Overzicht van slachtoffers cyberaanvallen week 52-2023

Gepubliceerd op 1 januari 2024 om 15:00

EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


In de afgelopen week heeft de wereldwijde gemeenschap van bedrijven, overheidsinstanties en onderwijsinstellingen een aanzienlijk aantal cyberaanvallen en datalekken ervaren, waarbij de impact varieert van financiële verliezen tot ernstige schendingen van de privacy. Deze incidenten benadrukken de voortdurende bedreiging van cybercriminaliteit en de noodzaak voor organisaties om hun cybersecurity-maatregelen voortdurend te herzien en te versterken.

Een opvallend incident betrof Xerox, waar een cybersecurity-incident bij hun XBS-subsidiaria aan het licht kwam. Tegelijkertijd is er goed nieuws voor slachtoffers van de Black Basta ransomware, dankzij een nieuwe ontsleutelingstool. In de gamingwereld werd Steam getroffen, waarbij een game mod werd gehackt om wachtwoord-stelende malware te verspreiden. Panasonic Avionics onthulde ook een datalek na een cyberaanval in december 2022.

In Nederland werd het chemisch bedrijf Walkro.eu het doelwit van een LockBit cyberaanval, wat de kwetsbaarheid van de Nederlandse industrie onderstreept. In Duitsland werden IT-systemen van drie ziekenhuizen in Ostwestfalen getroffen, evenals het bedrijf Bluebrixx.

In Frankrijk rapporteerde Colipays een cyberaanval, terwijl in de Verenigde Staten meerdere incidenten plaatsvonden, waaronder bij Lower Valley Energy, de Ohio Loterij, en een groot datalek bij LoanCare, wat 1,3 miljoen mensen trof. Integris Health werd ook getroffen, wat leidde tot afpersing van patiënten.

In Australië werden Eagers Automotive en de Universiteit Innsbruck getroffen, waarbij 23.000 studentengegevens gecompromitteerd werden. Ook St Vincent’s Health Australia en Yakult Australia werden getroffen, met een grootschalig datalek tot gevolg.

Andere opmerkelijke aanvallen en dreigingen waren de aanval op het Albanese parlement, een datalek bij EasyPark (Parkmobile), en een kwetsbaarheid in Apache OFBiz. Bovendien werd de blockchain ontwikkelaar beroofd via een LinkedIn-scam en vonden geavanceerde spear-phishing aanvallen plaats op Russische bedrijven.

Dreigingen zoals Scam-as-a-Service en nieuwe zeroday exploits zetten organisaties wereldwijd onder druk. Ook was er nieuws over de uitgelekte broncode van GTA 5, een jaar na de hack van de Lapsus$ groep op RockStar.

De tellerstand van het aantal organisaties waarvan gegevens op het darkweb zijn gelekt, staat momenteel op 11.861, wat de ernst en de omvang van het probleem onderstreept.

Hieronder vindt u het volledige overzicht van de cyberaanvallen van de afgelopen week.



