Overzicht van slachtoffers cyberaanvallen week 47-2023

Gepubliceerd op 27 november 2023 om 16:13

EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


In deze weekoverzicht van cyberaanvallen en digitale dreigingen, zien we een opvallende toename in incidenten over de hele wereld, met significante gevolgen voor diverse sectoren. De cryptowereld ervaart een verwoestende novembermaand met een verlies van maar liefst 290 miljoen dollar door cyberaanvallen. In België werd de groothandel Verhelst getroffen, terwijl in Duitsland zowel een energieleverancier in Hattingen als een datacentrum in Kreis Neu-Ulm het doelwit waren. Deze laatste aanval had impact op elf gemeenten.

In het Verenigd Koninkrijk waren er meerdere ernstige incidenten, waaronder een aanval op een Londens ziekenhuis, een grootschalige aanval op IT-dienstverlener CTS die vele advocatenkantoren raakte, en een aanval door de Rhysida Ransomwaregroep op een Britse bibliotheek. In Zwitserland werd de gemeente Zollikofen verlamd door een ransomware-aanval.

Verder reikend dan Europa, werd in Senegal het wegbeheer agentschap AGEROUTE gehackt door de Lockbit Groep, terwijl in Pakistan een cyberaanval plaatsvond op de website van het Ministerie van Luchtvaart.

In de Verenigde Staten werden diverse incidenten gemeld, waaronder een onderzoek naar een cyberaanval en datalek bij General Electric, een soortgelijk incident bij de Kansas Rechterlijke Macht en een inbraak door hacktivisten in een Amerikaans nucleair onderzoekslab.

Wat dreigingen betreft, waren er diverse ontwikkelingen wereldwijd. Noord-Koreaanse hackers voerden een supply-chain aanval uit met een zero-day kwetsbaarheid. Apple waarschuwde voor wereldwijde iPhone-aanvallen en Microsoft meldde een supplychain-aanval via CyberLink-software. Daarnaast werd een nieuwe DDoS-botnet bedreiging geïdentificeerd die routers en videorecorders kan infecteren. In India werd gewaarschuwd voor bankmalware gericht op Androidgebruikers, en er was zorgwekkend misbruik van de 'Looney Tunables' kwetsbaarheid in Linux. Tot slot werd de verspreiding van Gamaredon's LittleDrifter USB-malware een wereldwijd probleem.

Hieronder vindt u een volledig overzicht van de cyberaanvallen van de afgelopen week.



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
Zenithpharma MEOW LEAKS www.zenithpharma.ma Morocco Chemical Producers 26-nov-23
Back Roads MEOW LEAKS www.backroads.com USA Amusement And Recreation Services 26-nov-23
Equaldex MEOW LEAKS www.equaldex.com USA Miscellaneous Services 26-nov-23
Vanderbilt University Medical Center MEOW LEAKS www.vumc.org USA Health Services 26-nov-23
Standard Filter MEOW LEAKS www.standardfilter.com USA Miscellaneous Manufacturing Industries 26-nov-23
Katsky Korins MEOW LEAKS katskykorins.com USA Legal Services 26-nov-23
AlJaber Engineering RansomEXX www.jec.qa Qatar Construction 26-nov-23
ALAB laboratoria RA GROUP www.alablaboratoria.pl Poland Research Services 26-nov-23
kenso.com.my LockBit kenso.com.my Malaysia Agriculture Production Livestock And Animal Specialties 25-nov-23
Energy China Rhysida www.gedi.ceec.net.cn China Oil, Gas 24-nov-23
TALENTUM Temporal SAS NoEscape talentum.com.co Colombia Business Services 24-nov-23
carriereindustrial.com D0N#T (Donut Leaks) carriereindustrial.com Canada Machinery, Computer Equipment 24-nov-23
Albert, Righter & Tittmann architechts, inc. D0N#T (Donut Leaks) www.artarchitects.com USA Construction 24-nov-23
ribolia.com LockBit ribolia.com China Research Services 24-nov-23
nrtw.org LockBit nrtw.org USA Legal Services 24-nov-23
preidlhof.it LockBit preidlhof.it Italy Lodging Places 24-nov-23
Lincoln Office Hunters International www.lincolnoffice.com USA Furniture 24-nov-23
Granger Medical Clinic NoEscape www.grangermedical.com USA Health Services 24-nov-23
LCA Consultores BlackCat (ALPHV) lcaconsultores.com.br Brazil Security And Commodity Brokers, Dealers, Exchanges, And Services 24-nov-23
TJM PRODUCTS PTY. LTD BlackCat (ALPHV) www.tjm.com.au Australia Wholesale Trade-durable Goods 24-nov-23
Spectrum Solutions LLC BlackCat (ALPHV) spectrumsolution.com USA Miscellaneous Manufacturing Industries 24-nov-23
des-ae.com LockBit des-ae.com USA Construction 23-nov-23
unidesign-jewel.com LockBit unidesign-jewel.com India Miscellaneous Manufacturing Industries 23-nov-23
Eckell Sparks Law Firm BlackCat (ALPHV) www.eckellsparks.com USA Legal Services 23-nov-23
officinaverdedesign.it LockBit officinaverdedesign.it Italy Wholesale Trade-non-durable Goods 23-nov-23
Trylon TSF Inc. INC Ransom trylon.com Cameroon Communications 23-nov-23
DM Civil Co. INC Ransom dmcivil.com.au Australia Construction 23-nov-23
Ingo Money Inc INC Ransom ingomoney.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 23-nov-23
Nicole Miller INC Ransom nicolemiller.com USA Apparel And Accessory Stores 23-nov-23
Pro Metals LLC INC Ransom prometals.net USA Construction 23-nov-23
Springfield Area Chamber of Commerce INC Ransom springfieldchamber.com USA Membership Organizations 23-nov-23
B+P Gerüstbau GmbH INC Ransom buildingpartners.de Germany Construction 23-nov-23
Fidelity National Financial BlackCat (ALPHV) fnf.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 22-nov-23
McHale Landscape Design PLAY www.mchalelandscape.com USA Miscellaneous Services 22-nov-23
Custom Engineering & Fabrication, Inc. Akira www.ceandf.com USA Machinery, Computer Equipment 22-nov-23
Alspec Akira www.alspec.com.au Australia Fabricated Metal Products 22-nov-23
IQ Supply Solutions Akira www.iqsupplysoutions.com USA Transportation Services 22-nov-23
NESPOLI GROUP BlackCat (ALPHV) www.nespoligroup.de Germany Miscellaneous Manufacturing Industries 22-nov-23
Community Hospital Medusa www.chal.org USA Health Services 22-nov-23
therobisongroup.com LockBit therobisongroup.com USA Business Services 22-nov-23
merz-elektro.de LockBit merz-elektro.de Germany Electronic, Electrical Equipment, Components 22-nov-23
art-eco.it LockBit art-eco.it Italy Machinery, Computer Equipment 22-nov-23
ds-granit.fr ThreeAM ds-granit.fr France Miscellaneous Manufacturing Industries 22-nov-23
APVL ingénierie 8BASE apvl.com France Measuring, Analyzing, Controlling Instruments 22-nov-23
Cold Car Spa 8BASE coldcar.it Italy Machinery, Computer Equipment 22-nov-23
La Contabile Spa 8BASE lacontabile.net Italy Miscellaneous Retail 22-nov-23
DMC Luxembourg 8BASE dmc-Luxembourg.lu Luxembourg Measuring, Analyzing, Controlling Instruments 22-nov-23
Hills Legal Group Ltd 8BASE hillslegal.com USA Legal Services 22-nov-23
Brown's Bay Packing Company 8BASE brownsbaypacking.ca Canada Food Products 22-nov-23
Hahn and Clay, Inc. 8BASE hahnclay.com USA Fabricated Metal Products 22-nov-23
Imperiali AG 8BASE imperiali.ch Switzerland Construction 22-nov-23
floydskerenlaw.com LockBit floydskerenlaw.com USA Legal Services 21-nov-23
bnpmedia.com LockBit bnpmedia.com USA Publishing, printing 21-nov-23
Crystal Lake Health Center Hunters International crystallakehealthcenters.com USA Health Services 21-nov-23
Verhelst Cactus www.verhelst.be Belgium Wholesale Trade-durable Goods 21-nov-23
Petersen Health Care Cactus www.petersenhealthcare.net USA Social Services 21-nov-23
Paul Stuart Cactus www.paulstuart.com USA Apparel And Accessory Stores 21-nov-23
martinique.no LockBit martinique.no Norway Amusement And Recreation Services 21-nov-23
phihydraulics.com LockBit phihydraulics.com USA Machinery, Computer Equipment 21-nov-23
qautomotive.com.au LockBit qautomotive.com.au Australia Automotive Dealers 21-nov-23
St Edmund's College & Prep School Rhysida www.stedmundscollege.org United Kingdom Educational Services 21-nov-23
helifrusa.com LockBit helifrusa.com Spain Agriculture Production Livestock And Animal Specialties 21-nov-23
*** ****e** BianLian Unknown Macao Legal Services 21-nov-23
C* ** ******s ** ****de++++ BianLian Unknown Venezuela Insurance Carriers 21-nov-23
P******* BianLian Unknown USA Food Products 21-nov-23
P******** T****** BianLian Unknown USA Rubber, Plastics Products 21-nov-23
Enware Australia Pty Ltd NoEscape www.enware.com.au Australia Miscellaneous Manufacturing Industries 21-nov-23
Rc Moore Inc NoEscape rcmoore.com USA Motor Freight Transportation 21-nov-23
sabre.co.uk LockBit sabre.co.uk United Kingdom Insurance Carriers 20-nov-23
Hampton Newport News CSB BlackCat (ALPHV) www.hnncsb.org USA Health Services 20-nov-23
nybravestfcu.org LockBit nybravestfcu.org USA Depository Institutions 20-nov-23
agrovi.dk Black Basta agrovi.dk Denmark Agriculture Production Livestock And Animal Specialties 20-nov-23
arenaproducts.com Black Basta arenaproducts.com USA Miscellaneous Manufacturing Industries 20-nov-23
etude-villa.fr Black Basta etude-villa.fr France Legal Services 20-nov-23
brownintegratedlogistics.com LockBit brownintegratedlogistics.com USA Transportation Services 20-nov-23
British Library Rhysida www.bl.uk United Kingdom Educational Services 20-nov-23

Slachtoffers België en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
Verhelst Cactus www.verhelst.be Belgium Wholesale Trade-durable Goods 21-nov-23

In samenwerking met StealthMol

Sponsor Cybercrimeinfo


Cyberaanvallen nieuws


Cyberaanval op Energieleverancier AVU in Hattingen (D)

