EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
In de afgelopen week is er wereldwijd een aanzienlijke toename van cyberaanvallen geconstateerd, waarbij verschillende sectoren en landen zijn getroffen. Deze weekoverzicht van cyberaanvallen belicht enkele van de meest significante incidenten, waaronder aanvallen op overheidsinstanties via een zerodaylek in Zimbra, een bevestigde cyberaanval op Toyota Financial Services door Medusa Ransomware, en gerichte aanvallen door Russische hackers op verschillende ambassades met behulp van een WinRAR exploit en Ngrok. Daarnaast zijn er grootschalige cryptocurrency scams gerapporteerd via valse accounts op een vooraanstaand sociaal mediaplatform.
In Nederland hebben we gezien dat het ingenieursbedrijf Nomot, het noodknopsysteem Tunstall, de gemeente Vlaardingen, en uitgeverij Em. de Jong doelwit zijn geworden van verschillende soorten cyberaanvallen. In Duitsland werden vergelijkbare incidenten gemeld, waaronder grote storingen in de communicatie- en verkoopsystemen van RSAG, een volledige uitschakeling van de IT-infrastructuur in het stadsbestuur van Mössingen, en een aanval op de Duitse Energie-Agentur. Finland en Denemarken zijn ook niet gespaard gebleven; een onderwijsinstituut in Finland en het gehele Deense netwerk werden getroffen door cyberaanvallen. In de Verenigde Staten leidde een cyberaanval op PJ&A tot een enorm datalek van negen miljoen patiëntgegevens, en ook de stad Huber Heights werd getroffen.
De dreiging wordt verder verhoogd door waarschuwingen van FBI en CISA over toenemende ransomware-aanvallen door Rhysida, actief uitgebuite kwetsbaarheden in Windows, Sophos, en Oracle, de nieuwe CacheWarp-aanval die AMD CPU's bedreigt, en de LockBit ransomware-aanvallen die de Citrix Bleed kwetsbaarheid misbruiken, waardoor duizenden servers in gevaar zijn.
Hieronder vindt u het volledige overzicht van de cyberaanvallen van de afgelopen week, die een duidelijk beeld geven van de huidige cybersituatie en de noodzaak tot waakzaamheid en versterkte cyberbeveiligingsmaatregelen onderstrepen.
Week overzicht slachtoffers
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb ↑ |
|---|---|---|---|---|---|
| Tackle West | BlackCat (ALPHV) | www.tacklewest.com.au | Australia | Miscellaneous Retail | 19-nov-23 |
| U.L. COLEMAN COMPANIES | BlackCat (ALPHV) | www.ulcoleman.com | USA | Real Estate | 19-nov-23 |
| Autonomous Flight | BlackCat (ALPHV) | www.autonomousflight.us | USA | Transportation Equipment | 19-nov-23 |
| Al****ia | RA GROUP | Unknown | Unknown | Unknown | 19-nov-23 |
| The DMC | PLAY | www.dmc.com | USA | Apparel And Other Finished Products | 18-nov-23 |
| onyourmark.org | LockBit | onyourmark.org | USA | Membership Organizations | 18-nov-23 |
| nealbrothers.co.uk | ThreeAM | nealbrothers.co.uk | United Kingdom | Transportation Services | 18-nov-23 |
| generalrefrig.com | LockBit | generalrefrig.com | USA | Machinery, Computer Equipment | 18-nov-23 |
| PruittHealth | NoEscape | pruitthealth.com | USA | Health Services | 18-nov-23 |
| ajcfood.com | LockBit | ajcfood.com | USA | Food Products | 17-nov-23 |
| CENTRE D'AUTO P.R.N. SALABERRY IN | Medusa | prnsalaberry.com | Canada | Automotive Services | 17-nov-23 |
| McCray & Withrow | Medusa | omwlawfirm.com | USA | Legal Services | 17-nov-23 |
| Metro MPLS | Akira | www.metrompls.com | Panama | Communications | 17-nov-23 |
| Kwik Industries, Inc. | NoEscape | www.kwikind.com | USA | Automotive Services | 17-nov-23 |
| HAESUNG DS CO Ltd | Qilin | haesungds.com | South Korea | Electronic, Electrical Equipment, Components | 17-nov-23 |
| ATC SA | Akira | www.atc.gr | Greece | IT Services | 17-nov-23 |
| WellLife Network Inc. | INC Ransom | welllifenetwork.org | USA | Social Services | 17-nov-23 |
| edc.dk | Black Basta | edc.dk | Denmark | Real Estate | 17-nov-23 |
| Select Education Group | BLACK SUIT | www.selecteducationgroup.com | USA | Educational Services | 17-nov-23 |
| villanuevadelaserena.es | LockBit | villanuevadelaserena.es | Spain | General Government | 17-nov-23 |
| Consilium staffing llc | INC Ransom | consiliumstaffing.com | USA | Business Services | 17-nov-23 |
| hsksgreenhalgh.co.uk | LockBit | hsksgreenhalgh.co.uk | United Kingdom | Accounting Services | 16-nov-23 |
| krblaw.com | LockBit | krblaw.com | Canada | Legal Services | 16-nov-23 |
| Chung Hwa Chemical Industrial Works | RA GROUP | chciworld.com.tw | Taiwan | Chemical Producers | 16-nov-23 |
| SUMMIT VETERINARY PHARMACEUTICALS LIMITED | RA GROUP | www.svprx.co.uk | United Kingdom | Chemical Producers | 16-nov-23 |
| Informist Media | RA GROUP | www.informistmedia.com | India | Communications | 16-nov-23 |
| planethomelending.com | LockBit | planethomelending.com | USA | Non-depository Institutions | 16-nov-23 |
| communitydentalme.org | LockBit | communitydentalme.org | USA | Health Services | 16-nov-23 |
| uchlogistics.co.uk | Black Basta | uchlogistics.co.uk | United Kingdom | Transportation Services | 16-nov-23 |
| citycontainer.dk | Black Basta | citycontainer.dk | Denmark | Motor Freight Transportation | 16-nov-23 |
| FEAM Maintenance | BlackCat (ALPHV) | www.feam.aero | USA | Aerospace | 16-nov-23 |
| thewalkerschool | BlackCat (ALPHV) | thewalkerschool.org | USA | Educational Services | 16-nov-23 |
| goodhopeholdings.com | LockBit | goodhopeholdings.com | Sri Lanka | Agriculture Production Livestock And Animal Specialties | 16-nov-23 |
| Epstein Law | Qilin | epsteinlawcorp.com | Canada | Legal Services | 16-nov-23 |
| Admilla ELAP | RansomEXX | www.admilia.fr | France | IT Services | 16-nov-23 |
| Toyota Financial | Medusa | www.toyotafinancial.com | Japan | Security And Commodity Brokers, Dealers, Exchanges, And Services | 16-nov-23 |
| adyne.com | LockBit | adyne.com | USA | Holding And Other Investment Offices | 15-nov-23 |
| owensgroup.uk | LockBit | owensgroup.uk | United Kingdom | Motor Freight Transportation | 15-nov-23 |
| chicagotrading.com | LockBit | chicagotrading.com | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 15-nov-23 |
| Decatur Independent School District | INC Ransom | decaturisd.us | USA | Educational Services | 15-nov-23 |
| Guardian Alarm | INC Ransom | guardian-alarm.fr | France | Business Services | 15-nov-23 |
| SCOLARI Srl | INC Ransom | scolarisrl.com | Italy | Machinery, Computer Equipment | 15-nov-23 |
| Yamaha Motor Philippines,Inc. | INC Ransom | yamaha-motor.com.ph | Philippines | Transportation Equipment | 15-nov-23 |
| Cardinal MetalWorks | BlackCat (ALPHV) | www.cardinalmetalworks.com | USA | Fabricated Metal Products | 15-nov-23 |
| ADH Health Products Inc | BlackCat (ALPHV) | www.adhhealth.com | USA | Chemical Producers | 15-nov-23 |
| EOS | Lorenz | www.eos.info | Germany | Machinery, Computer Equipment | 15-nov-23 |
| THK Co., Ltd. | Hunters International | www.thk.com | Japan | Machinery, Computer Equipment | 15-nov-23 |
| SWISHSMILES.COM | CL0P | swishsmiles.com | USA | Health Services | 15-nov-23 |
| kwhfreeze.fi | LockBit | kwhfreeze.fi | Finland | Transportation Services | 15-nov-23 |
| Tan*********.nl | Cloak | Unknown | Netherlands | Unknown | 15-nov-23 |
| Gallagher Tire, Inc. | 8BASE | gallaghertire.com | USA | Wholesale Trade-durable Goods | 15-nov-23 |
| MODERNGRAB, S.A. | 8BASE | moderngrab.com | Spain | Publishing, printing | 15-nov-23 |
| Storey Trucking Company, Inc. | 8BASE | www.storeytrucking.com | USA | Motor Freight Transportation | 15-nov-23 |
| APREVYA | 8BASE | aprevya.fr | France | Health Services | 15-nov-23 |
| Lanificio Luigi Colombo S.p.A. | 8BASE | lanificiocolombo.it | Italy | Textile Mill Products | 15-nov-23 |
| MERRILL Technologies Group | 8BASE | merrilltg.com | USA | Aerospace | 15-nov-23 |
| Ontario Pork | 8BASE | ontariopork.on.ca | Canada | Agriculture Production Livestock And Animal Specialties | 15-nov-23 |
| Parsons Investments | 8BASE | www.parsonsinvestments.ca | Canada | Real Estate | 15-nov-23 |
| MeridianLink | BlackCat (ALPHV) | www.meridianlink.com | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 15-nov-23 |
| Premise Health | BlackCat (ALPHV) | premisehealth.com | USA | Health Services | 15-nov-23 |
| Trademark Property | PLAY | www.trademarkproperty.com | USA | Real Estate | 15-nov-23 |
| Nomot | PLAY | www.nomot.nl | Netherlands | Engineering Services | 14-nov-23 |
| Global Technologies Racing Ltd | PLAY | www.gtrcomposites.com | United Kingdom | Machinery, Computer Equipment | 14-nov-23 |
| Thompson Candy | PLAY | www.thompsonchocolate.com | USA | Food Products | 14-nov-23 |
| Road Scholar Transport | PLAY | www.roadscholar.com | USA | Motor Freight Transportation | 14-nov-23 |
| KaDeWe | PLAY | www.kadewe.de | Germany | Apparel And Accessory Stores | 14-nov-23 |
| Wyatt Detention Center | PLAY | www.wyattdetention.com | USA | Justice, Public Order, And Safety | 14-nov-23 |
| Guntert & Zimmerman | PLAY | www.guntert.com | USA | Machinery, Computer Equipment | 14-nov-23 |
| ConSpare | PLAY | www.conspare.com | United Kingdom | Machinery, Computer Equipment | 14-nov-23 |
| Gnome Landscapes | BlackCat (ALPHV) | www.gnomelandscapes.com | USA | Miscellaneous Services | 14-nov-23 |
| maytec.de | Black Basta | maytec.de | Germany | Fabricated Metal Products | 14-nov-23 |
| cmcsheetmetal.com | Black Basta | cmcsheetmetal.com | USA | Construction | 14-nov-23 |
| rekord.de | Black Basta | rekord.de | Germany | Wholesale Trade-durable Goods | 14-nov-23 |
| boulangerieauger.com | Black Basta | boulangerieauger.com | Canada | Food Products | 14-nov-23 |
| agromatic.de | Black Basta | agromatic.de | Germany | Machinery, Computer Equipment | 14-nov-23 |
| mk Technology Group | Akira | www.mk-group.com | Germany | Machinery, Computer Equipment | 14-nov-23 |
| SheelaFoam | BlackCat (ALPHV) | sheelafoam.com | India | Rubber, Plastics Products | 14-nov-23 |
| Naftoport | BlackCat (ALPHV) | naftoport.pl | Poland | Electric, Gas, And Sanitary Services | 14-nov-23 |
| 4set.es | BlackCat (ALPHV) | www.4set.es | Spain | IT Services | 14-nov-23 |
| Naftor | BlackCat (ALPHV) | naftor.pl | Poland | Electric, Gas, And Sanitary Services | 14-nov-23 |
