Overzicht van slachtoffers cyberaanvallen week 51-2023

Gepubliceerd op 25 december 2023 om 15:00

EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


In de afgelopen week heeft de wereld wederom een reeks verontrustende cyberaanvallen en datalekken meegemaakt, die een breed scala aan sectoren en geografische gebieden hebben getroffen. Van telecombedrijven tot financiële instellingen, van gezondheidszorg tot de horeca, geen sector lijkt veilig te zijn voor de toenemende dreiging van cybercriminaliteit.

Een opmerkelijke inbraak vond plaats bij het Amerikaanse telecombedrijf Mint Mobile, waarbij klanten nu het risico lopen op SIM Swap-aanvallen. Ondertussen werden gebruikers van de Chrome-browser misleid door massale installaties van valse VPN-extensies, wat resulteerde in maar liefst 1,5 miljoen downloads. De creativiteit van cybercriminelen kent geen grenzen, zoals blijkt uit de recente ontmaskering van een grootschalige cryptozwendel, uitgevoerd via advertenties op Google en Twitter.

De dreiging is wereldwijd voelbaar. In Nederland werd een schoonmaakdienst het doelwit van cybercriminaliteit, en een datalek bij de EasyPark-app heeft geleid tot de diefstal van persoonlijke gegevens. In de Verenigde Staten zijn verschillende grote bedrijven en organisaties getroffen, waaronder de Eerste Amerikaanse Financiële Corporatie en VF Corporation, die het slachtoffer werden van een omvangrijke ransomware-aanval.

De situatie in Australië is even zorgwekkend, met een recente cyberaanval op Nissan Australië, geclaimd door de Akira Ransomwaregroep. Dit benadrukt de aanhoudende dreiging van ransomware, een plaag die bedrijven en organisaties over de hele wereld blijft treffen.

De lijst van aanvallen, dreigingen, en de activiteiten van cybercriminelen blijft groeien, met onder andere de opkomst van nieuwe malware, zoals 'Chameleon' die Android-gebruikers bedreigt, en de Terrapin-aanval die een nieuwe bedreiging vormt voor OpenSSH-beveiliging.

Deze incidenten onderstrepen de voortdurende behoefte aan waakzaamheid en geavanceerde cyberbeveiligingsmaatregelen. Hieronder vindt u een volledig overzicht van de cyberaanvallen van de afgelopen week, met een alarmerende tellerstand van het aantal organisaties waarvan data op het darkweb is gelekt: 11.807. Dit dient als een dringende herinnering aan de constante noodzaak om onze digitale infrastructuur te beschermen tegen deze groeiende dreigingen.



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
Prefeitura Municipal de Itabira BlackCat (ALPHV) www.itabira.mg.gov.br Brazil General Government 24-dec-23
bkf-fleuren.de LockBit bkf-fleuren.de Germany Miscellaneous Manufacturing Industries 24-dec-23
avescorent.ch LockBit avescorent.ch Switzerland Business Services 23-dec-23
Bay Orthopedic & Rehabilitation Supply BianLian bayorthopedic.com USA Miscellaneous Manufacturing Industries 23-dec-23
zurcherodioraven.com LockBit zurcherodioraven.com Costa Rica Legal Services 23-dec-23
quakerwindows.com Cactus quakerwindows.com USA Miscellaneous Manufacturing Industries 23-dec-23
castores.com.mx LockBit castores.com.mx Mexico Motor Freight Transportation 23-dec-23
VF Corporation BlackCat (ALPHV) www.vfc.com USA Apparel And Accessory Stores 22-dec-23
csmsa.com.ar LockBit csmsa.com.ar Argentina Transportation Services 22-dec-23
ciasc.mx LockBit ciasc.mx Mexico Security And Commodity Brokers, Dealers, Exchanges, And Services 22-dec-23
whafh.com Black Basta whafh.com USA Legal Services 22-dec-23
hotelplan.co.uk Black Basta hotelplan.co.uk United Kingdom Amusement And Recreation Services 22-dec-23
Nissan Australia Akira www.nissan.com.au Japan Transportation Equipment 22-dec-23
xeinadin.com LockBit xeinadin.com United Kingdom Accounting Services 22-dec-23
igs-inc.com LockBit igs-inc.com USA Construction 22-dec-23
sterlinghomes.com.au LockBit sterlinghomes.com.au Australia Construction 22-dec-23
esepac.com LockBit esepac.com France Educational Services 22-dec-23
fager-mcgee.com LockBit fager-mcgee.com Uruguay Construction 22-dec-23
denford.co.uk LockBit denford.co.uk United Kingdom Machinery, Computer Equipment 22-dec-23
goldenc.com LockBit goldenc.com United Kingdom Wholesale Trade-durable Goods 22-dec-23
DELPHINUS.COM CL0P delphinus.com USA Defense industry 21-dec-23
ACE Air Cargo DragonForce aceaircargo.com USA Transportation By Air 21-dec-23
Kinetic Leasing DragonForce kineticlease.com USA Non-depository Institutions 21-dec-23
Owen Quilty Professional PLAY www.quilty.ca Canada Accounting Services 21-dec-23
Jon Richard PLAY www.jonrichard.com United Kingdom Apparel And Accessory Stores 21-dec-23
Concept Data PLAY www.conceptdata.dk Denmark IT Services 21-dec-23
Packaging Solutions PLAY www.digipackaging.com USA Paper Products 21-dec-23
Bladen County Public Library MEOW LEAKS Unknown USA Educational Services 20-dec-23
smudlers.com LockBit smudlers.com United Kingdom Construction 20-dec-23
Yakult Australia DragonForce yakult.com.au Australia Food Products 20-dec-23
Unite Here INC Ransom unitehere.org USA Membership Organizations 20-dec-23
dbmgroup.com Cactus dbmgroup.com USA Business Services 20-dec-23
wkw-group.com Cactus wkw-group.com Germany Transportation Equipment 20-dec-23
Di Martino Group RA GROUP dimartinogroup.eu Italy Motor Freight Transportation 20-dec-23
Rockford Gastroenterology Associates RA GROUP www.rockfordgi.com USA Health Services 20-dec-23
HALLIDAYS GROUP LIMITED RA GROUP www.hallidays.co.uk United Kingdom Accounting Services 20-dec-23
Die Unfallkasse Thüringen RA GROUP www.ukt.de Germany Insurance Carriers 20-dec-23
NIDEC GPM GmbH RA GROUP www.nidec-gpm.com Germany Fabricated Metal Products 20-dec-23
hunterbuildings.com Cactus hunterbuildings.com In progress In progress 20-dec-23
larlyn.com Cactus larlyn.com In progress In progress 20-dec-23
des-igngroup.com LockBit des-igngroup.com South Africa Machinery, Computer Equipment 20-dec-23
dobsystems.com LockBit dobsystems.com USA IT Services 20-dec-23
Navigation Financial Group BlackCat (ALPHV) www.navigationfinancial.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 20-dec-23
Air Sino-Euro Associates Travel Pte. Ltd BianLian asaholiday.com Singapore Transportation Services 20-dec-23
udhaiyamdhall.com LockBit udhaiyamdhall.com India Food Products 20-dec-23
LCGB 8BASE lcgb.lu Luxembourg Business Services 20-dec-23
CETEC Ingénierie 8BASE sa-cetec.fr France Construction 20-dec-23
The International School of Management 8BASE ism.de Germany Educational Services 20-dec-23
Employ Milwaukee 8BASE employmilwaukee.org USA Business Services 20-dec-23
Horizon Pool & Spa 8BASE www.horizonparts.com USA Miscellaneous Retail 20-dec-23
socadis 8BASE socadis.com Canada Wholesale Trade-non-durable Goods 20-dec-23
Davis Cedillo & Mendoza Inc 8BASE www.lawdcm.com USA Legal Services 20-dec-23
WELBRO Building Corporation 8BASE welbro.com USA Construction 20-dec-23
RCSB PDB MEOW LEAKS www.rcsb.org USA Research Services 19-dec-23
mtsd-vt.org LockBit mtsd-vt.org USA Educational Services 19-dec-23
brintons.co.uk Black Basta brintons.co.uk United Kingdom Textile Mill Products 19-dec-23
pecofoods.com Black Basta pecofoods.com USA Food Products 19-dec-23
chuzefitness.com LockBit chuzefitness.com USA Amusement And Recreation Services 19-dec-23
Kauno Technologijos Universitetas Rhysida www.ktu.edu Lithuania Educational Services 19-dec-23
Grupo Jose Alves Rhysida www.grupojosealves.com Brazil Security And Commodity Brokers, Dealers, Exchanges, And Services 19-dec-23
Blackstone Valley Community Health Care Hunters International bvchc.org USA Health Services 19-dec-23
Richard Harris Personal Injury Law Firm PLAY www.richardharrislaw.com USA Legal Services 18-dec-23
Schoepe Display PLAY www.schoepe-display.com Germany Miscellaneous Manufacturing Industries 18-dec-23
American Transportation PLAY www.dsiamerica.com USA Transportation Services 18-dec-23
Waldner's PLAY www.waldners.com USA Furniture 18-dec-23
Succes Schoonmaak PLAY www.successchoonmaak.nl Netherlands Miscellaneous Services 18-dec-23
DYWIDAG-Systems PLAY www.dywidag-systems.com Luxembourg Construction 18-dec-23
C?????z???? PLAY Unknown USA Unknown 18-dec-23
The CM Paula PLAY www.cmpaula.com USA Holding And Other Investment Offices 18-dec-23
parat-technology.com LockBit parat-technology.com Germany Rubber, Plastics Products 18-dec-23
Viking Therapeutics BlackCat (ALPHV) vikingtherapeutics.com USA Chemical Producers 18-dec-23
lajollagroup.com Cactus lajollagroup.com USA Apparel And Accessory Stores 18-dec-23
Zone Soft STORMOUS zonesoft.pt Portugal IT Services 18-dec-23
Electrical Connections BianLian eleconnections.com USA Engineering Services 18-dec-23
navitaspet.com Black Basta navitaspet.com Israel Oil, Gas 18-dec-23
vyera.com Black Basta vyera.com USA Chemical Producers 18-dec-23
hallidays.co.uk Black Basta hallidays.co.uk United Kingdom Accounting Services 18-dec-23