Op 26 november 2023 werd de energieleverancier AVU, gevestigd in Gevelsberg en verantwoordelijk voor de energievoorziening in Hattingen, geconfronteerd met een cyberaanval. Dit incident benadrukt de groeiende dreiging van cybercriminaliteit gericht op essentiële diensten. De situatie vereiste een directe reactie van AVU om de impact van de aanval te beoordelen en te beperken. Hoewel de details van de aanval niet volledig zijn onthuld, was het een ernstige situatie die de aandacht van het bedrijf vereiste. Een belangrijk aspect van deze aanval is de status van klantgegevens. Er is geen specifieke informatie gegeven over of en hoe klantgegevens zijn beïnvloed. Het meest opvallende punt uit de rapportage is dat ondanks de cyberaanval, de klantenservice en energievoorziening op geen enkel moment in gevaar waren. Dit suggereert dat AVU ofwel effectieve beveiligingsmaatregelen op zijn plaats had, of snel kon reageren om te zorgen dat hun diensten niet werden onderbroken. Naast de kwestie in Hattingen, werd ook melding gemaakt van een beperkt aanbod van diensten in Sprockhövel als gevolg van de cyberaanval. Dit wijst op een mogelijk bredere impact van de aanval dan alleen op AVU. Deze gebeurtenis dient als een herinnering aan de kwetsbaarheid van infrastructuurnetwerken voor cyberaanvallen en het belang van voorbereiding en snelle respons op dergelijke bedreigingen. De aanval op AVU toont aan dat zelfs lokale dienstverleners niet immuun zijn voor de toenemende dreiging van cybercriminaliteit. [1]


Nieuwe SysJoker Malware: Gevaarlijke Cyberdreiging Gelinkt aan Hamas Hackers

Een nieuwe versie van de SysJoker malware is ontdekt, volledig herschreven in de Rust-programmeertaal. SysJoker, een veelzijdige malware voor Windows, Linux en macOS, werd eerst geïdentificeerd door Intezer in begin 2022. Deze malware kenmerkt zich door in-memory payload laden, diverse persistentiemechanismen, 'living off the land' commando's en bleef ongedetecteerd op alle OS-varianten in VirusTotal. Check Point's onderzoek naar de nieuwe Rust-gebaseerde varianten heeft een verband gelegd tussen de voorheen niet toegeschreven backdoor en 'Operatie Electric Powder', daterend uit 2016-2017. Deze operatie omvatte een reeks cyberaanvallen gericht op Israël, vermoedelijk georkestreerd door een met Hamas verbonden dreigingsactor genaamd 'Gaza Cybergang.' De Rust-gebaseerde SysJoker werd voor het eerst gedetecteerd op VirusTotal op 12 oktober 2023, gelijktijdig met de escalatie van het conflict tussen Israël en Hamas. De malware gebruikt willekeurige slaapintervallen en complexe aangepaste encryptie om detectie en analyse te omzeilen. Bij de eerste lancering wijzigt het het register voor persistentie via PowerShell en stopt vervolgens. Bij latere uitvoeringen maakt het verbinding met de C2-server, waarvan het het adres ophaalt van een OneDrive URL. SysJoker's primaire functie is het ophalen en laden van aanvullende payloads op het gecompromitteerde systeem, gestuurd via JSON-gecodeerde commando's. Hoewel de malware nog steeds systeeminformatie verzamelt en doorstuurt naar de C2, mist het de commando-uitvoeringsmogelijkheden van eerdere versies. Dit kan in een toekomstige release terugkeren of is mogelijk verwijderd om de backdoor lichter en onopvallender te maken. Check Point ontdekte nog twee SysJoker-samples genaamd 'DMADevice' en 'AppMessagingRegistrar', elk met specifieke kenmerken, maar ze volgen allemaal vergelijkbare operationele patronen. De specifieke elementen die Check Point in staat stelden om SysJoker mogelijk te koppelen aan de Gaza Cybergang, is het gebruik van de 'StdRegProv' WMI-klasse in de PowerShell-commando's voor persistentie. Deze methode werd eerder gezien in aanvallen op de Israël Electric Company, onderdeel van de 'Operatie Electric Powder' campagne. Andere overeenkomsten omvatten het gebruik van bepaalde scriptcommando's, dataverzamelmethodes en het gebruik van API-thematische URL's. Echter, gezien het bestaande bewijs, is de toewijzing niet met zekerheid vast te stellen. [1]


Weesper (NL) voor 1,5 Miljoen Euro Opgelicht door Crypto-Bedrijf, Rechter Grijpt In

Een inwoner van Weesp, slachtoffer van oplichting, heeft van de voorzieningenrechter gelijk gekregen in een zaak tegen een crypto-bedrijf op de Seychellen. De Weesper had in totaal 1,5 miljoen euro overgemaakt naar een partij die claimde te bemiddelen bij crypto-investeringen. Deze betalingen omvatten eigen geld, fondsen van zijn vader, en geld van diens bedrijf. De betaling was bedoeld voor staking, een proces waarbij cryptovaluta in een blockchain worden vastgezet voor hoge rente. Na te hebben vastgesteld dat hij was opgelicht, wendde de Weesper zich tot de FIOD. Onderzoek wees uit dat de gestolen cryptovaluta was overgemaakt naar een wallet bij Huobi Global, een bedrijf bekend om betrokkenheid bij crypto-investeringsfraude. Huobi Global weigerde aanvankelijk de adresgegevens van de wallet-eigenaar door te geven, ondanks hun beleid om bij vermoeden van fraude informatie vrij te geven en wallets te bevriezen. De Weesper spande een kort geding aan, waarin de rechter oordeelde dat Huobi Global binnen 24 uur na het vonnis de gegevens van de wallet-eigenaar moest overhandigen. Bij nalatigheid zou een dwangsom van 500.000 euro per dag opgelegd worden, oplopend tot twee miljoen euro. Eerder had de rechter al bevolen de wallet te bevriezen om verdere transacties te voorkomen. Dit vonnis blijft van kracht. [1]


Cyberaanval op Londens 'Koninklijk' Ziekenhuis: Een Onderzoek

Het Britse cybersecuritycentrum (NCSC) onderzoekt een recente cyberaanval op het King Edward VII-ziekenhuis in Londen, een voorkeursinstelling voor de Britse koninklijke familie. Deze aanval heeft geleid tot de ongeoorloofde toegang van vertrouwelijke medische informatie door een onbekende derde partij, meldt The Telegraph. Het ziekenhuis, dat historisch gezien vaak de voorkeur geniet van leden van de koninklijke familie voor medische behandelingen, is bekend met opnames van prominente figuren. Voorbeelden hiervan zijn koningin Elizabeth en prins Philip, alsook de hertogin van York, Sarah Ferguson, en prinses Catherine. De medische gegevens van de koninklijke familie zouden echter in een apart systeem bewaard worden dat niet geraakt is door de hack. Hierdoor is er geen informatie over deze royals gelekt. Buckingham Palace heeft geen commentaar gegeven op de situatie. [1]


Onderzoek naar Cyberaanval en Datalek bij General Electric

General Electric (GE), een grote Amerikaanse multinational actief in energie, hernieuwbare energie en luchtvaart, onderzoekt beweringen over een cyberaanval op hun ontwikkelingsomgeving en de daaropvolgende lek van vermeende gestolen gegevens. Een dreigingsactor, genaamd IntelBroker, probeerde eerder deze maand toegang tot GE's ontwikkelings- en softwarepijplijnen te verkopen voor $500 op een hackersforum. Na het uitblijven van serieuze kopers, kondigde de dreigingsactor aan nu zowel de netwerktoegang als de vermeend gestolen gegevens te verkopen. Volgens de hacker omvat de data veel DARPA-gerelateerde militaire informatie, bestanden, SQL-bestanden en documenten. Ter bewijs van de inbreuk deelde de dreigingsactor screenshots van wat zij beweren gestolen GE-gegevens te zijn, waaronder een database van GE Aviation met informatie over militaire projecten.GE heeft bevestigd op de hoogte te zijn van de claims van de hacker en onderzoekt het vermeende datalek. "We zijn ons bewust van claims gemaakt door een kwaadwillende actor betreffende GE-gegevens en onderzoeken deze claims. We zullen passende maatregelen nemen om de integriteit van onze systemen te beschermen," zei een woordvoerder van GE. IntelBroker staat bekend om succesvolle, spraakmakende cyberaanvallen in het verleden. Dit omvat een inbreuk op de Weee! boodschappendienst en de diefstal van gevoelige persoonlijke informatie uit het D.C. Health Link-programma van het District of Columbia, een zorgmarkt voor Washington, D.C., gebruikt door veel medewerkers van het Witte Huis en het Huis van Afgevaardigden en hun families. In maart claimde IntelBroker een gestolen database met persoonlijke informatie van duizenden mensen te hebben verkocht, wat leidde tot uitgebreide media-aandacht en een congreszitting om te onderzoeken hoe de inbreuk plaatsvond. [1]


"ClearFake" Campagne Richt zich met Atomic Stealer Malware op macOS via Namaak Browser Updates

In juli van dit jaar begon de "ClearFake" campagne, aanvankelijk gericht op Windows-gebruikers, met namaak Chrome-update prompts die verschenen op gehackte websites via JavaScript-injecties. Een significante ontwikkeling werd in oktober 2023 ontdekt door Guardio Labs, waarbij de campagne de Binance Smart Chain contracten gebruikte om haar kwaadaardige scripts, die de infectieketen ondersteunen, in de blockchain te verbergen. Deze techniek, "EtherHiding" genoemd, stelde de operatoren in staat om payloads gericht op Windows te verspreiden, waaronder informatie stelende malware zoals RedLine, Amadey en Lumma. Op 17 november 2023 rapporteerde dreigingsanalist Ankit Anubhav dat ClearFake was begonnen met het verspreiden van DMG payloads naar macOS-gebruikers die gecompromitteerde websites bezochten. Een rapport van Malwarebytes bevestigde deze ontwikkeling, met aanvallen die een Safari-update als lokaas gebruikten, naast de standaard Chrome-overlay. De in deze aanvallen gebruikte payload is Atomic, een malware voor het stelen van informatie, die aan cybercriminelen wordt verkocht via Telegram-kanalen voor $1.000 per maand. Atomic werd ontdekt in april 2023 door Trellix en Cyble, die meldden dat het probeert wachtwoorden, cookies en creditcardgegevens op te halen die in browsers, lokale bestanden en van meer dan 50 cryptocurrency-extensies opgeslagen zijn, evenals keychain wachtwoorden. De keychain wachtwoordmanager van macOS, die WiFi-wachtwoorden, website-inloggegevens, creditcardgegevens en andere gecodeerde informatie bevat, kan bij compromittering leiden tot een aanzienlijke inbreuk voor het slachtoffer. Uit onderzoek van Malwarebytes naar de strings van de payload bleek dat er een reeks commando's waren om gevoelige gegevens zoals wachtwoorden te extraheren en om documenten, afbeeldingen, crypto wallet bestanden en sleutels te targeten. Ondanks de ontdekking van Atomic en rapportages hierover, blijft de payload ongedetecteerd door ongeveer 50% van de antivirus-engines op VirusTotal. De ClearFake-campagne, die zich nu op Macs richt, is een herinnering voor Apple-gebruikers om hun beveiliging te versterken en voorzichtig te zijn met downloads, vooral bij prompts om hun browser bij te werken tijdens het bezoeken van websites. Alle updates voor de Safari-browser zullen worden verspreid via de Software Update van macOS, of voor andere browsers, binnen de browser zelf. Daarom moeten eventuele prompts om browser-updates te downloaden op websites worden genegeerd. [1, 2, 3, 4]


