is hersteld, werden tijdens de aanval wel persoonlijke gegevens van werknemers gestolen, waaronder volledige namen, geboortedatums en socialezekerheidsnummers. Een onderzoek dat op 1 september 2023 werd afgerond, geeft aan dat er nog geen datalekken zijn gerapporteerd op het darkweb met betrekking tot deze aanval.

Bhi Notice
PDF – 474,1 KB 52 downloads

1Password Getroffen door Beveiligingsincident Naar Aanleiding van Inbraak bij Okta

Wachtwoordmanager 1Password heeft onlangs een beveiligingsincident ervaren, veroorzaakt door een eerdere inbraak bij het authenticatieplatform Okta. Okta wordt wereldwijd door duizenden bedrijven gebruikt om hun werknemers toegang te geven tot diverse systemen en applicaties. Een crimineel wist in te breken op het supportsysteem van Okta en stal daarbij gevoelige klantgegevens. Deze gestolen gegevens werden gebruikt om toegang te krijgen tot de Okta-omgeving van 1Password. Het IT-team van 1Password werd alert gemaakt toen het op 29 september een e-mail ontving waarin stond dat een overzicht van beheerders bij Okta was opgevraagd. Een onderzoek werd ingesteld, en het bleek dat een indringer met beheerdersrechten had ingelogd op hun Okta-omgeving. Volgens 1Password zijn er geen gegevens buiten Okta gestolen en lijkt het alsofde aanvaller informatie verzamelde voor een toekomstige aanval. De inbraak vond plaats omdat een IT-medewerker van 1Password een bestand met gevoelige informatie, waaronder sessiecookies, had gedeeld met de helpdesk van Okta. De aanvaller kon dit bestand vervolgens stelen en gebruiken om in te loggen. Hoewel de aanvaller probeerde toegang te krijgen tot het dashboard van de IT-medewerker, werd dit geblokkeerd door Okta zelf. De aanvaller probeerde vervolgens een andere identiteitsprovider te activeren om later opnieuw in te kunnen loggen. Naar aanleiding van dit incident heeft 1Password verschillende aanpassingen doorgevoerd in hun Okta-configuratie, zoals het aanscherpen van de regels voor multifactorauthenticatie en het verminderen van het aantal 'super administrators'. Dit is een ernstig voorbeeld van hoe een beveiligingslek bij één dienst kan leiden tot risico's bij andere, verbonden diensten. Okta was vorig jaar ook al slachtoffer van een vergelijkbare aanval.

Okta Incident Report
PDF – 55,9 KB 55 downloads

QNAP Schakelt Server Uit Achter Bruteforce-aanvallen op NAS-systemen

QNAP, een fabrikant van Network Attached Storage (NAS)-systemen, heeft recentelijk actie ondernomen tegen een reeks bruteforce-aanvallen gericht op hun NAS-producten. Het bedrijf merkte een 'golf van zwakke wachtwoordaanvallen' op die vooral gericht waren tegen NAS-systemen die via het internet toegankelijk zijn. Deze aanvallen werden geïnitieerd door een botnet dat bestaat uit honderden IP-adressen. Als eerste reactie bracht QNAP een update uit voor hun QuFirewall, specifiek ontworpen om deze IP-adressen te blokkeren. Binnen 48 uur lokaliseerde het bedrijf de command & control-server die verantwoordelijk was voor het orkestreren van de aanvallen. In samenwerking met hostingprovider Digital Ocean is deze server offline gehaald. Om toekomstige aanvallen te voorkomen, adviseert QNAP alle NAS-gebruikers om diverse beveiligingsmaatregelen te treffen. Deze omvatten het deactiveren van het standaard admin-account, het gebruik van sterke wachtwoorden voor alle accounts, het up-to-date houden van de firmware, en het installeren van de bijgewerkte QuFirewall. Het incident onderstreept het belang van robuuste cybersecuritymaatregelen, niet alleen voor individuele gebruikers maar ook voor fabrikanten van hardware die op internet aangesloten kan worden. Het laat ook zien hoe bedrijven proactief kunnen optreden om cyberdreigingen aan te pakken door samen te werken met andere stakeholders in het digitale landschap. (bron, bron2, bron3)


Geavanceerde iPhone-spyware TriangleDB maakte onopgemerkt gebruik van microfoon en meer