| Grupa Pern | BlackCat (ALPHV) | www.pern.pl | Poland | Electric, Gas, And Sanitary Services | 14-nov-23 |
| NAFTOSERWIS | BlackCat (ALPHV) | naftoserwis.pl | Poland | Electric, Gas, And Sanitary Services | 14-nov-23 |
| SARMATIA | BlackCat (ALPHV) | sarmatia.com.pl | Poland | Electric, Gas, And Sanitary Services | 14-nov-23 |
| SIARKOPOL | BlackCat (ALPHV) | www.siarkopol.gda.pl | Poland | Electric, Gas, And Sanitary Services | 14-nov-23 |
| diagnostechs | Cuba | diagnostechs.com | USA | Health Services | 14-nov-23 |
| Execuzen | BlackCat (ALPHV) | execuzen.com | United Kingdom | Business Services | 14-nov-23 |
| Lander County Convention & Tourism Authority | NoEscape | www.landercountynv.org | USA | General Government | 14-nov-23 |
| Southeastern Orthopaedic Specialists | NoEscape | www.sosbonedocs.com | USA | Health Services | 14-nov-23 |
| Carespring | NoEscape | www.carespring.com | USA | Health Services | 14-nov-23 |
| Warren General Hospital | RansomHouse | www.wgh.org | USA | Health Services | 13-nov-23 |
| shopbentley.com | Black Basta | shopbentley.com | Canada | Miscellaneous Retail | 13-nov-23 |
| ASM GLOBAL | BlackCat (ALPHV) | asmglobal.com | USA | Amusement And Recreation Services | 13-nov-23 |
| tarltonandson.com | LockBit | tarltonandson.com | USA | Construction | 13-nov-23 |
| St. Lucie County Tax Collector’s | BlackCat (ALPHV) | www.tcslc.com | USA | Public Finance, Taxation | 13-nov-23 |
| portadelaidefc | Cuba | www.portadelaidefc.com.au | Australia | Amusement And Recreation Services | 13-nov-23 |
| NSEIT LIMITED | BianLian | nseit.com | India | IT Services | 13-nov-23 |
| Moneris Solutions | Medusa | www.moneris.com | Canada | Security And Commodity Brokers, Dealers, Exchanges, And Services | 13-nov-23 |
| Homeland Inc. | Hunters International | homelandinc.com | USA | Real Estate | 13-nov-23 |
| TCI Co., Ltd. | Hunters International | www.tci-bio.com | Taiwan | Chemical Producers | 13-nov-23 |
| muellersystems.com | LockBit | muellersystems.com | USA | Electronic, Electrical Equipment, Components | 13-nov-23 |
| msim.de | LockBit | msim.de | Germany | Communications | 13-nov-23 |
| Putzel Electrical Contractors Inc | NoEscape | www.putzelelectric.com | USA | Construction | 13-nov-23 |
| Mpr Lifts | NoEscape | www.mprlift.se | Sweden | Machinery, Computer Equipment | 13-nov-23 |
Slachtoffers België en Nederland
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb ↑ |
|---|---|---|---|---|---|
| Tan*********.nl | Cloak | Unknown | Netherlands | Unknown | 15-nov-23 |
| Nomot | PLAY | www.nomot.nl | Netherlands | Engineering Services | 14-nov-23 |
In samenwerking met StealthMol
Sponsor Cybercrimeinfo
Cyberaanvallen nieuws
Cyberaanval veroorzaakt grote storing in communicatie- en verkoopsystemen van RSAG (D)
Op 19 november 2023 werd de Rostocker Straßenbahn AG (RSAG) het slachtoffer van een cyberaanval, die een ernstige verstoring veroorzaakte in hun communicatie- en verkoopsystemen. De aanval trof diverse applicaties, waaronder de telefoon- en e-mailsystemen, het ABO-klantenportaal, de digitale passagiersinformatie, en de mogelijkheid om Abruf-Linien-Taxis te bestellen. Hoewel het weer mogelijk is om tickets bij de meeste automaten te kopen, kan dit alleen met contant geld. Er is geen indicatie dat klantgegevens zijn aangetast door de aanval. Het bus- en tramverkeer, evenals de veerdiensten, functioneren normaal. De online dienstregeling blijft beschikbaar, maar toont geen realtime gegevens. Het RSAG-klantencentrum aan de Lange Straße 28 is geopend, maar met beperkte dienstverlening; alleen enkele reistickets zijn beschikbaar door het uitvallen van de systemen. De klantencentra op het centraal station en in Lütten Klein blijven voorlopig gesloten. De organisatie heeft tijdelijke contactgegevens verstrekt voor klantenservice tijdens kantooruren en moedigt klanten aan om mobiele ticketing te gebruiken. RSAG werkt aan een oplossing en vraagt om begrip van het publiek. [1]
Cyberaanval treft Stadsbestuur van Mössingen (D): Volledige Uitschakeling van IT-Infrastructuur"
Op vrijdag 17 november 2023 werd het stadsbestuur van Mössingen getroffen door een ernstige cyberaanval, die resulteerde in een volledige uitschakeling van hun IT-infrastructuur. Deze gebeurtenis heeft geleid tot aanzienlijke verstoringen in de dienstverlening en communicatie van de stad. Het Rathaus, de Stadtwerke en de lokale bestuurskantoren waren op maandag 20 november 2023 gesloten voor burgers als direct gevolg van deze aanval. Dit onderstreept de ernst van de situatie en de impact die dergelijke cyberaanvallen kunnen hebben op de dagelijkse werking van overheidsdiensten. Ondanks de uitdagingen die deze cyberaanval met zich meebracht, bleef het stadsbestuur telefonisch bereikbaar voor burgers. Echter, communicatie via e-mail was tijdelijk onmogelijk. Deze beperking benadrukt de kwetsbaarheid van digitale communicatiekanalen in het licht van cyberaanvallen en de noodzaak voor alternatieve communicatiemethoden. De stad Mössingen werkte nauw samen met diverse autoriteiten en externe dienstverleners om de verstoring zo snel mogelijk op te lossen. De duur van deze verstoring was op het moment van rapportage echter nog onduidelijk, wat de complexiteit en potentieel langdurige impact van dergelijke cyberaanvallen illustreert. Het stadsbestuur beloofde de burgers continu op de hoogte te houden via hun website en sociale media. Dit benadrukt hun inzet voor transparantie en open communicatie, zelfs tijdens moeilijke omstandigheden zoals deze. Deze gebeurtenis dient als een belangrijke herinnering aan de ernstige gevolgen die cyberaanvallen kunnen hebben op openbare diensten en de noodzaak voor robuuste cyberbeveiligingsmaatregelen en noodplannen. [1]
Russische Hackers Vallen Ambassades Aan met WinRAR Exploit en Ngrok
Russische staatshackers, bekend als APT29, gebruiken een kwetsbaarheid in WinRAR, CVE-2023-38831, voor cyberaanvallen op ambassades. Deze groep, ook bekend onder namen als UNC3524, NobleBaron, Dark Halo, en Cozy Bear, richt zich op ambassades met een lokaas van een BMW-autoverkoop. De kwetsbaarheid in WinRAR, die invloed heeft op versies vóór 6.23, maakt het mogelijk om .RAR- en .ZIP-archieven te creëren die op de achtergrond kwaadaardige code van de aanvaller uitvoeren. Deze kwetsbaarheid is sinds april als een zero-day misbruikt, gericht op cryptocurrency- en aandelenhandelsforums. APT29 gebruikt een kwaadaardig ZIP-archief, "DIPLOMATIC-CAR-FOR-SALE-BMW.pdf", om in meerdere Europese landen, waaronder Azerbeidzjan, Griekenland, Roemenië en Italië, ambassades aan te vallen. Dit archief toont een PDF-lokaas en downloadt en voert een payload uit via PowerShell-code. In eerdere aanvallen gebruikte APT29 deze BMW-autoadvertentie om Oekraïense diplomaten te lokken, waarbij ze ISO-bestanden leverden via de HTML-smokkeltechniek. Bovendien heeft APT29 een nieuwe methode ingezet om met hun kwaadaardige server te communiceren, door gebruik te maken van een gratis statisch domein van Ngrok, waardoor ze hun activiteiten konden verbergen en communiceren met gecompromitteerde systemen zonder gedetecteerd te worden. Andere Russische hacker groepen, zoals APT28, hebben ook deze WinRAR-kwetsbaarheid benut voor spearphishing-campagnes tegen politieke entiteiten in de EU en Oekraïne. Google rapporteerde in oktober dat Russische en Chinese staatshackers deze beveiligingslek hebben uitgebuit om inloggegevens en andere gevoelige gegevens te stelen, en om persistentie op doelsystemen te vestigen. De Oekraïense NDSC benadrukt dat de campagne van APT29 opvalt door de mix van oude en nieuwe technieken, zoals het gebruik van de WinRAR-kwetsbaarheid voor het afleveren van payloads en Ngrok-services voor het verbergen van communicatie met hun commando- en controle-infrastructuur. [1, 2, pdf]
Tiener Hackt Goksite voor $600.000 via Credential Stuffing
Een 19-jarige Amerikaan heeft toegegeven dat hij door een zogenaamde 'credential stuffing'-aanval 600.000 dollar heeft gestolen van de gokwebsite DraftKings. Dit incident vond eind vorig jaar plaats, toen DraftKings het slachtoffer werd van deze aanvalsmethode, waarbij eerder gelekte e-mailadressen en wachtwoorden worden gebruikt om geautomatiseerd toegang te krijgen tot accounts. De aanval werkt vooral als gebruikers dezelfde wachtwoorden op verschillende websites gebruiken en bedrijven dergelijke geautomatiseerde aanvallen niet blokkeren. Door deze methode kreeg de tiener toegang tot ongeveer 60.000 accounts op DraftKings, waarvan hij van circa 1600 accounts geld heeft ontvreemd. Aanvankelijk meldde DraftKings dat het om een bedrag van 300.000 dollar ging, maar volgens de procureur-generaal van de zaak was het werkelijke bedrag dubbel zo hoog, namelijk 600.000 dollar. DraftKings heeft besloten de getroffen gebruikers te compenseren. Bij een huiszoeking eerder dit jaar bij de verdachte werden op zijn computer software en configuratiebestanden voor het uitvoeren van credential stuffing-aanvallen aangetroffen, samen met veertig miljoen paren van gebruikersnamen en wachtwoorden. Ook vonden agenten op zijn telefoon bewijs van communicatie met medeplichtigen over het hacken van de goksite en het stelen van geld. De tiener heeft schuld bekend aan computervredebreuk, waarop een maximale gevangenisstraf van vijf jaar staat. [1]
Onderwijsinstituut Etelä-Savon Ammattiopisto (FI) Getroffen door Cyberaanval