Slachtoffers België en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
Succes Schoonmaak PLAY www.successchoonmaak.nl Netherlands Miscellaneous Services 18-dec-23
Meetmoment Aantal organisaties waar data van gelekt is op het darkweb
01-05-2019 (eerste slachtoffer) 1
01-05-2020 85
01-05-2021 2.167
01-05-2022 5.565
01-05-2023 8.292
25-12-2023 om 09:45 11.807

Aantal organisaties waarvan alle gegevens gelekt zijn op het darkweb

In samenwerking met StealthMol

Sponsor Cybercrimeinfo


Cyberaanvallen nieuws


❗️Detectie van Bluetooth Spam Aanvallen door 'Wall of Flippers'

Een recent ontwikkeld Python-project, genaamd 'Wall of Flippers' (WoF), is in staat om Bluetooth spam aanvallen te detecteren die worden uitgevoerd met behulp van Flipper Zero en Android-apparaten. Deze aanvallen, oorspronkelijk bedoeld als onschuldige grappen, kunnen aanzienlijke verstoringen veroorzaken, zoals werd aangetoond tijdens het Midwest FurFest 2023 evenement. Daar veroorzaakten dergelijke aanvallen ernstige zakelijke verstoringen en bedreigden ze zelfs de werking van medische apparatuur zoals insulinepomp controllers. WoF, ontworpen om continu te draaien op Linux en Windows systemen, scant actief naar Bluetooth Low Energy (BLE) signalen in de omgeving. Het analyseert de verzonden pakketten op basis van vooraf gedefinieerde patronen die duiden op kwaadaardige activiteit. Het project is nog in ontwikkeling maar kan momenteel verschillende soorten aanvallen detecteren, waaronder die gericht op iOS-, Android- en Windows-apparaten. Een belangrijk aspect van WoF is dat het de MAC-adressen van de aanvallende apparaten vastlegt, wat essentiële informatie biedt over de identiteit van het apparaat en de nabijheid van de aanvaller. Dit maakt het mogelijk om gerichte maatregelen te nemen tegen de daders van deze aanvallen. Hoewel Apple in iOS 17.2 enige mitigatie heeft geïntroduceerd tegen BLE-aanvallen, blijft het probleem op Android-apparaten bestaan. Er is nog geen reactie van Google over hun plannen om deze kwestie aan te pakken. De ontwikkelaars van WoF benadrukken het belang van het inspecteren van de code voordat deze wordt geïnstalleerd, aangezien cybercrimeinfo de veiligheid van het script niet kan garanderen. Instructies voor het installeren van WoF zijn beschikbaar op de GitHub-repository van de ontwikkelaar. Deze ontwikkeling toont aan hoe belangrijk het is voor ontwikkelaars en gebruikers om zich bewust te zijn van de mogelijke gevaren van Bluetooth-technologie, vooral in een tijd waarin steeds meer apparaten verbonden zijn. Het illustreert ook de noodzaak voor continue monitoring en beveiligingsupdates om deze nieuwe vormen van cyberaanvallen het hoofd te bieden. [1] Lees ook artikel Flipper Zero: Een veelzijdige tool voor hackers en hobbyisten


Cybercriminelen Breken In bij Mint Mobile: Risico op SIM Swap Aanvallen

Mint Mobile, een mobiele virtuele netwerkoperator eigendom van T-Mobile, heeft een nieuw datalek bekendgemaakt dat persoonlijke informatie van klanten heeft blootgelegd, waaronder gegevens die kunnen worden gebruikt voor SIM-swap aanvallen. Klanten werden op de hoogte gesteld via e-mails getiteld "Belangrijke informatie over uw account", waarin werd vermeld dat ze een beveiligingsincident hebben ondervonden en dat een hacker klantinformatie heeft verkregen. De blootgestelde klantgegevens omvatten namen, telefoonnummers, e-mailadressen, SIM-serienummers en IMEI-nummers (een apparaatidentificator), en een korte beschrijving van het gekochte serviceplan. Mint benadrukt dat ze geen creditcardnummers opslaan en dat wachtwoorden met "sterke cryptografische technologie" worden beschermd, hoewel niet duidelijk is of gehashte wachtwoorden door de aanvallerzijn geopend. Dit lek is zorgwekkend omdat het genoeg informatie bevat voor een dreigingsactor om SIM-swapping aanvallen uit te voeren. Bij deze aanvallen port een aanvaller het nummer van een persoon naar hun eigen apparaat, waardoor ze toegang krijgen tot de online accounts van de gebruiker door wachtwoordresets uit te voeren en OTP-codes te ontvangen om voorbij multi-factor authenticatie te komen. Deze techniek wordt vaak gebruikt om accounts bij cryptocurrency exchanges te hacken en alle activa in de online portemonnee te stelen. Mint Mobile heeft aangegeven dat klanten geen actie hoeven te ondernemen en kunnen bellen met klantenservice op 949-704-1162 voor eventuele vragen. Een moderator op Mint Reddit bevestigde dat dit nummer specifiek is opgezet om vragen over het datalek te behandelen. De details over hoe de inbreuk precies plaatsvond, zijn niet bekendgemaakt. Echter, FalconFeeds, een dreigingsinformatiedienst, rapporteerde in juli 2023 dat een dreigingsactor probeerde data te verkopen op een hackforum die vermoedelijk gestolen was van Mint Mobile en Ultra Mobile. Mint Mobile had eerder een datalek in 2021 en de oudermaatschappij T-Mobile heeft in 2023 verschillende datalekken gehad. [1]

Lees ook het artikel: Wees waakzaam bij onverwachte MFA-verzoeken


Ubisoft Confronteert Mogelijke Inbraak door Cybercriminelen na Lek van Interne Gegevens

Ubisoft, een prominente Franse videogame-uitgever bekend van titels als Assassin's Creed, FarCry, en Tom Clancy's Rainbow Six Siege, staat mogelijk voor een nieuwe veiligheidsuitdaging. Volgens berichtgeving is het bedrijf een onderzoek gestart naar een mogelijke data-inbreuk nadat afbeeldingen van interne software en ontwikkeltools online uitlekten. Dit incident kwam aan het licht nadat de beveiligingsonderzoeksgroep VX-Underground screenshots deelde die vermoedelijk interne diensten van Ubisoft tonen. Ubisoft heeft bevestigd dat het bezig is met een onderzoek naar het vermeende veiligheidsincident, maar kon op dit moment geen verdere details delen. De onbekende dreigingsactor die contact opnam met VX-Underground beweerde Ubisoft te hebben gehackt op 20 december. Tijdens deze inbraak planden zij naar verluidt om ongeveer 900GB aan data te extraheren. De hacker beweerde toegang te hebben verkregen tot diverse systemen van Ubisoft, waaronder de SharePoint-server, Microsoft Teams, Confluence, en het MongoDB Atlas-panel. Ook deelden ze screenshots van sommige van deze toegangen. Het is belangrijk te vermelden dat MongoDB Atlas onlangs zelf een inbreuk meldde, maar het lijkt erop dat deze twee incidenten niet gerelateerd zijn. De dreigingsactor probeerde naar verluidt gegevens van Rainbow 6 Siege-gebruikers te stelen, maar werd gedetecteerd en verloor toegang voordat ze dit konden realiseren. Ubisoft is niet onbekend met cyberaanvallen. In 2020 werd het bedrijf aangevallen door de Egregor ransomware-bende, die delen van de broncode van het Ubisoft-spel Watch Dogs lekte. Een tweede inbreuk in 2022 verstoorde de spellen, systemen en diensten van het bedrijf. Dit nieuwe incident benadrukt de aanhoudende cyberveiligheidsuitdagingen waarmee grote technologiebedrijven worden geconfronteerd.


