EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑

In de afgelopen week hebben we wereldwijd een reeks ernstige cyberaanvallen gezien, waarbij verschillende sectoren en landen getroffen zijn. Van een wereldwijde Zeroday-aanval op MOVEit, waarbij gegevens van maar liefst 70 miljoen personen gestolen werden, tot een reeks DDoS-aanvallen die significante storingen veroorzaakten bij populaire diensten zoals Cloudflare en ChatGPT. De commerciële sector is evenmin gespaard gebleven, met opmerkelijke aanvallen op grote organisaties zoals LinkedIn, Chess.com en ICBC, de grootste commerciële bank ter wereld.

In Nederland is een alarmerende toename van cyberaanvallen vastgesteld, met Lockbit en Black Basta als prominente bedreigingen die een breed scala aan sectoren treffen, van de vastgoedsector tot chemische producenten. Ondertussen heeft België ook te maken gehad met significante cyberincidenten, zoals de aanval op de GO! Handelsschool Aalst en de MultiMasters Management Service Provider.

De situatie in de Verenigde Staten toont een verontrustende focus op de gezondheidszorgsector, terwijl in Australië de havens en de cryptobeurs CoinSpot zijn getroffen. Bovendien waarschuwt de FBI voor nieuwe phishingmethoden en zien we een toename in de uitbuiting van kwetsbaarheden in populaire software zoals SysAid en Atlassian Confluence.

Hieronder volgt het volledige overzicht van de cyberaanvallen van de afgelopen week, waarin de complexiteit en het internationale bereik van deze dreigingen duidelijk naar voren komen.

Week overzicht slachtoffers

Slachtoffers België en Nederland

In samenwerking met StealthMol

Sponsor Cybercrimeinfo

Cyberaanvallen nieuws

❗️Black Basta Cyberaanval Treft Bos Logistics

Op 10 november 2023 werd Bos Logistics, een Nederlands transportbedrijf, het doelwit van de beruchte cybercriminele groep Black Basta. De aanval, bekendgemaakt op het darkweb, markeert een significante escalatie in cyberdreigingen binnen de transportsector. De impact van deze cyberaanval op Bos Logistics en hun klanten wordt nog onderzocht. Dit incident benadrukt de noodzaak voor bedrijven in alle sectoren om hun cyberbeveiliging te versterken en alert te blijven op mogelijke bedreigingen.

Containers stapelen zich op in Australische havens

In Australië kampen havens met een ernstige opstopping van vrachtcontainers, veroorzaakt door een recente cyberaanval op havenexploitant DP World. De Australian Financial Review bericht over tienduizenden containers die zich ophopen in de havens van Sydney, Brisbane, Melbourne en Fremantle. Deze situatie ontstond nadat DP World afgelopen vrijdag de internetverbindingen in deze havens moest verbreken als reactie op de cyberaanval. Deze maatregel beëindigde de ongeautoriseerde toegang tot het netwerksysteem van de havens, maar had ook als gevolg dat kritische operationele systemen uitvielen. Vrachtwagens zijn momenteel niet in staat de terminals binnen te rijden om ladingen op te halen of af te leveren, aangezien de systemen offline zijn. Hoewel schepen nog steeds in staat zijn containers te laden en te lossen, blijven de terminals grotendeels onbruikbaar. DP World heeft aangegeven 'aanzienlijke vooruitgang' te hebben geboekt bij het herstellen van de systemen en het hervatten van de vrachtactiviteiten, maar waarschuwt dat de verstoringen nog enkele dagen kunnen aanhouden. Opmerkelijk is dat tot dusver geen losgeldeis is ontvangen door DP World, en de bron van de cyberaanval blijft onbekend. De Australische minister van Binnenlandse Zaken, Clare O'Neil, heeft benadrukt dat de getroffen havens verantwoordelijk zijn voor 40 procent van de goederenstromen van en naar Australië. Ze onderstreept het ernstige risico van cyberaanvallen op het land en zijn vitale infrastructuur. Dit incident benadrukt de kwetsbaarheid van kritieke infrastructuur voor cybercriminaliteit en de impact die dergelijke aanvallen kunnen hebben op de nationale en internationale handel. (bron)

FBI Waarschuwt voor 'Callback-Phishing' als Nieuwe Methode van Afpersing en Datadiefstal

Er is een toename in het gebruik van 'callback-phishing' door criminelen om toegang te verkrijgen tot netwerken van organisaties, gevolgd door grootschalige datadiefstallen en afpersing. Deze methode, uitgevoerd door de zogenaamde Silent Ransom Group, ook bekend als Luna Moth, start wanneer een doelwit een e-mail ontvangt met een waarschuwing over problemen met hun account. Het slachtoffer wordt verzocht om een opgegeven telefoonnummer te bellen voor assistentie. Wanneer het slachtoffer het nummer belt, instrueren de criminelen hen om een legitieme systeembeheertool te downloaden via een link die per e-mail wordt verzonden. Met behulp van deze tool installeren de aanvallers andere legitieme beheertools, waarmee ze lokale bestanden en data van netwerkschijven ontvreemden. Deze gestolen data wordt vervolgens gebruikt om de betrokken onderneming af te persen. De FBI adviseert organisaties om duidelijk beleid te implementeren over welke applicaties voor remote access zijn toegestaan en welke op hun systemen kunnen worden uitgevoerd. Ook is het essentieel om externe remote verbindingen te documenteren en te monitoren. In het geval dat een niet goedgekeurde remote management oplossing op een werkstation wordt gedetecteerd, moet dit onmiddellijk worden onderzocht. Deze aanbevelingen zijn cruciaal om de risico's van callback-phishing en de daaruit voortvloeiende datadiefstal en afpersing te minimaliseren.

Wereldwijde Zeroday-aanval op MOVEit: Gegevens van 70 Miljoen Personen Gestolen

Een recente zeroday-aanval op MOVEit Transfer, een applicatie voor het uitwisselen van bestanden ontwikkeld door Progress Software, heeft geleid tot de diefstal van gegevens van meer dan zeventig miljoen personen. Deze aanval, die eind mei van dit jaar plaatsvond, trof ongeveer 2600 organisaties wereldwijd. De Amerikaanse staat Maine is een van de recente slachtoffers die zich heeft gemeld, waarbij criminelen toegang kregen tot gegevens van 1,3 miljoen individuen. MOVEit Transfer wordt door verschillende organisaties gebruikt voor het delen van vertrouwelijke informatie. Tijdens de aanval wisten criminelen, gelinkt aan de Clop-ransomware, via een zerodaylek toegang te krijgen tot de MOVEit-servers van duizenden organisaties en daarbij diverse gegevens te stelen. De Clop-groep publiceert op hun website de namen van getroffen organisaties en dreigt met het publiceren van gestolen data indien het gevraagde losgeld niet wordt betaald. Tot nu toe heeft Progress Software van 23 klanten vernomen dat ze door deze aanval zijn getroffen. Sommige van deze organisaties overwegen een schadevergoeding te eisen. Daarnaast is Progress Software betrokken bij 58 massaclaims die zijn ingediend door personen van wie gegevens zijn gestolen. De meeste getroffen organisaties zijn gevestigd in de Verenigde Staten en omvatten onderwijsinstellingen, gezondheidsorganisaties, en financiële en professionele dienstverleners. Bij de aanval zijn onder andere rijbewijsnummers en social-securitynummers buitgemaakt. Het totale aantal slachtoffers bedraagt 1,32 miljoen mensen. Dit incident benadrukt de voortdurende dreiging van cyberaanvallen en de noodzaak voor organisaties om hun cybersecuritymaatregelen te versterken. (bron, bron2)

Cybercrisis in Australische Havens

In Australië zijn de belangrijke havens van Sydney, Melbourne, Brisbane en Fremantle getroffen door een ernstige cyberaanval. Deze onverwachte aanval, die gisteravond werd ontdekt, heeft geleid tot een volledige stilstand van deze vitale handelsknooppunten. De Australische federale politie en regering zijn actief betrokken bij crisisberaad en onderzoeken, maar de dader van de aanval blijft nog onbekend. De havens, beheerd door het logistiek concern DP World, een staatsbedrijf uit Dubai, zijn cruciaal voor de Australische economie. Terwijl de kranen operationeel blijven en schepen nog steeds in- en uitvaren, is het vrachtverkeer over land ernstig verstoord, met vrachtwagens die de havens niet meer in of uit kunnen. Dit heeft een significante impact op het binnenlandse goederenvervoer. DP World Australië, met meer dan 7000 werknemers en achttien locaties in de Azië-Pacific regio, speelt een sleutelrol in de wereldwijde logistieke keten. Na de ontdekking van de inbraak in hun systemen op vrijdag, werd de internetverbinding onmiddellijk verbroken, wat de ongeautoriseerde toegang tot de havennetwerken beëindigde. Echter, deze beslissing verhinderde ook het functioneren van belangrijke operationele systemen. De Australische minister van Binnenlandse Zaken, Clare O'Neil, en de Nationaal Coördinator Cyberveiligheid van Australië, hebben aangegeven dat de impact van het incident nog wordt geëvalueerd en dat men verwacht dat de verstoring enkele dagen zal aanhouden. Deze situatie wordt verder gecompliceerd door gespannen onderhandelingen met de vakbond Maritime Union over lonen en arbeidsomstandigheden, waardoor havenwerkers recentelijk meerdere malen het werk hebben neergelegd. Deze cyberaanval onderstreept de kwetsbaarheid van vitale infrastructuren voor digitale dreigingen en benadrukt de noodzaak voor verbeterde cyberbeveiliging in essentiële sectoren zoals de maritieme industrie. De Australische regering en betrokken autoriteiten staan voor een uitdagende taak om niet alleen de huidige crisis te beheersen, maar ook om toekomstige aanvallen te voorkomen.

Grootschalige Ethereum Diefstal bij Australische Cryptobeurs CoinSpot

Een recente cyberaanval op CoinSpot, een van de grootste cryptobeurzen in Australië, heeft geleid tot het verlies van miljoenen dollars aan Ethereum (ETH). Dit incident, aangekondigd op 8 november via een bekend blockchain-speurneus op Telegram, heeft de crypto-gemeenschap opgeschrikt. De diefstal is vermoedelijk het resultaat van een gecompromitteerde private key van een 'hot wallet' van CoinSpot. Hot wallets, die online verbonden zijn, staan bekend als minder veilig dan hun offline tegenhangers, de 'cold wallets'. De hacker heeft in totaal 1.262 ETH gestolen, wat neerkomt op ongeveer $2,4 miljoen. ZachXBT, een blockchain-speurneus, identificeerde twee verdachte transacties die direct gerelateerd waren aan de hacker. De gestolen Ethereum werd omgezet in Bitcoin (BTC) door gebruik te maken van twee verschillende Decentralized Finance (DeFi) platforms: Uniswap (UNI) en THORChain (RUNE). De hacker ruilde eerst 450 ETH voor 24 wrapped bitcoin (WBTC) en wist vervolgens nog eens 831 ETH om te zetten in BTC. Om zijn sporen te wissen, heeft de hacker de gestolen bitcoins verdeeld over vier verschillende crypto wallets, wat het traceren van de gestolen middelen bemoeilijkt voor zowel overheidsinstanties als cryptobeurzen. CertiK, een beveiligingsbedrijf, bevestigde het verhaal van ZachXBT en gaf aan dat de diefstal waarschijnlijk het gevolg was van een hot wallet hack. CertiK benadrukte het belang van robuuste beveiliging van private keys en het gebruik van geavanceerde tactieken door de hacker. CoinSpot heeft nog geen officieel commentaar gegeven op het incident. Dit voorval benadrukt de kwetsbaarheid van hot wallets en het belang van sterke beveiligingsmaatregelen in de wereld van cryptocurrency. (bron)

❗️Toename Cyberaanvallen Bevestigd door Fox-IT: Lockbit Treft Tientallen Nederlandse Bedrijven