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
The ???? G???? PLAY Unknown USA Unknown 30-dec-23
W?? PLAY Unknown USA Unknown 30-dec-23
M?????n C?????? PLAY Unknown USA Unknown 30-dec-23
Keyser Mason Ball PLAY www.kmblaw.com Canada Legal Services 30-dec-23
Xerox Corp INC Ransom xerox.com USA Machinery, Computer Equipment 30-dec-23
Kenya Airways RansomEXX www.kenya-airways.com Kenya Transportation By Air 30-dec-23
Clearwinds BlackCat (ALPHV) www.clearwinds.net USA IT Services 30-dec-23
contimade.cz LockBit contimade.cz Czech Republic Construction 30-dec-23
eagersautomotive.com.au LockBit eagersautomotive.com.au Australia Automotive Dealers 30-dec-23
Erbilbil Bilgisayar BlackCat (ALPHV) www.erbilbilgisayar.com Turkiye IT Services 29-dec-23
Okada Manilla BlackCat (ALPHV) okadamanila.com Philippines Lodging Places 29-dec-23
Banco Promerica de la República Dominicana RansomHouse www.promerica.com.do Dominican Republic Depository Institutions 29-dec-23
krijnen.be LockBit krijnen.be Belgium Furniture 29-dec-23
bellgroup.co.uk Cactus bellgroup.co.uk United Kingdom Construction 29-dec-23
coop.se Cactus coop.se Sweden Food Stores 29-dec-23
tridon.com.au Cactus tridon.com.au Australia Wholesale Trade-durable Goods 29-dec-23
Nej Inc BlackCat (ALPHV) www.nejinc.com USA Wholesale Trade-non-durable Goods 29-dec-23
americanalarm.com Black Basta americanalarm.com USA Business Services 28-dec-23
Northland Mechanical Contractors BianLian northland-mn.com USA Machinery, Computer Equipment 28-dec-23
gdi.com Cactus gdi.com USA Management Services 28-dec-23
bachoco.com.mx Cactus bachoco.com.mx Mexico Food Products 28-dec-23
pbssystems.com Cactus pbssystems.com Canada IT Services 28-dec-23
Wesgar Inc. BlackCat (ALPHV) www.wesgar.com Canada Fabricated Metal Products 28-dec-23
CVR Associates PLAY www.cvrassociates.com USA Real Estate 28-dec-23
hoffmanestates.org LockBit hoffmanestates.org USA General Government 28-dec-23
Ohio Lottery DragonForce ohiolottery.com USA Amusement And Recreation Services 27-dec-23
EPS.RS Qilin eps.rs Serbia Electrical 27-dec-23
Aura Engineering, LLC BlackCat (ALPHV) aura-engineering.com USA Engineering Services 27-dec-23
FIRST 5 Santa Clara County BlackCat (ALPHV) www.first5kids.org USA Social Services 27-dec-23
Lake of the Woods County MEOW LEAKS www.co.lake-of-the-woods.mn.us USA General Government 27-dec-23
Ultra Intelligence & Communications BlackCat (ALPHV) www.ultra-ic.com USA IT Services 27-dec-23
richmont.edu LockBit richmont.edu USA Educational Services 26-dec-23
coaxis.com LockBit coaxis.com France IT Services 26-dec-23
M********org Cloak Unknown USA Unknown 26-dec-23
Ma******.com Cloak Unknown USA Unknown 26-dec-23
smbw.com.au LockBit smbw.com.au Australia Transportation Equipment 26-dec-23
Flash Motors RansomedVC flashmotors.us Cyprus Transportation Equipment 26-dec-23
Tshwane University of Technology Rhysida www.tut.ac.za South Africa Educational Services 26-dec-23
Abdali Hospital Rhysida www.abdalihospital.com Jordan Health Services 25-dec-23
Blaine County Schools BLACK SUIT www.blaineschools.org USA Educational Services 25-dec-23
PC Market STORMOUS pcmarket.uz Uzbekistan Home Furniture, Furnishings, And Equipment Stores 25-dec-23
International Electronic Machines Corp Akira www.iem.net USA Measuring, Analyzing, Controlling Instruments 25-dec-23
hendelsinc.com LockBit hendelsinc.com USA Pipelines 25-dec-23
co.pickens.sc.us LockBit co.pickens.sc.us USA General Government 25-dec-23
walkro.eu LockBit walkro.eu Netherlands Chemical Producers 25-dec-23
ontariopork.on.ca LockBit ontariopork.on.ca Canada Agriculture Production Livestock And Animal Specialties 25-dec-23
coastalplainsctr.org LockBit coastalplainsctr.org USA Health Services 25-dec-23
zrvp.ro LockBit zrvp.ro Romania Legal Services 25-dec-23
tecnifibre.com LockBit tecnifibre.com France Miscellaneous Manufacturing Industries 25-dec-23
Davis Cedillo and Mendoza Inc 8BASE www.lawdcm.com USA Legal Services 25-dec-23

Slachtoffers België en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
krijnen.be LockBit krijnen.be Belgium Furniture 29-dec-23
walkro.eu LockBit walkro.eu Netherlands Chemical Producers 25-dec-23
Meetmoment Aantal organisaties waar data van gelekt is op het darkweb
01-05-2019 (eerste slachtoffer) 1
01-05-2020 85
01-05-2021 2.167
01-05-2022 5.565
01-05-2023 8.292
01-01-2024 om 11:09 11.861