Cyberaanval op Nissan Australië Geclaimd door Akira Ransomwaregroep

Op 22 december 2023 meldde de Akira ransomwaregroep dat zij verantwoordelijk waren voor een cyberaanval op het netwerk van Nissan Australië, de Australische afdeling van de Japanse autofabrikant Nissan. De groep beweerde ongeveer 100GB aan documenten gestolen te hebben uit de systemen van Nissan. Ze dreigen nu met het online publiceren van gevoelige bedrijfs- en klantgegevens, omdat onderhandelingen over losgeld met Nissan niet succesvol waren. Nissan heeft blijkbaar geweigerd om te onderhandelen of het losgeld te betalen. De Akira groep kwam in maart 2023 in de schijnwerpers en viel op door het snel vergaren van slachtoffers in diverse industrieën. In juni 2023 introduceerden ze een Linux-versie van hun ransomware, specifiek gericht op VMware ESXi virtuele machines, die veel gebruikt worden in bedrijfsomgevingen. De gevraagde losgelden variëren van $200.000 tot miljoenen dollars, afhankelijk van de grootte van de getroffen organisatie. Nissan heeft bevestigd dat sommige van hun systemen in Australië en Nieuw-Zeeland zijn gecompromitteerd. Het bedrijf is nog bezig met het onderzoeken van de impact van het incident en of er persoonlijke informatie is geraadpleegd. Nissan werkt aan het herstellen van de getroffen systemen en heeft klanten gewaarschuwd alert te zijn op ongebruikelijke of verdachte online activiteiten. De Australische en Nieuw-Zeelandse cyberveiligheidscentra, privacyregulatoren en wetshandhavingsinstanties zijn op de hoogte gebracht van de inbreuk. Nissan heeft nog niet gereageerd op verdere verzoeken om informatie over het cyberincident.


FBI Ondermijnt BlackCat Ransomware, Groep Slaat Terug

In een recente ontwikkeling heeft de FBI de beruchte Russische ransomwaregroep ALPHV, ook bekend als BlackCat, aanzienlijk verstoord. De FBI slaagde erin de darknet website van de groep te confisqueren en lanceerde een decryptietool die honderden getroffen bedrijven helpt hun systemen te herstellen. Als reactie hierop heeft BlackCat zijn darknet site tijdelijk "teruggepakt" met een bericht waarin hoge commissies van 90% worden beloofd aan partners die blijven samenwerken, en waarbij alle remmen losgaan - van ziekenhuizen tot kerncentrales zijn nu doelwitten. Deze acties volgden op signalen van een mogelijke wetshandhavingsactie tegen BlackCat begin december, toen hun darknet site offline ging. BlackCat weet de uitval aan technische problemen, maar de FBI plaatste kort daarna een inbeslagnamebericht op de website. De Amerikaanse Justitie heeft een verklaring uitgegeven over de operatie en benadrukt dat meer dan 500 slachtoffers wereldwijd hun systemen konden herstellen met de door de FBI verstrekte decryptietool. BlackCat, opgericht 18 maanden geleden, heeft sindsdien meer dan 1000 organisaties getarget met hun aanvallen, die meestal bestaan uit encryptie en diefstal van gegevens. De groep werkt volgens het 'ransomware-as-a-service' model, waarbij ontwikkelaarsteams de ransomwarecode en infrastructuur onderhouden. Affiliates worden aangemoedigd om lucratieve doelwitten aan te vallen, waarbij ze meestal 60-80% van de opbrengsten ontvangen. De recente FBI-actie heeft slechts een deel van de BlackCat-operaties geraakt, volgens de groep zelf. Als gevolg hiervan zouden nu 3000 slachtoffers geen toegang meer hebben tot decryptiesleutels. BlackCat heeft nu alle beperkingen opgeheven, behalve aanvallen in Rusland en de Gemenebest van Onafhankelijke Staten, en verhoogt de commissies voor partners naar 90% om interesse te wekken. Het Ministerie van Justitie heeft aangekondigd dat informatie over BlackCat-affiliates mogelijk in aanmerking komt voor een beloning tot $10 miljoen viahet 'Rewards for Justice'-programma. De strijd tussen de FBI en BlackCat over de controle van hun darknet site blijft doorgaan, waarbij het laatst gepubliceerde bericht de controle overneemt. [1]


Massale Installatie van Valse VPN-extensies in Chrome: 1,5 Miljoen Downloads

Drie schadelijke Chrome-extensies, die zich voordeden als VPN-diensten (Virtual Private Networks), zijn meer dan 1,5 miljoen keer gedownload. Ze functioneerden als browserkapers, cashback hackgereedschappen en datadiefstalprogramma's. Deze ontdekking werd gedaan door ReasonLabs, die de extensies traceerde naar installatieprogramma's verborgen in illegale kopieën van populaire videospellen zoals Grand Theft Auto, Assassins Creed en The Sims 4. Deze spellen werden verspreid via torrentsites. Google heeft, na notificatie door ReasonLabs, de kwaadaardige extensies verwijderd uit de Chrome Web Store. De extensies, genaamd netPlus (1 miljoen installaties), netSave en netWin (samen 500.000 installaties), waren voornamelijk gericht op Russischtalige gebruikers, met de meeste infecties in Rusland, Oekraïne, Kazachstanen Belarus. De installatie van deze VPN-extensies gebeurde automatisch en ongemerkt, via een aanpassing in het register van de computer, zonder interactie van de gebruiker. De extensies hadden een realistische VPN-interface met enige functionaliteit en een optie voor een betaald abonnement om authenticiteit te suggereren. Uit codeanalyse bleek dat de extensies toegang hadden tot een breed scala aan browsermogelijkheden, waaronder het manipuleren van webverzoeken en het uitschakelen van andere extensies. Een belangrijk kenmerk van deze malware was het vermogen om scripts uit te voeren via de Offscreen API, waardoor ze onopgemerkt konden interageren met de huidige DOM (Document Object Model) van webpagina's. Dit stelde de extensies in staat gevoelige gebruikersgegevens te stelen, browseractiviteiten te kapen en zelfs andere geïnstalleerde extensies uit te schakelen. Bovendien elimineerden deze extensies andere cashback- en couponextensies op het geïnfecteerde apparaat, om concurrentie te verminderen en winsten naar de aanvallers te leiden. De communicatie met C2 (command and control) servers omvatte het uitwisselen van gegevens over instructies, identificatie van het slachtoffer, en exfiltratie van gevoelige data. Dit rapport benadrukt de groeiende veiligheidsproblemen rondom webbrowserextensies, die vaak sterk verhuld zijn om detectie te bemoeilijken. Gebruikers worden geadviseerd om regelmatig hun browserextensies te controleren en recente recensies in de Chrome Web Store te raadplegen voor meldingen van kwaadaardig gedrag. [1]