De TriangleDB-spyware, die zich jarenlang verspreidde onder iPhone-gebruikers via een zeroclick-aanval, maakte op een inventieve wijze gebruik van de microfoon om slachtoffers af te luisteren. De aanval vond plaats door middel van een onzichtbare iMessage met een kwaadaardige bijlage. Deze bijlage misbruikte meerdere beveiligingslekken in iOS om de spyware te installeren, een probleem dat inmiddels door Apple is aangepakt. De spyware ging uiterst zorgvuldig te werk om detectie te voorkomen. Zowel aan het begin van de infectieketen als tijdens de installatie vonden uitgebreide controles plaats. Daarnaast werden log- en databasebestanden, waaronder die met Apple ID's, verwijderd om sporen te wissen. Zodra de spyware was geïnstalleerd, werd informatie gestolen uit de Keychain van het slachtoffer en uit verschillende SQLite-databases waar apps gebruik van maken. De locatie van de slachtoffers werd ook achterhaald via GSM en GPS. Een van de bijzondere eigenschappen van de spyware was het afluisteren via de microfoon van de iPhone. De aanvallers hadden de mogelijkheid om deze functie te deactiveren wanneer het scherm van de besmette iPhone weer werd ingeschakeld. Bovendien werd alleen afgeluisterd als de batterij meer dan tien procent was opgeladen, en alle opnames werden versleuteld met AES-encryptie. Volgens onderzoekers van Kaspersky beschikken de ontwikkelaars van TriangleDB over uitgebreide kennis van iOS, wat onder meer blijkt uit het gebruik van ongedocumenteerde API's. Er zijn zelfs aanwijzingen dat de aanvallers het ook op macOS-systemen hadden gemunt, hoewel daarvoor nog geen bewijs is gevonden. (bron)


Belgisch Bouwbedrijf Mamu.be Getroffen door LockBit

Mamu.be, een Belgisch bedrijf in de bouwsector, is op 23 oktober 2023 getroffen door de cybercriminele groep LockBit. De aanval werd bekendgemaakt op het darkweb. Als u gebruik maakt van de diensten van Mamu.be, is het raadzaam om uw beveiligingsinstellingen te controleren en eventuele wachtwoorden te wijzigen.


Mister Minit Getroffen door Cybercriminelen 'NoEscape'

Mister Minit, de Belgische persoonlijke dienstverlener, is het nieuwste slachtoffer van de cybercriminele groep 'NoEscape'. Volgens gegevens op het darkweb maakten de cybercriminelen dit op 23 oktober 2023 bekend. Gebruikers van Mister Minit-diensten worden aangeraden om waakzaam te zijn en hun wachtwoorden te wijzigen als voorzorgsmaatregel.


Nederlandse Bedrijven Minder Geneigd Om Losgeld te Betalen Bij Ransomware-Aanvallen

Nederlandse bedrijven zijn steeds minder vaak bereid om losgeld te betalen bij ransomware-aanvallen, voornamelijk dankzij het beschikbaar hebben van back-ups. Dit blijkt uit informatie verzameld door verzekeringsmaatschappen en securitybedrijven, zoals gerapporteerd in het Financieele Dagblad. Volgens cijfers van Melissa, een publiek-privaat samenwerkingsverband tegen ransomware, betaalt slechts 21% van de getroffen Nederlandse bedrijven losgeld. Ter vergelijking: internationale studies wijzen uit dat bijna de helft van de bedrijven in andere landen tot betaling overgaat. Securitybedrijf Northwave benadrukt dat in de meeste gevallen losgeld wordt betaald om de publicatie van gestolen gegevens te voorkomen, en niet zozeer voor het ontsleutelen van bestanden. Deze trend heeft ook invloed op de bedrijfsmodellen van securitybedrijven. Zo geeft NFIR aan dat het nu minder inkomsten uit crisismanagement haalt. Waar eerst de helft van hun omzet afkomstig was uit het helpen van getroffen bedrijven, is dit nu teruggelopen tot een kwart. Deze ontwikkeling is een signaal dat Nederlandse bedrijven hun focus aan het verschuiven zijn van reactieve naar proactieve maatregelen tegen cybercriminaliteit. Steeds meer bedrijven investeren in preventie in plaats van enkel reactief te handelen wanneer een aanval plaatsvindt. Dit is een positieve trend die de behoefte aan onderhandelingen met ransomwaregroepen en het herstellen van versleutelde netwerken vermindert. (bron)


Vernieuwde Handleiding van de VS tegen Ransomware: Een Overzicht van Belangrijke Adviezen