Het Etelä-Savon Ammattiopisto in Finland is op 16 november 2023 getroffen door een ernstige cyberaanval, wat leidde tot het sluiten van netwerk- en serververbindingen en beperkte communicatiekanalen. Onmiddellijk na de aanval werden de computers en informatiesystemen van de instelling, inclusief de Microsoft-cloudservice, uitgeschakeld om verdere schade te voorkomen. Het onderwijsinstituut heeft snel gereageerd door de autoriteiten in te lichten en met behulp van interne en externe experts de oorzaken en omvang van het probleem te onderzoeken. Er werd een melding gemaakt bij de gegevensbeschermingsautoriteit en het Nationaal Cybersecurity Centrum, en er is een strafrechtelijke klacht ingediend. Gelukkig is er geen bewijs dat persoonlijke gegevens van studenten of personeel zijn gelekt. De instelling heeft haar gemeenschap voortdurend geïnformeerd via regelmatige updates op de website en via social media. Ook is er een hotline opgezet voor vragen over de cyberaanval. Het onderwijs gaat vanaf 20 november 2023 weer normaal door, met uitzondering van online onderwijs. Studenten worden aangemoedigd contact op te nemen met studieadviseurs voor specifieke informatie over hun rooster. Het restaurant van de instelling blijft gesloten tijdens week 47, maar geplande bestellingen worden volgens afspraak geleverd. Deze aanval benadrukt het belang van cyberveiligheid in onderwijsinstellingen en de noodzaak van snelle en effectieve reactieplannen bij dergelijke incidenten. De inspanningen van Etelä-Savon Ammattiopisto om de situatie te beheren en de transparante communicatie met betrokkenen zijn lovenswaardig in deze uitdagende tijden. [1]
Phishingaanval via Bloomberg Crypto Twitteraccount leidt tot Discord account diefstal
In november 2023 werd het officiële Twitteraccount van Bloomberg Crypto gebruikt om gebruikers om te leiden naar een misleidende website. Deze website was ontworpen om Discord inloggegevens te stelen door middel van een phishingaanval. Een link op het Twitterprofiel leidde naar een Telegramkanaal met 14.000 leden, waar bezoekers verder werden aangemoedigd om lid te worden van een nep Bloomberg Discord server met 33.968 leden. De fraude werd voor het eerst opgemerkt door crypto fraudeonderzoeker ZachXBT. Bloomberg had voorheen een ander Telegramkanaal onder de gebruikersnaam @BloombergNewsCrypto. In oktober 2023 veranderden ze de gebruikersnaam naar @BloombergCrypto. Gedurende deze overgang nam een oplichter de oude gebruikersnaam over. De oplichter gebruikte de nog actieve oude Telegramlink voor het phishingplan, waarbij gebruikers werden uitgenodigd om zich aan te sluiten bij het 'officiële' Bloomberg Discord kanaal. Bij het betreden van de Discord server werden bezoekers door een bot, die zich voordeed als een legitieme Discord verificatiebot, AltDentifier, gevraagd naar een vervalste website te gaan. Deze site gebruikte een gewijzigd domein (altdentifiers[.]com) om inloggegevens te stelen. Het Bloomberg Crypto personeel gaf bezoekers 30 minuten om deze verificatie te voltooien. Zodra de link aangeklikt werd, probeerde de phishingwebsite van AltDentifiers de Discord inloggegevens van het potentiële slachtoffer te stelen. De kwaadaardige link werd 30 minuten na de initiële tweet van ZachXBT verwijderd van het Bloomberg Crypto X/Twitter account. Veel crypto communities bevinden zich op Discord, waardoor dergelijke accounts vaak doelwit zijn van hackers om crypto scams te promoten. Deze gekaapte accounts kunnen dan worden gebruikt om cryptocurrency scams te promoten die eruitzien alsof ze van een legitieme bron afkomstig zijn.
Update: It appears Bloomberg has removed the malicious link from their bio pic.twitter.com/vVnkvfyAS7
— ZachXBT (@zachxbt) November 17, 2023
Ransomware-aanval op Yamaha Motor's Filippijnse dochteronderneming leidt tot datadiefstal
In oktober werd Yamaha Motor's motorfietsproductiefiliaal in de Filipijnen het slachtoffer van een ransomware-aanval, wat resulteerde in de diefstal en het lekken van persoonlijke informatie van sommige werknemers. Deze inbreuk werd op 25 oktober voor het eerst waargenomen. Yamaha bevestigde dat ongeautoriseerde toegang tot een van hun servers had plaatsgevonden en dat er sprake was van een ransomware-aanval en gedeeltelijk lekken van werknemersgegevens. Een team van maatregelen is opgezet door YMPH en het IT-centrum bij het hoofdkantoor van Yamaha Motor, in samenwerking met een extern internetbeveiligingsbedrijf, om verdere schade te voorkomen en het herstel te bevorderen. De aanval, geclaimd door de INC Ransom-bende, had alleen betrekking op één server bij Yamaha Motor Philippines en had geen impact op het hoofdkantoor of andere dochterondernemingen binnen de Yamaha Motor-groep. De bende publiceerde ongeveer 37GB aan vermeend gestolen data, waaronder werknemers-ID-informatie, back-upbestanden en zakelijke en verkoopinformatie. INC Ransom, opgedoken in augustus 2023, richt zich op organisaties in diverse sectoren zoals gezondheidszorg, onderwijs en overheid met dubbele afpersingstechnieken. Ze verkrijgen toegang tot netwerken via spearphishing-e-mails en Citrix NetScaler CVE-2023-3519-exploits. Na toegang verspreiden ze zich lateraal door het netwerk, verzamelen gevoelige bestanden en implementeren vervolgens ransomware om systemen te versleutelen. Slachtoffers krijgen 72 uur om te onderhandelen, met dreiging van openbare onthulling van gestolen gegevens. Degenen die aan de eisen voldoen, krijgen hulp bij het ontsleutelen van hun bestanden en advies over het beveiligen van hun netwerken. (bron)
Waarschuwing van CISA voor Actief Uitgebuite Kwetsbaarheden in Windows, Sophos en Oracle
De Amerikaanse Cybersecurity & Infrastructure Security Agency (CISA) heeft drie beveiligingsproblemen toegevoegd aan haar catalogus van bekende uitgebuite kwetsbaarheden (KEV). Deze kwetsbaarheden hebben invloed op Microsoft-apparaten, een product van Sophos, en een bedrijfsoplossing van Oracle. Deze catalogus bevat fouten die bevestigd zijn als uitgebuit door hackers en dient als een opslagplaats voor kwetsbaarheden die bedrijven over de hele wereld met prioriteit moeten behandelen. CISA dringt er bij federale instanties op aan om vóór 7 december beschikbare beveiligingsupdates voor deze problemen toe te passen. De drie kwetsbaarheden zijn als volgt geïdentificeerd:
1. CVE-2023-36584: Een beveiligingsfunctie van "Mark of the Web" (MotW) wordt omzeild op Microsoft Windows.
2. CVE-2023-1671: Een commando-injectie kwetsbaarheid in Sophos Web Appliance die externe code-uitvoering (RCE) mogelijk maakt.
3. CVE-2020-2551: Een niet-gespecificeerde kwetsbaarheid in Oracle Fusion Middleware, waardoor een niet-geauthenticeerde aanvaller met netwerktoegang via IIOP de WebLogic-server kan compromitteren.
Microsoft heeft CVE-2023-36584 aangepakt in de beveiligingsupdatebundel van oktober 2023. Echter, op het moment van schrijven wordt deze nog steeds gemarkeerd als niet actief uitgebuit. De kritieke fout in Sophos Web Appliance, gerepareerd op 4 april 2023, wordt geïdentificeerd als CVE-2023-1671 en heeft een ernstscore van 9,8. Het kan leiden tot externe code-uitvoering (RCE) en beïnvloedt versies van de software vóór 4.3.10.4. Het is opmerkelijk dat Sophos Web Appliance op 20 juli het einde van zijn levensduur heeft bereikt en geen updates meer ontvangt. Het bedrijf heeft klanten geadviseerd over te stappen naar Sophos Firewall-webbeveiliging. Hoewel CISA's KEV-catalogus hoofdzakelijk gericht is op federale agentschappen in de VS, wordt bedrijven over de hele wereld geadviseerd deze te gebruiken als een waarschuwingssysteem voor uitgebuite kwetsbaarheden en de nodige stappen te ondernemen om hun systemen bij te werken of door de leverancier aanbevolen mitigerende maatregelen toe te passen. (bron)
Cyberaanval op PJ&A Leidt tot Enorm Datalek van Negen Miljoen Patiëntgegevens
Het Amerikaanse medisch transcriptiebedrijf PJ&A heeft een groot datalek gemeld, waarbij de gevoelige gegevens van ongeveer negen miljoen patiënten zijn blootgesteld. Het bedrijf, dat gespecialiseerd is in het omzetten van opgenomen gesprekken met patiënten naar tekst voor zorginstanties, ondervond een inbreuk op hun netwerk tussen 27 maart en 2 mei. Tijdens deze periode hebben onbekende aanvallers toegang verkregen tot het netwerk en zijn er diverse bestanden ontvreemd. De gelekte informatie bevat een scala aan persoonlijke data, waaronder namen, geboortedata, adresgegevens, medische dossiernummers, diagnoses, en opnamedata van patiënten. Voor een aanzienlijk deel van de getroffen patiënten omvat de buitgemaakte informatie tevens social-securitynummers, verzekeringsdetails, en klinische informatie zoals laboratoriumuitslagen, medicatiegegevens, en de namen van behandellocaties en zorgverleners. PJ&A heeft niet gespecificeerd hoe de aanvallers toegang tot het netwerk hebben kunnen krijgen. Ter voorkoming van toekomstige incidenten heeft het bedrijf aangegeven aanvullende beveiligingsmaatregelen te hebben getroffen. (bron, pdf)
Australië Waarschuwt: Twintig Procent Kritieke Lekken Wordt Binnen 48 Uur Misbruikt
In een recent dreigingsrapport onthult de Australische inlichtingendienst ASD dat 20% van kritieke kwetsbaarheden binnen 48 uur na het beschikbaar komen van een beveiligingsupdate of mitigatie wordt misbruikt. Dit inzicht kwam voort uit een onderzoek naar zestig beveiligingslekken die tussen 1 juli 2020 en 28 februari van dit jaar verschenen. De ASD constateert verder dat ondanks het beschikbaar zijn van patches of mitigatie-adviezen voor meer dan 90% van deze kwetsbaarheden binnen twee weken, toch 50% van de lekken meer dan twee weken na het verschijnen van de patch of mitigatie werden misbruikt. Dit benadrukt het risico voor organisaties die niet snel patchen. De ASD waarschuwt ook dat kwetsbaarheden geen verloopdatum hebben. Ze rapporteren over succesvol misbruik van een zeven jaar oud beveiligingslek en regelmatige infecties door WannaCry-malware, zes jaar na de eerste verschijning. Dit wijst op de kwetsbaarheid van oude legacy systemen die vaak nog in netwerken worden gebruikt. Het advies van de ASD is dan ook om kritieke kwetsbaarheden, vooral in systemen die vanaf het internet toegankelijk zijn of waarvoor een exploit bestaat, binnen 48 uur te patchen. Een anonieme reactie op het artikel bekritiseert het advies van de ASD als mogelijk onverantwoord. De reactie wijst op het risico van zogenaamde 'paniekpatches', die zelf problemen kunnen veroorzaken als ze niet goed getest zijn of als systemen op niet-voorziene wijzen worden gebruikt. Dit benadrukt het dilemma waar organisaties voor staan: het risico van misbruik van een beveiligingslek afwegen tegen de mogelijke problemen die een overhaaste patch kan veroorzaken.