Aantal organisaties waarvan alle gegevens gelekt zijn op het darkweb

In samenwerking met StealthMol

Sponsor Cybercrimeinfo


Cyberaanvallen nieuws


Xerox Ondervindt Cybersecurity Incident bij XBS Subsidiaria

Onlangs heeft XBS, een dochteronderneming van Xerox, een cybersecurity incident meegemaakt. Dit incident werd ontdekt en ingeperkt door de cybersecurity personeel van Xerox. Er is een actieve samenwerking met externe cybersecurity experts om een grondig onderzoek naar dit voorval uit te voeren. De nodige stappen worden ondernomen om de IT-omgeving van XBS verder te beveiligen. Belangrijk is dat dit incident geen impact heeft gehad op de bedrijfssystemen, operaties of data van Xerox zelf, en evenmin op de operaties van XBS. Uit een voorlopig onderzoek blijkt echter dat beperkte persoonlijke informatie binnen de XBS-omgeving mogelijk is beïnvloed. Volgens het beleid en de standaardprocedures van het bedrijf zullen alle betrokken personen worden genotificeerd, zoals vereist. De bescherming en privacy van klant-, partner- en werknemersgegevens hebben de hoogste prioriteit bij Xerox. Er zijn nog geen details vrijgegeven over de aard van het incident of over de specifieke persoonlijke gegevens die mogelijk zijn gecompromitteerd. Verdere informatie kan in de toekomst worden verstrekt, afhankelijk van de resultaten van het onderzoek en de ontwikkelingen in deze zaak. [1]


Scam-as-a-Service Bedreigt Crypto Portemonnees met Geavanceerde Phishing Aanvallen

Cybersecurity onderzoekers waarschuwen voor een toename in phishingaanvallen die cryptocurrency portemonnees legen. Deze aanvallen richten zich op diverse blockchain netwerken zoals Ethereum, Binance Smart Chain, Polygon, Avalanche en bijna 20 andere. Het gebruik van een techniek om crypto portemonnees te legen staat centraal in deze dreiging. Een prominente groep binnen deze trend is de phishinggroep "Angel Drainer", die een "scam-as-a-service" aanbiedt. Hierbij leveren zij wallet-draining scripts en andere diensten in ruil voor een percentage van het gestolen bedrag, meestal 20% of 30%. Een soortgelijke service, "Inferno Drainer", kondigde in november 2023 aan zijn operaties te staken na het helpen van oplichters om meer dan $70 miljoen aan crypto te stelen van 103.676 slachtoffers sinds eind 2022. Deze diensten makengebruik van crypto-draining kits die ontworpen zijn om illegaal cryptocurrency te transfereren van slachtoffers' portemonnees zonder hun toestemming. Dit gebeurt vaak via airdrop of phishing scams, waarbij slachtoffers worden misleid om hun portemonnees te verbinden met valse websites. Deze websites worden verspreid via malvertising schema's of ongevraagde e-mails en berichten op sociale media. Een specifiek voorbeeld van zo'n scam werd eerder deze maand door Scam Sniffer gedetailleerd. Hierbij werden gebruikers via valse advertenties voor cryptocurrency platforms op Google en X (voorheen Twitter) omgeleid naar dubieuze sites die fondsen uit digitale portemonnees draineerden. De gebruiker wordt verleid om te interageren met een kwaadaardig smart contract, wat leidt tot diefstal van tokens zonder verdere interactie van de gebruiker. Om het risico van dergelijke scams te verminderen, wordt gebruikers aangeraden hardware portemonnees te gebruiken voor verbeterde beveiliging, de legitimiteit van smart contracts te verifiëren en periodiek wallet-toelagen te controleren op tekenen van verdachte activiteit. [1]


Black Basta Ransomware Ontsleuteld: Nieuwe Tool Biedt Oplossing voor Slachtoffers