Complexiteit en Omvang van de Telekopye Telegram Bot Phishingfraude

Op 24 november 2023 onthulde een analyse van ESET-beveiligingsonderzoeker Radek Jizba de werking van de Telekopye Telegram Bot, een tool die cybercriminelen gebruiken voor grootschalige phishingaanvallen. Deze bot maakt het mogelijk om phishing-websites, e-mails, sms-berichten, en meer te creëren. De groep achter deze operatie, genaamd Neanderthals, voert hun criminele activiteiten uit met een bedrijfsachtige hiërarchische structuur. De Neanderthals werven nieuwe leden via ondergrondse forums en betrekken hen via speciale Telegram-kanalen. Ze richten zich op drie hoofdtypen van oplichting: verkoper-, koper- en terugbetalingsscam. Bij de verkoperscam doen de Neanderthals zich voor als verkopers om kopers te misleiden met niet-bestaande producten. In de kopersscam misleiden ze handelaars om hun financiële gegevensvrij te geven. De terugbetalingsscam betreft het opnieuw bedriegen van slachtoffers onder het voorwendsel van een terugbetaling. Volgens Group-IB heeft de met Telekopye gelinkte activiteit sinds 2019 ongeveer $64,5 miljoen aan illegale winst opgeleverd. De Neanderthals gebruiken diverse technieken, waaronder het bewerken van online gevonden foto's, uitgebreid marktonderzoek, en het selecteren van doelwitten op basis van diverse criteria zoals leeftijd, geslacht, en ervaring op online marktplaatsen. Een andere tactiek van de Neanderthals is het creëren van nepadvertenties voor appartementen, waarbij ze de slachtoffers verleiden tot het betalen van reserveringskosten via phishing-websites. Ze gebruiken ook VPN's, proxy's, en TOR om anoniem te blijven en zich te richten op vastgoedfraude. De recente onthulling valt samen met de rapportage van een andere zwendel, een 'rug pull'-scam, waarbij bijna $1 miljoen werd gestolen door slachtoffers te verleiden in valse tokens te investeren. [1]


Noord-Koreaanse Hackers Voeren Supply-Chain Aanval Uit met Zero-Day Kwetsbaarheid

In maart 2023 waarschuwden het National Cyber Security Centre (NCSC) van het Verenigd Koninkrijk en de Koreaanse National Intelligence Service (NIS) voor een supply-chain aanval uitgevoerd door de Noord-Koreaanse hackersgroep Lazarus. Deze aanval richtte zich op Zuid-Koreaanse instellingen en maakte gebruik van een zero-day kwetsbaarheid in MagicLine4NX, een beveiligingsauthenticatiesoftware ontwikkeld door het Zuid-Koreaanse bedrijf Dream Security. De aanval begon met het compromitteren van een mediawebsite, waarbij kwaadaardige scripts in een artikel werden ingebed om een 'watering hole'-aanval uit te voeren. Specifieke doelen die het artikel bezochten, activeerden deze scripts, waardoor de kwetsbaarheid in de MagicLine4NX-software werd uitgebuit. Dit leidde tot een verbinding van de computer van het slachtoffer met de C2-server (command and control) van de aanvallers, waardoor ze toegang kregen tot een server aan de internetzijde door het uitbuiten van een kwetsbaarheid in een netwerkverbonden systeem. De Noord-Koreaanse hackers verspreidden vervolgens een code om informatie te stelen naar de server van het bedrijf, waardoor pc's binnen de organisatie werden gecompromitteerd. De gedropte code verbond met twee C2-servers, waarvan één als gateway in het midden fungeerde en de andere extern op het internet was gelegen. De functies van de kwaadaardige code omvatten verkenning, data-exfiltratie, het downloaden en uitvoeren van versleutelde payloads vanaf de C2, en laterale netwerkbeweging. Deze aanval, genaamd 'Dream Magic' en toegeschreven aan Lazarus, werd gedetailleerd beschreven in een rapport van AhnLab, dat alleen in het Koreaans beschikbaar is. Noord-Koreaanse door de staat gesteunde hackoperaties vertrouwen consequent op supply chain-aanvallen en het exploiteren van zero-day kwetsbaarheden als onderdeel van hun cyberoorlog tactieken. Eerder dit jaar waarschuwde het Cybersecurity Advisory (CSA) dat de door Noord-Koreaanse hackers gestolen fondsen gebruikt worden om de operaties van het land te financieren, gericht op onder meer de Amerikaanse en Zuid-Koreaanse overheden. [1, 2, 3pdf]


Grootschalige Cyberaanval op IT-Dienstverlener CTS Treft Talloze Britse Advocatenkantoren

Een cyberaanval op CTS, een prominente beheerde serviceprovider (MSP) voor advocatenkantoren en andere organisaties in de Britse juridische sector, veroorzaakte sinds woensdag een grote storing die talrijke advocatenkantoren en huizenkopers in het land trof. CTS verklaarde op vrijdag dat een "cyberincident" de oorzaak was van de uitval van een deel van de diensten. Het bedrijf werkt nauw samen met een wereldwijd vooraanstaand cyber forensisch bedrijf voor een spoedonderzoek naar het incident en om hulp bij het herstellen van de dienstverlening. CTS kan echter geen tijdlijn geven voor wanneer de storing opgelost zal zijn en alle getroffen systemen hersteld. Ze verstrekken klanten gedetailleerde informatie over de storing en de genomen maatregelen via een speciale communicatielijst. Hoewel CTS vertrouwen heeft in het herstel van de diensten, kunnen ze geen exacte tijdlijn voor volledig herstel geven. Ze blijven direct communiceren met getroffen klanten, met regelmatige updates over de voortgang van het herstel en het onderzoek naar het incident. De woordvoerder van het Britse Information Commissioner's Office (ICO) meldde dat CTS na de aanval nog geen inbreuk heeft gerapporteerd. CTS heeft na publicatie van het artikel wel contact opgenomen met het ICO. De aard en omvang van de klanten die door de aanval zijn getroffen, zijn nog niet onthuld door CTS, maar de informatie wijst op een ransomware-aanval. Lokale media melden dat tussen de 80 en 200 advocatenkantoren getroffen kunnen zijn, gebaseerd op schattingen van klanten van CTS. Door de storing konden mensen gedurende de week geen onroerend goed kopen of verkopen, zonder duidelijke informatie over wanneer dit opgelost zou worden. Een klant van CTS, O'Neil Patient, merkte op dat de storing verschillende organisaties in de sector treft, aangezien CTS gespecialiseerd is in beveiligde juridische systemen voor veel advocatenkantoren en advocatenkamers. Er is geen bewijs dat de integriteit van de gegevens is aangetast, en de systemen worden pas weer online gebracht als er zekerheid is over de veiligheid. CTS biedt ook cyberbeveiligingsdiensten aan, waaronder detectie van en respons op cyberaanvallen, e-mail- en netwerkbeveiliging, en training in beveiligingsbewustzijn voor werknemers. Het UK National Cyber Security Centre (NCSC) waarschuwde in januari dat het gebruik van de diensten van een MSP het aanvalsoppervlak vergroot, vooral omdat zij een aantrekkelijk doelwit zijn voor aanvallers, gezien ze de middelen van een groot aantal klanten beheren. [1, 2, 3, 4, 5, 6]


Wereldwijde waarschuwingen van Apple over iPhone-aanvallen

In een recent artikel wordt gemeld dat Apple gebruikers in bijna 150 landen heeft gewaarschuwd voor mogelijke aanvallen op hun iPhones. Deze waarschuwingen bevatten echter geen specifieke details over de aard van de aanvallen. Bijzondere aandacht wordt gevestigd op de situatie in India, waar Apple verschillende politici, waaronder oppositieleider Rahul Gandhi, heeft geïnformeerd over mogelijke aanvallen van staatsactoren. Apple startte in 2021 met het waarschuwen van gebruikers voor aanvallen die door staten worden uitgevoerd of ondersteund. Gebruikers ontvangen deze waarschuwingen wanneer ze inloggen op appleid.apple.com, hoewel het onduidelijk blijft hoe vaak deze meldingen worden verstuurd. The Economic Times rapporteert dat personen in bijna 150 landen dergelijke meldingen hebben ontvangen. Het artikel belicht ook de rol van bedrijven die spyware verkopen voor het infecteren van iPhones. Daarnaast wordt verwezen naar een rapport van antivirusbedrijf Kaspersky, dat eerder dit jaar onthulde dat iPhones gedurende meerdere jaren zijn geïnfecteerd met spyware via verschillende zerodaylekken. Deze vorm van cyberaanval wordt beschreven als een 'advanced persistent threat'. Reacties van lezers geven blijk van bezorgdheid en verbazing over de kennis van Apple over de doelwitten van deze aanvallen. Er wordt gesuggereerd dat banken mogelijk effectievere methoden hebben om hun apps te beveiligen, gezien het schijnbare gebrek aan succesvolle aanvallen op bank-apps in Nederland. Er wordt ook opgemerkt dat banken niet altijd open zijn over incidenten van digitale diefstal, wat suggereert dat de daadwerkelijke veiligheid van deze apps onduidelijk blijft. [1]