De recente verhoging in cyberaanvallen, zoals waargenomen op de website van Cybercrimeinfo, is nu ook bevestigd door Fox-IT. Het hackerscollectief Lockbit, dat bekend staat om het kraken van de grootste bank van China, heeft een aanzienlijk aantal Nederlandse bedrijven als doelwit genomen. Volgens Willem Zeeman van Fox-IT, die eerder betrokken was bij de aanpak van een Lockbit-aanval op de KNVB, kiezen veel getroffen bedrijven ervoor de inbraken niet openbaar te maken door snel losgeld te betalen. Lockbit, nu erkend als een van de meest gevreesde criminele hackersgroeperingen wereldwijd, maakt gebruik van complexe afpersingstactieken. Dit omvat het versleutelen van bedrijfsbestanden en het dreigen met het lekken van gevoelige informatie, bekend als 'dubbele afpersing'. De groep, waarschijnlijk opgericht door Russische hackers, verwelkomt cybercriminelen van over de hele wereld, op voorwaarde dat zij hun vaardigheden bewijzen. Lockbit onderhoudt een professionele helpdesk op hun website voor slachtoffers. Hun recente aanval op de ICBC, de grootste bank van China, richtte zich op de Amerikaanse divisie, wat aangeeft dat zelfs bondgenoten van Rusland potentieel doelwit zijn. De trend van snelle betalingen door getroffen bedrijven en hun terughoudendheid om deze inbreuken bekend te maken, onderstreept de ernst en het bereik van de bedreiging die Lockbit vormt, zowel voor Nederlandse bedrijven als internationale financiële instellingen. (bron)

Cyberaanval op Hypotheekgigant Mr. Cooper

Mr. Cooper, de grootste hypotheekdienstverlener in de Verenigde Staten, heeft bevestigd dat klantgegevens zijn blootgesteld tijdens een cyberaanval die op 31 oktober werd onthuld. Het bedrijf is nog bezig met het onderzoeken van de aard van de gecompromitteerde gegevens en belooft de getroffen klanten in de komende weken meer informatie te verstrekken. Mr. Cooper verklaarde dat de aanvallers geen toegang hadden tot de financiële informatie van klanten, omdat dergelijke gegevens niet op hun systemen worden opgeslagen. Deze informatie wordt gehost bij een derde partij, en het bedrijf gelooft niet dat deze door het incident is beïnvloed. Het bedrijf heeft niet bekendgemaakt of de aanvallers een losgeldeis hebben gesteld na de beveiligingsinbreuk van vorige maand. Mr. Cooper heeft klanten aangespoord hun kredietrapporten en bankrekeningen te controleren op verdachte of ongeautoriseerde activiteiten en deze onmiddellijk te melden bij hun bank. Personen die mogelijk door het incident zijn getroffen, werd ook geadviseerd om als voorzorgsmaatregel een 'fraude alert' op hun kredietdossiers te plaatsen. Als gevolg van de inbreuk op 31 oktober moest het bedrijf zijn IT-systemen uitschakelen, inclusief toegang tot telefoonlijnen, de support-chatbot en het online betalingsportaal. Het bedrijf verzekerde dat klanten die betalingen probeerden te verrichten, geen kosten of negatieve gevolgen zouden ondervinden en beloofde geen kosten, boetes of negatieve kredietrapportages in verband met late betalingen in rekening te brengen totdat de getroffen systemen hersteld zijn. Mr. Cooper, voorheen bekend als Nationstar Mortgage LLC, is een hypotheekverstrekkend bedrijf met het hoofdkantoor in Dallas, Texas, met ongeveer 9.000 werknemers. Het bedrijf bedient een klantenbestand van 4,1 miljoen en beheert leningen met een totale waarde van $937 miljard. (bron, bron2)

Waarschuwing voor Nieuwe Cryptodiefstal-aanvallen door BlueNoroff Hackgroep

Microsoft heeft gewaarschuwd voor nieuwe aanvalsplannen van de Noord-Koreaanse hackgroep BlueNoroff, gericht op het stelen van cryptocurrency via social engineering-campagnes op LinkedIn. Deze groep, door Microsoft ook bekend als Sapphire Sleet, staat bekend om aanvallen op medewerkers van cryptobedrijven. Na het leggen van initiële contacten via LinkedIn, implementeren de hackers malware in kwaadaardige documenten die ze via privéberichten op sociale netwerken verspreiden. Recentelijk heeft Sapphire Sleet nieuwe websites opgezet die dienen als vaardigheidsbeoordelingsportalen, een nieuwe tactiek om hun aanvallen te camoufleren. Deze sites zijn met wachtwoorden beveiligd en moeilijk te analyseren. Eerder gebruikte BlueNoroff directe kwaadaardige bijlagen of links naar legitieme sites zoals GitHub, maar de snelle detectie en verwijdering van deze bestanden van legitieme online diensten heeft hen aangezet tot het creëren van hun eigen sites voor het hosten van kwaadaardige payloads. BlueNoroff, gelinkt aan nieuwe ObjCShellz macOS-malware door Jamf Threat Labs, staat bekend om gerichte aanvallen op Macs. Kaspersky heeft de groep in verband gebracht met aanvallen op crypto-startups en financiële organisaties wereldwijd. De FBI heeft BlueNoroff, samen met Lazarus, geïdentificeerd als verantwoordelijk voor de grootste crypto-hack in de geschiedenis, met een diefstal van meer dan $617 miljoen. Volgens een rapport van de Verenigde Naties van vier jaar geleden hebben Noord-Koreaanse staathackers, waaronder BlueNoroff, ongeveer $2 miljard gestolen in meer dan 35 cyberaanvallen. In 2019 heeft het Amerikaanse Ministerie van Financiën BlueNoroff en twee andere Noord-Koreaanse hackgroepen gesanctioneerd voor het doorsluizen van gestolen financiële activa naar de Noord-Koreaanse regering. (bron)

Hackers richten pijlen op Amerikaanse gezondheidszorgorganisaties via ScreenConnect

Beveiligingsonderzoekers waarschuwen dat hackers meerdere Amerikaanse gezondheidszorgorganisaties aanvallen door misbruik te maken van de ScreenConnect-tool voor externe toegang. Deze aanvallers benutten lokale ScreenConnect-instanties van Transaction Data Systems (TDS), een leverancier van supply chain- en beheersystemen voor apotheken in alle 50 staten. De aanvallen werden opgemerkt door onderzoekers van het beveiligingsplatform Huntress, die ze observeerden op eindpunten van twee verschillende gezondheidsorganisaties. Deze activiteiten duiden op netwerkverkenning ter voorbereiding van verdere escalatie van aanvallen. De dreigingsactoren namen meerdere stappen, waaronder het installeren van extra tools voor externe toegang zoals ScreenConnect of AnyDesk, om permanente toegang tot de omgevingen te waarborgen. Deze inbraken werden waargenomen tussen 28 oktober en 8 november 2023, en vinden waarschijnlijk nog steeds plaats. Huntress rapporteert dat de aanvallen vergelijkbare tactieken, technieken en procedures (TTP's) omvatten, waaronder het downloaden van een payload genaamd text.xml. Dit suggereert dat dezelfde acteur achter alle waargenomen incidenten zit. De XML bevat C#-code die de Metasploit-aanvalsmeter in het systeemgeheugen laadt, waarbij PowerShell wordt vermeden om detectie te omzeilen. Verder werden aanvullende processen waargenomen die werden gelanceerd met behulp van de Printer Spooler-service. De gecompromitteerde eindpunten draaien op een Windows Server 2019-systeem en behoren tot twee verschillende organisaties in de farmaceutische en gezondheidszorgsector. De ScreenConnect-tool werd gebruikt voor het installeren van extra payloads, het uitvoeren van opdrachten, het overdragen van bestanden en het installeren van AnyDesk. De hackers probeerden ook een nieuw gebruikersaccount aan te maken voor permanente toegang. Onderzoekers bepaalden dat de ScreenConnect-instantie was gekoppeld aan het domein 'rs.tdsclinical[.]com', geassocieerd met TDS. Momenteel is het onduidelijk of TDS zelf is gehackt, of dat de inloggegevens van een van hun accounts zijn gecompromitteerd, of dat de aanvallers een ander mechanisme gebruiken. Huntress heeft meerdere pogingen ondernomen om TDS, nu bekend als 'Outcomes' na een fusie vorige zomer, te waarschuwen, maar het bedrijf reageerde niet. (bron, bron2)

Grootschalige Inbreuk op MOVEit-Gegevens in Maine

De staat Maine (VS) heeft een ernstig datalek bekendgemaakt, waarbij persoonlijke gegevens van ongeveer 1,3 miljoen mensen zijn blootgesteld, bijna de gehele bevolking van de staat. Dit lek is het resultaat van een kwetsbaarheid in de MOVEit-tool voor bestandsoverdracht, die is uitgebuit door de Clop ransomware-bende. Deze aanval maakte deel uit van een wereldwijde campagne van gegevensdiefstal die begon op 27 mei 2023. De kwetsbaarheid in MOVEit werd ontdekt op 31 mei 2023, waarna bleek dat cybercriminelen tussen 28 en 29 mei toegang hadden tot bestanden van verschillende staatsagentschappen. De blootgestelde gegevens omvatten volledige namen, socialezekerheidsnummers, geboortedata, rijbewijsnummers, staatsidentificatienummers, belastingbetalernummers en informatie over ziektekostenverzekeringen. De aard van de blootgestelde gegevens verschilde per individu, afhankelijk van hun interactie met de staatsagentschappen. Het Ministerie van Volksgezondheid en Human Services was het meest getroffen, gevolgd door het Ministerie van Onderwijs. Andere getroffen afdelingen waren onder meer Administratieve en Financiële Diensten, Werknemerscompensatie, Bureau voor Motorvoertuigen, Correcties, Economische en Gemeenschapsontwikkeling, Professionele en Financiële Regulatie en Arbeid. De staat Maine heeft aangekondigd dat alle getroffen burgers met blootgestelde SSN's of belastinginformatie notificaties ontvangen voor gratis tweejarenmonitoring op krediet en bescherming tegen identiteitsdiefstal. Burgers worden aangemoedigd hun financiële rekeningen regelmatig te controleren op verdachte activiteiten. Ook is een speciaal callcenter opgezet om vragen te beantwoorden over dit beveiligingsincident. (bron)

Grootschalig Datalek bij McLaren Health Care Treft 2,2 Miljoen Mensen

McLaren Health Care (McLaren), een non-profit gezondheidszorgsysteem in Michigan (VS), heeft bijna 2,2 miljoen mensen op de hoogte gesteld van een datalek dat zich tussen eind juli en augustus 2023 voordeed. Dit datalek bracht gevoelige persoonlijke informatie aan het licht. McLaren, met een jaaromzet van $6,6 miljard, omvat een netwerk van 14 ziekenhuizen en wordt ondersteund door 490 artsen. Het heeft 28.000 voltijdse medewerkers en onderhoudt contractuele relaties met 113.000 zorgverleners, waardoor hun bereik tot Indiana reikt. Op 22 augustus 2023 identificeerde McLaren een beveiligingsinbreuk, waarbij nader onderzoek met hulp van externe cybersecurity-experts onthulde dat de systemen sinds 28 juli 2023 gecompromitteerd waren. Op 31 augustus kreeg een niet-geautoriseerde bedreigingsactor toegang tot gegevens, waarbij diverse soorten informatie werden blootgesteld, waaronder volledige namen, socialezekerheidsnummers, zorgverzekeringsinformatie, geboortedata, facturerings- of claiminformatie, diagnoses, informatie over artsen, medische dossiernummers, Medicare/Medicaid-informatie, recept-/medicatiegegevens, en diagnostische resultaten en behandelingsinformatie. McLaren heeft geen bewijs gevonden dat de blootgestelde gegevens zijn misbruikt, maar waarschuwt de getroffen personen om waakzaam te zijn voor ongevraagde communicatie en hun bankrekeningen nauwlettend in de gaten te houden. Alle getroffen personen hebben een e-mail ontvangen met instructies voor het inschrijven op identiteitsbeschermingsdiensten voor een periode van 12 maanden. Het is belangrijk te vermelden dat de ALPHV/BlackCat ransomware-groep de verantwoordelijkheid heeft opgeëist voor een aanval op het netwerk van McLaren op 4 oktober. Deze groep heeft voorbeelden van de vermoedelijk gestolen gegevens gepubliceerd en gedreigd de hele dataset, die naar verluidt 2,5 miljoen mensen betreft, te veilen. (bron)