Onderzoekers hebben een ontsleutelaar ontwikkeld die een fout in de Black Basta ransomware uitbuit, waardoor slachtoffers hun bestanden kosteloos kunnen herstellen. De 'Black Basta Buster' ontsleutelaar, gecreëerd door Security Research Labs (SRLabs), maakt gebruik van een zwakte in het encryptiealgoritme van de ransomware. Dit stelt hen in staat om de ChaCha-keystream te ontdekken die wordt gebruikt voor de XOR-encryptie van een bestand. De ontsleutelaar werkt voor slachtoffers van Black Basta vanaf november 2022 tot de huidige maand. Echter, de ontwikkelaars van Black Basta hebben ongeveer een week geleden de bug in hun encryptieroutine gerepareerd, waardoor deze decryptietechniek niet meer bruikbaar is voor nieuwere aanvallen. Bestanden kleiner dan 5000 bytes kunnen niet worden hersteld, maar voor bestanden tussen 5000 bytes en 1GB is volledig herstel mogelijk. Voor bestanden groter dan 1GB gaan de eerste 5000 bytes verloren, maar de rest kan worden hersteld. Bij de encryptie van een bestand door Black Basta wordt de inhoud XOR-versleuteld met een 64-byte keystream, gemaakt met het XChaCha20-algoritme. Bij encryptie van een bestand met enkel nullen wordt de XOR-sleutel zelf in het bestand geschreven, waardoor de encryptiesleutel kan worden teruggehaald. Dit biedt de mogelijkheid om het hele bestand te ontsleutelen. Virtuele machine schijven kunnen meestal worden ontsleuteld, omdat ze een groot aantal 'zero-byte' secties bevatten. SRLabs merkt op dat zelfs als bestanden geen grote zero-byte chunks bevatten, het nog steeds mogelijk kan zijn om bestanden te herstellen als u een oudere onversleutelde versie met vergelijkbare gegevens hebt. SRLabs heeft een collectie Python-scripts uitgebracht, genaamd Black Basta Buster, om bestanden onder verschillende scenario's te ontsleutelen. Het script 'decryptauto.py' probeert automatisch de sleutel op te halen en te gebruiken voor het ontsleutelen van het bestand. Dit script werkt echter alleen voor Black Basta-versies vanaf november 2022 tot ongeveer een week geleden. Voor oudere versies die de extensie .basta toevoegden aan versleutelde bestanden, is dit hulpmiddel niet bruikbaar. De Black Basta ransomware-groep startte zijn operaties in april 2022 en voerde dubbele afpersingsaanvallen uit op bedrijven. In juni 2022 ging Black Basta een samenwerking aan met de QBot-malwareoperatie om toegang te verkrijgen tot bedrijfsnetwerken en om uiteindelijk versleutelaars te implementeren. De groep wordt ook gelinkt aan de FIN7-hackergroep, bekend als Carbanak. [1, 2]


Nieuwe Zeroday Exploit Bedreigt Google Accounts door OAuth2 Omzeiling

Hackers hebben een geavanceerde methode ontwikkeld om het OAuth2 autorisatieprotocol te omzeilen, waardoor Google accounts kwetsbaar zijn geworden. Deze ontdekking, gepubliceerd door cybersecuritybureau CloudSEK, wijst op een ernstige bedreiging voor gebruikers van Google's diensten. De exploit maakt gebruik van het regenereren van geldige sessiecookies, wat hackers toegang geeft tot Google accounts, ongeacht of het wachtwoord is veranderd. OAuth2, bekend als 'Open Authorization 2.0', is een gangbaar protocol voor het beveiligen en autoriseren van toegang tot online diensten. Gebruikers loggen normaal in via hun sociale media accounts, zoals Google of Facebook. Echter, CloudSEK's beveiligingsonderzoekers ontdekten dat het mogelijk is om via Google's OAuth endpoint 'MultiLogin' verlopen sessiecookies te herstellen. Dit levert toegang op tot Google accounts, zelfs na wachtwoordwijzigingen door de eigenaar. De kwetsbaarheid werd eerst gebruikt in de Lumma Infostealer malware, die twee hoofdfuncties heeft: sessies behouden en cookies recreëren via tokenmanipulatie. Deze malware richt zich specifiek op Google Chrome's token_service tabel, om sessietokens en account ID's van ingelogde Chrome-profielen te exfiltreren. Naast Lumma zijn er meerdere Infostealer-varianten waargenomen, waaronder Rhadamanthys, Stealc, Medua, RisePro en Whitesnake. Deze trend van het snel integreren van zeroday exploits in Infostealer-malware baart onderzoekers zorgen. De exploitatietechnieken tonen een verfijnd begrip van Google's interne authenticatiemechanismen. De ontdekker van deze exploit, een hacker genaamd PRISMA, openbaarde in oktober via Telegram zijn vondst. PRISMA stelde een samenwerking voor, maar kreeg geen respons. Tot dusver heeft Google nog niet gereageerd op vragen van de media over deze kwetsbaarheid. Deze ontwikkeling onderstreept de noodzaak voor continue waakzaamheid en geavanceerde beveiligingsmaatregelen om gebruikersaccounts en gegevens te beschermen tegen dergelijke geavanceerde aanvallen. [1]