Cyberaanval Treft Zweedse Kerk

In November 2023 werd het centrale IT-systeem van de Zweedse Kerk getroffen door een ernstige cyberaanval, waardoor een groot IT-fiasco ontstond. Medewerkers van het Karlstad pastoraat werden via e-mail gewaarschuwd over deze aanval en geadviseerd om onmiddellijk hun computers uit te schakelen. Dit incident had invloed op de Zweedse Kerk in het hele land. Richard Magnusson, Head of Brand Security bij Dotkeeper, benadrukte het belang van het beschermen van digitale merken. Hij wees op de risico's van digitale fraude en merkinbreuk, die kunnen leiden tot verlies van klantvertrouwen en economische schade. Voorbeelden van merkinbreuk in de digitale wereld omvatten het creëren van websites met namen en ontwerpen die lijken op bekende bedrijven om gevoelige informatie te stelen, en het gebruik van vergelijkbare domeinnamen voor geavanceerde phishing-aanvallen of om leden van een organisatie te misleiden. Magnusson adviseerde bedrijven om hun digitale merk actief te beschermen door vergelijkbare webadressen die met kwaadwillige bedoelingen zijn geregistreerd, op te sporen en te beheren. Dit kan helpen om dergelijke bedreigingen te elimineren. Dotkeeper, een Zweeds bedrijf, biedt diensten aan die merken beschermen in de digitale wereld. Het bedrijf helpt bij het beheren van domeinnamen en DNS-beveiliging, waardoor bedrijven zich kunnen richten op waardevollere werkzaamheden. Het beschermen van domeinnamen wordt als cruciaal beschouwd, vooral voor bedrijven die internationaal uitbreiden en actief zijn op meerdere markten. Magnusson concludeerde dat naarmate bedrijven groeien en zich op meer markten begeven, ze grotere doelwitten worden voor cybercriminelen, waardoor het versterken van de beveiliging rond hun domeinnamen essentieel is. Dotkeeper, onderdeel van AWA Group, is een toonaangevende internationale partner in Corporate Domain Management. Het bedrijf is vier keer uitgeroepen tot DI Gasell, tussen 2019 en 2022. [1]


Ransomware-aanval verlamt Gemeinde Zollikofen (CH)

In de nacht van dinsdag op woensdag werd de Gemeinde Zollikofen getroffen door een cyberaanval. De ICT-systemen van de gemeente werden aangevallen, resulterend in de encryptie van administratieve data. Als reactie op de aanval werden alle ICT-systemen van de gemeente uitgeschakeld en van het internet losgekoppeld. Hierdoor waren de medewerkers van de gemeentelijke administratie voor onbepaalde tijd niet bereikbaar via e-mail of telefoon. Daniel Bichsel, de burgemeester van Zollikofen, meldde aan de nieuwsagentschap Keystone-SDA dat de data van de administratie door de aanvallers was versleuteld. Het was op dat moment nog onduidelijk of er ook data gestolen was. Om de ICT-systemen grondig te onderzoeken en zo snel mogelijk weer operationeel te krijgen, werden externe cybersecurity-specialisten ingeschakeld. De gemeente beschikt volgens een communiqué over externe backup-systemen die naar huidige kennis niet door de aanval zijn getroffen. Om de gemeentelijke administratie te contacteren, moesten burgers een loket bezoeken, waarbij slechts beperkte diensten beschikbaar waren. Voor noodgevallen was er een hotline beschikbaar tijdens reguliere openingstijden. De gemeente heeft de aanval gemeld bij de Kantonspolizei Bern en een aangifte gedaan. [1]


Cyberaanval op AGEROUTE: Senegalese Wegbeheer Agentschap Gehackt door Lockbit Groep

Het Senegalese Agentschap voor Wegbeheer, AGEROUTE, is het slachtoffer geworden van een significante cyberaanval door de cybercriminele groep Lockbit. Bij deze aanval zijn ongeveer 18 GB aan gegevens van de organisatie openbaar gemaakt. AGEROUTE is verantwoordelijk voor de implementatie van alle bouw-, rehabilitatie- en onderhoudswerkzaamheden aan wegen, bruggen en andere kunstwerken, evenals het beheer van het geclassificeerde wegennet in Senegal. De aanval door Lockbit markeert een toenemende dreiging van cybercriminaliteit in Afrika. Deze groep, waarvan sommige leden losgeld eisten van AGEROUTE, heeft hun dreigementen waargemaakt door kritieke gegevens te publiceren. Dit voorval benadrukt de realiteit van cyberaanvallen op het Afrikaanse continent, wat niet langer als een mythe kan worden beschouwd. Het onderstreept de noodzaak voor passende maatregelen om dergelijke bedreigingen het hoofd te bieden. De cyberaanval op AGEROUTE brengt niet alleen de veiligheid van belangrijke infrastructuur in gevaar, maar benadrukt ook de kwetsbaarheid van instellingen in de regio voor dergelijke geavanceerde cyberdreigingen. Het benadrukt de urgentie voor verbeterde cybersecuritymaatregelen en bewustwording, vooral in sectoren die essentieel zijn voor de nationale infrastructuur en economie. Dit incident werpt licht op de noodzaak van versterkte beveiligingsprotocollen en een proactieve aanpak om dergelijke aanvallen in de toekomst te voorkomen. [1]


Rampzalige Novembermaand in Cryptowereld: $290 Miljoen Verlies door Cyberaanvallen

In november 2023 werden cryptocurrency-markten zwaar getroffen door cyberaanvallen, met verliezen van meer dan $290 miljoen binnen slechts 20 dagen. Deze aanvallen benadrukken een verontrustende trend in de crypto-ruimte, waarbij projecten uit diverse sectoren slachtoffer zijn geworden. Kronos Research werd op 19 november getroffen, waarbij hackers $25,65 miljoen aan crypto-activa stalen door API-sleutels te compromitteren. KyberSwap, een gedecentraliseerde beurs, verloor ongeveer $46 miljoen op 23 november door een exploit, wat leidde tot een oproep aan gebruikers om hun geld terug te trekken. De grootste klap kwam op 10 november, toen Poloniex een verlies van $118 miljoen leed door een mogelijke 'private key compromis', waarbij Justin Sun beloofde de getroffen gebruikers te compenseren. HECO Bridge en HTX Exchange werden beide op 22 november getroffen. HECO Bridge leed een verlies van $86,6 miljoen door verdachte transacties, terwijl HTX Exchange $13,6 miljoen verloor door een aanval op drie gecompromitteerde hot wallets. Deze incidenten hebben ernstige zorgen opgeroepen over de beveiligingsinfrastructuur van cryptocurrency-platforms. Met een cumulatief verlies van $173 miljoen gemeld midden november, wordt de noodzaak van verbeterde beveiligingsmaatregelen en verhoogde waakzaamheid tegen cybercriminaliteit benadrukt. [1]


Cyberaanval op ICBC veroorzaakt aarzeling in de markt

De Industrial and Commercial Bank of China (ICBC) is er na een ransomware-aanval niet in geslaagd om marktdeelnemers te overtuigen van de veiligheid van het heraansluiten van hun computernetwerken op de Amerikaanse tak van de bank. Deze aanval heeft het handelen in de Treasury-markt ter waarde van 26 miljard dollar belemmerd en heeft tot gevolg gehad dat gebruikers van de Amerikaanse tak van de bank terughoudend zijn geworden in hun handel met ICBC. ICBC reageerde niet direct op een verzoek om commentaar van Reuters. Het Amerikaanse filiaal van ICBC werd eerder deze maand getroffen door een ransomware-aanval, die werd opgeëist door de cybercriminele bende Lockbit. De inbraak was zo ingrijpend dat zelfs de bedrijfse-mail niet meer functioneerde, waardoor werknemers gedwongen werden over te schakelen op Google Mail. Als gevolg van de stroomstoring bleef het makelaarsbedrijf BNY Mellon tijdelijk 9 miljard dollar schuldig aan ICBC, een bedrag dat vele malen groter is dan het nettokapitaal van het bedrijf. [1]


Cyberaanval in Kreis Neu-Ulm: Datacentrum Gehackt, Elf Gemeenten Gechanteerd

Op 23 november 2023 is de 'Zweckverband gemeindliche Datenverarbeitung' in Kreis Neu-Ulm, een Duitse regio, het doelwit geworden van een ernstige cyberaanval. Deze aanval heeft geleid tot aanzienlijke beperkingen in de gemeentelijke dienstverlening van de betrokken regio. De 'Zweckverband gemeindliche Datenverarbeitung' fungeert als datacentrum voor elf aangesloten gemeenten, waarvan de diensten nu ernstig verstoord zijn. Het nieuws werd gedeeld door Mathias Stölzle, de voorzitter van de 'Zweckverband gemeindliche Datenverarbeitung', die meldde dat het datacentrum door de cyberaanval voor onbepaalde tijd buiten werking is gesteld. Deze situatie heeft geleid tot een aanzienlijke verstoring van verschillende essentiële gemeentelijke functies en diensten. De aard van de aanval en de specifieke gevolgen ervan zijn nog onduidelijk, met name of er persoonlijke gegevens zijn gecompromitteerd of gestolen. Het is een zorgwekkende ontwikkeling, vooral gezien de afhankelijkheid van gemeenten van digitale systemen voor de uitvoering van hun diensten. Deze gebeurtenis benadrukt de kwetsbaarheid van lokale overheden voor cyberaanvallen en de noodzaak van robuuste beveiligingsmaatregelen om gevoelige gegevens en kritieke infrastructuur te beschermen. Het incident in Kreis Neu-Ulm dient als een waarschuwing voor andere gemeenten en organisaties over de potentiële risico's en de impact van cybercriminaliteit. De autoriteiten zijn momenteel bezig met het onderzoeken van de aanval en werken aan het herstellen van de getroffen diensten, terwijl ze ook maatregelen nemen om dergelijke incidenten in de toekomst te voorkomen. De situatie in Kreis Neu-Ulm is een voorbeeld van de groeiende dreiging van cyberaanvallen in de moderne digitale wereld. [1]


Cyberaanval en Datalek bij Kansas Rechterlijke Macht

De Rechterlijke Macht van Kansas in de Verenigde Staten heeft bevestigd dat er in oktober 2023 een ernstige cyberaanval heeft plaatsgevonden, waarbij gevoelige bestanden met vertrouwelijke informatie zijn gestolen. Deze aanval heeft een aanzienlijke impact gehad op meerdere systemen, waaronder het eFiling-systeem voor advocaten, elektronische betalingssystemen, en de zaakbeheersystemen van district- en beroepsrechtbanken. Meer dan een maand na de aanval blijven verschillende diensten offline, zoals het eFiling-systeem van de Kansas Courts, het Kansas Protection Order Portal, het Kansas District Court Public Access systeem, het Appellate Case Inquiry System, het Kansas eCourt Case Management systeem, het Kansas Attorney Registration, de online huwelijkslicentie-aanvraag van Kansas, en het Central Payment Center. De Rechterlijke Macht meldt in een persbericht dat, hoewel de impact op de informatiesystemen tijdelijk is, de cybercriminelen ook data hebben gestolen en dreigen deze op het darkweb te publiceren als niet aan hun eisen wordt voldaan. De gestolen informatie omvat bestanden van het Office of Judicial Administration, dossiers van districtrechtbanken in beroep, en andere gegevens, waarvan sommige mogelijk vertrouwelijk zijn. Deze situatie vertoont de kenmerken van een typische ransomware-aanval, waarbij een systeemuitval wordt veroorzaakt door lokale bestandsencryptie en een dubbele afpersing door het dreigen met het publiceren van gestolen bestanden als het losgeld niet wordt betaald. Er is echter niet gespecificeerd welk type aanval het precies betreft. De Kansas autoriteiten schatten dat het enkele weken zal duren voordat alle systemen weer normaal functioneren. Zij beloven de getroffen individuen op de hoogte te stellen zodra de beoordeling van de gestolen gegevens is voltooid. In de verklaring wordt de aanval omschreven als een aanval "tegen heel Kansas", en de daders als kwaadaardig. Op het moment van schrijven heeft geen enkele bekende ransomware-groep de verantwoordelijkheid voor de aanval opgeëist. [1, 2]