Grootse hack bij LinkedIn en Chess.com door Web Scraping

Op vrijdag 10 november 2023 is naar voren gekomen dat een aanzienlijke hoeveelheid informatie van LinkedIn en Chess.com online is gepubliceerd op Breach Forums. Deze lek betreft gegevens van ongeveer 35 miljoen LinkedIn-gebruikers en 800.000 Chess.com-gebruikers. De LinkedIn-data is vrijgegeven door een gebruiker met de naam USDoD en bestaat uit twee delen. Het eerste deel omvat ongeveer 5 miljoen gebruikersgegevens, terwijl het tweede deel ongeveer 35 miljoen gegevens bevat. USDoD heeft bevestigd dat deze gegevens verkregen zijn via web scraping. Dit is een proces waarbij publiek toegankelijke data automatisch van websites wordt verzameld, zonder dat er sprake is van een cyberaanval. Parallel hieraan is informatie van ongeveer 800.000 Chess.com-gebruikers online gezet door een gebruiker genaamd DrOne. Deze informatie omvat namen, gebruikersnamen, profiellinks, e-mailadressen, landen, links naar avatars, Universally Unique Identifiers (UUIDs), User IDs en registratiedata. Deze incidenten benadrukken de toegankelijkheid van publieke data en roepen vragen op over de bescherming en privacy van gebruikersinformatie op dergelijke platforms. De publicatie van deze gegevens heeft tot diverse reacties geleid, waarbij sommigen het belang van deze lekken in twijfel trekken, gezien de publieke aard van de informatie. Anderen, waaronder beveiligingsonderzoeker Troy Hunt, wijzen op de gemakkelijke beschikbaarheid van gevoelige data zoals UUID's en registratiedata op platforms zoals Chess.com. Deze incidenten onderstrepen het belang van bewustzijn rondom dataprivacy en -beveiliging. (bron, bron2)

Kyocera AVX Bevestigt Datalek Impact op 39.000 Personen na Ransomware-aanval

Kyocera AVX Components Corporation (KAVX), een Amerikaanse fabrikant van geavanceerde elektronische componenten en dochteronderneming van het Japanse semiconductorbedrijf Kyocera, heeft een datalek gemeld dat 39.111 individuen treft. Dit gebeurde na een ransomware-aanval die plaatsvond tussen 16 februari en 30 maart 2023. De aanval trof servers in Greenville en Myrtle Beach, South Carolina, en resulteerde in de encryptie van systemen en tijdelijke verstoring van bepaalde diensten. KAVX ontdekte op 10 oktober 2023 dat persoonlijke informatie van individuen wereldwijd was blootgesteld. De gestolen gegevens omvatten ten minste volledige namen en Social Security Numbers (SSNs), met de mogelijkheid dat er meer gegevens zijn gelekt. Het bedrijf heeft geen bewijs van misbruik van de gestolen gegevens, maar waarschuwt de betrokkenen voor het risico op identiteitsdiefstal en fraude. Als reactie biedt KAVX een 12-maanden durende dienst voor darkweb monitoring en wachtwoordlekken gratis aan de getroffen personen. De verantwoordelijkheid voor de aanval is opgeëist door de LockBit ransomware-groep, die KAVX op 26 mei 2023 toevoegde aan zijn datalek site. De hackers publiceerden diverse gestolen documenten, waaronder paspoortscans, financiële documenten en non-disclosure agreements. De deadline voor het betalen van het losgeld was gesteld op 9 juni 2023. Naast deze gevoelige informatie lekten ze ook componentenschema's en technische tekeningen, waardoor er een risico ontstaat op het blootstellen van gepatenteerde ontwerpen en informatie aan concurrenten. (bron)

Cloudflare Getroffen door DDoS-aanval Toegeschreven aan Anonymous Sudan

De website van Cloudflare is recentelijk ten prooi gevallen aan een DDoS-aanval, naar eigen zeggen uitgevoerd door de groep Anonymous Sudan. Deze aanval veroorzaakte tijdelijke connectiviteitsproblemen voor enkel de www.cloudflare.com website, zonder andere producten of diensten van het bedrijf te beïnvloeden. Cloudflare bevestigde de aanval, maar wees geen specifieke dreigingsactor aan. Het bedrijf benadrukte dat geen van hun klanten door dit incident is getroffen, omdat de website van Cloudflare op een afzonderlijke infrastructuur draait en geen invloed heeft op de diensten van Cloudflare. Anonymous Sudan, ook bekend als Storm-1359, eiste ook verantwoordelijkheid op voor een DDoS-aanval op de ChatGPT-bot van OpenAI, evenals eerdere aanvallen op Microsoft's Outlook.com, OneDrive en Azure Portal in juni. De groep beweert landen en organisaties die zich met de Soedanese politiek bemoeien te targeten, maar sommige analisten vermoeden een valse vlag en koppelen de groep aan Rusland. Cloudflare werkte aan een oplossing voor het probleem dat een "We're sorry" Google-foutmelding veroorzaakte op hun website. Deze foutmelding suggereerde dat de computer of het netwerk van de gebruiker geautomatiseerde queries verzond, wat leidde tot het blokkeren van de verzoeken. Recentelijk ondervond Cloudflare ook andere storingen. Een stroomstoring in hun belangrijkste datacenter in Noord-Amerika beïnvloedde hun dashboard en API's, en een andere storing trof meerdere producten, waaronder Cloudflare Sites en Services. Deze laatste storing werd veroorzaakt door een configuratiefout bij het implementeren van een nieuwe build voor Workers KV.

ICBC, 's Werelds Grootste Commerciële Bank, Getroffen door Ransomware-aanval

De Industriële en Commerciële Bank van China (ICBC), 's werelds grootste commerciële bank qua inkomsten, is recentelijk getroffen door een ernstige ransomware-aanval. Deze cyberaanval heeft aanzienlijke verstoringen veroorzaakt in de Amerikaanse schatkistmarkt en problemen in het afhandelen van aandelen. Deze incident werd voor het eerst gemeld door de Financial Times en bevestigd door verschillende industriebronnen aan BleepingComputer. De bank, met een omzet van $214.7 miljard in 2022, kampt nu met het herstellen van haar systemen en diensten. ICBC heeft wereldwijd een aanzienlijke klantenkring, waaronder 10,7 miljoen zakelijke en 720 miljoen particuliere klanten, met 17.000 binnenlandse filialen en aanwezigheid in 41 landen, inclusief 13 filialen in de Verenigde Staten. De aanval werd opgemerkt toen ICBC niet langer in staat bleek om Amerikaanse schatkisttransacties voor andere marktdeelnemers af te handelen. Een woordvoerder van het Amerikaanse ministerie van Financiën bevestigde dat ze op de hoogte zijn van het cybersecurityprobleem en in nauw contact staan met belangrijke financiële marktdeelnemers en federale toezichthouders. Veiligheidsexpert Kevin Beaumont identificeerde een kwetsbaarheid in een ICBC Citrix-server, bekend als 'Citrix Bleed', als een mogelijk toegangspunt voor de aanvallers. Deze kwetsbaarheid zou het voor ransomwaregroepen eenvoudig maken om authenticatiemaatregelen te omzeilen en volledige controle over het systeem te verkrijgen. De aanval op de ICBC benadrukt de voortdurende bedreiging van ransomware-aanvallen op grote financiële instellingen. Het illustreert ook de noodzaak van voortdurende waakzaamheid en beveiligingsupdates om dergelijke aanvallen te voorkomen. De situatie wordt nauwlettend in de gaten gehouden, zowel door de financiële sector als door regelgevende instanties, om de impact te beoordelen en toekomstige incidenten te voorkomen. (bron, bron2, bron3, bron4)

Google Ads Gebruikt voor Verspreiding Malafide CPU-Z App en Redline Malware

Een dreigingsactor heeft Google Ads misbruikt om een gecompromitteerde versie van de CPU-Z tool te verspreiden, die de Redline informatie-stelende malware bevat. Deze campagne, waargenomen door Malwarebytes-analisten, lijkt deel uit te maken van dezelfde operatie die eerder Notepad++ malvertising gebruikte voor het leveren van kwaadaardige payloads. De malafide Google-advertentie voor CPU-Z, een tool die computerhardware op Windows profileert, werd gehost op een gekloonde kopie van de legitieme Windows-nieuwssite WindowsReport. CPU-Z is een populaire, gratis utility die gebruikers helpt bij het monitoren van verschillende hardwarecomponenten, zoals ventilatorsnelheden, CPU-kloksnelheden, spanning en cache-details. Door op de advertentie te klikken, worden slachtoffers via een omleidingsstap geleid die Google's anti-misbruikcrawlers misleidt door ongeldige bezoekers naar een onschuldige site te sturen. Echte bezoekers worden omgeleid naar een nagebootste Windows-nieuwssite, gehost op domeinen zoals argenferia[.]com en realvnc[.]pro. Deze strategie, het gebruik van een kloon van een legitieme site, voegt een extra laag van vertrouwen toe aan het infectieproces. Het klikken op de 'Download nu' knop resulteert in een digitaal ondertekend CPU-Z installatiebestand (MSI-bestand) met een kwaadaardig PowerShell-script, geïdentificeerd als de 'FakeBat' malware loader. Dit bestand, ondertekend met een geldig certificaat, is minder waarschijnlijk om waarschuwingen van Windows-beveiligingstools of antivirusproducten te activeren. De loader haalt vervolgens de Redline Stealer payload op van een externe URL en lanceert deze op de computer van het slachtoffer. Redline is een krachtige stealer die wachtwoorden, cookies, en browsegegevens kan verzamelen van verschillende webbrowsers en applicaties, evenals gevoelige gegevens uit cryptocurrency-wallets. Om de kans op malware-infecties bij het zoeken naar specifieke softwaretools te minimaliseren, moeten gebruikers aandachtig zijn bij het klikken op gepromote resultaten in Google Zoeken. Ze moeten controleren of de geladen site en het domein overeenkomen, of een ad-blocker gebruiken die deze automatisch verbergt. (bron)

SysAid Zero-Day Kwetsbaarheid Uitgebuit in Clop Ransomware Aanvallen

Microsoft heeft een zero-day kwetsbaarheid in de service management software SysAid geïdentificeerd, die actief wordt uitgebuit voor data diefstal en het verspreiden van Clop ransomware. SysAid is een uitgebreide IT Service Management (ITSM) oplossing die diverse IT-diensten binnen organisaties beheert. De kwetsbaarheid, aangeduid als CVE-2023-47246, werd op 2 november ontdekt nadat hackers deze misbruikten om on-premise SysAid servers te infiltreren. Microsoft’s Threat Intelligence team ontdekte deze beveiligingsproblematiek en waarschuwde SysAid. Het team ontdekte dat de kwetsbaarheid werd gebruikt om Clop ransomware te implementeren door een dreigingsactor genaamd Lace Tempest (ook bekend als Fin11 en TA505). SysAid onthulde dat CVE-2023-47246 een path traversal kwetsbaarheid is die ongeautoriseerde code-uitvoering mogelijk maakt. De aanvallers gebruikten deze fout om een WAR-archief met een webshell in de webroot van de SysAid Tomcat webdienst te uploaden. Dit stelde hen in staat om extra PowerShell-scripts uit te voeren en de GraceWire malware te laden, welke werd ingebracht in legitieme processen zoals spoolsv.exe, msiexec.exe, en svchost.exe. SysAid reageerde snel met een patch voor CVE-2023-47246, beschikbaar in een software-update. Gebruikers wordt sterk aanbevolen om over te stappen naar versie 23.3.36 of later. Systeembeheerders dienen hun servers te controleren op tekenen van compromittering, waaronder ongebruikelijke bestanden in de SysAid Tomcat webroot, ongeautoriseerde WebShell-bestanden, en verdachte PowerShell-logboeken. SysAid's rapport biedt ook indicatoren van compromittering die kunnen helpen bij het detecteren of voorkomen van inbreuken. (bron)