Wereldwijde Overheidsinstanties Aangevallen via Zerodaylek in Zimbra
In een recent artikel wordt een serie cyberaanvallen beschreven die zijn uitgevoerd op overheidsinstanties in diverse landen door het uitbuiten van een zerodaylek in Zimbra. Dit lek, bekend als CVE-2023-37580, is een cross-site scripting (XSS) kwetsbaarheid in Zimbra, een collaborative software suite die wereldwijd door meer dan 200.000 organisaties wordt gebruikt. Google ontdekte op 29 juni de eerste zeroday-aanval, gericht tegen een Griekse overheidsinstantie, en rapporteerde dit aan Zimbra. Op 5 juli publiceerde Zimbra een update op GitHub om deze kwetsbaarheid aan te pakken, maar het duurde tot 25 juli voordat deze patch officieel werd uitgerold. Tussen deze data hebben twee groepen aanvallers het lek uitgebuit, nadat ze informatie over de kwetsbaarheid uit de GitHub-update hadden verkregen. De XSS-kwetsbaarheid stelde aanvallers in staat om e-mails van gebruikers te stelen en een doorstuurfunctie in te stellen voor nieuwe inkomende mails, mits de slachtoffers op een kwaadaardige link klikten. Nadat de patch op 25 juli officieel werd vrijgegeven, werd een vierde groep waargenomen die het lek misbruikte. De aanvallen werden uitgevoerd door vier verschillende groepen en troffen overheidsinstanties in Griekenland, Tunesië, Moldavië, Vietnam en Pakistan. Deze incidenten benadrukken de risico's verbonden aan de publicatie van updates of patches voordat deze volledig beschikbaar zijn voor gebruikers. Het artikel onderstreept het belang van snelle en secure patchmanagementprocessen om de impact van dergelijke kwetsbaarheden te minimaliseren.
❗️Tunstall: ‘Hackers hadden toegang tot data’
Tunstall Nederland, een bedrijf gespecialiseerd in het ontwikkelen van alarmknoppen voor ouderen, heeft recentelijk te maken gehad met een ernstige cyberaanval. Hackers kregen toegang tot bedrijfsgegevens, maar het is nog onduidelijk of ze daadwerkelijk informatie hebben ingezien of gekopieerd. Er zijn geen aanwijzingen dat er data openbaar gemaakt is. Dit incident kwam aan het licht toen er een landelijke storing optrad waardoor alarmsignalen niet bij de meldkamer aankwamen. Cliënten van zorginstellingen werden geadviseerd direct naar centrales of het alarmnummer te bellen bij noodgevallen. De storing bleek veroorzaakt te zijn door een ransomware-aanval, waarbij interne systemen en digitale bestanden van Tunstall werden bedreigd met versleuteling. Na de ontdekking van de aanval schakelde Tunstall onmiddellijk een cybersecuritybedrijf in voor het opschonen van hun netwerk. Tegen woensdag was de dienstverlening grotendeels weer operationeel en alle systemen werkten weer naar behoren. Het onderzoek naar de aanval toonde aan dat hackers toegang hadden tot bedrijfsgegevens. De precieze omvang van de ingezien of gekopieerde data is nog onduidelijk. Tunstall heeft uit voorzorg de relevante autoriteiten en partners geïnformeerd en de Autoriteit Persoonsgegevens op de hoogte gesteld. Ondanks de herstelde dienstverlening blijven er veel onbeantwoorde vragen over de cyberaanval. Details over de identiteit van de daders, de infiltratiemethode, eventuele losgeldeisen en maatregelen ter voorkoming van toekomstige aanvallen zijn nog niet bekendgemaakt. Tunstall houdt deze informatie achterwege om het lopende onderzoek niet te hinderen. De impact van deze cyberaanval benadrukt het belang van robuuste cybersecurity in sectoren die cruciale diensten leveren, vooral waar kwetsbare doelgroepen zoals ouderen afhankelijk van zijn. (bron, bron2)
❗️Herhaalde DDoS-aanvallen op Gemeente Vlaardingen's Website
De website van de gemeente Vlaardingen werd opnieuw het doelwit van een DDoS-aanval, waardoor vlaardingen.nl sinds het begin van de gisteren middag onbereikbaar werd. Dit is niet de eerste keer dat de gemeente hiermee te maken krijgt; in augustus was er een soortgelijke aanval door pro-Russische hackers. Bij een DDoS-aanval wordt de website overbelast met een enorme hoeveelheid webverkeer op een specifiek moment. Een tijdelijke oplossing werd gevonden door buitenlandse internetadressen te blokkeren, waardoor de aanvallers tijdelijk werden afgesneden. Dit herstelde de website voor een korte tijd totdat de hackers, die snel hun strategie aanpasten, de site opnieuw platlegden met Nederlandse internetverbindingen. De gemeente is momenteel bezig met het vinden van een duurzame oplossing voor het probleem, maar het is nog onduidelijk wanneer de website weer volledig operationeel zal zijn.
Cyberaanval Treft Long Beach, Californië: IT-Systemen Uitgeschakeld
De stad Long Beach in Californië werd op 14 november 2023 getroffen door een cyberaanval. Als reactie hierop heeft de stad delen van haar IT-netwerk uitgeschakeld om de verspreiding van de aanval te beperken. Long Beach, met ongeveer 460.000 inwoners, is de zevende grootste stad in Californië. Na het detecteren van de aanval schakelde de stad onmiddellijk systemen offline, een standaardprocedure om verdere verspreiding tegen te gaan. Volgens een verklaring op de website van de stad zullen de systemen, uit voorzorg, voor meerdere dagen offline blijven tijdens het onderzoek en eventuele herstelwerkzaamheden. Hoewel sommige online diensten van de stad gedurende het weekend niet beschikbaar zullen zijn, blijven de nood- en hulpdiensten operationeel. De stad verwacht dat email- en telefoonsystemen toegankelijk blijven en dat stadsgebouwen en andere publieke voorzieningen volgens schema open zullen zijn. De stad vraagt om geduld en begrip van het publiek voor eventuele vertragingen in systemen en diensten. Het specifieke type cyberaanval en of er gegevens zijn gestolen, blijft onduidelijk. De kenmerken van de aanval wijzen echter op een ransomware-aanval, die vaak gepaard gaat met datadiefstal. Tot nu toe heeft geen enkele dreigingsactor de verantwoordelijkheid voor de aanval opgeëist. Dit gebeurt meestal pas een week of meer na een veiligheidsincident, wanneer ze openlijk beginnen met afpersingspogingen. Emsisoft-dreigingsanalist Brett Callow meldt aan BleepingComputer dat als dit een ransomware-aanval blijkt te zijn, het de 80ste lokale overheid in de VS is die in 2023 door ransomware getroffen wordt. Van deze aanvallen is bekend dat bij 46 ervan gegevens zijn gestolen. (bron)
Geavanceerde DDoS-aanvallen op MySQL-servers door 'Ddostf' Botnet
MySQL-servers over de hele wereld worden het doelwit van het 'Ddostf' malware botnet. Dit netwerk zet servers in als deel van een DDoS-as-a-Service-platform, waarvan de aanvalskracht verhuurd wordt aan andere cybercriminelen. De campagne werd ontdekt door onderzoekers van het AhnLab Security Emergency Response Center (ASEC), die regelmatig bedreigingen monitoren gericht op databaseservers. Ddostf-exploitanten maken gebruik van kwetsbaarheden in niet-gepatchte MySQL-omgevingen of forceren zwakke beheerdersaccountgegevens om servers te infiltreren. Voor Windows MySQL-servers maken de aanvallers gebruik van een functie genaamd User-Defined Functions (UDFs) om commando's uit te voeren op het gecompromitteerde systeem. Deze UDF's stellen de aanvallers in staat om kwaadaardige functies uit te voeren, zoals het downloaden van payloads zoals de Ddostf DDoS-bot van een externe server, het uitvoeren van willekeurige systeemniveau-commando's en het verzenden van de resultaten naar de aanvallers. Deze misbruik van UDF's vergemakkelijkt het laden van de primaire payload van deze aanval, de Ddostf bot client. Echter, het kan ook andere malware-installaties, data-exfiltratie, het creëren van achterdeuren voor permanente toegang, en meer mogelijk maken. Ddostf, van Chinese origine en voor het eerst gespot ongeveer zeven jaar geleden, richt zich op zowel Linux- als Windows-systemen. Op Windows-systemen vestigt het persistentie door zichzelf als een systeemdienst te registreren bij de eerste uitvoering en vervolgens zijn C2 (command and control) configuratie te ontcijferen om een verbinding tot stand te brengen. De malware profileert het hostsysteem en stuurt gegevens zoals CPU-frequentie, aantal cores, taalinformatie, Windows-versie, netwerksnelheid, enz., naar zijn C2. De C2-server kan DDoS-aanvalscommando's naar de botnetclient sturen, waaronder SYN Flood, UDP Flood, en HTTP GET/POST Flood-aanvalstypen. ASEC merkt op dat Ddostf's vermogen om verbinding te maken met een nieuw C2-adres het onderscheidt van de meeste DDoS-botnet malware en het veerkracht geeft tegen ontmantelingen. Om zich tegen dergelijke aanvallen te beschermen, wordt MySQL-beheerders geadviseerd de nieuwste updates toe te passen en lange, unieke wachtwoorden te kiezen om beheerdersaccounts te beschermen tegen brute force- en woordenboekaanvallen. (bron)
Toyota Financial Services bevestigt cyberaanval door Medusa Ransomware
Toyota Financial Services (TFS), een dochteronderneming van Toyota Motor Corporation, heeft ongeoorloofde toegang tot sommige van haar systemen in Europa en Afrika bevestigd. Dit volgt op een claim van de Medusa ransomware-groep over een aanval op het bedrijf. Medusa eiste $8.000.000 voor het verwijderen van vermeend gestolen gegevens van het Japanse bedrijf. Ze gaven Toyota 10 dagen om te reageren, met de mogelijkheid om de deadline te verlengen tegen $10.000 per dag. Hoewel Toyota Finance niet bevestigde of er gegevens gestolen waren, beweren de aanvallers dat ze bestanden hebben geëxfiltreerd en dreigen ze met een datalek als er geen losgeld wordt betaald. Om de inbraak te bewijzen, publiceerden ze voorbeeldgegevens, waaronder financiële documenten, spreadsheets, inkoopfacturen, gehashte accountwachtwoorden, cleartext gebruikers-ID's en wachtwoorden, overeenkomsten, paspoortscans, interne organisatieschema's, financiële prestatierapporten, e-mailadressen van personeel en meer. De meeste documenten zijn in het Duits, wat erop wijst dat de hackers toegang hebben gekregen tot systemen die Toyota's operaties in Centraal-Europa bedienen. Een woordvoerder van Toyota bevestigde ongeautoriseerde activiteit in een beperkt aantal locaties in Europa en Afrika. Sommige systemen werden offline gehaald voor onderzoek en risicobeperking, en er is begonnen met samenwerken met wetshandhavingsinstanties. Het proces van het weer online brengen van systemen is al aan de gang in de meeste landen. Veiligheidsanalist Kevin Beaumont benadrukte dat het Duitse kantoor van het bedrijf een op het internet blootgestelde Citrix Gateway-eindpunt had dat sinds augustus 2023 niet was bijgewerkt. Dit maakte het kwetsbaar voor het kritieke Citrix Bleed (CVE-2023-4966) beveiligingsprobleem. Andere ransomware-groepen zouden deze kwetsbaarheid kunnen uitbuiten, gezien het grote aantal kwetsbare eindpunten. (zie overzicht bovenaan de pagina)
Citrix Netscalerのセッショントークンを窃取しMFA含む認証をBypassしてしまう悪用が非常に容易な脆弱性CVE-2023-4966/通称Citrix Bleed について、海外で大きく話題になっているオーストラリア港湾施設と、LockBit3.0が関与する形でボーイング、中国工商銀行事案での悪用が懸念されています。… pic.twitter.com/PnH6oAulwj
— nekono_nanomotoni (@nekono_naha) November 16, 2023
FBI waarschuwt voor groep cybercriminelen die meeluistert met securityteams
De FBI waarschuwt voor een groep cybercriminelen, bekend als Scattered Spider, UNC3944 of Scatter Swine, die recent grote bedrijven heeft gecompromitteerd en afgeperst. Deze groep is bedreven in social engineering, gebruikt diverse technieken zoals sim-swapping, phishing, en 'MFA fatigue' om toegang tot accounts en gevoelige informatie te verkrijgen. Ze registreren vaak domeinnamen die lijken op die van hun slachtoffers, zoals victimname-sso[.]com, om toegang tot netwerken te bemachtigen. Ze gebruiken legitieme tools zoals Screenconnect, TeamViewer en Tailscale voor hun activiteiten. Een opmerkelijke tactiek van Scattered Spider is het meeluisteren met securityteams via communicatieplatforms als Slack, Microsoft Teams en Exchange Online. Dit doen ze om te ontdekken of hun activiteiten zijn opgemerkt en om hun toegang tot netwerken te behouden. Ze nemen vaak deel aan gesprekken over incidentherstel en -reactie, waarschijnlijk om de strategieën van de beveiligingsteams te doorgronden en hun aanpak daarop aan te passen. Soms creëren ze nieuwe identiteiten in de omgevingen van hun slachtoffers, compleet met valse socialmediaprofielen. De FBI heeft specifiek advies uitgebracht over deze groep, met een beschrijving van hun werkwijze en aanbevelingen om aanvallen te voorkomen. Een van de belangrijkste adviezen is het gebruik van phishingbestendige multifactorauthenticatie.