Microsoft Meldt Supplychain-aanval via CyberLink-software

Microsoft heeft gewaarschuwd voor een supplychain-aanval waarbij officiële software van CyberLink, bekend van PowerDVD en multimedia-software, geïnfecteerd is met malware. Deze aanval heeft wereldwijd systemen besmet. De aanvallers voorzagen de officiële installer van een CyberLink-applicatie, vermoedelijk Promeo – een tool voor videobewerking en grafische vormgeving, van malware. Deze malware downloadt aanvullende schadelijke software, die met een geldig certificaat van CyberLink is gesigneerd en gehost wordt op de legitieme update-infrastructuur van het bedrijf. Microsoft ontdekte meer dan honderd geïnfecteerde systemen in landen zoals Japan, Taiwan, Canada en de Verenigde Staten. Het bedrijf identificeert de Lazarus Groep, opererend vanuit Noord-Korea, als verantwoordelijke voor deze aanval. Deze groep staat bekend om activiteiten zoals spionage, diefstal van persoonlijke en zakelijke informatie, bankinbraken en zogenaamde wiper-aanvallen. Het exacte doel van deze specifieke aanval via CyberLink-software blijft onduidelijk. Deze ontwikkeling benadrukt de voortdurende dreiging van supplychain-aanvallen en de noodzaak voor bedrijven om hun software en systemen te beveiligen. Het toont ook de groeiende complexiteit en het bereik van cyberaanvallen, waarbij zelfs legitieme software-installatieprocessen doelwit kunnen zijn. Met de betrokkenheid van een internationaal opererende groep zoals de Lazarus Groep, wordt de behoefte aan grensoverschrijdende samenwerking in cybersecurity eens te meer onderstreept. [1]


Grootschalig Datalek bij Welltok: 8,5 Miljoen Patiëntgegevens Blootgesteld

Het digitale zorgplatform Welltok heeft een ernstig datalek gemeld waarbij privégegevens van 8,5 miljoen patiënten zijn gelekt. Welltok biedt een platform dat zorginstanties en patiënten helpt om te communiceren over zorggerelateerde zaken. Dit lek is het resultaat van een wereldwijde aanval op MOVEit Transfer, een bestandsoverdrachtsapplicatie van Progress Software, die door vele organisaties wordt gebruikt voor het delen van vertrouwelijke informatie. Eind mei werd een zerodaylek in MOVEit Transfer uitgebuit door criminelen achter de Clop-ransomware. Ze verkregen toegang tot de MOVEit-servers van duizenden organisaties, waaronder Welltok, en maakten daarbij grote hoeveelheden gegevens buit. De Clop-groep dreigt met het publiceren van de gestolen data als er geen losgeld wordt betaald. Tot nu toe zijn 23 klanten van Progress Software getroffen door deze aanval, en er zijn massaclaims ingediend door slachtoffers van het zerodaylek. Welltok werd op 26 juli ingelicht over de aanval op hun MOVEit-server. Bij nader onderzoek bleek dat gegevens van 8,5 miljoen patiënten gestolen waren, waaronder namen, geboortedata, social-securitynummers, medische diagnoses, medicatie-informatie, behandelkosten, en zorgverzekeringsdetails, evenals contactgegevens zoals adressen, telefoonnummers en e-mailadressen. Opvallend is dat Welltok in hun melding over het datalek de code "noindex" heeft opgenomen, waarmee het zoekmachines aangeeft om de pagina niet te indexeren. Dit maakt het voor gedupeerden lastiger om de betreffende pagina te vinden. Volgens securitybedrijf Emsisoft zijn in totaal 2629 organisaties getroffen door de MOVEit-aanval, met een totaal van 82,3 miljoen gestolen persoonsgegevens. Welltok's datalek staat hierbij op de tweede plaats, na een lek bij de Amerikaanse dienstverlener Maximus, waarbij gegevens van 11,3 miljoen mensen werden buitgemaakt. [1, 2, 3, 4, 5]


Nieuwe DDoS-Botnet Bedreiging: Routers en Videorecorders Kwetsbaar door Zerodaylekken

Een recent ontdekt botnet gebruikt zerodaylekken om routers en digitale videorecorders te infecteren, met als doel het uitvoeren van Distributed Denial of Service (DDoS) aanvallen. Deze ontdekking, gedaan door internetbedrijf Akamai en gepubliceerd op Security.NL op 22 november 2023, onthult een significante kwetsbaarheid in deze apparaten. Het botnet richt zich op apparaten met standaard admin-inloggegevens. Het lijkt specifiek één model router van een niet nader genoemde fabrikant te targeten, hoewel een variant van dit model ook kwetsbaar lijkt. De gebruikte exploit maakt misbruik van een feature die in veel producten voorkomt, wat suggereert dat de code mogelijk ook voor andere apparaten gebruikt kan worden. Wat de digitale videorecorders betreft, betreft het een fabrikant die ongeveer honderd verschillende camera's produceert. Het is echter onduidelijk hoeveel modellen precies kwetsbaar zijn, aangezien systeeminformatie van besmette apparaten niet via het internet te achterhalen is. Akamai heeft de namen van de getroffen fabrikanten en modellen niet vrijgegeven, waarschijnlijk vanwege het ontbreken van beveiligingsupdates, die pas volgende maand worden verwacht. Om het risico op infectie te minimaliseren, heeft Akamai Snort- en YARA-regels vrijgegeven. Deze regels kunnen door beheerders worden gebruikt om mogelijke infecties in hun netwerken op te sporen. Het artikel benadrukt het belang van deze preventieve maatregelen, gezien de ernst van de kwetsbaarheid en het gebrek aan directe oplossingen. De reacties op het artikel onderstrepen de frustratie over het gebrek aan specifieke informatie en suggereren dat fabrikanten apparaten zouden moeten verschepen met willekeurige, voorgeïnstalleerde wachtwoorden om de veiligheid te verbeteren. Dit zou het risico op misbruik van dergelijke kwetsbaarheden verminderen. [1]


Waarschuwing voor Bankmalware gericht op Androidgebruikers in India via Social Engineering

Microsoft heeft recent gewaarschuwd voor een toename van bankmalware-aanvallen gericht op Androidgebruikers in India. Deze aanvallen, uitgevoerd via social engineering, trachten gebruikers te misleiden tot het installeren van schadelijke software. De cybercriminelen versturen berichten via WhatsApp en sms, die ogenschijnlijk afkomstig zijn van de bank van het slachtoffer. In deze berichten wordt de gebruiker aangemoedigd een zogenaamde bank-app te installeren om blokkering van hun rekening te voorkomen. Het aangeboden APK-bestand, vermomd als een Know Your Customer (KYC) app van de bank, is in werkelijkheid malware. Eenmaal geïnstalleerd, vraagt de malafide app om sms-permissies en verzamelt vervolgens gevoelige informatie van de gebruiker, waaronder sms-berichten. Dit stelt de aanvallers in staat om berichten te onderscheppen en versturen, waaronder de codes die banken gebruiken voor transactieverificatie. Microsoft benadrukt het belang van bewustwording rond deze aanvallen en adviseert Androidgebruikers om voorzichtig te zijn met onbekende links en apps. Ze raden aan om nooit apps te installeren die afkomstig zijn van onbetrouwbare bronnen, zoals advertenties, sms-berichten, of e-mails. Verder wordt aangeraden om de optie voor het installeren van apps uit onbekende bronnen uitgeschakeld te laten, om zo het risico van dergelijke aanvallen te minimaliseren. Dit advies benadrukt de noodzaak van waakzaamheid en voorzichtigheid in het digitale tijdperk, waarbij gebruikers zich moeten beschermen tegen verfijnde cyberaanvallen die hun financiële veiligheid bedreigen. [1]


Alarmerend Misbruik van 'Looney Tunables' Kwetsbaarheid in Linux

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft recent melding gemaakt van actief misbruik van een ernstige kwetsbaarheid in Linux-systemen. Deze kwetsbaarheid, bekend als 'Looney Tunables' of CVE-2023-4911, bevindt zich in de GNU C Library, een cruciaal onderdeel van vele Linux-distributies. Deze kwetsbaarheid stelt aanvallers die reeds toegang hebben tot een Linux-systeem in staat om rootrechten te verkrijgen, waardoor ze volledige controle over het systeem kunnen uitoefenen. Het securitybedrijf Aqua Nautilus heeft ontdekt dat deze kwetsbaarheid actief wordt uitgebuit voor het installeren van Kinsing-malware, met name gericht op cloudomgevingen. Eenmaal toegang verkregen, verhogen de aanvallers hun rechten via deze kwetsbaarheid en installeren ze een webshell voor het behouden van toegang en het uitvoeren van verdere aanvallen. Het primaire doel van deze aanvallen lijkt het stelen van inloggegevens van cloudserviceproviders te zijn. In reactie op deze dreiging heeft CISA federale overheidsinstanties opgedragen de kwetsbaarheid te patchen voor 12 december. Er zijn al updates beschikbaar gesteld om deze kwetsbaarheid te verhelpen. Echter, kort na het uitkomen van deze updates, verschenen de eerste proof-of-concept exploits online, wat aangeeft dat de dreiging nog steeds actueel en ernstig is. Dit incident benadrukt het belang van snelle en effectieve reacties op beveiligingslekken in kritieke infrastructuur en systemen. Het toont ook de noodzaak aan voor continue monitoring en beveiligingsupdates om tegen dergelijke kwetsbaarheden beschermd te blijven. [1, 2]


Privacy Washing: Google's Misleidende Praktijken Volgens Proton

Volgens Proton, bekend van ProtonVPN en ProtonMail, past Google toenemend 'privacy washing' toe om gebruikers te misleiden over de privacybescherming van hun producten. Een recent voorbeeld is Googles IP Protection, dat bedoeld is om de privacy van gebruikers te waarborgen door te voorkomen dat hun IP-adres voor trackingdoeleinden wordt gebruikt. Dit zou gebeuren via een 'privacy proxy' die het werkelijke IP-adres van de gebruiker verbergt. Echter, Proton betoogt dat deze feature juist het bespioneren van Chrome-gebruikers door Google vergemakkelijkt. Ben Wolford van Proton uit bezorgdheid over de wijze waarop Google deze functie als privacybevorderend adverteert, terwijl het in werkelijkheid Google's vermogen om gebruikersgegevens te verzamelen versterkt. Volgens Wolford gebruikt Google bij de eerste implementaties van IP Protection zijn eigen proxy-servers om een tijdelijk IP-adres voor Google-eigen websites te genereren. Gebruikers moeten de IP Protection-functie zelf activeren, maar worden misleid door te geloven dat deze dienst privé is, terwijl het feitelijk Googles surveillanceapparatuur op hun apparatuur versterkt. Reacties van gebruikers ondersteunen Protons standpunt. Een anonieme gebruiker merkt op dat Google Protons unique selling point, namelijk privacy, probeert te 'stelen' door middel van bedrog. Een andere gebruiker, 'majortom', vergelijkt het met Googles "privacy sandbox" en suggereert dat het doel is om andere partijen uit te sluiten en Google een monopolie te geven op gebruikersprofilering. Deze gebruiker adviseert het stoppen met het gebruik van Google-producten en benadrukt dat er voldoende alternatieven beschikbaar zijn. [1, 2]


❗️Belgische Groothandel Verhelst Getroffen door Cyberaanval

Op 21 november 2023 werd bekend dat Verhelst, een Belgische groothandel in duurzame goederen, het slachtoffer is geworden van een cyberaanval. De aanval werd uitgevoerd door de cybercriminele groep Cactus, die hun daad op het darkweb bekendmaakte. Het bedrijf, met de website www.verhelst.be, staat bekend om zijn handel in duurzame goederen. Dit incident benadrukt de voortdurende dreiging van cybercriminaliteit binnen de handelssector. De details van de aanval en de impact op Verhelst worden nog onderzocht.