Russische Hackers Adopteren LOTL-technieken voor Stroomstoringen

Russische staatshackers hebben hun methodes voor het binnendringen van industriële controlesystemen geëvolueerd door de adoptie van 'living-off-the-land' (LOTL) technieken. Deze technieken stellen hen in staat om sneller en met minder middelen de laatste fase van een aanval te bereiken. Deze verandering vergroot de kans op moeilijker te detecteren aanvallen die geen geavanceerde malware vereisen voor industriële controlesystemen (ICS). In 2022 werd een kritieke Oekraïense infrastructuurorganisatie aangevallen door de Sandworm-hackergroep, gelinkt aan de Russische militaire inlichtingendienst GRU. Deze groep, actief sinds 2009, richt zich op ICS en voert zowel spionage als destructieve cyberaanvallen uit. De aanval culmineerde in een stroomstoring op 10 oktober 2022, gecombineerd met raketbeschietingen op cruciale faciliteiten. Sandworm verkreeg toegang tot de operationele technologie (OT) omgeving via een hypervisor die een MicroSCADA-server hostte. Dit systeem automatiseert de werking van het gehele stroomdistributiesysteem. De aanvallers hadden mogelijk tot drie maanden toegang tot het SCADA-systeem. Het gebruik van een inheemse binaire (LoLBin) in de aanval duidt op een verschuiving naar LOTL-technieken die afhankelijk zijn van meer lichtgewicht en generieke tools, waardoor de dreigingsactiviteit moeilijker te detecteren is. De aanval bestond uit twee verstorende gebeurtenissen. De eerste was de eerder genoemde stroomstoring, waarbij Sandworm een ISO CD-ROM-imagebestand gebruikte om de inheemse MicroSCADA-utility scilc.exe uit te voeren. De tweede gebeurtenis vond plaats op 12 oktober 2022, toen Sandworm een nieuwe versie van de CADDYWIPER data-verwoestende malware inzette, waarschijnlijk om de omgeving verder te verstoren en sporen van de aanval te verwijderen. Mandiant, een onderdeel van Google, benadrukt in hun rapport de groeiende volwassenheid van Ruslands offensieve OT-arsenaal, wat wijst op een verhoogd vermogen om nieuwe OT-dreigingsvectorente herkennen, nieuwe capaciteiten te ontwikkelen en verschillende soorten OT-infrastructuur voor hun aanvallen te benutten. Nathan Brubaker van Mandiant benadrukt dat Sandworm's aanvalskapaciteiten niet beperkt worden door hun vaardigheden, maar geleid worden door de motivatie om aan te vallen. Het rapport bevat indicatoren van compromittering, YARA-regels, richtlijnen voor het versterken van SCADA-beheerhosts en aanbevelingen die verdedigers kunnen helpen Sandworm's activiteit in ICS-omgevingen te detecteren en de dreiging te mitigeren. (bron, bron2, bron3)

5 GB aan Gestolen Data van Dallas County Openbaar Gemaakt

Cybercriminelen hebben recentelijk 5 GB aan data gepubliceerd die zij beweren te hebben gestolen van Dallas County in de Verenigde Staten. Dallas County, met 2,6 miljoen inwoners, onderzoekt nu de authenticiteit en de mogelijke impact van deze openbaar gemaakte informatie. Deze datalek is naar voren gebracht door de cybercrimegroep Play, die bekend staat om hun betrokkenheid bij ransomware, datadiefstal en afpersing.De groep Play dreigt met het vrijgeven van meer data als Dallas County niet voldoet aan hun eisen, hoewel ze niet specificeren hoeveel data ze in bezit hebben. Dit komt na eerdere claims van Dallas County dat hun IT-team had voorkomen dat data werd gestolen of versleuteld. Echter, in een recente update lijkt de county deze bewering te heroverwegen. Ze hebben aangegeven dat ze de zaak onderzoeken en indien bevestigd wordt dat persoonlijke informatie is gestolen, zullen de betrokken individuen onmiddellijk geïnformeerd worden. Dit incident benadrukt de groeiende dreiging van cybercriminaliteit en de complexiteit van het beschermen van gevoelige data tegen geavanceerde cyberaanvallen. Het onderstreept ook het belang van snelle en transparante communicatie door getroffen organisaties om de impact van dergelijke inbreuken te minimaliseren en vertrouwen te behouden. De ontwikkelingen rondom deze datalek bij Dallas County worden nauwlettend gevolgd, aangezien het consequenties kan hebben voor de cyberveiligheid van zowel individuen als organisaties wereldwijd. (bron)

Sumo Logic getroffen door Cyberaanval

Op 9 november 2023 rapporteerde Sumo Logic, een bedrijf gespecialiseerd in machine data analytics, waaronder cloudmonitoring, logmanagement en SIEM-tools, een security-incident. Dit incident werd ontdekt op 3 november, toen bleek dat een aanvaller met behulp van gestolen inloggegevens toegang had verkregen tot het Amazon Web Services (AWS)-account van Sumo Logic. Er is een mogelijkheid dat klantgegevens zijn gestolen, ondanks dat deze gegevens versleuteld zijn opgeslagen. Het bedrijf bevestigde dat de werking van hun systemen en netwerken niet beïnvloed zijn door de aanval. Als reactie op de aanval heeft Sumo Logic maatregelen genomen, waaronder het vergrendelen van de getroffen infrastructuur. De exacte details van deze maatregelen zijn niet gespecificeerd. Sumo Logic heeft ook alle mogelijk gelekte inloggegevens veranderd en is bezig met een diepgaand onderzoek naar de omvang van het incident. Daarnaast adviseert het bedrijf zijn klanten om als voorzorgsmaatregel hun inloggegevens te wijzigen. Dit betreft niet alleen inloggegevens voor de systemen van Sumo Logic, maar ook voor andere leverancierssystemen waartoe via Sumo Logic toegang wordt verkregen. Verder worden klanten geadviseerd hun API-sleutels en wachtwoorden van gebruikers voor Sumo Logic-accounts te veranderen, evenals inloggegevens voor externe diensten die in Sumo Logic zijn opgeslagen. Het incident benadrukt het belang van sterke beveiligingsmaatregelen en het regelmatig updaten van inloggegevens, vooral in een tijd waarin cyberaanvallen steeds geavanceerder worden. Sumo Logic zet zich in om de gevolgen van het incident te beperken en de beveiliging van hun klantgegevens te waarborgen. (bron)

Nordex, Amerikaanse windturbinefabrikant, slachtoffer van CEO-fraude

Nordex, een vooraanstaande Amerikaanse fabrikant van windturbines, is het recente slachtoffer geworden van een geraffineerde vorm van CEO-fraude, waarbij cybercriminelen het bedrijf misleidden om 800.000 dollar over te maken. Deze fraude kwam aan het licht toen een factuur, ogenschijnlijk uitgezonden door machinefabrikant Mountain Crane, op frauduleuze wijze werd voorgedragen. Deze gebeurtenissen hebben zich ontvouwd nadat in juni 2022 het e-mailaccount van een medewerker van Mountain Crane werd gecompromitteerd en gebruikt om de valse factuur te versturen. Het bedrog werd pas een maand na de overboeking ontdekt, waarna Nordex onmiddellijk de FBI inschakelde. De FBI's onderzoek onthulde dat een deel van het gestolen geld, specifiek een bedrag van 50.000 dollar, was overgemaakt naar de rekening van een Nigeriaanse overheidsfunctionaris die toezicht houdt op de olie- en gasindustrie. Deze functionaris, met voormalige posities bij Shell en Eland Oil & Gas, heeft elke betrokkenheid ontkend en beweert dat zijn reisrechten naar de VS zijn ingetrokken na het onterecht in beslag nemen van het bedrag op zijn rekening. In een opmerkelijke wending heeft de FBI het volledige bedrag van de fraude weten terug te vorderen. Details over de wijze waarop de fondsen zijn gerecupereerd zijn niet bekendgemaakt, en zowel het Amerikaanse ministerie van Justitie als Mountain Crane hebben geen commentaar gegeven op de zaak. Een woordvoerder van Nordex heeft de succesvolle terugvordering van de fondsen bevestigd. De situatie heeft geleid tot publieke discussies over de effectiviteit van de Amerikaanse en Nederlandse autoriteiten in het aanpakken van dergelijke grensoverschrijdende financiële misdrijven. (bron)

DDoS-aanvallen veroorzaken aanhoudende storingen bij ChatGPT

OpenAI heeft te kampen gehad met periodieke uitvallen van zijn ChatGPT en API-diensten in de laatste 24 uur als gevolg van DDoS-aanvallen. Hoewel er aanvankelijk geen details werden verstrekt over de oorzaak van deze incidenten, bevestigde OpenAI vandaag dat ze verband houden met de aanhoudende distributed denial-of-service (DDoS) aanvallen. Gebruikers die getroffen werden door deze problemen kregen foutmeldingen te zien wanneer ze probeerden te communiceren met ChatGPT. Deze storingen volgen op een eerdere grote uitval van ChatGPT die ook zijn Application Programming Interface (API) trof op woensdag, naast gedeeltelijke ChatGPT-uitvallen op dinsdag en verhoogde foutpercentages bij Dall-E op maandag. Tijdens het incident van gisteren waarschuwde een banner gebruikers voor uitzonderlijk hoge vraag en verzocht om geduld terwijl OpenAI werkte aan het opschalen van zijn systemen. De DDoS-aanvallen zijn opgeëist door een dreigingsactor bekend als Anonymous Sudan, die de aanvallen motiveerde met beschuldigingen van vooringenomenheid van OpenAI ten opzichte van Israël en tegen Palestina. De groep heeft ook bevestigd dat ze gebruikmaakten van het SkyNet botnet voor deze aanvallen, welke sinds oktober stresserdiensten levert en onlangs ondersteuning heeft toegevoegd voor applicatielaagaanvallen, of Layer 7 (L7) DDoS-aanvallen. Deze aanvallen richten zich op de applicatielaag om diensten te overweldigen met een massaal volume aan verzoeken, waardoor de diensten vastlopen omdat ze deze niet allemaal kunnen verwerken. In juni heeft Anonymous Sudan ook succesvol Microsoft-diensten zoals Outlook.com, OneDrive, en Azure Portal neergehaald met Layer 7 DDoS-aanvallen. Microsoft bevestigde deze claims en volgt hun activiteiten onder de naam Storm-1359. Volgens sommige cyberbeveiligingsonderzoekers zou dit echter een valse vlag kunnen zijn en zou de groep mogelijk gelinkt zijn aan Rusland. OpenAI heeft nog niet gereageerd op verzoeken om commentaar van BleepingComputer over de aanhoudende uitvallen en DDoS-aanvallen. (bron, bron2)