❗️Succesvolle Afweer van Cyberaanval bij Uitgeverij Em. de Jong (NL)
Uitgeverij Em. de Jong heeft recent een cyberaanval succesvol afgewend, ondanks dat het bedrijf momenteel kampt met technische problemen. Operationeel manager Christiaan Starink deelde met DPG Media dat de aanval tijdig werd opgemerkt door hun beveiligingssystemen, waardoor het netwerk werd afgesloten voordat hackers schade konden aanrichten. Deze preventieve maatregel heeft geen impact op de distributie van hun weekbladen, hoewel het dagelijkse werk van medewerkers wel bemoeilijkt wordt. Werknemers moeten nu bijvoorbeeld regelmatig data via USB-sticks overbrengen. De exacte duur van de herstelperiode is onbekend. Externe IT-specialisten onderzoeken het incident en werken aan het schoonmaken van de systemen. Het blijft onduidelijk of er tijdens de aanval gegevens zijn gestolen, en of de uitgeverij aangifte zal doen bij de politie. Er is nog geen melding van een datalek bij de Autoriteit Persoonsgegevens. Uitgeverij Em. de Jong, bekend van zestien wekelijkse huis-aan-huisbladen in Noord-Brabant, heeft onlangs Koninklijke BDU Holding overgenomen in samenwerking met Telstar Mediagroep en Janssen/Pers Rotatiedruk. Deze fusie beoogt het bevorderen van innovatie in het lokale mediaportfolio. Jeroen Cnossen, algemeen directeur bij Koninklijke BDU, benadrukte de noodzaak van schaalgrootte in de huidige markt en de voordelen van deze samenwerking voor effectievere werkprocessen en nieuwe lokale media-initiatieven. (bron)
Ransomwaregroep ALPHV/BlackCat rapporteert Verzwegen Datalek bij SEC
In een recent artikel van Security.NL wordt een opvallende ontwikkeling in de wereld van cybercriminaliteit belicht. De ALPHV/BlackCat-ransomwaregroep heeft een van hun slachtoffers, MeridianLink, aangegeven bij de Amerikaanse beurswaakhond SEC. Deze stap is ondernomen omdat MeridianLink, een leverancier van software aan kredietverstrekkers, verzuimd zou hebben een datalek te melden. Volgens de regelgeving zijn beursgenoteerde bedrijven verplicht om significante cybersecurity-incidenten te rapporteren aan de SEC.
De criminele groep stelt dat ze recentelijk zijn binnengedrongen in de systemen van MeridianLink, waarbij ze ook persoonsgegevens hebben ontvreemd. De groep beweert dat MeridianLink, volgens de wettelijke vereisten, binnen vier dagen na het incident melding had moeten maken bij de SEC, wat niet is gebeurd. MeridianLink heeft op hun eigen website bevestigd dat ze te maken hebben gehad met een cybersecurity-incident, maar minimaliseert de impact door te spreken over een 'minimale' verstoring. Ze geven aan dat indien persoonlijke informatie van consumenten betrokken is bij het incident, ze dit wettelijk zullen rapporteren.
Deze ontwikkeling laat een nieuwe tactiek zien in de werkwijze van cybercriminelen. Door hun slachtoffers aan te geven bij regelgevende instanties, zoals de SEC, verhogen ze de druk en mogelijke gevolgen van het datalek. Dit zet bedrijven in een lastige positie, waarbij ze niet alleen te maken hebben met de directe impact van de ransomware-aanval, maar ook met mogelijke juridische en regelgevende consequenties. Het is een voorbeeld van hoe cybercriminelen steeds verfijnder te werk gaan in hun pogingen om winst te maken en bedrijven te ontwrichten. (bron)
AlphV meldde MeridianLink bij de SEC wegens vermeende niet-tijdige indiening. Afbeelding: meegeleverd. DataBreaches.net.
Het geautomatiseerde ontvangstbewijs voor de indiening van de klacht. Afbeelding: meegeleverd. DataBreaches.net
Samsung Getroffen Door Nieuwe Datalek: Persoonsgegevens Blootgesteld
Samsung Electronics heeft onlangs een datalek ontdekt dat de persoonlijke informatie van sommige klanten heeft blootgesteld. Dit datalek betrof specifiek klanten die tussen 1 juli 2019 en 30 juni 2020 aankopen hebben gedaan in de Samsung UK online winkel. Het lek werd twee dagen geleden ontdekt, op 13 november 2023, en is het gevolg van een kwetsbaarheid in een door Samsung gebruikte applicatie van derden, die door een hacker werd uitgebuit. De precieze details over de kwetsbaarheid en de betreffende applicatie zijn echter niet bekendgemaakt. De gecompromitteerde gegevens kunnen namen, telefoonnummers, post- en e-mailadressen van klanten omvatten. Het is belangrijk om op te merken dat inloggegevens of financiële informatie, zoals bank- of creditcardgegevens, niet zijn aangetast. Samsung heeft benadrukt dat dit incident beperkt is tot de regio van het Verenigd Koninkrijk en geen gegevens van klanten in de Verenigde Staten, werknemers of retailers betreft. De onderneming heeft alle noodzakelijke stappen ondernomen om het beveiligingsprobleem aan te pakken en heeft het incident gemeld bij de Britse Information Commissioner's Office. Dit is de derde keer in twee jaar dat Samsung te maken krijgt met een datalek. Het vorige incident vond plaats eind juli 2023, toen hackers toegang kregen tot namen, contactgegevens, demografische informatie, geboortedata en productregistratiegegevens van Samsung-klanten. In maart 2023 werd Samsung's netwerk getroffen door de data-extorsiegroep Lapsus$, die vertrouwelijke informatie stal, waaronder broncode van Galaxy-smartphones. Samsung bevestigde dat "bepaalde interne gegevens" in handen waren gevallen van een ongeautoriseerde partij na het uitlekken van ongeveer 190GB aan gearchiveerde bestanden en een beschrijving van de inhoud.
@troyhunt another dataset to keep your eyes open for 🙄 pic.twitter.com/VwNCd1nUF1
— Michael Valentine (@KwyjiboUK) November 15, 2023
Waarschuwing van FBI en CISA over Toenemende Ransomware-aanvallen door Rhysida
De FBI en het Cybersecurity and Infrastructure Security Agency (CISA) hebben recent gewaarschuwd voor opportunistische aanvallen van de Rhysida ransomware-groep, gericht op organisaties in diverse industrieën. Rhysida, een ransomware-onderneming die in mei 2023 opdook, verwierf snel beruchtheid door een inbraak in het Chileense leger en het online lekken van gestolen gegevens. Ook werd de groep verantwoordelijk gehouden voor recente aanvallen op gezondheidszorgorganisaties door het Amerikaanse Ministerie van Volksgezondheid en Human Services (HHS). De recente gezamenlijke cybersecurityadviezen bevatten indicatoren voor compromittering (IOCs), detectie-informatie en de tactieken, technieken en procedures (TTP's) van Rhysida, ontdekt tijdens onderzoeken tot september 2023. Deze ransomwaregroep, die werkt volgens het ransomware-as-a-service (RaaS) model, richt zich op 'kansen' in sectoren zoals onderwijs, gezondheidszorg, productie, informatietechnologie en overheid. Ransomware-betalingen worden gedeeld tussen de groep en hun partners. Rhysida-aanvallers zijn ook geïdentificeerd bij het hacken van externe remote services, zoals VPN's, door gebruik te maken van gestolen inloggegevens. Dit was mogelijk bij organisaties zonder standaard Multi-Factor Authenticatie (MFA). Daarnaast staan ze bekend om phishing-aanvallen en het uitbuiten van Zerologon, een kritieke kwetsbaarheid in Microsofts Netlogon Remote Protocol. Interessant is dat partners van de Vice Society ransomware-groep zijn overgestapt op het gebruik van Rhysida ransomware in hun aanvallen. Onderzoekers van Sophos, Check Point Research en PRODAFT hebben deze verschuiving rond juli 2023 waargenomen. Netwerkverdedigers worden geadviseerd de mitigaties uit het huidige advies toe te passen, zoals het patchen van kwetsbaarheden, het activeren van MFA op alle diensten, en het gebruik van netwerksegmentatie om laterale bewegingen te blokkeren.