Grootschalige Crypto Oplichting via Vervalste Skype App

Een groep hackers uit China heeft recentelijk een aanzienlijk bedrag gestolen van nietsvermoedende slachtoffers door middel van een phishing-aanval via een neppe Skype-app. Beveiligingsonderzoekers van het bedrijf SlowMist ontdekten deze aanval, waarbij de hackers zich voordeden als legitieme Skype-gebruikers om vertrouwen te winnen. Deze vervalste Skype-applicatie, verspreid via sociale media zoals WhatsApp, Telegram en Skype zelf, bevatte malware. Gebruikers werden misleid om inloggegevens en persoonlijke informatie te verstrekken, waarna de hackers toegang verkregen tot de cryptowallets van de slachtoffers en hun cryptovaluta stalen. Opvallend genoeg leek deze neppe Skype-app qua uiterlijk sterk op de echte versie, wat het moeilijk maakte voor gebruikers om het bedrog te herkennen. Dit benadrukt het belang van voorzichtigheid en bewustzijn in de omgang met cryptovaluta. SlowMist heeft de wallet-adressen van de betrokken hackers op een zwarte lijst geplaatst. SlowMist merkt op dat deze fraudezaak deel uitmaakt van een grotere trend waarbij cybercriminelen zich steeds vaker richten op de crypto-industrie. Ze ontwikkelen voortdurend nieuwe methoden om gebruikers te misleiden en toegang te krijgen tot hun digitale activa. Dit onderstreept het toenemende belang van veiligheidsbewustzijn in de cryptowereld, met een dringende oproep aan gebruikers om waakzaam te blijven tegenover de bedreigingen van cybercriminelen die erop gericht zijn crypto en andere digitale eigendommen te stelen. [1]


Cyberaanval op Website van het Ministerie van Luchtvaart in Pakistan

De website van het Pakistaanse Ministerie van Luchtvaart werd op dinsdag getroffen door een cyberaanval. Hackers plaatsten verschillende berichten in een vreemde taal op de website. Als gevolg hiervan werd de website tijdelijk offline gehaald. IT-experts zijn ingeschakeld om de website te herstellen, wat later ook is gelukt. De woordvoerder van het ministerie bevestigde deze gebeurtenissen en meldde dat de IT-experts begonnen waren met het herstelproces. Dit incident is niet het eerste van zijn soort in Pakistan. Eerder, in juli, werd de website van de Verkiezingscommissie van Pakistan (ECP) ook het doelwit van een cyberaanval. Na deze aanval werden veiligheidsalarmen afgegeven, en ambtenaren verbonden aan de verkiezingscommissie werden geïnstrueerd om onbekende e-mails te negeren. In maart werd de officiële website van het Hooggerechtshof van Pakistan eveneens gehackt. Hackers plaatsten een bericht met de tekst "Onze lenteverkoop is gestart". IT-specialisten wisten de website van het Hooggerechtshof snel te herstellen. [1]


Hacktivisten Infiltreren Amerikaans Nucleair Onderzoekslab en Stelen Werknemersgegevens

Het Idaho National Laboratory (INL), een nucleair onderzoekscentrum van het Amerikaanse Ministerie van Energie, heeft bevestigd dat ze het slachtoffer zijn geworden van een cyberaanval. De hacktivistische groep 'SiegedSec' heeft persoonsgegevens van werknemers gelekt. INL, gelegen op een terrein van 890 vierkante mijl, huisvest 50 experimentele kernreactoren en is betrokken bij onderzoek naar nieuwe generaties nucleaire installaties, cybersecurity van besturingssystemen, geavanceerde voertuigtesten, bio-energie, robotica, en de verwerking van nucleair afval. SiegedSec verklaarde op maandag toegang te hebben verkregen tot gegevens van INL, waaronder informatie over "honderdduizenden" werknemers, systeemgebruikers en burgers. In eerdere aanvallen op organisaties zoals NATO en Atlassian lekte de groep ook gestolen data op hackerforums en hun Telegramkanaal, zonder onderhandelingen of losgeldeisen. De gelekte gegevens omvatten volledige namen, geboortedata, e-mailadressen, telefoonnummers, burgerservicenummers, fysieke adressen en werkgerelateerde informatie. INL heeft tot nu toe geen officiële verklaringen over het incident gepubliceerd. Een woordvoerder bevestigde de inbreuk echter aan lokale media en meldde dat het momenteel wordt onderzocht met betrokkenheid van federale wetshandhavingsinstanties, waaronder de FBI en het Cybersecurity and Infrastructure Security Agency van het Department of Homeland Security. Hoewel SiegedSec geen toegang heeft verkregen tot of gegevens heeft onthuld over nucleair onderzoek, zal dit incident waarschijnlijk leiden tot verhoogde aandacht van wetshandhavingsinstanties voor de hacktivistengroep, aangezien INL als essentieel wordt beschouwd voor de kritieke infrastructuur van de VS. [1]


Opkomst van DarkGate en PikaBot Malware als Opvolgers van Qakbot

Na het ontmantelen van de Qakbot-operatie is er een geavanceerde phishingcampagne opgedoken die de DarkGate malware verspreidde en recentelijk ook PikaBot malware begon te gebruiken. Deze campagne wordt beschouwd als de meest geavanceerde sinds de Qakbot-operatie. De kwaadaardige e-mailcampagne begon in september 2023, na de acties van de FBI tegen QBot's infrastructuur. Onderzoekers van Cofense melden dat de DarkGate en PikaBot campagnes vergelijkbare tactieken en technieken gebruiken als eerdere Qakbot campagnes. Ze vormen een aanzienlijk risico voor bedrijven, aangezien zowel DarkGate als PikaBot modulaire malwareladers zijn met functies vergelijkbaar met Qbot. Deze malware wordt vermoedelijk gebruikt door dreigingsactoren voor ransomware, spionage en datadiefstal. De campagne zag een toename van kwaadaardige e-mails die DarkGate malware verspreidden, met een overgang naar PikaBot als de primaire payload in oktober 2023. De phishingaanval begint vaak met een e-mail die voortbouwt op een gestolen discussiedraad, waardoor ontvangers de e-mail eerder vertrouwen. De aanval maakt gebruik van diverse soorten malware droppers, zoals JavaScript droppers, Excel-DNA loaders, VBS downloaders en LNK downloaders. DarkGate, voor het eerst gedocumenteerd in 2017, werd pas recentelijk breed beschikbaar in de cybercrime-gemeenschap. PikaBot, een nieuwere malware die begin 2023 verscheen, omvat uitgebreide anti-debugging en anti-emulatie mechanismen. Deze malware verzamelt gegevens van geïnfecteerde systemen en wacht op verdere instructies van zijn command-and-control infrastructuur. Organisaties worden geadviseerd zich vertrouwd te maken met de tactieken, technieken en procedures van deze campagne vanwege de geavanceerde dreigingsactoren. [1, 2]


Citrix waarschuwt beheerders om NetScaler-gebruikerssessies te beëindigen ter bescherming tegen hackers

Citrix heeft beheerders eraan herinnerd dat na het patchen van NetScaler-apparaten tegen de CVE-2023-4966 'Citrix Bleed' kwetsbaarheid, aanvullende maatregelen nodig zijn om de apparaten te beveiligen tegen aanvallen. Naast het toepassen van de benodigde beveiligingsupdates, wordt geadviseerd alle voorgaande gebruikerssessies te wissen en alle actieve sessies te beëindigen. Dit is een cruciale stap omdat aanvallers die de Citrix Bleed-exploitatie uitvoeren, authenticatietokens hebben gestolen, waardoor ze toegang kunnen krijgen tot gecompromitteerde apparaten, zelfs na patching. Citrix heeft de fout begin oktober hersteld, maar Mandiant onthulde dat deze sinds eind augustus 2023 actief werd uitgebuit als een zero-day. Mandiant waarschuwde ook dat gecompromitteerde NetScaler-sessies na patching blijven bestaan, waardoor aanvallers zijdelings door het netwerk kunnen bewegen of andere accounts kunnen compromitteren, afhankelijk van de permissies van de gecompromitteerde accounts. Citrix adviseerde: "Als u een van de getroffen builds gebruikt die in het beveiligingsbulletin staan vermeld, moet u onmiddellijk upgraden door de bijgewerkte versies te installeren. Na de upgrade raden we u aan alle actieve of aanhoudende sessies te verwijderen." Dit is de tweede keer dat het bedrijf klanten heeft gewaarschuwd om alle actieve en aanhoudende sessies te beëindigen met de volgende commando's:
- kill icaconnection -all
- kill rdp connection -all
- kill pcoipConnection -all
- kill aaa session -all
- clear lb persistentSessions

CISA en de FBI waarschuwden vandaag dat de LockBit ransomware-bende de Citrix Bleed-beveiligingsfout uitbuit, volgens een gezamenlijk advies met het Multi-State Information Sharing & Analysis Center (MS-ISAC) en het Australian Cyber Security Center (ACSC). De agentschappen deelden ook indicatoren van compromittering en detectiemethoden om verdedigers te helpen de aanvallen van de ransomwaregroep te dwarsbomen. Boeing deelde informatie over hoe LockBit zijn netwerk in oktober binnendrong met behulp van een Citrix Bleed-exploit, wat leidde tot het lekken van 43 GB aan gegevens van Boeing's systemen op het dark web nadat het bedrijf weigerde te voldoen aan de eisen van de ransomwarebende. [1, 2]