Cybercriminelen Richten Pijlen op BrickLink, Legomarktplaats tijdelijk offline

BrickLink, een vooraanstaande marktplaats voor tweedehands Lego, heeft een security-incident gemeld waardoor de website sinds 3 november niet beschikbaar is. Als de grootste online handelsplek voor tweedehands Lego biedt BrickLink een platform voor het kopen en verkopen van Lego-sets, -onderdelen en -minifiguren. Het incident werd opgemerkt door ongebruikelijke activiteiten die de onmiddellijke sluiting van de website noodzaakte. In een officiële verklaring geeft BrickLink aan dat uit voorlopig onderzoek blijkt dat de aanvallers toegang zouden kunnen hebben tot een klein aantal gebruikersaccounts. De gebruikte data voor deze toegang lijken van buiten BrickLink verzameld te zijn. Getroffen leden zijn geïnformeerd en geadviseerd om voorzorgsmaatregelen te nemen. Als reactie op het incident heeft BrickLink besloten om alle gebruikersaccounts te vergrendelen. Gebruikers zullen hun wachtwoorden moeten resetten om weer toegang te krijgen tot hun accounts, als onderdeel van de beveiligingsmaatregelen. Hoewel het bedrijf zich inzet om de dienstverlening te hervatten, is er nog geen exacte datum gegeven voor wanneer de website weer operationeel zal zijn. De situatie rond BrickLink onderstreept het toenemende risico van cyberaanvallen op online marktplaatsen en het belang van robuuste beveiligingssystemen om de veiligheid van gebruikers te garanderen. Terwijl BrickLink werkt aan het herstellen van de dienst, wordt de rest van de online gemeenschap herinnerd aan het belang van waakzaamheid en het handhaven van sterke wachtwoordprotocollen. (bron)

Sberbank ondergaat krachtigste DDoS-aanval in zijn geschiedenis

Ongeveer twee weken geleden heeft de Russische financiële instelling Sberbank, een meerderheid staatsbedrijf en de grootste bank in Rusland, een verklaring uitgegeven over de meest krachtige Distributed Denial of Service (DDoS) aanval die het tot nu toe heeft ervaren. Deze aanval, waarbij de bank een miljoen verzoeken per seconde moest verwerken, was ongeveer vier keer zo groot als de grootste aanval die Sberbank tot dan toe had meegemaakt. De aanval komt te midden van internationale blokkades en sancties tegen de bank volgend op Ruslands invasie in Oekraïne, waarbij Sberbank al meerdere keren het doelwit is geweest van hacktivisten die het Westen steunen. De hoofd van Sberbank heeft aangegeven dat het om nieuwe hackers ging, wiens 'vingerafdruk' nog niet bekend was, wat wijst op de opkomst van zeer bekwame nieuwe criminelen die systematisch de grootste Russische bronnen aanvallen. Hoewel een miljoen RPS een aanzienlijk aantal is, is het niet te vergelijken met recordbrekende DDoS-aanvallen die de nieuwe 'HTTP/2 Rapid Reset'-techniek gebruiken en een impact kunnen hebben die honderd keer groter is. Andere grote DDoS-aanvallen die recentelijk hebben plaatsgevonden, omvatten een aanval op Amazon die piekte op 155 miljoen RPS, een door Cloudflare gematigde aanval van 201 miljoen RPS, en Google die een piek van 398 miljoen verzoeken per seconde verwerkte. In mei 2022 meldde Sberbank ook doelwit te zijn geweest van ongekende aanvallen, inclusief massale DDoS-golven gericht op zijn online klantenservices. Een recentere tegenslag voor het Russische financiële systeem was de aanval op de National Payment Card System (NSPK), waarbij de website niet alleen onbereikbaar werd maar later ook werd gedefaceerd met berichten over een datalek dat klanten zou beïnvloeden. NSPK verzekerde echter dat er geen gevoelige klantgegevens gestolen konden zijn omdat de website deze informatie niet opslaat, en dat het betalingssysteem niet was beïnvloed door de cyberaanval. Hacktivisten van de groep 'DumpForums' en de Oekraïense Cyber Alliance hebben de verantwoordelijkheid opgeëist voor de aanval op NSPK en beweerden 31 GB aan data te hebben gestolen. (bron, bron2)

FBI waarschuwt voor ransomware-aanvallen op casino's via externe gokdienstverleners

De FBI heeft een waarschuwing uitgegeven over ransomwaregroepen die het gemunt hebben op casino's door middel van externe gokdienstverleners. Deze cybercriminelen maken gebruik van legitieme systeembeheertools om hun machtigingen binnen het netwerk te vergroten en zo gevoelige gegevens te versleutelen of te stelen. Het gaat specifiek om kleine en tribale casino's, waarbij persoonlijke informatie van medewerkers en klanten het doelwit is. Sinds juni worden er ook gegevensdiefstal en afpersingsaanvallen waargenomen door de zogenaamde 'Silent Ransom Group' (SRG) en 'Luna Moth'. Deze aanvallen beginnen vaak met een valse melding over hangende kosten op de rekening van het slachtoffer, waarna deze wordt overgehaald om een systeembeheertool te installeren. Deze tool wordt vervolgens misbruikt om andere legitieme hulpprogramma's te installeren die kwaadwillend gebruikt kunnen worden. De FBI adviseert organisaties om diverse maatregelen te nemen tegen deze bedreigingen. Zo wordt aangeraden om offline back-ups te maken die versleuteld en onveranderbaar zijn, en om beleid voor externe toegang en applicatiegebruik te implementeren. Sterke wachtwoordbeleidsregels en multifactorauthenticatie worden aangemoedigd, evenals het beheren van administratieve privileges. Andere aanbevelingen zijn netwerksegmentatie, het gebruik van oplossingen die abnormale activiteiten opsporen, het veilig gebruik van RDP en het up-to-date houden van softwarecomponenten. Systeembeheerders wordt ook aangeraden om onnodige poorten en protocollen uit te schakelen, waarschuwingsbanners toe te voegen aan e-mails van buiten de organisatie en het beperken van opdrachtregel- en scriptingactiviteiten.

Farnetwork: De Russischtalige Bedreigingsactor Achter Vijf Ransomware Bendes

Een recent rapport van het cybersecuritybedrijf Group-IB heeft de activiteiten blootgelegd van 'farnetwork', een Russischtalige bedreigingsactor en de exploitant van de Nokoyawa ransomware-as-a-service (RaaS). Farnetwork heeft zich over de jaren ontwikkeld door samen te werken met de JSWORM, Nefilim, Karma, en Nemty ransomware groepen, waar hij betrokken was bij malware-ontwikkeling en het beheer van operaties. Farnetwork, die actief is sinds 2019, stond ook bekend om het beheer van een botnet dat toegang verschafte tot meerdere bedrijfsnetwerken. De bedreigingsactor gebruikte diverse gebruikersnamen op Russischtalige hackerforums om medewerkers te werven voor verschillende ransomware-operaties. In maart begon farnetwork met het werven van partners voor zijn eigen RaaS-programma gebaseerd op de Nokoyawa locker, hoewelhij duidelijk maakte dat hij niet betrokken was bij de ontwikkeling ervan. Niet lang daarna kondigde farnetwork aan zich terug te trekken en sloot het Nokoyawa RaaS-programma na het lekken van gegevens van 35 slachtoffers. Group-IB suggereert dat deze stap deel uitmaakt van een strategie om zijn sporen te wissen en onder een nieuw merk opnieuw te beginnen. In de rol van farnetwork binnen de Nokoyawa ransomware fungeerde hij als projectleider, werver van filialen, promotor van de RaaS op darknetforums en beheerder van het botnet. Het botnet bood filialen directe toegang tot reeds gecompromitteerde netwerken tegen een vergoeding van 20% van het losgeld aan de botneteigenaar en 15% aan de eigenaar van de ransomware. Group-IB heeft een verband gelegd tussen de verschillende gebruikersnamen en de bedreigingsactor, wat aantoont dat ransomware-operaties kunnen komen en gaan, maar dat er ervaren individuen achter zitten die de business voortzetten onder nieuwe namen. De sterkste banden werden gelegd met de Nefilim en Karma ransomware, die beide worden beschouwd als evoluties van Nemty. (bron)

Omvangrijke Ransomware-aanval treft 267.000 patiënten in Ontario's ziekenhuizen

TransForm, een non-profit shared service organisatie die IT, inkoopketen en accountbeheer verzorgt voor vijf ziekenhuizen in Erie St. Clair, Ontario, heeft een update gegeven over een recente cyberaanval. Deze aanval, geïdentificeerd als een ransomware-aanval, heeft geleid tot operationele verstoringen in meerdere ziekenhuizen in Ontario, Canada. De aanval, die eind oktober plaatsvond, heeft ertoe geleid dat afspraken moesten worden verzet en niet-spoedeisende gevallen naar andere klinieken werden omgeleid. De aanvallers zijn erin geslaagd een database te stelen met gegevens van ongeveer 5,6 miljoen patiëntenbezoeken, wat neerkomt op gegevens van circa 267.000 unieke personen. BleepingComputer, die contact zocht met TransForm tijdens de aanval, kreeg destijds geen details over de aard van de aanval. Later claimde het DAIXIN Team verantwoordelijkheid voor de aanval en begon geleidelijk steekproeven van de gestolen gegevens openbaar te maken, met de mogelijkheid tot stopzetting van de lekken in ruil voor verkoop aan datahandelaren. TransForm heeft bevestigd dat zij geen losgeld hebben betaald en dat er data in verband met het cyberincident is gepubliceerd. De aanvallers hebben een operationele bestandsserver gecompromitteerd die werknemersgegevens bevatte, en ook gedeelde schijfruimte gebruikt door de getroffen ziekenhuizen. De impact verschilt per ziekenhuis, afhankelijk van de opgeslagen gegevenstypes en -hoeveelheden. Bluewater Health had de meeste blootgestelde data, maar zonder klinische dossiers. De inhoud van de gestolen bestanden wordt nog onderzocht. TransForm vraagt om geduld tijdens het proces om de omvang van de impact en de soorten blootgestelde gegevens te bepalen, wat tijdrovend is. De organisatie heeft beloofd regelmatig updates te geven over de situatie. (bron)

Frauduleuze Ledger Live App Steelt $768.000 aan Crypto Uit Microsoft Store

Microsoft heeft een neppe Ledger Live applicatie voor cryptobeheer uit zijn winkel verwijderd nadat meerdere gebruikers gezamenlijk minstens $768.000 aan cryptovaluta verloren. De applicatie, genaamd Ledger Live Web3, was sinds 19 oktober aanwezig in de Microsoft Store, maar de diefstallen begonnen pas enkele dagen geleden gemeld te worden. Blockchain liefhebber ZachXBT waarschuwde de crypto-gemeenschap op 5 november over de frauduleuze app die bijna $600.000 van gebruikers had gestolen. Microsoft verwijderde de app dezelfde dag nog, maar de fraudeur had toen al meer dan $768.000 overgeheveld van slachtoffers. De app deed weinig moeite om authentiek over te komen. De beschrijving was bijna woordelijk gekopieerd van de legitieme app in de Apple Store, en bij verwijdering had het slechts één vijfsterrenbeoordeling en de ontwikkelaarsnaam "Official Dev". Het is niet duidelijk hoeveel Windows-gebruikers slachtoffer zijn geworden van de neppe Ledger Live op Microsoft Store, maar ZachXBT ontving berichten van meerdere slachtoffers die crypto verloren na installatie van de neppe app. Een tweede crypto wallet verbonden met de oplichterij verzamelde ongeveer $180.000 van slachtoffers. Een slachtoffer op Reddit deelde hoe ze hun levensspaargeld van $26.500 verloren enkele minuten nadat ze hun seed phrase in de neppe app hadden ingevoerd. Google zoekresultaten tonen aan dat de frauduleuze Ledger Live Web3 app al aanwezig was in de Microsoft Store sinds 19 oktober. De fraudeur had ook een pagina voor de app gemaakt op het GitBook documentatieplatform en promootte het als een officieel Ledger product, hoewel het verre van een gelijkenis met de echte Ledger Live pagina was. Het is onzeker hoe de fraudeur de app kon publiceren in de Microsoft Store. ZachXBT denkt dat het keuringsproces niet grondig genoeg is. (bron, bron2, bron3, bron4, bron5, bron6)