Grootschalige Cryptozwendel via Google en Twitter Ads Ontmaskerd

Een recente vorm van cryptozwendel, genaamd 'MS Drainer', heeft in negen maanden tijd $59 miljoen gestolen van 63.210 slachtoffers. Deze zwendel is vooral verspreid via misleidende advertenties op Google en Twitter. De dreigingsanalisten van blockchain bij ScamSniffer hebben meer dan tienduizend phishing-websites ontdekt die deze 'drainer' gebruiken, met activiteitspieken in mei, juni en november. Een 'drainer' is een kwaadaardig slim contract of, in dit geval, een complete phishing-suite ontworpen om fondsen uit de cryptocurrency-portemonnee van een gebruiker te halen zonder hun toestemming. Gebruikers worden naar een legitiem ogende phishing-website geleid en misleid om kwaadaardige contracten goed te keuren, waardoor de drainer automatisch ongeautoriseerde transacties kan uitvoeren en het geld van het slachtoffer naar de portemonnee van de aanvaller kan overdragen. De broncode van MS Drainer wordt verkocht aan cybercriminelen voor $1.500 door een gebruiker genaamd 'Pakulichev' of 'PhishLab', die ook een commissie van 20% vraagt op elk gestolen fonds met de toolkit. PhishLab verkoopt ook extra modules die nieuwe functies aan de malware toevoegen, variërend van $500 tot $1.000. In een opvallend geval verloor een Ethereum-gebruiker $24 miljoen aan cryptocurrency, terwijl andere slachtoffers bedragen tussen $440.000 en $1.2 miljoen verloren. Op Google worden kwaadaardige advertenties voor MS Drainer getoond bij zoekopdrachten gerelateerd aan DeFi-platforms. Deze advertenties maken vaak misbruik van een leemte in de tracking-sjabloon van Google Ads om de URL te laten verschijnen alsof deze toebehoort aan de officiële domein van het nagemaakte project, maar leiden in werkelijkheid naar een phishing-site. Op Twitter zijn advertenties voor MS Drainer zo overvloedig dat ze volgens ScamSniffer zes van de negen phishing-advertenties op hun feed uitmaken. Veel van deze scam-advertenties zijn gepost vanuit legitieme "geverifieerde" accounts. De cybercriminelen gebruiken meerdere thema's voor hun advertenties, waaronder een genaamd "Ordinals Bubbles", die een vermeende beperkte oplage van NFT-collecties promoot, evenals airdrops en nieuwe tokenlanceringen op sites met de drainer. ScamSniffer meldt dat een detectie-omzeilingsmethode die door deze advertenties wordt gebruikt, geofencing is, die alleen gebruikers uit vooraf gedefinieerde regio's target en de rest omleidt naar legitieme of onschadelijke websites. Gebruikers worden gewaarschuwd zeer voorzichtig te zijn met cryptocurrency-gerelateerde advertenties en grondig onderzoek te doen voordat ze zich aanmelden bij nieuwe platforms of hun portemonnees verbinden. [1]


Nieuwe FalseFont Malware Gebruikt door Iraanse Hackers tegen Defensiebedrijven

Het artikel, gepubliceerd op 21 december 2023 door Sergiu Gatlan, onthult dat Microsoft de APT33 Iraanse cyber-spionagegroep heeft geïdentificeerd als de daders achter de recente aanvallen op wereldwijde defensieaannemers. Deze groep gebruikt de nieuw ontdekte FalseFont backdoor malware. Microsoft heeft waargenomen dat de groep, ook bekend als Peach Sandstorm, HOLMIUM of Refined Kitten, actief is sinds ten minste 2013 en zich richt op een breed scala van sectoren, waaronder overheid, defensie, onderzoek, financiën en techniek, voornamelijk in de Verenigde Staten, Saoedi-Arabië en Zuid-Korea. De FalseFont malware biedt de operators externe toegang tot gecompromitteerde systemen, uitvoering van bestanden en bestandsoverdracht naar hun command-and-control (C2) servers. Deze malware werd voor het eerst waargenomen in november 2023. Microsoft benadrukt dat de ontwikkeling en het gebruik van FalseFont overeenkomen met eerdere activiteiten van Peach Sandstorm, wat wijst op een voortdurende verbetering in hun werkwijze. Netwerkverdedigers wordt geadviseerd om wachtwoorden van doelwitaccounts te resetten na password spray-aanvallen en om multi-factor authenticatie (MFA) te gebruiken voor accounts en RDP of Windows Virtual Desktop endpoints. In september waarschuwde Microsoft voor een andere campagne van APT33 gericht op duizenden organisaties wereldwijd, waaronder in de defensiesector, met uitgebreide password spray-aanvallen sinds februari 2023. De aanvallen hebben geleid tot gegevensdiefstal bij een beperkt aantal slachtoffers in de defensie-, satelliet- en farmaceutische sectoren. Naast APT33 zijn wereldwijde defensieagentschappen en -aannemers ook het doelwit geweest van Russische, Noord-Koreaanse en Chinese staatshackers.


Eerste Amerikaanse Financiële Corporatie Getroffen door Cyberaanval

In december 2023 werd First American Financial Corporation, de op een na grootste titelverzekeringsmaatschappij in de Verenigde Staten, getroffen door een cyberaanval. Als reactie heeft het bedrijf sommige van zijn systemen offline gehaald om de impact van deze aanval te beperken. First American, opgericht in 1889 en gevestigd in Californië, biedt financiële diensten en afwikkelingsservices aan kopers en verkopers van onroerend goed, evenals aan vastgoedprofessionals. Met een jaaromzet van $7,6 miljard en meer dan 21.000 werknemers, is het bedrijf een grote speler in de Amerikaanse vastgoedsector. In november 2023 betaalde First American een boete van $1 miljoen om schendingen van de cybersecurity-regelgeving van het New York Department of Financial Services te schikken. Deze schendingen stammen uit een datalek in mei 2019, waarbij een kwetsbaarheid in hun EaglePro-applicatie werd ontdekt. Via deze kwetsbaarheid kon iedereen met een link toegang krijgen tot documenten die niet alleen hun eigen informatie bevatten, maar ook die van ongerelateerde transacties. Fidelity National Financial, een andere Amerikaanse titelverzekeringsaanbieder, rapporteerde vorige maand ook een cyberveiligheidsincident. Het bedrijf ondernam stappen om de impact te beperken, waaronder het blokkeren van toegang tot bepaalde systemen. Hoewel details schaars zijn, is bekend dat de aanvallers bepaalde inloggegevens hebben verkregen na toegang tot de systemen van Fidelity National Financial. De ALPHV/BlackCat ransomware-bende beweerde verantwoordelijk te zijn voor deze inbraak. Deze incidenten benadrukken de kwetsbaarheid van financiële en verzekeringsbedrijven voor cyberaanvallen en het belang van robuuste cybersecurity-maatregelen in deze sector. [1, 2, 3]


BidenCash Darkweb Markt Geeft 1,9 Miljoen Gestolen Creditcards Gratis Weg

BidenCash, een darkweb marktplaats gelanceerd in 2022, geeft 1,9 miljoen gestolen creditcards gratis weg ter promotie. De site verkoopt wereldwijd gestolen credit- en debetkaartgegevens, verkregen via phishing of skimmers, voor prijzen vanaf $0,15. De site controleert de geldigheid van de kaarten en is populair onder cybercriminelen. Dit is het vierde gratis lek sinds oktober 2022, waarbij het totaal op meer dan 5 miljoen gelekte kaarten komt. Echter, veel kaarten in de gratis pakketten zijn niet geldig of verlopen. De huidige lek bevat kaartnummers, vervaldatums en CVVs, met een verhoogd risico voor kaarthouders en potentieel misbruik in oplichting. De validiteit van de gelekte data is niet bevestigd. BidenCash blijft actief in 2023 ondanks een algemene marktdaling. Om risico's te minimaliseren, wordt aangeraden om alleen bij betrouwbare winkeliers te kopen en gebruik te maken van digitale betalingsmethoden of eenmalige privékaarten, gecombineerd met tweefactorauthenticatie.