Cybersecurity Incident bij Lower Valley Energy

Op 28 december 2023 heeft Lower Valley Energy (VS), een energieleverancier in Afton, Wyoming, een cybersecurity incident vastgesteld. Direct na de ontdekking schakelde het bedrijf een gespecialiseerd advocatenkantoor en forensische experts in voor onderzoek. Lower Valley Energy benadrukt hun toewijding aan het beschermen van persoonlijke informatie, met ingevoerde maatregelen zoals firewalls en offsite opslag. Tot op heden is er geen bewijs dat persoonlijke informatie is aangetast. Het bedrijf blijft de beveiliging en betrouwbaarheid van hun diensten waarborgen en investeert in geavanceerde technologieën om de veerkracht van het netwerk tegen cyberdreigingen te versterken. [1]


Cyberaanvallen Raken Albanese Parlement en Telecombedrijf One Albania

In de laatste week van 2023 zijn het Albanese Parlement en het telecombedrijf One Albania het doelwit geworden van cyberaanvallen. Deze onthulling kwam van de Nationale Autoriteit voor Elektronische Certificering en Cyberveiligheid (AKCESK) van Albanië. AKCESK benadrukte dat de getroffen infrastructuren onder de huidige wetgeving niet geclassificeerd zijn als kritieke of belangrijke informatie-infrastructuur. One Albania, met bijna 1,5 miljoen abonnees, meldde op 25 december via Facebook dat het incident zonder problemen was afgehandeld en dat hun diensten, waaronder mobiel, vaste lijn en IPTV, onaangetast bleven. AKCESK voegde eraan toe dat de aanvallen niet vanuit Albanese IP-adressen kwamen en dat zij in staat waren potentiële gevallen in realtime te identificeren. De inspanningen van de autoriteiten richten zich nu op het identificeren van de bron van de aanvallen, het herstellen van gecompromitteerde systemen en het implementeren van beveiligingsmaatregelen om toekomstige incidenten te voorkomen. Ook heeft dit incident AKCESK ertoe aangezet hun cyberbeveiligingsstrategieën te herzien en te versterken. De exacte omvang en reikwijdte van de aanvallen zijn momenteel niet bekend. Een Iraanse hackersgroep, genaamd Homeland Justice, heeft via hun Telegramkanaal de verantwoordelijkheid opgeëist voor de aanvallen. Ze beweerden ook de nationale luchtvaartmaatschappij Air Albania te hebben gehackt. In een bericht op hun website verklaarde de groep dat ze terug waren "om de aanhangers van terroristen te vernietigen". Deze recente aanvallen volgen op destructieve cyberaanvallen die medio juli 2022 op Albanese overheidsdiensten werden gericht, waarvoor Homeland Justice eveneens de verantwoordelijkheid opeiste. Als gevolg van die aanvallen legde de Amerikaanse regering sancties op aan het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS) en hun minister van Inlichtingen, Esmail Khatib, voor het uitvoeren van cyberactiviteiten tegen de VS en haar bondgenoten. [1, 2, 3]


Colipays (FR) Getroffen door Cyberaanval

Colipays, een bedrijf gespecialiseerd in het verzenden van producten, is recentelijk het slachtoffer geworden van een cyberaanval. Deze aanval heeft geleid tot verstoringen in hun logistieke operaties, met als gevolg dat klanten hun betaalde bestellingen niet hebben ontvangen. De cyberaanval veroorzaakte veranderingen in de bezorgadressen, wat leidde tot leveringsvertragingen. Colipays heeft uit voorzorg hun website tijdelijk gesloten om hun beveiligingssystemen dubbel te controleren en klantgegevens te beschermen. Het bedrijf heeft een klacht ingediend en werkt aan het verzamelen van bewijs tegen de daders. Colipays belooft compensatie voor getroffen klanten en heeft een speciaal e-mailadres opgezet voor het melden van verdachte activiteiten. De beveiliging van hun systemen is versterkt om herhaling te voorkomen. [1]


Steam Game Mod Gehackt voor Verspreiding van Wachtwoord-Stelende Malware

De Downfall-mod voor het spel 'Slay the Spire' werd op Eerste Kerstdag gehackt, waarbij Epsilon-malware werd verspreid via Steam's updatesysteem. Deze malware verzamelt gevoelige informatie zoals wachtwoorden en creditcardgegevens. Het incident kwam aan het licht toen een ontwikkelaar van de mod door malware werd getroffen. De aanvallers verkregen toegang tot Steam- en Discord-accounts van de ontwikkelaars, wat leidde tot de verspreiding van de malware. Gebruikers van Downfall worden geadviseerd om hun belangrijke wachtwoorden te wijzigen, vooral die zonder tweefactorauthenticatie. Steam heeft als reactie hierop de beveiligingsmaatregelen aangescherpt. [1, 2]