BlueNoroff zet nieuwe ObjCShellz-malware in tegen Mac-gebruikers

De Noord-Koreaanse hackergroep BlueNoroff heeft een nieuwe vorm van macOS-malware, genaamd ObjCShellz, gelanceerd die gericht is op Apple-gebruikers. Deze malware kan op afstand bestuurde shells openen op geïnfecteerde apparaten. BlueNoroff, bekend om zijn financieel gemotiveerde aanvallen op cryptocurrency-exchanges en financiële instellingen wereldwijd, gebruikt deze malware om commando's uit te voeren op geïnfecteerde Mac-systemen, zowel met Intel- als Arm-processors. De schadelijke code, die door de malware-analisten van Jamf is opgemerkt en ProcessRequest wordt genoemd, maakt verbinding met een door de aanvallers gecontroleerde domeinnaam, die lijkt op een legitieme cryptocurrency-uitwisselingswebsite. Deze techniek wordt gebruikt om niet op te vallen in netwerkactiviteit en detectie op basis van statische gegevens te ontlopen. ObjCShellz is een op Objective-C gebaseerde malware en wijkt af van de payloads die BlueNoroff in het verleden gebruikte. De initiële infectiemethode is onbekend, maar het lijkt erop dat sociale engineering gebruikt wordt om de malware in meerdere stadia te verspreiden. De inzet van deze malware vindt plaats in de latere fasen van de aanval. Vorig jaar heeft Kaspersky BlueNoroff gekoppeld aan een reeks aanvallen op cryptocurrency-startups over de hele wereld. In 2019 werden BlueNoroff en twee andere Noord-Koreaanse hackergroepen door het Amerikaanse ministerie van Financiën gesanctioneerd voor het doorsluizen van gestolen financiële activa naar de Noord-Koreaanse overheid. Volgens een rapport van de Verenigde Naties hebben Noord-Koreaanse staatshackers al ongeveer $2 miljard gestolen in meer dan 35 cyberaanvallen, gericht op banken en cryptocurrency-exchanges in meer dan een dozijn landen. De FBI heeft ook de grootste crypto-hack tot nu toe, de hack van Axie Infinity's Ronin network bridge, toegeschreven aan Lazarus en BlueNoroff hackers, waarbij 173,600 Ethereum en 25.5M USDC-tokens ter waarde van meer dan $617 miljoen werden gestolen op dat moment. (bron)

❗️Black Basta Raakt Nederlandse Vastgoedsector: cozwolle.nl Gecompromitteerd

Op 7 november 2023 werd cozwolle.nl, een Nederlandse speler in de vastgoedsector, het slachtoffer van de beruchte cybercriminele groep Black Basta. Het incident, aangekondigd op het darkweb, onderstreept de kwetsbaarheid van bedrijven tegenover geavanceerde digitale bedreigingen. Deze aanval toont de noodzaak voor verscherpte cyberveiligheid en bewustzijn binnen de vastgoedbranche. Het is een wake-up call voor bedrijven om hun digitale verdediging te versterken.

❗️NiceCloud.nl Slachtoffer van Black Basta Cyberaanval

NiceCloud.nl, een Nederlandse IT-dienstverlener, is getroffen door een cyberaanval uitgevoerd door de beruchte groep Black Basta. Op 7 november werd bekendgemaakt op het darkweb dat Black Basta zich toegang had verschaft tot de systemen van NiceCloud.nl. De aard en omvang van de data-inbreuk zijn momenteel in onderzoek. Klanten en partners worden geadviseerd waakzaam te zijn en de aanbevolen veiligheidsprotocollen strikt op te volgen.

❗️Black Basta Cyberbende Doelwit TT-Engineering

Op 7 november 2023 werd TT-Engineering, een Nederlands bedrijf gespecialiseerd in machines en computerapparatuur, getroffen door de cybercriminele groep Black Basta. De aanval en datalek werden publiekelijk op het darkweb aangekondigd, waarmee de urgentie voor cybersecurity binnen de industrie opnieuw onder de aandacht wordt gebracht.

❗️Nederlandse Chemieproducent Triflex.nl Getroffen door Black Basta Cyberaanval

Op 7 november 2023 werd Triflex.nl, een Nederlandse producent in de chemische sector, het slachtoffer van de beruchte cybercriminele groep Black Basta. De aanval werd openbaar gemaakt op het darkweb, waarmee de dreiging voor zowel de industrie als digitale veiligheid in Nederland weer eens onderstreept wordt. Details over de omvang en de aard van de gelekte gegevens zijn nog niet bekendgemaakt. Experts benadrukken het belang van robuuste cybersecurity maatregelen.

Belangrijke Gegevens van Boeing op Straat door Ransomware-aanval van LockBit

De Amerikaanse vliegtuigbouwer en defensiecontractant Boeing is het slachtoffer geworden van een datalek, uitgevoerd door de ransomwaregroep LockBit. De aanvallers hebben in oktober gegevens gestolen en zijn begonnen deze te publiceren. De gelekte informatie bevat gevoelige bedrijfsdata, zoals details over leveranciers van motoronderdelen en technische operators, naast financiële en marketinggegevens van Boeing. Boeing heeft bevestigd op de hoogte te zijn van een cyberincident dat impact heeft op hun onderdelen- en distributieactiviteiten, maar benadrukt dat de vliegveiligheid hierdoor niet in het geding komt. Het bedrijf onderzoekt het incident en staat in contact met wetshandhavings- en regelgevende autoriteiten, en informeert klanten en leveranciers over de situatie. De aanvallers hebben een bericht geplaatst op hun darkweb-blog en beweren dat Boeing niet heeft gereageerd op hun waarschuwingen, wat vaak duidt op een weigering om te voldoen aan losgeldeisen. Het Cybernews-onderzoeksteam vermoedt dat de eerste lichting van de gelekte data deel uitmaakt van een afpersingscampagne. De openbaar gemaakte data lijken onder meer trainingsmaterialen en een lijst van technische leveranciers te omvatten, inclusief namen, locaties en telefoonnummers van leveranciers in Europa en Noord-Amerika. Deze informatie onthult de rol van de leveranciers binnen de structuur van Boeing en omvat ook gegevens over klanten en hun toeleveranciers. Desondanks lijkt een deel van deze informatie verouderd te zijn, daterend van uiterlijk 2019. Naast strategische documenten uit 2018 en marktonderzoeksgegevens, bevat de gelekte data ook financiële details van Boeing, zoals verkoopgegevens, kortingen en prijsinformatie uit 2020. Er zijn ook mappen met namen als "Gevaarlijk Afval" en "Rotorcraft", en bestanden met interne trainingsmaterialen over systeemtoegang. LockBit, actief sinds eind 2019, heeft zich snel opgewerkt in de wereld van ransomware en is berucht om zijn LockBit 3.0-variant, die zeer ontwijkend is. De groep zou wereldwijd al meer dan 1.400 aanvallen hebben uitgevoerd en aanzienlijke losgeldbedragen in Bitcoin hebben ontvangen. (bron)

Cyberincident bij Crystal Run Healthcare blijft netwerksystemen beïnvloeden

Crystal Run Healthcare, een medische groep uit New York gespecialiseerd in meerdere disciplines, ondervindt nog steeds hinder van een "systeemonderbreking" die sinds vorige week impact heeft op hun netwerksystemen. Deze cyberverstoring werd afgelopen vrijdagmiddag bekendgemaakt door de groep die ongeveer 400 zorgverleners heeft op circa 30 locaties in de Hudson Valley en Catskill regio. Op de website van Crystal Run wordt een waarschuwing over de systeemonderbreking gegeven, waarbij wordt aangegeven dat sommige diensten problemen ondervinden en patiënten met noodsituaties wordt verzocht 911 te bellen. Het bedrijf, dat in februari werd overgenomen door gezondheidstechnologiebedrijf Optum, heeft de onderbreking niet expliciet als een cyberaanval beschreven. Er wordt nog onderzoek gedaan en er zijn nog geen details gegeven over het begin van de cybergebeurtenis en/of welke systemen zijn getroffen. Het is onduidelijk of patiëntendiensten zijn beïnvloed door de problemen met het systeem. Crystal Run, dat 400.000 patiënten bedient in een breed scala van medische en chirurgische specialismen, heeft tussen de 1000 en 5000 werknemers, wat een potentiële bron van waardevolle gegevens voor cybercriminelen zou kunnen zijn. Optum’s woordvoerder Amy Charley benadrukt dat zij zich inzetten om de informatie van patiënten te beschermen en de integriteit van hun informatiesystemen te handhaven. Ironisch genoeg was Crystal Run een van de eerste medische praktijken in de VS die elektronische gezondheidsdossiers implementeerde om patiënteninformatie te optimaliseren. Er is nog geen informatie wanneer de systemen volledig hersteld zullen zijn en wat de oorzaak van de storing is. Crystal Run en Optum zijn beide dochterondernemingen van UnitedHealth Group, die in mei de grootste en meest winstgevende gezondheidszorgconglomeraat in Amerika werd. Het rapport van juli 2023 van The HIPAA Journal toonde aan dat er meer dan 81,76 miljoen gezondheidsdossiers zijn blootgesteld bij 683 incidenten sinds juli 2022. Bijna de helft van deze inbreuken werd gemeld bij het Amerikaanse Department of Health and Human Services in de eerste helft van 2023, wat een stijging van meer dan 106% is ten opzichte van de eerste zes maanden van 2022. Het aantal gecompromitteerde dossiers is ook met 60% gestegen voor dezelfde periode. De grootste aanval vond plaats in juli, waarbij meer dan 11 miljoen patiëntendossiers van het Amerikaanse medische netwerk HCA Healthcare werden blootgelegd. In augustus werd de in Californië gevestigde Prospect Medical Holdings (PMH) geschonden door de Rhysida ransomware-groep die toegang kreeg tot netwerksystemen, wat bijna 200.000 mensen trof. De meest voorkomende bedreigingen voor de gezondheidszorg omvatten phishing, ransomware en datalekken. (bron)

Cybercriminelen Brengen Persoonsgegevens van 212.000 Individuen in Gevaar via Sun Life Datalek

Sun Life, een Canadese financiële dienstverlener met een beheerd vermogen van een biljoen dollar, heeft een datalek gemeld dat 212.129 individuen heeft getroffen. Dit lek vond plaats bij Pension Benefit Information (PBI), een derde partij die door Sun Life wordt gebruikt. Hierbij zijn onder meer de socialezekerheidsnummers (SSN's) van mensen blootgesteld. Dit type datalek is bijzonder ernstig omdat het dieven de mogelijkheid biedt om met de gestolen informatie identiteitsfraude te plegen. Sun Life, voornamelijk bekend van levensverzekeringen, met ongeveer 50.000 werknemers wereldwijd, rapporteerde een omzet van meer dan 17 miljard dollar in 2022. Het bedrijf heeft de getroffen individuen twee jaar gratis kredietbewaking aangeboden als compensatie voor het datalek. Dit specifieke incident is gekoppeld aan de beruchte Cl0p ransomware bende, die eerder dit jaar een zero-day kwetsbaarheid in de MOVEit Transfer-software heeft uitgebuit. Deze bende heeft naar verluidt verbanden met Rusland en heeft met deze aanval toegang verkregen tot en data gedownload van verschillende organisaties. Onderzoekers van Emsisoft schatten dat door MOVEit-aanvallen meer dan 2.500 organisaties, voornamelijk in de VS, en meer dan 66 miljoen individuen zijn getroffen. De financiële impact van deze aanvallen is enorm. Gebaseerd op een schatting van IBM, die de kosten van een gemiddeld datalek op 165 dollar per gelekte record stelt, zou de totale schade door de Cl0p aanvallen kunnen oplopen tot een verbijsterende 10,7 miljard dollar. Dit incident belicht de significante risico's en kosten die verbonden zijn aan cyberveiligheid en de bescherming van persoonsgegevens. (bron)

Cybercriminelen Compromitteren Gegevens van 665.000 Klanten in Datalek Marina Bay Sands