Omvangrijke Cyberaanval bij PJ&A Brengt Gegevens van Bijna 9 Miljoen Patiënten in Gevaar
In maart 2023 werd PJ&A (Perry Johnson & Associates), een bedrijf dat medische transcriptiediensten levert aan Amerikaanse gezondheidszorginstellingen, getroffen door een cyberaanval. Deze inbreuk leidde tot de blootstelling van persoonlijke informatie van bijna negen miljoen patiënten. Tussen 27 maart en 2 mei 2023 hadden de aanvallers toegang tot het netwerk van PJ&A. De gecompromitteerde informatie omvatte volledige namen, geboortedata, medische dossiernummers, ziekenhuisaccountnummers, opname-diagnoses, data en tijden van service, socialezekerheidsnummers, verzekeringsgegevens, medische transcriptiebestanden (waaronder laboratorium- en diagnostische testresultaten), medicatiegegevens, en namen van behandelingsfaciliteiten en zorgverleners. PJ&A begon op 31 oktober 2023 met het verzenden van datalekwaarschuwingen aan getroffen individuen. Het precieze aantal getroffen personen bleef onbekend tot PJ&A de relevante informatie indiende bij het breach portal van het U.S. Department of Health and Human Services Office for Civil Rights, waaruit bleek dat 8.952.212 patiënten getroffen waren. Eerder had Cook County Health (CCH) in Chicago, de grootste zorgverlener van de stad, 1,2 miljoen patiënten op de hoogte gebracht van een datalek in hun medische dossiers als gevolg van het incident bij PJ&A en aangekondigd de relatie met de leverancier te beëindigen. Northwell Health in New York, de grootste zorgaanbieder van de staat, meldde ook een indirect datalek als gevolg van de netwerkcompromittatie bij PJ&A, waarbij gegevens van meer dan 3,8 miljoen patiënten werden blootgesteld. Dit betekent dat er nog vier miljoen andere mensen zijn, wier medische gegevens via andere zorgverleners zijn blootgesteld, maar nog niet zijn gewaarschuwd. (bron, bron2)
Grootschalige Cryptocurrency Scam via Valse Accounts op X (voormalig Twitter)
In een doortrapte oplichtingscampagne op X (voormalig Twitter) maken fraudeurs dagelijks tot $50.000 door zich voor te doen als onderzoekers naar cryptocurrency-oplichting en blockchain beveiligingsbedrijven. Ze lokken slachtoffers met valse berichten over inbraken op grote cryptobeurzen, waarbij men snel moet handelen om digitale activa te beschermen. De oplichters creëren nepaccounts op X die lijken op die van echte blockchain-analyse of crypto-fraudeonderzoeksbureaus, zoals CertiK, ZachXBT, en Scam Sniffer. Deze nepaccounts promoten gefabriceerde veiligheidsinbreuken op Uniswap en Opensea. De bedriegers maken nieuwe X-accounts aan die sterk lijken op de echte, zoals @zachxbt wordt nagebootst als @zacheryxbt. Vele legitieme X-gebruikers trapten in de val en deelden de scam, sommigen met honderdduizenden volgers, zonder de geldigheid van de claims te verifiëren. Bijvoorbeeld, het malware analyseplatform vx-underground deelde onterecht informatie, denkend dat het van een betrouwbare bron kwam. De campagne is opvallend door de inzet van botaccounts die hashtags zoals #UniswapExploit promoten, waardoor deze trending werden in de VS op X. ZachXBT, één van de geïmiteerde accounts, merkte deze tactiek voor het eerst op op 9 november, nadat Hayden Adams, ontwikkelaar van de Uniswap webapplicatie-interface, de crypto-gemeenschap waarschuwde voor de scam. De oplichters beweren dat hackers een handtekeningverificatiekwetsbaarheid in genoemde protocollen/exchanges hebben geëxploiteerd om tokens te stelen. Slachtoffers worden aangespoord om toestemmingen zo snel mogelijk in te trekken via links naar kwaadaardige websites, wat leidt tot het leeghalen van hun fondsen. Tot op heden hebben de oplichters meer dan $305.000 aan cryptocurrency gestolen. De risico's van dergelijke impersonatie zijn aanzienlijk. Zo zijn er in juli 2022 phishing-acteurs gezien die cybersecuritybedrijven imiteerden, en in juni 2023 werden nep GitHub-accounts gecreëerd die bestaande cybersecurityonderzoekers nabootsten. De effectiefste voorzorgsmaatregel is het dubbel controleren van de authenticiteit van een account en de waarachtigheid van de claims, en nooit je wallet te verbinden met dubieuze of onofficiële platforms.
Hello,
— vx-underground (@vxunderground) November 15, 2023
No, we're not compromised. Someone in our internal circle sent us the information about the alleged breach from a fake ZachXBT
Admittedly, because we know this person well, we didn't double check anything.
tl;dr they got fooled, fooled us in proxy.
Wekelijkse Cybersecurity Update van het NCSC – 10 November 2023
De "End Of Week" update van het Nationaal Cyber Security Centrum (NCSC) van 10 november 2023 belicht diverse actuele cybersecurity kwesties. De update is bedoeld voor distributie binnen de netwerkbeveiliging en informatiebeveiliging gemeenschappen en volgt het TLP:GREEN protocol, wat inhoudt dat het niet bedoeld is voor openbare verspreiding. Een belangrijk onderdeel van deze update betreft de presentaties van de One Conference gehouden op 3 en 4 oktober, waar diverse cybersecurity onderwerpen zijn behandeld. De focus ligt vooral op een kwetsbaarheid in SysAid-software en de aangepaste aanpak van Google Chrome beveiligingsadviezen. SysAid bevat een zeroday-kwetsbaarheid die mogelijk wordt misbruikt door cybercriminele groepen zoals DEV-0950, bekend om het misbruiken van zeroday-kwetsbaarheden in filetransfer-applicaties. Google Chrome heeft zijn updatebeleid aangepast om sneller kwetsbaarheden te verhelpen, wat resulteert in wekelijkse updates. Hierdoor heeft het NCSC besloten enkel nog beveiligingsadviezen uit te brengen voor Google Chrome als er sprake is van ernstige of grootschalig misbruikte kwetsbaarheden. De update bevat ook een lijst met recent gepubliceerde beveiligingsadviezen, waaronder kwetsbaarheden in Cisco IOS XE, Qnap QTS, QuTS Hero, Roundcube Webmail, Veeam ONE, Google Android, Samsung Mobile, SolarWinds, Trend Micro Apex One, Progress WS_FTP, Atlassian Confluence, Foxit PDF Editor, en PostgreSQL. Verder worden diverse nieuwsitems behandeld, zoals een fraudegeval bij Nordex, een malvertisingcampagne gericht op een Windows-nieuwsportaal, een beveiligingsincident bij Sumo Logic, en een denial-of-service (DoS) kwetsbaarheid in het Service Location Protocol (SLP). Deze update benadrukt het voortdurende belang van waakzaamheid en up-to-date beveiligingsmaatregelen in de digitale wereld. Het NCSC blijft een cruciale rol spelen in het informeren en beschermen van organisaties tegen cyberdreigingen.
Cyberaanval op Duitse Energie-Agentur (dena)
Op 14 november 2023 werd de Deutsche Energie-Agentur (dena) het doelwit van een cyberaanval, wat leidde tot een ernstige verstoring van hun serverinfrastructuur. Dit incident heeft geresulteerd in de onbereikbaarheid van dena via telefoon en e-mail. In reactie op deze aanval heeft dena onmiddellijk een reeks IT-beveiligingsmaatregelen geïmplementeerd, met de ondersteuning van externe IT-forensische experts. De aanvallers achter deze inbreuk zijn tot nu toe onbekend. Als gevolg van de aanval is dena momenteel grotendeels operationeel incapabel. De organisatie werkt samen met overheidsinstanties om de normale werkomstandigheden zo snel mogelijk te herstellen, maar altijd binnen veilige parameters. Ondanks de uitval van de gebruikelijke communicatiekanalen, blijft de persafdeling van dena bereikbaar via bekende mobiele nummers. De Deutsche Energie-Agentur, opgericht in 2000, fungeert als een competentiecentrum voor de praktische implementatie van de energietransitie en klimaatbescherming. De organisatie ondersteunt de Duitse federale regering bij het bereiken van haar energie- en klimaatdoelstellingen. Als een projectmaatschappij en een overheidsbedrijf in eigendom van de Bondsrepubliek Duitsland, werkt dena samen met partners uit de politiek, industrie, wetenschap en de samenleving, zowel nationaal als internationaal. Deze cyberaanval benadrukt de kwetsbaarheid van kritieke energie-infrastructuur in het tijdperk van toenemende digitale bedreigingen. Het illustreert de noodzaak van robuuste cybersecurity-maatregelen en de continue waakzaamheid van organisaties die essentiële diensten leveren. (bron)
Grootschalige Datalek bij Apotheekplatform Truepill door cyberaanval