Grootschalige Datalek bij EasyPark (Parkmobile) Kan Miljoenen Gebruikers Raken

EasyPark, een Zweedse ontwikkelaar van parkeerapps, heeft een datalek aangekondigd dat op 10 december 2023 werd ontdekt. Dit lek zou een onbekend aantal van de miljoenen gebruikers kunnen beïnvloeden. De EasyPark-app, voornamelijk gericht op Europa, heeft meer dan 10 miljoen downloads op Google Play, terwijl de andere apps van het bedrijf, RingGo (UK-gericht) en ParkMobile (VS-gericht), elk 5 miljoen installaties hebben. In 2021 werd bij ParkMobile een groot datalek gemeld waarbij gegevens van 21 miljoen klanten werden blootgesteld. Deze gegevens kwamen uiteindelijk terecht op een hackersforum.

Hoewel de woordvoerder van EasyPark geen details heeft gegeven over het aantal getroffen klanten, is bevestigd dat een deel van de Europese gebruikers is getroffen. De volgende klantgegevens kunnen zijn gecompromitteerd, afhankelijk van wat aan het platform is verstrekt:
- Naam
- Telefoonnummer
- Fysiek adres
- E-mailadres
- Enkele cijfers van hun creditcard/debetkaart of IBAN

Deze informatie kan cybercriminelen in staat stellen om effectieve phishing-aanvallen te lanceren tegen de blootgestelde EasyPark-gebruikers. Het bedrijf benadrukt echter dat de onthulde gegevens geen risico vormen voor het uitvoeren van ongeautoriseerde transacties. Getroffen gebruikers ontvangen gepersonaliseerde berichten van EasyPark via app-berichten, pushmeldingen, e-mail en sms.

De app-diensten blijven normaal toegankelijk, terwijl het beveiligingsteam van EasyPark extra beveiligings- en privacy-maatregelen implementeert. De gegevensbeschermingsautoriteiten in Zweden, het Verenigd Koninkrijk en Zwitserland zijn over het incident geïnformeerd. Als voorzorgsmaatregel wordt aan alle gebruikers geadviseerd om hun accountwachtwoorden te resetten en hetzelfde te doen op alle online platforms waar ze dezelfde inloggegevens gebruiken. Tot op heden heeft geen enkele ransomwaregroep de verantwoordelijkheid opgeëist voor een aanval op EasyPark, maar er wordt al gezocht naar de gestolen gegevens in posts op hackersforums. [1]


Microsoft Schakelt MSIX-protocolhandler Uit Wegens Misbruik in Malware-aanvallen

In december 2023 heeft Microsoft de MSIX ms-appinstaller-protocolhandler opnieuw uitgeschakeld na misbruik door meerdere op financieel gewin gerichte dreigingsgroepen. Deze groepen gebruikten de handler om Windows-gebruikers met malware te infecteren. De aanvallers maakten gebruik van de CVE-2021-43890 kwetsbaarheid in de Windows AppX Installer om de beveiligingsmaatregelen van Windows, zoals de Defender SmartScreen anti-phishing en anti-malware component en ingebouwde browserwaarschuwingen tegen het downloaden van uitvoerbare bestanden, te omzeilen. Microsoft meldde dat de dreigingsactoren zowel kwaadaardige advertenties voor populaire software als phishingberichten via Microsoft Teams gebruikten om kwaadaardige MSIX-applicatiepakketten te verspreiden. Sinds medio november 2023 hebben de dreigingsactoren, waaronder financieel gemotiveerde groepen zoals Storm-0569, Storm-1113, Sangria Tempest en Storm-1674, de ms-appinstaller URI-schema (App Installer) gebruikt om malware te distribueren. Deze activiteiten misbruikten de huidige implementatie van de ms-appinstaller protocolhandler als een toegangsweg voor malware, wat mogelijk kon leiden tot de verspreiding van ransomware. Er zijn ook cybercriminelen die een malwarekit als dienst verkopen die misbruik maakt van het MSIX-bestandsformaat en de ms-appinstaller protocolhandler. De Sangria Tempest groep, ook bekend als FIN7, is eerder in verband gebracht met REvil en Maze ransomware. FIN7 was betrokken bij operaties van de inmiddels opgeheven BlackMatter en DarkSide ransomwaregroepen. BleepingComputer meldde dat FIN7 ook PaperCut print servers met Clop ransomware heeft aangevallen. In december 2021 werd de AppX Installer spoofing kwetsbaarheid ook uitgebuit door Emotet om Windows 10 en Windows 11 systemen te infecteren met vermomde AppX Installer pakketten als Adobe PDF-software. Microsoft had de ms-appinstaller protocolhandler eerder in februari 2022 uitgeschakeld vanwege de aanvallen van Emotet. Omdat apparaten die door deze aanvallen zijn gecompromitteerd ook het doelwit kunnen zijn van ransomware, heeft Microsoft de protocolhandler eerder deze maand opnieuw uitgeschakeld. Microsoft adviseert om de gepatchte App Installer versie 1.21.3421.0 of later te installeren om exploitatiepogingen te blokkeren en adviseert beheerders om het protocol uit te schakelen via het Group Policy EnableMSAppInstallerProtocol als de nieuwste App Installer versie niet direct kan worden geïmplementeerd. [1]