Marina Bay Sands, een luxueus resort en casino in Singapore, heeft een datalek gerapporteerd waarbij persoonlijke informatie van 665.000 klanten is aangetast. Dit incident werd op 20 oktober ontdekt toen ongeautoriseerde toegang tot het klantenloyaliteitsprogramma werd vastgesteld. Gegevens van ongeveer 665.000 leden van het niet-casino beloningsprogramma zijn hierdoor blootgesteld. De gecompromitteerde informatie bevat namen, e-mailadressen, mobiele en vaste telefoonnummers, land van verblijf, en lidmaatschapsnummers en -niveaus. Deze datalek kan leiden tot gerichte aanvallen op klanten van MBS, waaronder scams, phishing en social engineering aanvallen. Er is benadrukt dat er momenteel geen aanwijzingen zijn dat leden van de Sands Rewards Club, het casinogedeelte, zijn getroffen door dit incident. MBS heeft aangegeven getroffen klanten individueel te zullen informeren over het datalek en de mogelijke gevolgen. Na ontdekking van het incident is het gerapporteerd aan de autoriteiten van Singapore en andere betrokken landen. Hoewel de volledige omvang van de aanval niet publiekelijk is gespecificeerd, zou de inbreuk gerelateerd kunnen zijn aan een ransomware-aanval, waarbij aanvallers data stelen en losgeld eisen van het slachtoffer. Op het moment van schrijven heeft nog geen enkele ransomware-groepering de verantwoordelijkheid voor de aanval opgeëist. BleepingComputer heeft contact gezocht met het resort voor meer details over het beveiligingsincident, maar een woordvoerder weigerde verder commentaar te geven dan wat reeds in de officiële verklaring staat. Het incident onderstreept het belang van cyberveiligheid en de bescherming van persoonsgegevens tegen ongeautoriseerde toegang. (bron)

Grote Japanse defensieaannemer gecompromitteerd door ALPHV-ransomware

Japan Aviation Electronics (JAE), een toonaangevende technologiefabrikant met een jaarlijkse omzet van meer dan 1,5 miljard dollar en bijna 10.000 werknemers, is het slachtoffer geworden van een cyberaanval die hun bedrijfsvoering heeft verstoord. De aanval werd bevestigd nadat JAE werd vermeld op de darkweb-blog van de ransomwarebende ALPHV, beter bekend als BlackCat, die de blog gebruikt om zijn nieuwste slachtoffers te tonen. Hoewel de details van de inbreuk schaars zijn en de soorten mogelijk gecompromitteerde gegevens niet zijn gespecificeerd, heeft JAE bevestigd dat een externe partij ongeautoriseerde toegang heeft verkregen tot sommige van hun servers. De organisatie heeft een onderzoek ingesteld en werkt aan het herstel van de systemen, hoewel sommige systemen zijn uitgeschakeld en er vertragingen zijn bij het verzenden en ontvangen van e-mails. JAE heeft benadrukt dat er momenteel geen indicatie is van gelekte informatie. Echter, het is gebruikelijk voor ransomwaregroepen om gegevens te stelen en vervolgens losgeld te eisen om het niet publiceren van deze gegevens te garanderen, wat betekent dat lekken mogelijk later kunnen plaatsvinden. Het bedrijf heeft excuses aangeboden voor het ongemak en heeft beloofd om belanghebbenden onmiddellijk te informeren zodra er nieuwe informatie beschikbaar komt. ALPHV/BlackCat ransomware werd voor het eerst opgemerkt in 2021 en is bekend om zijn ransomware-as-a-service (RaaS) bedrijfsmodel, waarbij malware-abonnementen aan criminelen worden verkocht. Een analyse van Microsoft wijst uit dat de groep banden heeft met andere bekende ransomwarefamilies zoals Conti, LockBit en REvil. De FBI heeft aanwijzingen dat de geldwassers van de ALPHV/BlackCat organisatie verbonden zijn met de Darkside- en Blackmatter-ransomwaregroepen, wat wijst op een uitgebreid netwerk van de groep binnen de RaaS-industrie. De bende kreeg eerder dit jaar internationale aandacht toen ze, samen met de Scattered Spider-hackers, aanvallen uitvoerden op MGM Resorts International en Caesars Entertainment. Volgens Ransomlooker, een ransomware monitoring tool van Cybernews, behoorde ALPHV tot de meest actieve bendes van het afgelopen jaar met 317 slachtoffers wereldwijd.

Cloudservices als de nieuwe basis voor cyberaanvalinfrastructuur

Cybercriminaliteit neemt een nieuwe wending waarbij aanvallers legitieme clouddiensten gebruiken voor hun command & control (C2) infrastructuur, wat de detectie bemoeilijkt. Dit fenomeen wordt benadrukt in een rapport van Google's Threat Analysis Group (TAG), die aangeeft dat diverse cloudaanbieders en hun producten hierdoor geraakt worden, inclusief cloudopslag en productiviteitstools. Een opvallend voorbeeld is een op GitHub gedeelde proof-of-concept voor een 'Google Calendar RAT' die Google Calendar-events gebruikt voor C2-communicatie. Hoewel TAG nog geen actief gebruik van deze specifieke methode heeft waargenomen, wordt deze wel op darkwebforums besproken, wat interesse van cybercriminelen suggereert. Eerder dit jaar waarschuwde TAG voor een aanvalscampagne waarbij malafide PowerShell-scripts commando's via Dropbox verstuurden. Deze methode maakte het mogelijk commando's op te halen en data te exfiltreren. Het gebruik van bekende clouddiensten door cybercriminelen maakt het moeilijker om malafide activiteiten te onderscheiden van legitiem verkeer. Dit nieuwe gebruik van cloudservices toont de noodzaak voor een voortdurende evolutie van cybersecuritytactieken om de integriteit en veiligheid van data te waarborgen. Binnenkort hier een uitgebreid artikel over op Cybercrimeinfo.

BlackSuit Ransomware: Een opkomende dreiging voor de gezondheidszorg

BlackSuit, een recent ontdekte ransomwaregroep met opvallende overeenkomsten met de Royal ransomwarefamilie, vormt waarschijnlijk een serieuze bedreiging voor de gezondheidszorg en openbare gezondheidssector (HPH). Ontdekt in mei 2023, deelt BlackSuit kenmerken met Royal, de opvolger van de beruchte Russisch-gerelateerde Conti-operatie, waardoor het één van de actiefste ransomwaregroepen kan worden. Royal en Conti stonden bekend om hun agressieve aanvallen op de HPH-sector. Als de vermeende banden tussen BlackSuit en deze groepen worden bevestigd, zal de sector waarschijnlijk intensief blijven worden aangevallen. Het rapport geeft een overzicht van de mogelijke nieuwe groep, verbanden met andere bedreigingsactoren, analyses van hun ransomware-aanvallen, doelwitsectoren en -landen, de impact op de HPH-sector, MITRE ATT&CK-technieken, indicatoren van compromittering en aanbevolen verdedigingsmaatregelen en mitigerende acties tegen de groep. BlackSuit maakt gebruik van een dubbele afpersingsmethode die gevoelige gegevens steelt en versleutelt. Tot nu toe is de specifieke toepassing van BlackSuit-ransomware waargenomen in een klein aantal aanvallen. De meest recente vermoedelijke aanval in oktober 2023 was op een Amerikaanse HPH-organisatie. Minstens drie aanvallen met de BlackSuit-encryptor zijn gedocumenteerd, waarbij de losgelden onder de $1 miljoen lagen. Een ander bedrijf noteerde minstens vijf aanvallen in de sectoren productie, bedrijfstechnologie, detailhandel en overheid in de Verenigde Staten, Canada, Brazilië en het Verenigd Koninkrijk. Met een beperkt aantal slachtoffers is de bende vooral berucht vanwege hun vermeende connecties met de Royal ransomwarefamilie. Indien deze connectie wordt bevestigd, zou dit BlackSuit als een belangrijke bedreigingsactor bestempelen om in de nabije toekomst in de gaten te houden.

Kinsing Malware Exploiteert 'Looney Tunables' Linux-lek voor Diefstal Cloudgegevens

Cybercriminelen hebben een nieuw Linux-beveiligingslek, bekend als 'Looney Tunables' (CVE-2023-4911), uitgebuit om root-privileges te verkrijgen en cloudgegevens te stelen. Dit lek, ontstaan door een bufferoverloop in glibc's dynamische lader (ld.so) geïntroduceerd in april 2021, kwam aan het licht in oktober 2023. Snel na de onthulling, werden Proof-of-Concept exploits openbaar beschikbaar. Het Kinsing malware-team, bekend om aanvallen op cloud-gebaseerde systemen zoals Kubernetes en Docker APIs, heeft deze kwetsbaarheid benut om crypto-mijnbouwsoftware te implementeren. Ze maken hiervoor gebruik van een bekende kwetsbaarheid in het 'PHPUnit' PHP-testraamwerk om een voet aan de grond te krijgen in de systemen, gevolgd door het activeren van het 'Looney Tunables' lek voor het verhogen van privileges. Volgens een rapport van Aqua Nautilus, een cloudbeveiligingsbedrijf, testten de Kinsing-operators de aanval handmatig om de effectiviteit te verzekeren voordat ze overgingen op het automatiseren van het exploitatieproces. De aanval begint met het uitbuiten van de PHPUnit-fout (CVE-2017-9841), wat leidt tot het openen van een reverse shell, waarna de aanvallers een script genaamd 'gnu-acme.py' gebruiken om de privileges te verhogen via CVE-2023-4911. De exploit voor Looney Tunables werd direct van de repository van de onderzoeker die de PoC uitbracht gehaald, vermoedelijk om sporen te verbergen. Na melding door BleepingComputer heeft de onderzoeker beloofd om de misbruikoperatie te verstoren. Verder downloaden de aanvallers een PHP-script om een JavaScript web shell backdoor ('wesobase.js') te implementeren, wat hen in staat stelt om opdrachten uit te voeren en informatie over het netwerk en de server te verzamelen. De aanvallers toonden een bijzondere interesse in de inloggegevens van cloud service providers (CSP's), met name AWS-identiteitsgegevens, wat duidt op een significante verschuiving naar geavanceerdere en schadelijkere activiteiten. Aqua Nautilus beschouwt deze campagne als een experiment waarbij de aanvallers afweken van hun normale methoden en de aanval uitbreidden met het verzamelen van CSP-credentials. (bron)

Kritieke Atlassian Confluence-kwetsbaarheid uitgebuit bij Cerber-ransomwareaanvallen

Een kritieke beveiligingsfout in Atlassian Confluence, een platform voor teamcollaboratie, wordt actief uitgebuit om Cerber-ransomware te verspreiden. Deze fout, aangeduid als CVE-2023-22518, stelt aanvallers in staat om zonder authenticatie toegang te krijgen en bestanden van slachtoffers te versleutelen. Atlassian heeft onlangs updates uitgebracht om deze kwetsbaarheid, die een ernstscore van 9.1/10 heeft en alle Confluence Data Center en Server-versies treft, te verhelpen. Bala Sathiamurthy, CISO van Atlassian, benadrukte de urgentie van het installeren van de updates om aanzienlijke dataverliezen te voorkomen. Desondanks verscheen er kort na de update een proof-of-concept exploit online, waarvan Atlassian waarschuwt dat deze door kwaadwillenden gebruikt kan worden. Voor systemen die niet onmiddellijk gepatcht kunnen worden, adviseert Atlassian tijdelijke beveiligingsmaatregelen, zoals het maken van back-ups en het blokkeren van internettoegang tot de servers zijn beveiligd. Volgens de dreigingsmonitoringdienst ShadowServer zijn er meer dan 24.000 online blootgestelde Confluence-instanties, waarvan het aantal dat vatbaar is voor de CVE-2023-22518-aanvallen onbekend is. Nadat het exploit in omloop kwam, rapporteerde Atlassian actieve aanvallen op hun systemen. Cybersecuritybedrijf Rapid7 heeft eveneens aanvallen waargenomen die zowel de CVE-2023-22518-authenticatiebypass als een oudere kritieke privilege escalatie (CVE-2023-22515) benutten, welke eerder als zero-day werd misbruikt. CISA, de FBI en MS-ISAC hebben gezamenlijk netwerkbeheerders opgeroepen om Atlassian Confluence-servers onmiddellijk te beveiligen tegen de actief uitgebuite CVE-2023-22515-kwetsbaarheid. Cerber-ransomware, ook bekend als CerberImposter, werd twee jaar geleden ook al ingezet bij aanvallen op Atlassian Confluence-servers via een andere kwetsbaarheid die voorheen gebruikt werd voor het installeren van crypto-miners. (bron, bron2, bron3)

❗️Cyberaanval op GO! Handelsschool Aalst Publiek Gemaakt

Op 6 november 2023 werd bekend dat GO! Handelsschool Aalst het doelwit is geworden van een cyberaanval. De aanvallers, bekend onder de naam Rhysida, hebben hun actie onthuld op het darkweb. De website van de onderwijsinstelling, gevestigd in België, is hiermee in een kwetsbare positie gebracht. Details over de aard en omvang van de datalek zijn nog onduidelijk. Er wordt aangeraden waakzaam te zijn voor verdere ontwikkelingen en de officiële communicatiekanalen te volgen.