Truepill, een bedrijf dat onder de naam Postmeds opereert, heeft een datalek gemeld waarbij gevoelige persoonlijke informatie van klanten is blootgesteld. Dit B2B-georiënteerde apotheekplatform, dat API's gebruikt voor orderverwerking en leveringsdiensten aan D2C-merken, digitale gezondheidsbedrijven en andere zorgorganisaties in de VS, heeft ongeautoriseerde netwerktoegang ontdekt op 31 augustus 2023. Uit onderzoek bleek dat indringers al een dag eerder toegang hadden verkregen. De gegevens die mogelijk door de indringers zijn geraadpleegd omvatten volledige namen, medicatietypes, demografische informatie en namen van voorschrijvende artsen. Hoewel socialezekerheidsnummers niet in de blootgestelde dataset zaten, verhoogt deze informatie het risico op phishing en social engineering-aanvallen. Sommige ontvangers van de datalekberichten waren verbaasd omdat ze nog nooit van het bedrijf hadden gehoord en onzeker waren hoe hun gegevens bij Truepill terecht waren gekomen. De verstrekkende impact van het incident heeft mogelijk juridische gevolgen, aangezien er meerdere groepsvorderingen in voorbereiding zijn in het hele land. Deze rechtszaken betogen dat de inbreuk voorkomen had kunnen worden als Postmeds betere beveiligingsmaatregelen had getroffen, zoals het versleutelen van gevoelige gezondheidsinformatie op hun servers. Daarnaast wordt de vertraging in het informeren van consumenten kritisch bekeken, aangezien het bedrijf meer dan twee maanden nodig had om de getroffen personen te informeren. In die periode merkten sommige getroffenen verdachte activiteiten op hun Venmo-accounts op, en later werd bevestigd dat hun persoonlijke gegevens op het dark web waren geplaatst. De inhoud van de kennisgevingen wordt ook bekritiseerd als te vaag, zonder details over hoe de indringers toegang kregen tot de systemen van het bedrijf, en zonder enige beschermingsrichtlijnen voor de ontvangers en dekking voor identiteitsdiefstalbeschermingsdiensten. Een van de advocatenkantoren die een rechtszaak tegen Postmed leidt, meldt dat de gelekte gegevens ook adressen, geboortedata, medische behandelingsinformatie, diagnose-informatie en informatie over zorgverzekeringen bevatten, die niet vermeld waren in de kennisgeving van het bedrijf. (bron, bron2. bron3, bron4, bron5)
CacheWarp: Nieuwe Aanval op AMD CPU's Bedreigt Linux VM's
CacheWarp, een nieuwe softwarematige foutinjectie-aanval ontdekt in november 2023, maakt het mogelijk voor dreigingsactoren om AMD SEV-beveiligde virtuele machines (VM's) binnen te dringen. Deze aanval richt zich op geheugenschrijfacties om privileges te verhogen en externe code-uitvoering te verkrijgen. CacheWarp maakt gebruik van kwetsbaarheden in AMD's Secure Encrypted Virtualization-Encrypted State (SEV-ES) en Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP) technologieën. Deze technologieën zijn ontworpen om VM's te beschermen tegen kwaadaardige hypervisors door VM-gegevens te versleutelen en pogingen tot wijziging te blokkeren. De onderliggende kwetsbaarheid, CVE-2023-20592, werd ontdekt door onderzoekers van CISPA Helmholtz Center for Information Security, Graz University of Technology en onafhankelijk onderzoeker Youheng Lue. Ze demonstreerden de aanval in drie casestudy's: het onderscheppen van een RSA privésleutel, inloggen op een OpenSSH-server zonder authenticatie en het verhogen van privileges naar root via de sudo-binary. In geslaagde aanvallen kunnen aanvallers bijvoorbeeld authenticatievariabelen terugzetten naar een eerdere versie om eerder geauthenticeerde sessies over te nemen. CacheWarp stelt aanvallers ook in staat om retouradressen op de stack te manipuleren, waardoor de controlefout van een doelprogramma wordt gewijzigd. AMD heeft een veiligheidsadvies uitgegeven waarin wordt gesteld dat het CacheWarp-probleem werd gevonden in de INVD-instructie en kan leiden tot verlies van geheugenintegriteit van SEV-ES en SEV-SNP VM's. De aanval heeft alleen invloed op AMD-systemen met 1e, 2e en 3e generatie AMD EPYC-processors met SEV-ondersteuning, maar niet op de 4e generatie 'Genoa' EPYC-processors (Zen 4-microarchitectuur). AMD heeft voor 3e generatie EPYC-processors met SEV-SNP een microcode-patch en bijgewerkte firmware uitgebracht, zonder dat dit ten koste gaat van de prestaties. (bron, bron)
LockBit Ransomware-aanvallen Misbruiken Citrix Bleed Kwetsbaarheid: 10.000 Servers in Gevaar
De LockBit ransomware-aanvallen gebruiken publiekelijk beschikbare exploits voor de Citrix Bleed kwetsbaarheid (CVE-2023-4966) om systemen van grote organisaties te infiltreren, data te stelen en bestanden te versleutelen. Ondanks dat Citrix meer dan een maand geleden patches beschikbaar stelde, draaien duizenden op het internet blootgestelde endpoints nog steeds kwetsbare apparaten, waarvan velen in de VS. Bedreigingsonderzoeker Kevin Beaumont heeft aanvallen tegen verschillende bedrijven, waaronder de Industriële en Commerciële Bank van China (ICBC), DP World, Allen & Overy en Boeing, gevolgd en ontdekte dat ze iets gemeen hadden: blootgestelde Citrix servers die kwetsbaar zijn voor de Citrix Bleed fout. Dit werd verder bevestigd door de Wall Street Journal, die een e-mail van het Amerikaanse ministerie van Financiën verkreeg. Hierin werd vermeld dat LockBit verantwoordelijk was voor de cyberaanval op ICBC, bereikt door het uitbuiten van de Citrix Bleed fout. Deze aanvallen worden waarschijnlijk uitgevoerd door een LockBit-affiliate die deze kwetsbaarheid intensief gebruikt om netwerken te infiltreren, in plaats van dat de ransomware-operatie zelf achter de aanval zit. LockBit, als de grootste Ransomware-as-a-Service, gebruikt vele affiliates die volledige discretie hebben over hoe ze netwerken infiltreren. Op het moment van schrijven zijn meer dan 10.400 Citrix servers kwetsbaar voor CVE-2023-4966. De meerderheid van deze servers, 3.133, bevindt zich in de VS, gevolgd door 1.228 in Duitsland en 733 in China. Deze kwetsbare servers bevinden zich in grote en kritieke organisaties in deze en vele andere landen, die allemaal ongepatcht blijven meer dan een maand na de openbare bekendmaking van de kritieke fout. Citrix Bleed werd op 10 oktober bekendgemaakt als een kritiek beveiligingsprobleem dat Citrix NetScaler ADC en Gateway treft, waardoor toegang tot gevoelige apparaatinformatie mogelijk is. Mandiant rapporteerde dat dreigingsactoren Citrix Bleed begonnen uit te buiten in eind augustus, toen de beveiligingsfout nog een zero day was. In de aanvallen gebruikten hackers HTTP GET-verzoeken om Netscaler AAA-sessiecookies te verkrijgen na de multi-factor authenticatiefase (MFA). Citrix drong er bij beheerders op aan om systemen te beschermen tegen deze aanvallen van lage complexiteit en zonder interactie. (bron)
❗️Nederlands Ingenieursbedrijf Nomot Slachtoffer van Cyberaanval
Op 14 november 2023 werd bekend dat Nomot, een Nederlands ingenieursbedrijf, het slachtoffer is geworden van een cyberaanval. Deze informatie kwam aan het licht toen de verantwoordelijke cybercriminelen, bekend onder de naam 'PLAY', details van de aanval openbaar maakten op het darkweb. Nomot, gespecialiseerd in engineering services, heeft haar website (www.nomot.nl) als primair communicatiekanaal. De aard en omvang van de data-inbreuk zijn nog onduidelijk. Dit incident benadrukt de voortdurende dreiging van cybercriminaliteit binnen de ingenieurssector.
Royal-ransomware plaagt honderden organisaties: FBI en CISA delen inzichten en preventietips
Sinds september vorig jaar zijn talrijke organisaties, waaronder ziekenhuizen, zorginstellingen, productiebedrijven, communicatieaanbieders en onderwijsinstellingen, slachtoffer geworden van de zogenaamde Royal-ransomware. Dit meldt de FBI in samenwerking met het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. De aanvallers hebben in totaal meer dan 275 miljoen dollar aan losgeld geëist van de getroffen organisaties. De primaire methode van infiltratie door de Royal-groep is via phishingmails, verantwoordelijk voor twee derde van de aanvallen. Deze mails leiden tot de installatie van ransomware via het remote desktop protocol (RDP). Eenmaal toegang verkregen tot een netwerk, bewegen de aanvallers zich lateraal door het systeem, stelen gegevens en rollen ransomware uit. Opmerkelijk is dat de FBI aanwijzingen heeft dat de Royal-groep mogelijk onder een andere naam actief is of een nieuwe variant ontwikkelt. Er zijn gelijkenissen gevonden tussen de Royal- en Blacksuit-ransomware. Bij geïnfecteerde systemen trof de FBI diverse .bat-bestanden aan die gebruikt worden voor verschillende kwaadaardige activiteiten, waaronder het creëren van nieuwe admin-gebruikers en het aanpassen van systeeminstellingen. Als preventie tegen dergelijke aanvallen adviseert het CISA en de FBI meerdere strategieën. Deze omvatten het maken van offline, versleutelde back-ups, het uitschakelen van command-line en scripting rechten, het deactiveren van ongebruikte poorten, het regelmatig bijwerken van software, het toepassen van netwerksegmentatie, multifactorauthenticatie, en het vereisen van beheerdersrechten voor software-installaties. Deze maatregelen zijn bedoeld om de kans op succesvolle ransomware-aanvallen te verkleinen en organisaties beter te beschermen tegen cyberdreigingen.