De Amerikaanse overheid heeft een bijgewerkte handleiding uitgebracht gericht op het stoppen van ransomware-aanvallen. Deze tweede editie van de '#StopRansomware Guide' is een gezamenlijk initiatief van de FBI, de NSA en het Cybersecurity and Infrastructure Security Agency (CISA), en beoogt een 'one-stop resource' te zijn voor organisaties die zich willen wapenen tegen ransomware en datadiefstal. De handleiding is opgedeeld in twee hoofdsecties: een deel over preventie en een deel dat fungeert als een response checklist. Nieuw in deze versie zijn uitgebreide adviezen over het hardenen van het Server Message Block (SMB) en browsers, en het identificeren van aanvalsstrategieën zoals social engineering via telefoon of sms. Een van de belangrijke aanbevelingen is het upgraden en hardenen van SMB protocol versie 1 naar versie 3. Dit is bedoeld om het risico te verminderen dat aanvallers dit protocol misbruiken om malware te verspreiden. Het gebruik van SMBv 3.1.1 wordt expliciet aangeraden, en intern SMB-verkeer dient te worden beperkt tot alleen de systemen die het daadwerkelijk nodig hebben. Daarnaast wordt de optie van het gebruik van sandboxed browsers aanbevolen, een veiligheidsmaatregel die het risico op infectie kan minimaliseren. Organisaties worden ook gewaarschuwd alert te zijn op pogingen van cybercriminelen om zich voor te doen als hun automatiseringsafdeling of helpdesk om zo inloggegevens te bemachtigen. Een ander belangrijk nieuw aspect gaat over datadiefstal, een fenomeen dat vaak hand in hand gaat met ransomware-aanvallen. Organisaties dienen alert te zijn op afwijkende datastromen en het gebruik van specifieke tools die cybercriminelen gebruiken om data te stelen. Door deze nieuwe inzichten en adviezen hoopt de Amerikaanse overheid een grondigere en meer geactualiseerde set van richtlijnen te bieden voor het tegengaan van ransomware en gerelateerde cyberdreigingen.

Stop Ransomware Guide 508 C V 3 1
PDF – 1,0 MB 54 downloads

Cyberaanval op Filipijnse Crypto Exchange Coins.ph leidt tot diefstal van 12,2 miljoen XRP

Op 17 oktober 2023 werd de Filipijnse cryptocurrency-beurs Coins.ph getroffen door een grootschalige hack. Bij deze cyberaanval werden ongeveer 12,2 miljoen XRP-tokens gestolen, met een geschatte marktwaarde van 6 miljoen Amerikaanse dollars. De aanval werd uitgevoerd in een tijdsbestek van slechts 32 minuten en bestond uit een serie van 13 transacties. Bij elke transactie werd een bedrag van bijna 1 miljoen XRP naar een specifieke wallet overgemaakt. Na de diefstal heeft de dader de gestolen XRP verspreid over verschillende wallets en crypto exchanges, waaronder OKX, Simple Swap, ChangeNOW en WhiteBIT. Er is een kleine doorbraak geweest in het terugvorderen van de gestolen middelen; WhiteBIT kon een transactie van 445.000 XRP blokkeren na een verzoek van Coins.ph. Het artikel merkt ook op dat het aantal crypto hacks in het derde kwartaal van 2023 is toegenomen. Een prominente rol in deze toename wordt toegeschreven aan de Lazarus Group, een Noord-Koreaanse hackersgroep. Deze groep heeft dit jaar al meer dan 200 miljoen dollar buitgemaakt en wordt nauwlettend in de gaten gehouden door de FBI. Hoewel het nog onduidelijk is of zij achter de hack op Coins.ph zitten, blijft het een punt van aandacht in het brede landschap van digitale criminaliteit. De diefstal op Coins.ph voegt zich bij een reeks van cyberaanvallen die zowel financiële als veiligheidsrisico's met zich meebrengen voor de crypto-industrie. Het onderstreept het belang van verbeterde beveiligingsprotocollen en voortdurend toezicht om dergelijke aanvallen in de toekomst te voorkomen. (bron)


Omvangrijke Datalek bij D.C. Kiesraad: Gehele Kiezersregister Mogelijk Gecompromitteerd

In oktober 2023 ontdekte de Kiesraad van het District of Columbia (DCBOE) een ernstige inbreuk op hun webserver, beheerd door hostingprovider DataNet Systems. De aanval, uitgevoerd door een dreigingsactor bekend als RansomVC, heeft mogelijk geleid tot ongeoorloofde toegang tot de persoonlijke informatie van alle geregistreerde kiezers in Washington D.C. De gelekte gegevens bevatten een breed scala aan persoonlijk identificeerbare informatie (PII), zoals rijbewijsnummers, geboortedata, gedeeltelijke sofinummers en contactinformatie zoals telefoonnummers en e-mailadressen. DataNet Systems kon niet bevestigen of de bestanden daadwerkelijk zijn geopend of hoeveel records zijn ingezien. Als voorzorgsmaatregel zal DCBOE contact opnemen met alle geregistreerde kiezers en heeft het bedrijf Mandiant ingeschakeld, een cybersecurity consultancy, voor verdere stappen. Na ontdekking van de aanval werkte DCBOE samen met MS-ISAC's Computer Incident Response Team om de website offline te halen en te vervangen door een onderhoudspagina. Uit verder onderzoek bleek dat de inbrekers toegang hadden gekregen via de webserver van DataNet, maar dat er geen directe compromittering van DCBOE-databases of -servers plaatsvond. Op hun darkweb-website beweert RansomVC meer dan 600.000 regels van Amerikaanse kiezersdata te hebben gestolen. Deze informatie wordt te koop aangeboden, hoewel de prijs niet is bekendgemaakt. Ondanks deze beweringen werd er gemeld dat de gestolen DCBOE-database oorspronkelijk te koop werd aangeboden op hacking-forums door een gebruiker genaamd pwncoder. De FBI en het Department of Homeland Security zijn ingeschakeld voor een grondig onderzoek naar de omvang van het datalek en de geëxploiteerde kwetsbaarheden. (bron)