Waarschuwingen uit Duitsland en Frankrijk: Risico's van Videogebaseerde Identificatie

De Duitse en Franse overheden hebben recent gewaarschuwd voor de gevaren van videogebaseerde identificatiemethoden. Deze waarschuwing volgt op de toenemende trend waarbij bedrijven en diensten online identificatieprocessen implementeren, vaak gebruikmakend van video. Deze methode brengt echter aanzienlijke risico's met zich mee, met name in het licht van potentiële fraude en identiteitsdiefstal. De belangrijkste zorg is de authenticiteit en overeenstemming van de getoonde identiteitsdocumenten met de persoonlijke kenmerken van de individuen, zoals hun gezicht en vingerafdrukken. Het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI) en het Franse nationale bureau voor beveiliging van informatiesystemen (ANSSI) benadrukken dat deze vorm van identificatie complex en gevoelig voor misbruik is. Criminelen kunnen gestolen identiteiten gebruiken voor doeleinden zoals spionage, sabotage, of financieel gewin. Het door de cyberagentschappen gepubliceerde document over 'Remote Identity Proofing' bevat adviezen voor het toepassen van deze methodes. Het benadrukt het belang van minimaal 720p-videokwaliteit voor het opnemen van gezichten en stelt voor om personen willekeurige opdrachten te laten uitvoeren om manipulatie van het beeldmateriaal te voorkomen. Een ander aandachtspunt is dat identiteitsdocumenten vaak geen visuele beveiligingskenmerken hebben, wat de effectiviteit van foto- of videobased verificatie beperkt.  BSI en ANSSI pleiten voor een grensoverschrijdende methodologie voor het testen van 'remote identity proofing' procedures, die mogelijk geïmplementeerd kan worden onder de Europese Cybersecurity Act via standaarden en certificering. Deze stap zou bijdragen aan een veiligere implementatie van online identificatieprocessen in een tijdperk waarin de digitale identificatie steeds vaker voorkomt. [1]


Androidmalware 'Chameleon': Een Nieuwe Dreiging voor Vingerafdrukbeveiliging

Een recent ontdekte Androidmalware, genaamd 'Chameleon', vormt een ernstige bedreiging voor gebruikers van Android-apparaten. Onderzoekers hebben vastgesteld dat deze malware de biometrische authenticatie, zoals vingerafdruk-ontgrendeling, op besmette toestellen uitschakelt. Gebruikers zijn hierdoor genoodzaakt hun toestel met een pincode, wachtwoord of patroon te ontgrendelen, wat een terugvaloptie is bij het instellen van vingerafdruk-ontgrendeling. Deze omschakeling maakt het voor de malware mogelijk om de pincode van gebruikers te onderscheppen. Dit stelt aanvallers in staat om het apparaat op afstand te ontgrendelen en verschillende soorten fraude te plegen. De malware kan bijvoorbeeld inloggegevens onderscheppen, cookies stelen, en 'Device Takeover' fraude plegen waarbij aanvallers op afstand inloggen om bijvoorbeeld bankfraude te plegen. Een belangrijke tactiek van 'Chameleon' is het uitschakelen van de biometrische authenticatie, wat twee voordelen biedt voor de aanvallers. Ten eerste kunnen ze hiermee de toegangsgegevens van de gebruiker stelen, aangezien de biometrische data niet direct toegankelijk is voor de aanvallers. Ten tweede kunnen ze met de gestolen gegevens het toestel op elk moment op afstand ontgrendelen. Volgens het securitybedrijf ThreatFabric, dat deze malware ontdekte, richt 'Chameleon' zich vooral op gebruikers in Australië, Polen, het Verenigd Koninkrijk en Italië. De malware omzeilt de biometrische beveiliging door het toestel te dwingen terug te vallen op pin-authenticatie. Dit toont aan hoe geavanceerd en bedreigend dergelijke malware kan zijn, vooral als het biometrische beveiligingsmechanismen kan omzeilen. [1]


Waarschuwing voor Neppe F5 BIG-IP Zero-Day E-mails Die Datawissers Verspreiden

De Israel National Cyber Directorate (INCD) heeft gewaarschuwd voor phishing-e-mails die zich voordoen als beveiligingsupdates voor F5 BIG-IP zero-day kwetsbaarheden, maar in werkelijkheid datawissers voor Windows en Linux systemen installeren. Deze aanvallen zijn sinds oktober toegenomen, voornamelijk gericht op Israël door pro-Palestijnse en Iraanse hacktivisten. Een opmerkelijke ontdekking in november was de 'BiBi Wiper', gericht op zowel Linux- als Windows-apparaten, vermoedelijk ontwikkeld door pro-Hamas hacktivisten. De recente phishing-aanval gebruikt e-mails die waarschuwen voor een zero-day kwetsbaarheid in F5 BIG-IP apparaten, met het verzoek om een beveiligingsupdate te downloaden om netwerkinbreuken te voorkomen. De e-mails bevatten een uitvoerbaar bestand genaamd F5UPDATER.exe voor Windows-gebruikers en een shell-script genaamd update.sh voor Linux-gebruikers. Wanneer geactiveerd, proberen deze programma's een F5-beveiligingsupdate na te bootsen, inclusief het weergeven van het F5-logo. De datawissers werken door een bericht naar een Telegram-kanaal te sturen en proberen vervolgens alle gegevens van de computer te wissen. Echter, tijdens tests bleek de Windows-wisser niet alle gegevens te verwijderen. De Linux-versie gebruikt programma's zoals xfsprogs, wipe en parted om gebruikers te verwijderen en hun thuismappen en besturingssysteembestanden te wissen, gevolgd door een herstart om de partitiewijzigingen door te voeren. Deze datawissers vormen een ernstig probleem voor Israël, vaak gebruikt in destructieve aanvallen om de bedrijfsvoering en economie te verstoren. Het advies is om bestanden alleen te downloaden van e-mails die afkomstig zijn van een vertrouwde en bevestigde bron en om beveiligingsupdates rechtstreeks van de hardwareleverancier te downloaden, niet via derden. [1, 2]


Misbruik van Twitter-functie door Crypto-oplichters

Cryptocurrency oplichters misbruiken een functie op Twitter om zich voor te doen als bekende accounts. Deze techniek maakt gebruik van de structuur van Twitter-URL's, waarbij het aanpassen van de accountnaam in de URL de gebruiker omleidt naar een ander account. Dit wordt ingezet om neppe crypto-giveaways, frauduleuze websites en Telegram-kanalen te promoten, met als doel cryptovaluta en NFT's te stelen. De oplichters richten zich vaak op accounts gerelateerd aan cryptocurrencies zoals Binance en Ethereum. Hoewel Twitter een kwaliteitsfilter biedt om dergelijke tweets te filteren, is het nog steeds mogelijk dat gebruikers misleid worden, vooral op mobiele apparaten waar de adresbalk niet zichtbaar is. Aangezien dit een standaardfunctie van Twitter is, is extra waakzaamheid bij het klikken op links essentieel om te voorkomen dat men slachtoffer wordt van dergelijke oplichterij.


Nieuwe Phishingaanval op Instagram Gebruikt Nep-Copyrightinbreuk Meldingen om 2FA te Omzeilen

Een recent ontdekte phishingcampagne richt zich op Instagram-gebruikers door zich voor te doen als een e-mail over auteursrechtinbreuk. Het doel van deze aanval is het stelen van back-upcodes van gebruikers, waarmee hackers de twee-factor-authenticatie (2FA) van het account kunnen omzeilen. 2FA is een beveiligingsfunctie die een extra verificatiestap vereist bij het inloggen op een account. Instagram biedt bij het instellen van 2FA acht-cijferige back-upcodes aan voor het geval de gebruiker geen toegang heeft tot de normale 2FA-methodes, zoals bij verlies van een telefoon of verandering van mobiel nummer. De phishing-e-mails, die doen alsof ze van Meta, het moederbedrijf van Instagram, komen, beweren dat er klachten zijn over auteursrechtschendingen op het Instagram-account van de gebruiker. De ontvangers worden aangemoedigd om op een link te klikken om beroep aan te tekenen, wat hen leidt naar een phishingwebsite. Hier worden ze gevraagd hun gebruikersnaam, wachtwoord en, indien 2FA actief is, hun back-upcodes in te voeren. Deze tactiek is niet nieuw en is eerder gebruikt in aanvallen op Facebook-gebruikers, alsook in campagnes voor de verspreiding van LockBit ransomware en BazaLoader malware. De overtuigende vormgeving en het gevoel van urgentie in de berichten kunnen gebruikers misleiden om hun inloggegevens en back-upcodes te onthullen. Het is essentieel dat back-upcodes privé worden gehouden en veilig worden opgeslagen, net zoals wachtwoorden. Gebruikers moeten worden gewaarschuwd om deze codes niet in te voeren op websites anders dan de officiële Instagram-website of -app. Het artikel benadrukt het belang van waakzaamheid en het herkennen van frauduleuze e-mails om persoonlijke informatie en accounttoegang te beschermen. [1]


Groot Datalek bij Zorgsoftwarebedrijf ESO Solutions (VS) Treft 2,7 Miljoen Patiënten