Kostbaar Datalek bij Medisch Bedrijf door Verouderde Firewall
Een Amerikaans medisch bedrijf, US Radiology, dat gespecialiseerd is in röntgendiensten, heeft een datalek ondervonden dat hen $450.000 kostte. Dit incident, dat eind 2021 plaatsvond, was het gevolg van het gebruik van een verouderde en kwetsbare end-of-life firewall. Bij de cyberaanval werden de persoonlijke gegevens van bijna 200.000 patiënten gestolen, waaronder namen, geboortedata, social-securitynummers, rijbewijsnummers, paspoortnummers, patiënt-ID's, behandeldata, informatie over het soort röntgenonderzoek, diagnoses en zorgverzekeringsgegevens. De aanval vond plaats via een kwetsbaarheid in een SonicWall-firewall. SonicWall, een beveiligingsbedrijf, had al in januari 2021 gemeld dat hun interne systemen doelwit waren van een aanval, waarbij mogelijk zerodaylekken in hun producten werden gebruikt. Ondanks dat SonicWall begin februari updates uitbracht voor deze kwetsbaarheden, bleef US Radiology de end-of-life firewall gebruiken, die geen updates meer ontving. Dit kwam door een vertraging in hun vervangingsproject, gepland voor juli 2021. Het forensisch onderzoek, dat tot augustus 2022 duurde, onthulde dat de aanvaller toegang had verkregen tot inloggegevens van de lokale en domeinbeheerder en beveiligingsprotocollen had aangepast. De procureur-generaal van New York benadrukte dat US Radiology onvoldoende maatregelen had genomen om de patiëntgegevens te beschermen, ondanks dat ze op de hoogte waren van de kwetsbaarheid in hun firewall. Naast de boete van $450.000, is US Radiology nu verplicht om aanvullende beveiligingsmaatregelen te nemen. Dit omvat het versterken van hun bestaande beveiligingsbeleid, het implementeren van een programma voor het identificeren, vervangen en updaten van IT-middelen, het versleutelen van patiëntgegevens, het regelmatig uitvoeren van penetratietests en het invoeren van een beleid voor het permanent verwijderen van patiëntgegevens die niet langer nodig zijn. (bron)
Cyberaanval raakt productie Stellantis bij auto-onderdelenleverancier
De productie van Stellantis, bekend van merken als Chrysler, Dodge, Jeep en Ram, wordt beïnvloed door een cyberaanval op de Chinese leverancier Yanfeng International Automotive Technology Co. Ltd. Dit bedrijf, met een Noord-Amerikaans hoofdkantoor in Novi, produceert just-in-time onderdelen zoals stoelen, interieurs, elektronica en andere componenten. Door problemen bij deze externe leverancier is de productie in sommige Noord-Amerikaanse assemblagefabrieken van Stellantis verstoord, aldus woordvoerster Anne Marie Fortunate. Ze gaf geen details over welke producties of locaties precies zijn getroffen. De verstoring werd eerder op de dag gemeld door Crain's Detroit Business. Cyberveiligheid is een groeiende zorg voor bedrijven, overheden en andere organisaties. Onlangs zijn twee rechtszaken aangespannen tegen de Universiteit van Michigan nadat hackers toegang kregen tot persoonlijke informatie van maximaal 230.000 personen aan het begin van het herfstsemester. Stellantis en Yanfeng hebben ook onlangs een verzoek gewonnen om apparatuur te verkrijgen van Unique Fabricating Inc., een leverancier uit Auburn Hills die vorige week faillissement heeft aangevraagd onder hoofdstuk 7. (bron)
Cyberaanval Treft Stad Huber Heights (VS)
In Huber Heights, een stad in Montgomery County, is een ransomware-aanval uitgevoerd door hackers. Deze aanval werd zondagochtend voor het eerst opgemerkt door de dispatchers van de stad, toen er problemen met hun computers ontstonden. De IT-ondersteuning van de stad werd snel op de hoogte gebracht en bevestigde dat het een cyberaanval betrof. Belangrijk is dat de stad benadrukt dat de noodhulpdiensten - politie, brandweer en EMS - normaal functioneren. Deze diensten zijn verplaatst naar het regionale dispatchcentrum om de continuïteit van de hulpverlening te waarborgen. Volgens Richard Dzik, de stadsmanager van Huber Heights, ondervinden deze operaties geen hinder en kunnen oproepen normaal worden behandeld. De stad werkt er hard aan om de volledige impact van de aanval te begrijpen. Als voorzorgsmaatregel zijn alle systemen van de stad offline gehaald en geïsoleerd, zowel om verdere verspreiding van het probleem te voorkomen als om bewijsmateriaal te behouden. Dit heeft geleid tot operationele veranderingen in verschillende afdelingen, waaronder zonering, engineering, belastingen, financiën, nutsvoorzieningen, human resources en economische ontwikkeling. Medewerkers in het stadhuis beantwoorden vragen van bezorgde burgers zonder technologische ondersteuning. De stad, die meer dan 44.000 inwoners telt, kan momenteel geen betalingen voor nutsvoorzieningen of belastingen verwerken. Late betalingskosten en afsluitingen van nutsvoorzieningen worden voor de maand opgeschort. Inwoner Dan Perrine uitte zijn zorgen, maar voelde zich gerustgesteld toen hij hoorde dat de noodhulpdiensten normaal functioneerden. Vragen van burgers gaan onder meer over specifieke stoeprandservices. Dzik bevestigde dat diensten zoals lekophaling en vuilnisophaling normaal doorgaan. De stad Huber Heights heeft een geplande raadsvergadering waarbij dit incident waarschijnlijk een dominante rol zal spelen op de agenda. De vergadering zal niet live worden gestreamd vanwege de aanval, maar de stad onderzoekt nieuwe manieren om toch te kunnen streamen. (bron)
Targobank Reageert op Cyberaanval door Online Bankieren voor Duizenden Klanten te Blokkeren
De Targobank heeft de toegang tot online bankieren voor duizenden klanten geblokkeerd na pogingen van kwaadwillende actoren om in te breken in het systeem. Dit veiligheidsincident werd opgemerkt door het beveiligingssysteem van de bank, wat leidde tot deze preventieve maatregel. Klanten melden dat ze sinds de zaterdag van de vorige week geen toegang meer hebben tot hun online bankieren, noch via de app noch via de webbrowser. Andere bankdiensten, zoals betalingen met kaarten, zijn niet beïnvloed door deze blokkade. Een woordvoerder van de bank legde uit dat onbevoegden hadden geprobeerd toegang te krijgen tot de online bankgegevens van sommige klanten, maar dat de beveiligingssystemen van de bank succesvol waren in het voorkomen van deze toegang. Als onderdeel van de reactie op dit incident en om maximale veiligheid te garanderen, worden nieuwe toegangsgegevens aangemaakt voor ongeveer 6.000 getroffen klanten, waarmee de bank in contact staat. (bron)
Denemarken Ondergaat Grootste Cyberaanval in de Geschiedenis
Denemarken werd getroffen door de grootste geregistreerde cyberaanval in zijn geschiedenis, mogelijk gelinkt aan de Russische GRU, de hoofdinlichtingendirectie. Dit incident, gericht op de kritieke infrastructuur van het land, vond plaats in mei en werd gerapporteerd door SektorCERT, een non-profit cybersecuritycentrum voor kritieke sectoren in Denemarken. De aanvallers wisten toegang te verkrijgen tot de systemen van 22 bedrijven die verschillende onderdelen van de Deense energie-infrastructuur beheren. Volgens het rapport hebben de hackers gebruikgemaakt van zero-day kwetsbaarheden in Zyxel-firewalls, die veelvuldig worden ingezet door Deense operatoren van kritieke infrastructuur om hun netwerken te beschermen. Deze gecoördineerde cyberaanvallen markeren een significante bedreiging voor de veiligheid en stabiliteit van de Deense infrastructuur. (bron)
Misbruik van Ethereum's 'Create2' Functie Leidt tot Diefstal van $60 Miljoen"
In een periode van zes maanden hebben kwaadwillende actoren Ethereum's 'Create2'-functie misbruikt om beveiligingswaarschuwingen van wallets te omzeilen en cryptocurrency-adressen te vergiftigen. Dit heeft geleid tot de diefstal van $60 miljoen aan cryptocurrency van 99.000 mensen. Dit is gerapporteerd door Web3 anti-scam specialisten van 'Scam Sniffer', die meerdere gevallen van misbruik in het wild hebben waargenomen, met in sommige gevallen verliezen van individuen tot $1,6 miljoen. Create2 is een opcode in Ethereum, geïntroduceerd in de 'Constantinople' upgrade, waarmee smart contracts op de blockchain kunnen worden gecreëerd. In tegenstelling tot de originele Create opcode, die nieuwe adressen genereert op basis van het adres en nonce van de maker, maakt Create2 het mogelijk om adressen te berekenen vóór de implementatie van het contract. Dit is een krachtige tool voor Ethereum-ontwikkelaars, die geavanceerde en flexibele contractinteracties, op parameters gebaseerde voorberekening van contractadressen en geschiktheid voor off-chain transacties en bepaalde dApps mogelijk maakt. Het misbruik van de Create2 opcode houdt in dat kwaadwillenden nieuwe contractadressen kunnen genereren zonder geschiedenis van kwaadaardige of gerapporteerde transacties, waardoor ze walletbeveiligingswaarschuwingen kunnen omzeilen. Wanneer een slachtoffer een kwaadaardige transactie ondertekent, implementeert de aanvaller een contract op het vooraf berekende adres en transfereert de activa van het slachtoffer naar dit adres, een niet-omkeerbaar proces. In een recent waargenomen geval verloor een slachtoffer $927.000 aan GMX nadat ze waren misleid om een overdrachtscontract te ondertekenen dat de activa naar een vooraf berekend adres stuurde. Een tweede vorm van Create2 misbruik is het genereren van adressen die lijken op legitieme adressen van de ontvanger, waardoor gebruikers worden misleid om activa naar de dreigingsactoren te sturen in de overtuiging dat ze deze naar een bekend adres sturen. Deze methode, 'adresvergiftiging' genoemd, omvat het genereren van een groot aantal adressen en vervolgens die te kiezen die op dat moment aan hun specifieke phishingbehoeften voldoen. Sinds augustus 2023 heeft Scam Sniffer 11 slachtoffers geregistreerd die bijna $3 miljoen verloren, waarvan één $1,6 miljoen naar een adres overmaakte dat leek op een adres waarnaar ze onlangs geld hadden overgemaakt. In het begin van het jaar waarschuwde MetaMask voor oplichters die pas gegenereerde adressen gebruikten die overeenkwamen met die van het slachtoffer in recente transacties. In de zwendel kan de dreigingsactor ook een klein bedrag in crypto naar het slachtoffer sturen om het adres in de geschiedenis van de wallet te registreren, waardoor de kans groter wordt dat het slachtoffer de betaling doet. In augustus 2023 stuurde een Binance-operator per ongeluk $20 miljoen naar oplichters die de 'adresvergiftiging' truc gebruikten, maar merkte de fout snel op en bevroor het adres van de ontvanger. (bron, bron2)
Cyberaanval veroorzaakt containerachterstand in Australische havens
De Australische havens kampen momenteel met een achterstand van maar liefst 30.000 containers als gevolg van een recente cyberaanval. Dit incident, ontdekt afgelopen weekend door terminalbedrijf DP World, heeft geleid tot de tijdelijke sluiting van belangrijke havens in Sydney, Melbourne, Brisbane en Fremantle. Hoewel schepen konden aanmeren en hun lading lossen, was het voor vrachtwagens onmogelijk om containers op te halen of te leveren. De specifieke aard van de cyberaanval is nog onbekend, maar de impact is duidelijk voelbaar. DP World, verantwoordelijk voor veertig procent van de vrachttransporten in Australië, vreest voor een sneeuwbaleffect door de opgelopen vertragingen. Het herinrichten van import- en exportslots na het herstel van de systemen wordt als een significante uitdaging beschouwd. Ook is er nog geen duidelijkheid over de omvang van de financiële schade, aldus de Australian Financial Review. Het onderzoek naar de cyberaanval is nog in volle gang. In een reactie op het artikel deelt een anonieme gebruiker zijn ervaringen met een soortgelijk incident in de Rotterdamse haven, benadrukkend dat dergelijke aanvallen miljoenen kunnen kosten en de roep om de daders op te pakken versterken. Dit incident benadrukt de kwetsbaarheid van kritieke infrastructuur voor cyberaanvallen en de noodzaak van robuuste beveiligingsmaatregelen en snelle responsplannen om de impact van dergelijke incidenten te minimaliseren. (bron, bron2)
❗️Cyberaanval veroorzaakt landelijke storing in noodknopsysteem voor ouderen en zieken
Een recente cyberaanval heeft een landelijke storing veroorzaakt in het noodknopsysteem van fabrikant Tunstall, dat veelvuldig wordt gebruikt door ouderen en zieken in Nederland. De storing werd voor het eerst gemeld door de Limburgse zorgorganisatie Envida. Het Tunstall-systeem, dat wereldwijd door ongeveer 5,4 miljoen mensen wordt gebruikt, stelt gebruikers in staat om met één druk op de knop hulp in te schakelen in noodsituaties. De storing heeft ertoe geleid dat alarmsignalen niet meer doorkomen bij de meldkamer. Gebruikers van het systeem zijn geadviseerd om in geval van nood een specifiek telefoonnummer te bellen. Het exacte aantal getroffen gebruikers in Nederland is onbekend, maar alleen al in Limburg maken ongeveer drieduizend mensen gebruik van deze personenalarmering. De oorzaak van de storing is bevestigd als een cyberaanval. Dit benadrukt de kwetsbaarheid van gecentraliseerde systemen en roept vragen op over de beveiliging van dergelijke kritieke zorgtechnologieën. Het incident heeft ook zorgen gewekt over de privacy en veiligheid van gebruikers, vooral gezien de potentieel gevoelige aard van de gegevens die door dergelijke systemen worden verzameld en verwerkt. De storing heeft niet alleen impact op individuele gebruikers, maar ook op zorgorganisaties zoals Treant, die extra maatregelen moeten treffen om hun cliënten te ondersteunen. Deze situatie onderstreept het belang van robuuste cybersecuritymaatregelen en de noodzaak van effectieve noodplannen bij soortgelijke incidenten. De herstelwerkzaamheden zijn gaande en gebruikers worden op de hoogte gehouden van de voortgang. (bron, bron2, bron3)
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 16-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 15-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 14-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 13-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 12-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 11-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