Cybercriminelen Exploiteren Datalek bij FTX, Persoonlijke Klantgegevens Blootgesteld

In augustus 2023 werd een significant datalek ontdekt door Kroll, een bedrijf gespecialiseerd in risico- en financieel advies. Dit lek heeft persoonlijke informatie blootgesteld van klanten die faillissementsclaims hadden ingediend bij de cryptobeurs FTX. De gelekte gegevens omvatten namen, e-mailadressen, telefoonnummers, adressen, claimnummers, claimbedragen, FTX-account-ID's, muntbezittingen en saldi. In sommige gevallen waren zelfs geboortedata betrokken. Kroll benadrukte dat dit incident geen invloed had op de systemen of digitale activa van FTX zelf. Ook werden er geen wachtwoorden van FTX-accounts gecompromitteerd. Het bedrijf adviseerde getroffen klanten om waakzaam te blijven en hun accounts te beschermen tegen mogelijke phishing-aanvallen via e-mails, tekstberichten en sociale media. Men werd gewaarschuwd om wachtwoorden, zaadzinnen, privésleutels of andere gevoelige informatie niet te delen en altijd de echtheid van ontvangen communicatie te verifiëren. Een extra aanbeveling was het gebruik van 'cold wallets' voor het opslaan van cryptovaluta, wat het risico op diefstal door cybercriminelen vermindert. Naast FTX waren ook de schuldeisers van BlockFi en Genesis Global Holdco getroffen door het datalek. Het lek ontstond na een SIM-swapping aanval op een T-Mobile-account van een Kroll-medewerker, waardoor hackers toegang kregen tot bepaalde bestanden met persoonlijke informatie. De gevolgen van dit datalek werden verergerd door phishing-e-mails die na de bekendmaking van het lek werden verzonden. Deze e-mails, die zich voordeden als communicatie van FTX, waren gericht op het misleiden van ontvangers om de zaden van hun cryptowallets prijs te geven, waardoor hackers deze konden leeghalen. Hoewel Kroll diverse organisaties bijstaat bij herstructureringsprocessen, bevestigde een woordvoerder dat de impact van het lek beperkt bleef tot de bestanden gerelateerd aan FTX, BlockFi en Genesis. De gevoelige informatie van schuldeisers van BlockFi en Genesis die tijdens het lek werd blootgesteld, is echter nog niet openbaar gemaakt door Kroll.  [pdf]


Kritieke Kwetsbaarheid in Apache OFBiz Actief Uitgebuit voor Aanvallen op Confluence Servers