ESO Solutions, een softwareleverancier voor gezondheidszorgorganisaties en brandweerkorpsen, heeft bekendgemaakt dat gegevens van 2,7 miljoen patiënten zijn blootgesteld als gevolg van een ransomware-aanval. Deze inbreuk vond plaats op 28 september en leidde tot het uitlekken van data voordat de hackers meerdere systemen van het bedrijf versleutelden. Tijdens het onderzoek naar het incident ontdekte ESO Solutions dat de aanvallers toegang hadden tot een computer met gevoelige persoonlijke gegevens. Op 23 oktober bepaalde het bedrijf dat de datalek, veroorzaakt door de ransomware-aanval, patiënten trof die verbonden waren aan hun klanten, waaronder ziekenhuizen en klinieken in de VS. De blootgestelde gegevens omvatten namen, geboortedata, telefoonnummers, patiëntaccount-/medische dossiernummers, soorten verwondingen en diagnoses, behandelingsdata, procedures en socialezekerheidsnummers (SSN). Het precieze type blootgestelde gegevens varieert per individu, afhankelijk van de details die patiënten aan de zorgorganisaties hebben verstrekt en de ontvangen zorgdiensten. ESO Solutions heeft de FBI en de staatsautoriteiten op de hoogte gesteld van het incident. Alle getroffen klanten zijn op 12 december geïnformeerd en sommige van de getroffen ziekenhuizen begonnen in de daaropvolgende dagen met het versturen van meldingen van de inbreuk aan hun patiënten. ESO biedt alle ontvangers van de kennisgeving 12 maanden dekking voor identiteitsbewakingsdiensten via Kroll. Onder de bevestigde zorgverleners die door de ransomware-aanval bij ESO zijn getroffen, bevinden zich Mississippi Baptist Medical Center, Community Health Systems Merit Health Biloxi, Merit Health River Oaks, en nog vele anderen. [1, 2, 3, 4, 5]


Grootschalige Malwarecampagne Steelt Bankgegevens van 50.000 Mensen

In maart 2023 werd een nieuwe malwarecampagne ontdekt die JavaScript-webinjecties gebruikte om bankgegevens te stelen van meer dan 50.000 gebruikers van 40 banken in Noord-Amerika, Zuid-Amerika, Europa en Japan. IBM's beveiligingsteam ontdekte deze bedreiging en merkte op dat de voorbereidingen al vanaf december 2022 aan de gang waren. De aanval werd uitgevoerd via scripts geladen vanaf de server van de aanvaller, gericht op het onderscheppen van inloggegevens en eenmalige wachtwoorden (OTP's) van bankgebruikers. Deze aanpak was bijzonder sluw en ontweek traditionele statische analysecontroles door het gebruik van eenvoudige loader-scripts die dynamische inhoud leverden. Het kwaadaardige script was vermomd als legitieme JavaScript-inhoud en voerde specifieke beveiligingscontroles uit voor de uitvoering. Het script paste zijn gedrag dynamisch aan op basis van instructies van de command-and-control server, met meerdere operationele toestanden om specifieke gegevensdiefstalacties uit te voeren. De campagne vertoonde losse verbanden met DanaBot, een modulaire banktrojan. Gebruikers van online bankdiensten worden geadviseerd om waakzaam te zijn. [1]


De Terrapin-aanval: Een Nieuwe Bedreiging voor OpenSSH-beveiliging

Academische onderzoekers van de Ruhr-Universiteit Bochum hebben een nieuwe aanval, genaamd Terrapin, ontwikkeld die de integriteit van SSH-kanalen compromitteert door het manipuleren van sequentienummers tijdens het handshake-proces. Deze aanval maakt gebruik van zwakheden in het SSH-transportlaagprotocol in combinatie met nieuwere cryptografische algoritmen en versleutelingsmodi die meer dan tien jaar geleden door OpenSSH zijn geïntroduceerd. Terrapin stelt aanvallers in staat om berichten te verwijderen of te wijzigen, wat leidt tot een verlaging van de beveiliging van publieke sleutelalgoritmen en het uitschakelen van verdedigingen tegen timingaanvallen op toetsaanslagen in OpenSSH 9.5. De aanval is bijzonder haalbaar gezien het uitgebreide gebruik van de betreffende versleutelingsmodi, die in 77% van de gevallen worden aangetroffen. Hoewel de aanval specifieke vereisten heeft, zoals een Man-in-the-Middle (MiTM) positie, benadrukken de onderzoekers de ernst ervan in de huidige implementaties van SSH. Meerdere leveranciers werken aan het oplossen van dit beveiligingsprobleem, waarbij een strikte sleuteluitwisseling als mogelijke oplossing wordt voorgesteld. De onderzoekers hebben een Terrapin-kwetsbaarheidsscanner op GitHub gepubliceerd om beheerders te helpen bepalen of een SSH-client of -server kwetsbaar is voor de aanval. [1, 2, 3, pdf]


Rhysida lekt meer dan een terabyte aan interne gegevens van Insomniac Games

De Rhysida ransomware-bende heeft een schat aan interne gegevens van Insomniac Games op zijn darknet-lekwebsite geplaatst nadat de deadline voor losgeld was verstreken. Deze gegevens omvatten in totaal 1,67 terabytes en meer dan 1,3 miljoen bestanden, waaronder veel die lijken toe te behoren aan Insomniac's aankomende Wolverine-videogame. De bende verklaarde in hun lekbericht: "Niet-verkochte gegevens zijn geüpload, gegevensjagers, geniet ervan", en het lijkt erop dat sommige gegevens inderdaad zijn verkocht aan een biedende partij. Slechts 98 procent van de volledige dataset is geüpload. Wat betreft de inhoud van het lek, bevat het een breed scala aan ontwerpmaterialen voor levels en personages, evenals ontwerpfoto's en afbeeldingen - allemaal afkomstig van de Wolverine-game. Ook zijn er bestanden van Insomniac's Spider-Man 2-videogame, interne HR-documenten zoals I-9-werkgeversformulieren en beëindigingsdocumenten, en zelfs interne screenshots van Insomniac's Slack-kanalen. Bijzonder interessant voor fans van X-Men is een publicatieovereenkomst tussen Marvel en Sony Interactive Entertainment, ondertekend door Isaac Perlmutter, de voorzitter van Marvel Entertainment, en Jim Ryan, de president van Sony. De overeenkomst vermeldt de release data van drie aankomende X-Men-games, waarvan de eerste Wolverine is, en de andere twee nog niet bij naam zijn genoemd. Volgens de overeenkomst moet Sony minstens 120 miljoen dollar per titel uitgeven. Rhysida beweert dat Sony en Insomniac specifiek werden aangevallen vanwege hun betrokkenheid bij het maken van dergelijke games, en ze beweren dat ze binnen 20-25 minuten de beheerder van het domein konden overnemen na het hacken van het netwerk. Hoewel Sony een onderzoek heeft gestart, geeft Rhysida aan dat het beter zou zijn als dit onderzoek 'in eigen huis' wordt uitgevoerd. De enige drijfveer voor de aanval was volgens Rhysida geld. De vraag blijft of de paspoorten van het personeel van Insomniac zijn opgenomen in het lek, wat nog moet worden bevestigd. Dit incident benadrukt opnieuw de voortdurende dreiging van ransomware-bendes en de noodzaak voor bedrijven om hun cybersecuritymaatregelen te versterken om dergelijke aanvallen te voorkomen en hun gegevens te beschermen. [1]