FBI onthult Ransomware-aanval op Boeing via Kritieke Kwetsbaarheid in NetScaler

Een recente ransomware-aanval op Boeing werd uitgevoerd via een kritieke kwetsbaarheid in het NetScaler-systeem, bekend als CVE 2023-4966 of 'Citrix Bleed'. Dit lek werd onlangs door de FBI aan het licht gebracht in een cybersecurity advisory. NetScaler ADC, het betrokken systeem, wordt gebruikt door organisaties om inkomend verkeer over servers te verdelen en om op afstand toegang te bieden tot bedrijfsapplicaties en -omgevingen, waardoor het een cruciale rol speelt in thuiswerkoplossingen. De kwetsbaarheid, waarvoor NetScaler op 10 oktober een update uitbracht, stelde ongeauthenticeerde aanvallers in staat om toegang te krijgen tot het systeemgeheugen en sessietokens van gebruikers te stelen. Deze tokens gaven aanvallers vervolgens toegang tot het systeem zonder inloggegevens of multifactorauthenticatie. Hoewel het lek al voor de update door aanvallers werd misbruikt, werd dit pas na de update duidelijk. Sindsdien hebben grootschalige aanvallen plaatsgevonden, waarbij onder andere de criminelen achter de LockBit-ransomware zich op kwetsbare systemen richtten, inloggegevens verzamelden, lateraal door netwerken bewogen en data benaderden. De FBI en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) verwachten grootschalig misbruik van dit lek bij kwetsbare systemen en roepen organisaties op om hun Citrix-systemen te patchen. De advisory bevat ook richtlijnen voor het vaststellen of NetScaler-systemen mogelijk al gecompromitteerd zijn en welke stappen er vervolgens genomen moeten worden. [pdf]


Verspreiding van Gamaredon's LittleDrifter USB-malware Gaat Wereldwijd

LittleDrifter, een recent ontdekte worm door onderzoekers, verspreidt zich via USB-stations en infecteert systemen in meerdere landen. Dit maakt deel uit van een campagne van de door de staat gesponsorde spionagegroep Gamaredon. Onderzoekers hebben aanwijzingen van compromissen waargenomen in de Verenigde Staten, Oekraïne, Duitsland, Vietnam, Polen, Chili en Hongkong. Dit suggereert dat de dreigingsgroep de controle over LittleDrifter heeft verloren, waardoor het onbedoelde doelwitten bereikte. LittleDrifter, geschreven in VBS, is ontworpen om zich via USB-stations te verspreiden als een evolutie van Gamaredon's USB PowerShell-worm. Gamaredon, ook bekend als Shuckworm, Iron Tilden en Primitive Bear, is een met Rusland geassocieerde cyber spionagegroep die al minstens een decennium organisaties in Oekraïne in verschillende sectoren, waaronder overheid, defensie en kritieke infrastructuur, tot doelwit heeft. Het doel van LittleDrifter is om communicatie te vestigen met de command-and-control (C2) server van de dreigingsgroep en zich te verspreiden over USB-stations. De malware gebruikt twee aparte modules die worden uitgevoerd door het zwaar geobfusceerde VBS-component trash.dll. LittleDrifter en al zijn componenten nestelen zich in de "Favorieten"-map van de gebruiker en vestigen persistentie door geplande taken en registersleutels toe te voegen. De module verantwoordelijk voor de verspreiding naar andere systemen monitort nieuw ingevoerde USB-stations en creëert misleidende LNK-snelkoppelingen, samen met een verborgen kopie van de "trash.dll". De malware gebruikt het Windows Management Instrumentation (WMI) managementraamwerk om doelschijven te identificeren en snelkoppelingen met willekeurige namen te creëren voor het uitvoeren van kwaadaardige scripts. Gamaredon gebruikt domeinen als plaatsvervanger voor de IP-adressen waar de C2-servers zich bevinden. Voordat de malware contact probeert te maken met de C2-server, zoekt het in de tijdelijke map naar een configuratiebestand. Als dit bestand niet bestaat, pingt LittleDrifter een van Gamaredon's domeinen met behulp van een WMI-query. Het antwoord op de query bevat het IP-adres van het domein, dat wordt opgeslagen in een nieuw configuratiebestand. Alle domeinen die door de malware worden gebruikt, zijn geregistreerd onder 'REGRU-RU' en gebruiken de '.ru' top-level domein, wat overeenkomt met eerdere rapporten over Gamaredon-activiteiten. De gemiddelde levensduur van elk IP-adres dat als C2 in LittleDrifter-operaties fungeert, is ongeveer 28 uur, maar de adressen kunnen meerdere keren per dag veranderen om detectie en blokkering te ontwijken. LittleDrifter kan ook, als back-upoptie, het C2 IP-adres ophalen uit een Telegram-kanaal. Het is waarschijnlijk onderdeel van de eerste fase van een aanval, gericht op het vestigen van persistentie op het gecompromitteerde systeem en wachtend op nieuwe payloads van de C2 om de aanval verder te voeren. De malware wordt gekenmerkt door eenvoud en vertrouwt niet op nieuwe technieken, maar lijkt effectief te zijn. [1]


VX-Underground valselijk beschuldigd door nieuwe Phobos ransomwarevariant

In november 2023 ontdekte een ransomware-jager een nieuwe variant van de Phobos ransomware die de populaire VX-Underground malware-delinggroep onterecht beschuldigt van aanvallen met deze encryptor. Phobos, gelanceerd in 2018 en vermoedelijk afgeleid van de Crysis ransomware-familie, functioneert als ransomware-as-a-service. Het wordt beheerd door een groep dreigingsactoren die de ransomware ontwikkelen en de hoofdontsleutelingssleutel bezitten, terwijl andere acteurs netwerken infiltreren en apparaten versleutelen. Hoewel Phobos nooit uitgroeide tot een 'elite'-operatie met massale aanvallen en miljoeneneisen, is het toch een grote operatie met een wijdverspreide distributie. De nieuwe variant van Phobos versleutelt bestanden en voegt een specifieke string toe die verwijst naar VX-Underground, samen met een legitiem e-mailadres van deze groep. De ransomware creëert twee losgeldnota's: een tekstbestand getiteld 'Buy Black Mass Volume II.txt', dat grapjes maakt over VX-Underground, en een HTA-bestand met de naam en logo van VX-Underground, waarschijnlijk refererend aan door VX-Underground geschreven en op Amazon verkochte boeken. Dit soort plagerijen onder dreigingsactoren is niet nieuw in de cybersecuritygemeenschap. Eerdere voorbeelden omvatten GandCrab, dat commando- en controle-servers vernoemde naar anti-ransomwareorganisaties, en de Maze ransomware, die een wiper/MBR Locker creëerde genoemd naar de overleden beveiligingsonderzoeker Vitali Kremez. Deze interacties tussen malware-ontwikkelaars en onderzoekers tonen aan dat betrokkenheid bij malware soms kan leiden tot onverwachte en soms onaangename vermeldingen in dergelijke projecten. [1]


Canadese Regering Openbaart Datalek na Hack van Aannemers

De Canadese overheid heeft bekendgemaakt dat twee van haar aannemers zijn gehackt, waardoor gevoelige informatie van een onbekend aantal overheidsmedewerkers is blootgesteld. Deze inbreuken, die vorige maand plaatsvonden, troffen Brookfield Global Relocation Services (BGRS) en SIRVA Worldwide Relocation & Moving Services, beide leveranciers van verhuisdiensten aan Canadese overheidsmedewerkers. Gegevens die op de gecompromitteerde systemen van BGRS en SIRVA Canada zijn opgeslagen, gaan terug tot 1999. De betrokken individuen omvatten leden van de Royal Canadian Mounted Police (RCMP), personeel van de Canadese Strijdkrachten en medewerkers van de Canadese overheid. Hoewel de Canadese regering nog geen schuldige heeft aangewezen, heeft de LockBit ransomware-bende al de verantwoordelijkheid opgeëist voor het hacken van SIRVA's systemen en beweert 1,5 TB aan gestolen documenten te hebben gelekt. LockBit heeft ook de inhoud van mislukte onderhandelingen met vermeende vertegenwoordigers van SIRVA gepubliceerd. De regering werd op 19 oktober op de hoogte gebracht van de beveiligingsinbreuken bij de aannemers en rapporteerde de inbreuk onmiddellijk aan relevante autoriteiten, waaronder het Canadese Centrum voor Cybersecurity en de Privacycommissaris. Terwijl de analyse van de grote hoeveelheid gecompromitteerde gegevens doorgaat, blijven specifieke details over de getroffen individuen, inclusief het aantal betrokken werknemers, onbepaald. Echter, voorlopige beoordelingen suggereren dat degenen die sinds 1999 gebruik hebben gemaakt van verhuisdiensten, mogelijk hun persoonlijke en financiële informatie hebben blootgelegd. De Canadese overheid neemt een proactieve, voorzorgsbenadering om de mogelijk getroffen personen te ondersteunen. Diensten zoals kredietbewaking of het opnieuw uitgeven van mogelijk gecompromitteerde geldige paspoorten zullen worden verstrekt aan huidige en voormalige leden van de openbare dienst, RCMP en de Canadese Strijdkrachten die met BGRS of SIRVA Canada zijn verhuisdin de afgelopen 24 jaar. Personen die mogelijk door dit datalek zijn getroffen, wordt aangeraden voorzorgsmaatregelen te nemen, waaronder het bijwerken van inloggegevens, het inschakelen van multi-factor authenticatie, en het monitoren van online financiële en persoonlijke accounts op ongebruikelijke activiteiten. Degenen die ongeautoriseerde toegang tot hun accounts vermoeden, moeten onmiddellijk contact opnemen met hun financiële instelling, de lokale wetshandhaving en het Canadese Anti-Fraude Centrum (CAFC). [1]