❗️Belgische Management Service Provider MultiMasters Slachtoffer van Cyberaanval

Op 6 november 2023 werd bekend dat MultiMasters, een Belgische aanbieder van managementdiensten, het doelwit is geworden van cybercriminelen. De aanval werd onthuld toen gegevens op het darkweb gepubliceerd werden door de groep bekend als Cactus. Dit incident benadrukt de voortdurende bedreigingen waarmee bedrijven wereldwijd geconfronteerd worden en onderstreept het belang van robuuste cybersecurity maatregelen.

Aanzienlijk Verlies voor Monero na Cyberaanval op Gemeenschapswallet

In een recente cyberaanval is de Monero-gemeenschap getroffen door een aanzienlijk verlies. De gemeenschapswallet, bekend als het Community Crowdfunding System (CCS), verloor bijna $460.000 door een onopgemerkte inbreuk op 1 september. Dit incident werd pas twee maanden later openbaar gemaakt door Monero-ontwikkelaar Luigi. Het CCS dient als financieringsbron voor voorstellen binnen de Monero-gemeenschap. De aanval heeft aanzienlijke verliezen veroorzaakt voor leden die afhankelijk waren van deze fondsen voor essentiële uitgaven. De aanvallers hebben negen transacties uitgevoerd die het saldo van de CCS-wallet, 2.675,73 XMR, volledig hebben leeggehaald. De 'hot wallet', gebruikt voor directe betalingen, bleef echter onaangetast met een saldo van ongeveer 244 XMR. De oorsprong van de aanval is nog steeds onbekend. Luigi en Ricardo “Fluffypony” Spagni waren de enige twee met toegang tot de seedphrase van de wallet. De CCS-wallet draaide op een Ubuntu-systeem naast een Monero-knooppunt en de hot wallet op een Windows 10 Pro-desktop sinds 2017. De hot wallet werd gefinancierd vanuit de CCS-wallet in noodgevallen. Spagni legde een verband tussen deze en andere recente aanvallen waarbij cryptovaluta werd gestolen. De suggestie is dat de sleutels mogelijk online beschikbaar waren door een compromittering van Luigi’s Windows-machine die deel kon uitmaken van een botnet. De aanval had mogelijk kunnen plaatsvinden via gestolen SSH-sessiegegevens of door misbruik van remote desktop-toegang zonder Luigi's weten. De Monero-community heeft een dringend beroep gedaan op het Algemeen Fonds om de lopende financiële verplichtingen te dekken. Marcovelon, een pseudonieme ontwikkelaar, waarschuwt dat gecompromitteerde ontwikkelaarsmachines vaak tot significante beveiligingsinbreuken leiden. De situatie benadrukt de kwetsbaarheid van crypto-assets en de noodzaak voor verbeterde beveiligingsmaatregelen binnen de gemeenschap. (bron)

Infosys McCamish Systems in de VS Getroffen door Cyberveiligheidsincident

Infosys, een prominente Indiase IT-dienstverlener, heeft bekendgemaakt dat hun Amerikaanse afdeling, Infosys McCamish Systems, recent is getroffen door een cyberveiligheidsincident. Dit incident heeft geleid tot het onbeschikbaar worden van bepaalde applicaties en systemen. Het bedrijf, met hoofdkwartier in Bengaluru, is momenteel bezig met het oplossen van deze problemen in samenwerking met een gespecialiseerd cyberveiligheidsbedrijf. Tevens is er een onderzoek gestart om de mogelijke impact op de systemen en data in kaart te brengen. De melding kwam op vrijdag naar buiten, maar het is nog onduidelijk wat de precieze gevolgen zijn voor klanten en de interne operaties van het bedrijf. (bron)

TellYouThePass Ransomware Misbruikt Apache ActiveMQ RCE Kwetsbaarheid

Sergiu Gatlan rapporteert dat de TellYouThePass ransomware nu Apache ActiveMQ-servers aanvalt door een kritieke remote code execution (RCE) kwetsbaarheid te misbruiken. Deze kwetsbaarheid, bekend als CVE-2023-46604, werd al eerder uitgebuit als een zero-day en stelt aanvallers in staat om willekeurige commando's uit te voeren op getroffen servers. Apache heeft op 27 oktober beveiligingsupdates vrijgegeven, maar cybersecuritybedrijven ArcticWolf en Huntress Labs zagen dat de kwetsbaarheid al minstens twee weken daarvoor werd uitgebuit om SparkRAT malware te verspreiden. Er zijn meer dan 9.200 Apache ActiveMQ-servers openbaar toegankelijk, waarvan er 4.770 vatbaar zijn voor de CVE-2023-46604 exploit, volgens gegevens van ShadowServer. Aangezien ActiveMQ vaak in bedrijfsomgevingen wordt gebruikt, is het kritiek dat deze updatessnel worden toegepast. Beheerders moeten kwetsbare systemen onmiddellijk updaten naar de veilige ActiveMQ-versies. Een week na de update van Apache rapporteerden Huntress Labs en Rapid7 dat aanvallers de kwetsbaarheid uitbuitten om HelloKitty ransomware payloads te plaatsen. Arctic Wolf Labs voegde toe dat aanvallen ook gericht waren op Linux-systemen met het gebruik van de TellYouThePass ransomware. Deze campagnes vertonen overeenkomsten in e-mailadressen, infrastructuur en Bitcoin wallet-adressen. TellYouThePass ransomware heeft een grote activiteitstoename gezien nadat Log4Shell proof-of-concept exploits twee jaar geleden online kwamen. In december 2021 keerde de ransomware terug als een Golang-gecompileerde malware met mogelijkheden om zowel Linux als macOS systemen aan te vallen, hoewel macOS samples nog niet in het wild zijn waargenomen. (bron, bron2, bron3)

Nieuwe Malware-distributiedienst 'SecuriDropper' Omzeilt Android Beveiliging

Een nieuwe dreiging voor Android-gebruikers is opgedoken genaamd 'SecuriDropper', een zogeheten dropper-as-a-service (DaaS) die de beveiligingsmaatregelen van Android 13 weet te omzeilen om malware te installeren en toegang te krijgen tot de Toegankelijkheidsdiensten. Deze diensten kunnen misbruikt worden om schermteksten te onderscheppen en eenmalige wachtwoorden te stelen. SecuriDropper, vaak vermomd als legitieme apps zoals een Google-app of beveiligingsupdate, maakt gebruik van een techniek waarbij malafide APK-bestanden in meerdere stappen geïnstalleerd worden, waardoor de 'Beperkte Instellingen' dialoogvenster, dat normaal de gebruiker waarschuwt voor risicovolle permissies, niet wordt getoond. In augustus 2022 meldde ThreatFabric al dat malware-ontwikkelaars hun tactieken aanpasten om deze nieuwe beveiligingsmaatregel te omzeilen, en recentelijk heeft BleepingComputer bevestigd dat deze kwetsbaarheid ook in Android 14 nog steeds aanwezig is. SecuriDropper slaagt erin om deze toegang te verkrijgen door eerst permissies te vragen voor 'Lezen & Schrijven van Externe Opslag' en 'Installeren & Verwijderen van Pakketten' bij de initiële installatie. Een tweede lading malware wordt vervolgens geïnstalleerd door de gebruiker te misleiden via interface-manipulatie en valse foutmeldingen. Naast SecuriDropper wordt ook de dienst Zombinder genoemd, die legitieme apps 'lijmt' met kwaadaardige payloads om toestellen te infecteren met info-stealers en banktrojans. Zombinder adverteert zelfs met de mogelijkheid om de 'Beperkte Instellingen' te omzeilen. Als verdediging tegen dergelijke aanvallen wordt aangeraden alleen APK-bestanden van betrouwbare bronnen te downloaden en permissies van geïnstalleerde apps te controleren en in te trekken via de instellingen van het apparaat. Google heeft in een verklaring aangegeven dat zij aanvallen blijven onderzoeken en de verdediging van Android tegen malware blijven verbeteren. (bron)

Wereldwijde infectie van 10.000 systemen door Socks5Systemz proxy botnet

Een omvangrijk botnet genaamd 'Socks5Systemz' heeft wereldwijd ongeveer 10.000 computersystemen geïnfecteerd door gebruik te maken van de 'PrivateLoader' en 'Amadey' malware loaders. Dit netwerk van gecompromitteerde apparaten fungeert als proxies voor het doorsturen van verkeer, dat vaak kwaadaardig, illegaal of anoniem is. Diensten van het botnet worden verkocht aan abonnees die in crypto betalen, variërend van $1 tot $140 per dag. Volgens een rapport van BitSight is Socks5Systemz al actief sinds minstens 2016, maar is het pas recentelijk meer in de schijnwerpers gekomen. De verspreiding van de malware vindt plaats via phishing, exploit kits, malvertising en trojanized executables uit P2P-netwerken. Eenmaal geïnfecteerd, nestelt de malware zich in het geheugen van de gastheer en zorgt voor persistentie door een Windows-service genaamd 'ContentDWSvc.' De malware zelf is een 32-bit DLL van 300 KB en maakt verbinding met een command-and-control (C2) server via een Domain Generation Algorithm (DGA) om informatie over het geïnfecteerde systeem door te geven. De C2 kan vervolgens verschillende commando's doorgeven, waaronder het verbinden met een backconnect-server via poort 1074/TCP, wat essentieel is voor het functioneren als proxyserver. BitSight heeft een omvangrijke infrastructuur in kaart gebracht bestaande uit 53 servers die voornamelijk in Frankrijk en andere Europese landen zijn gelokaliseerd. In oktober registreerden de analisten 10.000 unieke communicatiepogingen met de backconnect-servers. De infecties zijn wereldwijd verspreid, met de meeste gevallen in India, de Verenigde Staten, Brazilië, Colombia, Zuid-Afrika, Argentinië en Nigeria. Socks5Systemz verkoopt toegang tot zijn proxydiensten in twee abonnementen: 'Standaard' en 'VIP'. De abonnees moeten het IP-adres opgeven waarvandaan het verkeer zal worden verstuurd en betalen via een anonieme betalingsgateway genaamd 'Cryptomus.' De prijzen verschillen per dienst en abonnementstype. Dit type residentiële proxybotnets vormt een lucratieve handel die de internetveiligheid aantast en leidt tot ongeautoriseerde overname van bandbreedte. Ze worden vaak gebruikt voor shopping bots en het omzeilen van geografische beperkingen. In augustus onthulde AT&T een uitgebreid proxy netwerk bestaande uit meer dan 400.000 knooppunten, waar onwetende Windows en macOS gebruikers fungeerden als uitgangspunten voor het internetverkeer van anderen. (bron)

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Meer weekoverzichten