FBI Ontwikkelt Decryptietool voor Slachtoffers van ALPHV/BlackCat-ransomware

De FBI heeft een belangrijke doorbraak bereikt in de strijd tegen de beruchte ALPHV/BlackCat-ransomwaregroep. Deze ransomwaregroep, die bekendstaat om zijn destructieve aanvallen en enorme financiële schade aan slachtoffers, is nu het doelwit van een krachtige decryptietool die is ontwikkeld door de Amerikaanse opsporingsdienst. De ALPHV-groep is de op één na meest actieve ransomwaregroep van het afgelopen anderhalf jaar en heeft honderden miljoenen dollars ontvangen van slachtoffers die wanhopig probeerden hun versleutelde bestanden terug te krijgen. De groep maakt gebruik van het 'ransomware-as-a-service' (RaaS) model, waarbij criminelen toegang kunnen krijgen tot ransomware en een deel van hun inkomsten naar de ontwikkelaars gaat. De FBI heeft onthuld dat de groep wereldwijd meer dan duizend slachtoffers heeft gemaakt. Het onderzoek van de FBI heeft geleid tot de inbeslagname van de oude website van de ransomwaregroep, wat een grote klap is voor hun operaties. Tijdens dit onderzoek wist de FBI 946 public/private key paren te bemachtigen die werden gebruikt voor de Tor-sites van ALPHV. Deze sites werden door de ransomwaregroep gebruikt voor communicatie en onderhandelingen met slachtoffers. Een opmerkelijke stap is de ontwikkeling van een decryptietool door de FBI, waardoor meer dan vijfhonderd slachtoffers hun versleutelde systemen kunnen herstellen. Hoe de FBI erin slaagde deze tool te ontwikkelen, is nog niet bekendgemaakt. Daarnaast heeft de Amerikaanse overheid een beloning tot 10 miljoen dollar uitgeloofd voor informatie die kan leiden tot de identificatie en arrestatie van de daders achter de ALPHV/BlackCat-ransomwaregroep. Deze ontwikkeling is een belangrijke stap in de strijd tegen ransomware en biedt hoop voor slachtoffers van deze destructieve cyberdreiging. De FBI en andere autoriteiten blijven vastberaden om cybercriminelen aan te pakken en gerechtigheid te brengen aan degenen die getroffen zijn door ransomware-aanvallen. [1]


Xfinity Rapporteert Gegevensinbreuk na Hack op Citrix-server

In oktober werd Comcast Cable Communications, beter bekend als Xfinity, getroffen door een gegevensinbreuk als gevolg van een hack op een van hun Citrix-servers. Dit incident werd op 18 december 2023 door het bedrijf bekendgemaakt. De aanval vond plaats tussen 16 en 19 oktober, kort nadat Citrix een beveiligingsupdate had uitgebracht voor een kritieke kwetsbaarheid, bekend als Citrix Bleed (CVE-2023-4966). Deze kwetsbaarheid was al sinds eind augustus 2023 actief uitgebuit als een zero-day. Cybersecuritybedrijf Mandiant rapporteerde over deze actieve exploitatie. Na onderzoek ontdekte Xfinity op 16 november dat de aanvallers ook klantgegevens uit hun systemen hadden ontvreemd. De gestolen informatie omvatte gebruikersnamen, gehashte wachtwoorden en voor sommige klanten ook namen, contactinformatie, de laatste vier cijfers van socialezekerheidsnummers, geboortedata en/of geheime vragen en antwoorden. Xfinity is nog bezig met de analyse van deze data. Xfinity heeft klanten gevraagd hun wachtwoorden te resetten om hun accounts te beschermen. Dit gebeurde nadat klanten ongevraagd verzoeken tot wachtwoordherstel ontvingen, zonder uitleg over de reden hiervoor. Het bedrijf benadrukt het belang van tweefactorauthenticatie, iets wat veel Xfinity-klanten reeds gebruiken. Een jaar geleden waren Xfinity-klanten ook al het doelwit van grootschalige 'credential stuffing'-aanvallen, waarbij tweefactorauthenticatie werd omzeild. Gecompromitteerde accounts werden toen gebruikt om wachtwoorden voor andere diensten, zoals crypto-exchanges Coinbase en Gemini, te resetten. Een woordvoerder van Comcast gaf een verklaring aan BleepingComputer waarin werd bevestigd dat de operaties van het bedrijf niet beïnvloed waren door de inbreuk en dat er geen losgeldeis was na het incident. Het bedrijf heeft klanten geïnformeerd over de inbreuk en benadrukt de serieuze benadering ten aanzien van de beveiliging van klantgegevens. [pdf, 1, 2]


VF Corporation Getroffen door Grootse Ransomware-aanval

VF Corporation, een Amerikaanse gigant in de kleding- en schoenenindustrie en eigenaar van bekende merken zoals Supreme, Vans, Timberland en The North Face, heeft een ernstig beveiligingsincident gemeld. Dit incident heeft geleid tot operationele verstoringen bij het bedrijf. VF Corp, gevestigd in Colorado, is een prominente speler in de industrie met 13 wereldwijd erkende merken, 35.000 werknemers en een jaaromzet van 11,6 miljard dollar. Tot hun portefeuille behoren ook merken als Dickies, Eastpak, Kipling, Napapijri, AND1, JanSport, Icebreaker, Altra Running en SmartWool. Op 13 december 2023 werd VF Corp getroffen door een cyberaanval, zoals gemeld in een Form 8-K-verklaring bij de Amerikaanse SEC (Securities and Exchange Commission). Als reactie op ongeautoriseerde toegang op hun netwerk, sloot het bedrijf enkele van zijn systemen af en schakelde externe experts in om de aanval in te dammen. Desondanks slaagden de aanvallers erin om enkele computers van het bedrijf te versleutelen en persoonlijke gegevens te stelen. De exacte impact van de gestolen gegevens op werknemers, leveranciers, wederverkopers, partners of klanten is nog onduidelijk. Hoewel de aanval alle kenmerken van een ransomware-aanval vertoont, is er op het moment van schrijven nog geen verantwoordelijkheid geclaimd door een ransomwaregroep. De impact van het incident op de bedrijfsvoering is aanzienlijk en zal naar verwachting langdurige effecten hebben. VF Corp werkt aan het herstel van de getroffen IT-systemen en implementeert tijdelijke oplossingen om de verstoring van hun vermogen om retail- en merk-e-commerce consumenten en groothandelklanten te bedienen te minimaliseren. Fysieke winkels van het bedrijf zullen wereldwijd normaal functioneren, maar klanten kunnen vertragingen ervaren bij de uitvoering van online bestellingen of moeilijkheden ondervinden bij het plaatsen van bestellingen op sommige e-commerce sites van de genoemde merken. VF Corp beoordeelt nog steeds de volledige omvang van de beveiligingsinbreuk en de potentiële impact op financiën en operaties, vooral tijdens het drukke kerstinkoopseizoen. [1]


❗️Nederlandse Schoonmaakdienst Doelwit van Cybercriminaliteit

Succes Schoonmaak, een Nederlands bedrijf in de schoonmaaksector, is recentelijk het doelwit geworden van een cyberaanval uitgevoerd door de groep bekend als 'PLAY'. De aanvallers hebben hun daad publiekelijk bekendgemaakt op het darkweb op 18 december 2023. Deze aanval benadrukt de voortdurende dreiging die cybercriminelen vormen voor diverse sectoren, inclusief de dienstverlenende sector. Succes Schoonmaak, met de website www.successchoonmaak.nl, is nu een van de vele bedrijven die geconfronteerd worden met de uitdagingen van digitale veiligheid.


Wereldwijde Impact van Play-ransomware: Driehonderd Organisaties Getroffen

Sinds juni vorig jaar zijn ongeveer driehonderd organisaties wereldwijd, waaronder de gemeente Antwerpen, de Nederlandse maritiem dienstverlener Royal Dirkzwager en woningcorporatie Woonkracht10, slachtoffer geworden van de Play-ransomware. Dit is bevestigd door de FBI. De aanvallers maken gebruik van gecompromitteerde accounts en bekende beveiligingslekken, waaronder oude kwetsbaarheden in FortiOS en Microsoft Exchange. Zodra toegang tot een netwerk is verkregen, schakelen de cybercriminelen antivirussoftware uit en verwijderen ze logbestanden om detectie te vermijden. Ze onderscheppen ook inloggegevens, wat hen in staat stelt zich lateraal in het netwerk te verspreiden. Voordat de ransomware wordt uitgerold, stelen de aanvallers eerst diverse bestanden. Indien de getroffen organisatie niet betaalt, dreigt de groep deze gegevens openbaar te maken. In reactie op deze dreiging heeft de FBI een Cybersecurity Advisory uitgebracht waarin organisaties worden opgeroepen om bekende kwetsbaarheden in hun systemen onmiddellijk aan te pakken. De FBI adviseert het inschakelen van multifactorauthenticatie (MFA) voor alle accounts, met name voor VPN, webmail en accounts die toegang hebben tot kritieke systemen. Daarnaast benadrukt de FBI het belang van het tijdig installeren van beveiligingsupdates en het regelmatig scannen op kwetsbaarheden om dergelijke aanvallen te voorkomen. [pdf]