Mysterieuze Afname van Gehackte Cisco IOS XE Apparaten: Van 50.000 naar Honderden

Het aantal Cisco IOS XE apparaten dat is gehackt via een kwaadaardige achterdeur is op raadselachtige wijze gedaald van meer dan 50.000 naar slechts enkele honderden. Cybersecurity-onderzoekers kunnen niet met zekerheid zeggen wat de reden is achter deze scherpe daling. Eerder deze week waarschuwde Cisco voor twee zero-day kwetsbaarheden, CVE-2023-20198 en CVE-2023-20273, die werden uitgebuit om meer dan 50.000 Cisco IOS XE apparaten te hacken. Via deze aanval werden bevoorrechte gebruikersaccounts aangemaakt en een schadelijke LUA-achterdeur geïnstalleerd. Deze LUA-achterdeur gaf de aanvallers de mogelijkheid om op afstand commando's uit te voeren op het hoogste privilege-niveau (level 15) van het apparaat. Een interessante eigenschap van deze implant is dat deze niet persistent is; een herstart van het apparaat zou de achterdeur verwijderen. Desondanks blijven lokale gebruikers die tijdens de aanval zijn gecreëerd, bestaan. Cybersecurity-organisaties rapporteerden afgelopen zaterdag dat het aantal besmette Cisco IOS XE apparaten scherp is gedaald, van ongeveer 60.000 naar tussen de 100 en 1.200, afhankelijk van de scans. Er zijn verschillende theorieën over deze plotselinge daling. Sommigen suggereren dat de aanvallers een update uitrollen om hun aanwezigheid te verbergen. Anderen speculeren dat een zogenoemde "Gray Hat hacker" de apparaten mogelijk op afstand heeft herstart om de achterdeur te verwijderen. Weer anderen denken dat dit een nieuwe fase in de uitbuiting kan zijn, of dat de vele apparaten die zijn gehackt slechts een afleiding zijn om de werkelijke doelen te verbergen. Tot nu toe is er nog geen definitief antwoord op wat er precies is gebeurd, en verder onderzoek is nodig om de ware toedracht te achterhalen. Cisco heeft nog niet gereageerd op vragen over de daling. (bron)


TetrisPhantom Hackers Richten Zich op Overheidssystemen Via Gecompromitteerde USB-sticks

Een nieuwe en geavanceerde dreiging genaamd 'TetrisPhantom' heeft recentelijk de aandacht getrokken van cybersecurity experts. Deze groep hackers focust zich op overheidsnetwerken in de Asia-Pacific regio en maakt gebruik van gecompromitteerde beveiligde USB-sticks om toegang te krijgen tot gevoelige informatie. Deze USB-sticks zijn normaal gesproken bedoeld om data veilig te transporteren, ook tussen air-gapped systemen. Toegang tot de gecodeerde bestanden wordt verkregen via op maat gemaakte software, zoals UTetris.exe, dat zich bevindt op een niet-gecodeerd deel van de USB-stick. Volgens een recent rapport van Kaspersky zijn er trojanized versies van de UTetris-applicatie ontdekt op beveiligde USB-apparaten. Deze zijn ingezet in een aanvalscampagne die al enkele jaren aan de gang is. TetrisPhantom gebruikt gesofisticeerde tools en technieken, waaronder software-obfuscatie gebaseerd op virtualisatie en laag-niveau communicatie met de USB-stick. De aanval begint doorgaans met het uitvoeren van een payload genaamd AcroShell, die een communicatielijn opzet met de command-and-control server van de aanvallers. De dreigingsactoren kunnen vervolgens aanvullende payloads uitvoeren om documenten en gevoelige bestanden te stelen. Ze gebruiken de verzamelde informatie ook voor de R&D van andere malware, waaronder een variant genaamd XMKR, die verantwoordelijk is voor het verder verspreiden van de aanval naar mogelijk air-gapped systemen. Uiteindelijk wordt de gestolen informatie geëxtraheerd naar de server van de aanvallers zodra de USB-stick wordt aangesloten op een internetverbonden computer die is besmet met AcroShell. De aanvallen zijn al enkele jaren aan de gang en hebben een constante focus op spionage. Het aantal infecties op overheidsnetwerken is beperkt, wat wijst op een gerichte operatie. (bron)


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten

April 2024
Maart 2024