Kinsing Malware Benut Apache ActiveMQ-kwetsbaarheid voor Rootkit Installatie

De Kinsing-malware maakt actief gebruik van de kritieke kwetsbaarheid CVE-2023-46604 in de Apache ActiveMQ open-source message broker om Linux-systemen te compromitteren. Deze kwetsbaarheid maakt het mogelijk om op afstand code uit te voeren en werd eind oktober gepatcht. De fout maakt het uitvoeren van willekeurige shell-opdrachten mogelijk door gesealiseerde klasse-typen in het OpenWire-protocol te gebruiken. Onderzoekers ontdekten dat duizenden servers na de release van de patch kwetsbaar bleven, waardoor ransomwaregroepen zoals HelloKitty en TellYouThePass de kans kregen om deze te exploiteren. Kinsing richt zich op het implementeren van cryptocurrency-miners op kwetsbare servers. De Kinsing-malware is vooral gericht op Linux-systemen en haar operator staat bekend om het benutten van bekende fouten die vaak over het hoofd worden gezien door systeembeheerders. Eerder maakten zij gebruik van de Log4Shell en een Atlassian Confluence RCE-bug voor hun aanvallen. Het malware gebruikt de ‘ProcessBuilder’ methode om kwaadaardige bash-scripts uit te voeren en extra payloads te downloaden op het geïnfecteerde apparaat vanuit nieuw gecreëerde systeemniveau-processen. Deze methode biedt het voordeel dat de malware complexe commando's en scripts kan uitvoeren met een hoge mate van controle en flexibiliteit, terwijl detectie wordt vermeden. Voordat de crypto-miningtool wordt gestart, controleert Kinsing de machine op concurrerende Monero-miners door gerelateerde processen, crontabs en actieve netwerkverbindingen te beëindigen. Vervolgens wordt persistentie gevestigd via een cronjob die de nieuwste versie van het infectiescript (bootstrap) ophaalt en ook een rootkit toevoegt in ‘/etc/ld.so.preload’. De /etc-map op Linux-systemen bevat doorgaans systeemconfiguratiebestanden, uitvoerbare bestanden voor het opstarten van het systeem en enkele logbestanden, zodat bibliotheken op deze locatie laden voordat het proces van een programma start. Door een rootkit toe te voegen, wordt ervoor gezorgd dat de code van de rootkit wordt uitgevoerd bij elk proces dat op het systeem start, terwijl deze relatief verborgen blijft en moeilijk te verwijderen is. Nu het aantal dreigingsactoren dat CVE-2023-46604 uitbuit toeneemt, blijven organisaties in meerdere sectoren risico lopen als ze de kwetsbaarheid niet patchen of niet controleren op tekenen van compromittering. Systeembeheerders wordt aanbevolen Apache Active MQ te upgraden naar versies 5.15.16, 5.16.7, 5.17.6 of 5.18.3, die het beveiligingsprobleem aanpakken. [1]


Rhysida Ransomwaregroep Eist Verantwoordelijkheid voor Cyberaanval op Britse Bibliotheek

In oktober werd de Britse Bibliotheek het slachtoffer van een cyberaanval, veroorzaakt door de Rhysida ransomwaregroep. Deze aanval resulteerde in een aanzienlijke en voortdurende IT-storing. Rhysida heeft aangekondigd dat ze de gestolen gegevens uit de systemen van de nationale bibliotheek van het Verenigd Koninkrijk veilen. Geïnteresseerden kunnen binnen zeven dagen bieden. De groep heeft ook een lage-resolutie screenshot vrijgegeven dat lijkt op gestolen ID-scans van het gecompromitteerde systeem van de bibliotheek. De FBI en CISA hebben gewaarschuwd voor de opportunistische aanvallen van Rhysida, die zich richten op organisaties in verschillende industrieën, waaronder onderwijs, gezondheidszorg, productie, informatietechnologie en overheidssectoren. Rhysida, dat functioneert als een ransomware-as-a-service (RaaS), heeft al verschillende organisaties in deze sectoren gecompromitteerd. Daarnaast heeft de persafdeling van de Britse Bibliotheek bevestigd dat er HR-documenten zijn gelekt. Ze adviseerden gebruikers om hun wachtwoorden te resetten als voorzorgsmaatregel. Er is echter nog geen bewijs dat de aanvallers toegang hebben gehad tot andere informatie tijdens het incident. De bibliotheek bevestigde vorige week dat een ransomware-aanval de oorzaak was van de grote storing. De aanval versleutelde de systemen van de bibliotheek op 28 oktober, waardoor de online systemen, diensten en bepaalde faciliteiten ter plaatse, zoals Wi-Fi, nog steeds offline zijn, bijna drie weken na de aanval. De bibliotheek schat dat veel van haar diensten binnen enkele weken zullen worden hersteld, maar sommige verstoringen kunnen langer aanhouden. De website van de bibliotheek ontvangt jaarlijks meer dan 11 miljoen bezoekers en haar collectie, die meer dan 150 miljoen items omvat, wordt dagelijks door meer dan 16.000 mensen ter plaatse en online geraadpleegd.


Geavanceerde Evasietechnieken van Lumma Stealer Malware: Trigonometrie in de Strijd tegen Detectie

Lumma, een informatie stelende malware, bekend als LummaC2, gebruikt nu trigonometrie om detectie door beveiligingssoftware te ontwijken. Deze malware, aangeboden als 'malware-as-a-service', wordt verhuurd aan cybercriminelen voor een abonnement variërend van $250 tot $1.000. Lumma is ontworpen om gegevens te stelen van webbrowsers en applicaties op Windows 7-11, inclusief wachtwoorden, cookies, creditcardgegevens en informatie uit cryptocurrency-portefeuilles. Deze malwarefamilie werd in december 2022 voor het eerst aangeboden op cybercrimefora en won snel aan populariteit in de ondergrondse hackergemeenschap. Een recent rapport van Outpost24 over Lumma Stealer versie 4.0 onthulde verschillende significante updates in de manier waarop deze malware detectie en geautomatiseerde analyse van zijn samples ontwijkt. Deze technieken omvatten het verbergen van de besturingsstroom, het detecteren van menselijke muisactiviteit, XOR-versleutelde strings, ondersteuning voor dynamische configuratiebestanden en het afdwingen van cryptogebruik op alle builds. Een opvallende methode is het gebruik van trigonometrie om menselijk gedrag te detecteren. Hierbij volgt de malware de positie van de muiscursor op de host met de 'GetCursor()' functie, waarbij vijf onderscheidende posities worden vastgelegd in intervallen van 50 milliseconden. Vervolgens past het trigonometrie toe om deze posities als Euclidische vectoren te analyseren, waarbij het de hoeken en vectormagnitudes berekent die voortkomen uit de gedetecteerde beweging. Als de berekende vectorhoeken onder de 45 graden liggen, gaat Lumma ervan uit dat de bewegingen niet door software worden geëmuleerd, waardoor de uitvoering kan doorgaan. Zijn de hoeken 45 graden of hoger, dan stopt de malware alle kwaadaardige activiteiten, maar blijft de muisbeweging monitoren tot menselijk-achtig gedrag wordt gedetecteerd. Een andere interessante ontwikkeling is de eis om een crypter te gebruiken om het malware-uitvoerbare bestand te beschermen tegen lekken naar niet-betalende hackers en dreigingsanalisten. Lumma controleert nu automatisch op een specifieke waarde op een bepaalde offset in het uitvoerbare bestand om te bepalen of het is gecodeerd, en geeft een waarschuwing als dit niet het geval is. Als laatste verdedigingslinie tegen onderzoek integreert Lumma 4.0 obstakels in zijn code, zoals ondoorzichtige predicaten die de logica van het programma onnodig ingewikkeld maken, en blokken dode code ingevoegd in functionele code-segmenten om verwarring en analysefouten te creëren. De nieuwste versie van de Lumma stealer benadrukt een verhoogde focus op het ontwijken van analyse, waarbij meerdere lagen van beschermende maatregelen worden geïntroduceerd om elke poging tot dissectie en begrip van de mechanismen te dwarsbomen. [1]


Poloniex Identificeert Hacker en Biedt $10 Miljoen voor Terugkeer Gestolen Crypto

In een opvallende ontwikkeling heeft de cryptocurrency exchange Poloniex de identiteit van een hacker bevestigd, die verantwoordelijk is voor de diefstal van meer dan $100 miljoen aan digitale activa uit hun portefeuille. Poloniex heeft deze ontwikkeling officieel aangekondigd en biedt de hacker een premie van $10 miljoen aan, mits deze de gestolen activa teruggeeft. Deze aankondiging volgde na een samenwerking met wetshandhavingsinstanties uit de Verenigde Staten, Rusland en China. Een on-chain bericht, gepubliceerd door blockchain-beveiligingsbedrijf PeckShield, toonde de communicatie tussen Poloniex en de vermeende hacker. Volgens dit bericht heeft Poloniex de identiteit van de dader bevestigd en zijn de gestolen fondsen gemarkeerd, waardoor ze niet gebruikt kunnen worden. De exchange biedt de hacker de kans om de fondsen vóór 25 november terug te geven en in ruil daarvoor de premie te ontvangen, anders zal er politieactie volgen. Desondanks uiten sommige leden van de crypto-gemeenschap twijfels over deze aanpak. Ze vragen zich af waarom het nodig is om politie uit drie verschillende landen te betrekken en hetzelfde bericht in 15 talen te versturen als de hacker al geïdentificeerd is. Deze cyberaanval vond plaats na verdachte transacties in een Poloniex crypto-wallet begin deze maand, waarbij meer dan $100 miljoen werd gestolen. Als reactie op de aanval deactiveerde Poloniex de betreffende wallet voor onderhoud en bood een premie van 5% aan voor de terugkeer van de gestolen middelen. Na het inschakelen van een beveiligingsauditbureau om de veiligheid te verbeteren, hervatte de exchange op 15 november de opnames. [1]


Grootschalige Hack op Handelsfirma Kronos Research Leidt tot Diefstal van $25 Miljoen in Ether

Een recente cyberaanval op Kronos Research, een vooraanstaande handelsfirma gevestigd in Taipei, heeft geleid tot een aanzienlijk verlies. Hackers slaagden erin om $25 miljoen te ontvreemden door toegang te krijgen tot de API-sleutels van het bedrijf. De aanval, die op zaterdagochtend plaatsvond, werd bevestigd door blockchain-expert ZachXBT. Kronos Research, dat zich voornamelijk bezighoudt met trading, market making en venture capital investeringen, werd opgeschrikt door een ernstige inbreuk op hun beveiligingssysteem. Deze inbreuk leidde tot directe gevolgen voor Woo X, een door Kronos ontwikkelde beurs. Als belangrijke market maker op Woo X, heeft Kronos de handelsactiviteiten tijdelijk opgeschort na de ontdekking van de hack. Hierdoor ondervond Woo X een tijdelijke pauze in bepaalde activaparen wegens het verlies aan liquiditeit, hoewel het bedrijf verzekerde dat de fondsen van klanten veilig waren. ZachXBT, een gerenommeerde blockchain-onderzoeker, speelde een belangrijke rol bij het onthullen van de omvang van de hack. Hij traceerde snelle geldstromen van een wallet, waarbij meer dan $25 miljoen aan ether werd verplaatst. Dit suggereert dat dit het bedrag is dat door de hackers is gestolen. Na het incident heeft Kronos aangekondigd dat het streeft naar een snelle hervatting van de handelsactiviteiten. Tot op heden heeft het bedrijf niet gereageerd op mediaverzoeken om commentaar. De situatie benadrukt opnieuw de risico's en kwetsbaarheden binnen de digitale financiële sector, vooral in relatie tot cryptovaluta en blockchain-technologie.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten

Februari 2024
Januari 2024