PLAY Victims
PDF – 99,0 KB 17 downloads

❗️Datalek bij EasyPark App: Persoonlijke Gegevens Gestolen

Criminelen hebben persoonlijke gegevens gestolen van gebruikers van de EasyPark-app. Deze gegevens omvatten namen, telefoonnummers, en deels IBAN- of creditcardnummers. EasyPark heeft niet bekendgemaakt om welk type aanval het gaat of hoeveel klanten zijn getroffen. Het bedrijf belooft getroffen klanten te informeren en werkt aan verbeterde beveiligingsmaatregelen met externe experts. Het incident is gemeld bij de Autoriteit Persoonsgegevens en andere toezichthouders. Gebruikers in meer dan twintig landen, inclusief Nederland, zijn door het datalek getroffen. [1]


Groot Datalek bij Hypotheekverstrekker Mr. Cooper Treft 14,7 Miljoen Klanten

In november 2023 werd hypotheekverstrekker Mr. Cooper, voorheen bekend als Nationstar Mortgage LLC, getroffen door een ernstige cyberaanval. Het incident, ontdekt op 31 oktober 2023, leidde tot de blootstelling van persoonlijke gegevens van maar liefst 14,7 miljoen klanten. Mr. Cooper, gevestigd in Dallas en een van de grootste hypotheekdienstverleners in de VS, was genoodzaakt om alle IT-systemen, inclusief het online betalingsportaal, tijdelijk stil te leggen. De onthulling van deze datalek kwam een week na de eerste melding van de inbraak. Hoewel financiële informatie naar verluidt niet is gecompromitteerd, zijn gevoelige klantgegevens zoals volledige namen, thuisadressen, telefoonnummers, Social Security-nummers, geboortedata en bankrekeningnummers wel blootgesteld. Deze datalek brengt de betrokken individuen in gevaar voor phishing, oplichting en sociale manipulatie. Ook bestaat er een risico op bankfraude en identiteitsdiefstal door de blootgestelde bankgegevens. Mr. Cooper heeft snel gereageerd om het incident aan te pakken, onder meer door systemen te vergrendelen, wachtwoorden te wijzigen en hun systemen te herstellen. De firma voert een gedetailleerd onderzoek uit om te bepalen welke persoonlijke gegevens zijn aangetast en houdt de donkere webactiviteiten in de gaten om verder misbruik van de gelekte gegevens te voorkomen. Als reactie heeft Mr. Cooper klanten die getroffen zijn door het datalek gewaarschuwd en hen aangemoedigd waakzaam te blijven tegen ongevraagde communicatie. Bovendien biedt het bedrijf een 24 maanden durende identiteitsbeschermingsdienst aan. Tot op heden zijn er geen verdere details bekendgemaakt over het soort cyberaanval of eventuele betrokkenheid van ransomwarebendes. [1, 2]


Cybercriminelen Exploiteren Google Nieuws Advertenties voor Fraude

Recent onderzoek heeft aan het licht gebracht dat cybercriminelen Google Nieuws advertenties misbruiken voor oplichtingsdoeleinden. Deze oplichters richten zich op het lokken van nietsvermoedende gebruikers naar nagemaakte websites die lijken op legitieme nieuwssites. Dit fenomeen verhoogt niet alleen het risico op financiële fraude, maar vormt ook een bedreiging voor de verspreiding van desinformatie. Sinds 2019 biedt Google bedrijven de mogelijkheid om te adverteren in hun gepersonaliseerde nieuwsoverzicht. Dit wordt echter misbruikt door fraudeurs. Ze plaatsen advertenties die gebruikers omleiden naar vervalste websites, waar vaak frauduleuze investeringsschema's, zoals in cryptovaluta, worden gepromoot. Slachtoffers worden verleid met beloftes van hoge rendementen, wat leidt tot financiële verliezen. De meeste van deze frauduleuze advertenties zijn gekocht door partijen uit China. Wanneer iemand op deze advertenties klikt, wordt diegene doorverwezen naar een pagina die lijkt op een echte nieuwsbron, maar in werkelijkheid een valse is. De problematiek wordt verder verergerd doordat Google moeite heeft om deze malafide advertenties effectief te identificeren en te verwijderen. Ondanks de inspanningen van Google, waaronder het verwijderen van miljarden advertenties en het opschorten van miljoenen adverteerdersaccounts, blijft het een uitdaging. Oplichters maken gebruik van technieken zoals 'cloaking', waarbij de inhoud van een website verandert afhankelijk van hoe de bezoeker op de site terechtkomt. Deze situatie wordt door Google erkend als een voortdurende strijd. Het bedrijf benadrukt het belang van het melden van schadelijke advertenties door gebruikers. Door op het informatie-icoontje in een advertentie te klikken, kunnen gebruikers helpen bij het bestrijden van deze vorm van cybercriminaliteit. [1]


Phishingaanvallen op Kinsta-gebruikers via Google Ads

Kinsta, een WordPress hostingprovider, waarschuwt klanten voor phishingaanvallen die worden uitgevoerd via Google Ads. Deze aanvallen richten zich op het stelen van inloggegevens van MyKinsta-gebruikers. De aanvallers maken misleidende websites die lijken op de officiële Kinsta-sites. Kinsta benadrukt het belang van waakzaamheid en het gebruik van tweefactorauthenticatie. Ze adviseren klanten om direct naar de officiële MyKinsta-website te gaan en geen verdachte links te volgen. De aanpak van deze dreiging omvat actieve opsporing en verwijdering van de nepwebsites door Kinsta. Dit incident maakt deel uit van een groeiende trend waarbij Google Ads gebruikt worden voor kwaadaardige doeleinden. [1]


Rhadamanthys Stealer Malware: Geëvolueerd met Krachtigere Functies

De Rhadamanthys Stealer malware, een informatie-stelende software, heeft recent twee belangrijke updates gekregen, waardoor het krachtigere diefstalcapaciteiten en betere ontwijkingsmechanismen heeft. Sinds de introductie in augustus 2022, is deze C++ malware actief verbeterd en biedt nu nieuwe plugins voor maatwerk in distributie. Een opmerkelijke plugin, 'Data Spy', richt zich op het stelen van RDP-inloggegevens. Check Point's analyse toont aan dat Rhadamanthys zich snel ontwikkelt, met nieuwe versies die steeds verfijnder en aantrekkelijker worden voor cybercriminelen. [1]


QakBot Malware Herrijst: Nieuwe Campagne Richt Zich op Horeca

In een recente ontwikkeling is QakBot, ook bekend als Qbot, een kwaadaardige software, opnieuw opgedoken. Deze malware, oorspronkelijk ontstaan in 2008 als een banking trojan, richt zich nu vooral op de horeca-industrie via geavanceerde phishing-campagnes. Ondanks een succesvolle onderbreking door internationale wetshandhaving in de zomer, waarbij de infrastructuur van de botnet werd ontregeld, heeft QakBot zich hersteld en is weer actief. De comeback van QakBot werd onlangs opgemerkt door Microsoft, die waarschuwde voor een phishing-campagne die zich voordoet als een e-mail van een IRS-medewerker. De e-mails bevatten een PDF-bestand dat lijkt op een gastenlijst, maar in werkelijkheid dient het als een lokaas om de QakBot-malware te installeren. Bij het downloaden van dit bestand wordt een MSI-bestand geïnstalleerd dat de kwaadaardige QakBot DLL in het geheugen van het apparaat laadt. Deze nieuwe versie van QakBot, die door beveiligingsonderzoekers als 'versie 0x500' wordt aangeduid, vertoont enkele kleine wijzigingen ten opzichte van eerdere versies, zoals het gebruik van AES-encryptie voor het decoderen van strings. Deze aanpassingen wijzen erop dat de malware nog steeds in ontwikkeling is en bevat enkele ongebruikelijke bugs. QakBot is berucht om zijn vermogen om zich te verspreiden via gevarieerde phishing-tactieken, zoals het kapen van e-mailconversaties en het verzenden van malafide bijlagen of links. Eenmaal geïnstalleerd, injecteert de malware een DLL in legitieme Windows-processen en werkt onopvallend op de achtergrond, waarbij het extra payloads uitrolt. Het is belangrijk voor beheerders en gebruikers om waakzaam te blijven voor dergelijke phishing-e-mails en preventieve maatregelen te nemen tegen deze geavanceerde cyberdreiging. QakBot heeft in het verleden samengewerkt met meerdere ransomware-operaties, waardoor het een significante bedreiging vormt voor zowel individuen als organisaties. [1]


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten

Februari 2024
Januari 2024