Een ernstige kwetsbaarheid in Apache OFBiz, een open-source enterprise resource planning systeem, wordt momenteel actief uitgebuit. Deze kwetsbaarheid stelt aanvallers in staat om op afstand code uit te voeren zonder voorafgaande authenticatie. Apache OFBiz wordt gebruikt door veel bedrijven voor onder andere e-commerce, voorraadbeheer, personeelszaken en boekhouding. Dit systeem maakt deel uit van Atlassian JIRA, een commercieel projectmanagement- en issue-trackingsoftware, gebruikt door meer dan 120.000 bedrijven wereldwijd. De kwetsbaarheid, bekend als CVE-2023-49070, werd opgemerkt in OFBiz versie 18.12.10, uitgebracht op 5 december 2023. Het maakte het mogelijk voor aanvallers om zonder authenticatie rechten te verhogen, willekeurige code uit te voeren en toegang te krijgen tot gevoelige informatie. Onderzoekers van SonicWall ontdekten dat de oorspronkelijke oplossing van Apache, die inhield dat de XML-RPC code uit OFBiz werd verwijderd, de kern van het probleem niet aanpakte. Hierdoor bleef de kwetsbaarheid bestaan, zelfs in volledig bijgewerkte versies van de software. SonicWall publiceerde een rapport waarin werd aangetoond dat het mogelijk was om Apache's fix voor CVE-2023-49070 te omzeilen met specifieke inlogcombinaties. De nieuwe kwetsbaarheid, toegewezen als CVE-2023-51467, werd door Apache gecategoriseerd als een server-side request forgery (SSRF) probleem en is opgelost in OFBiz versie 18.12.11, uitgebracht op 26 december 2023. Veel gebruikers hebben nog niet geüpgraded naar deze laatste release, en de publiekelijk beschikbare PoC-exploits maken de kwetsbaarheid een gemakkelijk doelwit voor hackers. De threat monitoring service 'Shadowserver' rapporteerde een toename in scans die de publieke PoC's gebruiken om CVE-2023-49070 uit te buiten. Deze scans zijn gericht op het vinden van kwetsbare Confluence servers, die vaak gevoelige gegevens bevatten en daardoor aantrekkelijk zijn voor aanvallers. Gebruikers van Apache OFBiz wordt dringend geadviseerd om te upgraden naar versie 18.12.11 om het risico te minimaliseren. [1]


Blockchain Ontwikkelaar Beroofd via LinkedIn 'Sollicitatiegesprek' Scam

Een blockchain ontwikkelaar, Murat Çeliktepe uit Antalya, deelde een verontrustende ervaring over hoe hij tijdens de feestdagen via LinkedIn benaderd werd door een vermeende recruiter. Deze recruiter bood hem een baan aan via Upwork, met een verzoek om twee npm pakketten te downloaden van GitHub voor een sollicitatieoefening. Kort na het downloaden ontdekte Çeliktepe dat zijn MetaMask wallet leeg was, met meer dan $500 aan cryptovaluta verdwenen. De sollicitatieopdracht vroeg om fouten te herstellen op een website, met een beloofde betaling van $15 tot $20 per uur voor een taak die minder dan een maand zou duren. Çeliktepe, wiens LinkedIn profielfoto de tag "#OpenToWork" droeg, nam de uitdaging aan en downloadde de GitHub repositories als onderdeel van het 'technische interview'. De scam, die zeer overtuigend leek, zelfs voor technisch vaardige personen zoals ontwikkelaars, maakte gebruik van legitiem ogende npm projecten. Deze projecten waren echter niet gepubliceerd op npmjs.com, de grootste open-source registry voor JavaScript projecten. Çeliktepe, die zijn MetaMask's Secret Recovery Phrase (SRP) nooit op zijn computer had opgeslagen, begreep niet hoe zijn wallet was gehackt. Nadat hij de taak had voltooid, nam hij deel aan een Google Meet sessie met de recruiter en legde zijn oplossing uit. Maar enkele uren later was zijn Ethereum saldo verdwenen, met een uitgaande transactie van 0.225 ETH (ongeveer $538). Ondanks het doorzoeken van de code in beide repositories, bleef Çeliktepe onzeker over de exacte werkwijze van de aanval. Een bug bounty hunter uit Istanbul suggereerde dat de npm projecten een reverse shell mogelijk maakten, waardoor poort 5000 op Çeliktepe's machine openstond voor verbindingen. Er zijn ook andere theorieën, waaronder het kopiëren van wachtwoorden door de kwaadaardige npm projecten, of het onderscheppen van netwerkverkeer door de code die Çeliktepe had uitgevoerd tijdens het 'technische interview'. Çeliktepe was niet het enige doelwit van deze scam. Andere blockchain ontwikkelaars en beveiligingsonderzoekers meldden soortgelijke benaderingen door dezelfde 'recruiter'. Deze voorvallen benadrukken het belang voor webontwikkelaars en beveiligingsonderzoekers om waakzaam te blijven tegen frauduleuze baanaanbiedingen op carrièreplatforms. [1, 2]


Eagers Automotive Getroffen door Cyberaanval

Eagers Automotive, Australië's grootste autodealer groep, heeft te maken gehad met een cyberaanval die hun IT-systemen in Australië en Nieuw-Zeeland heeft beïnvloed. Deze aanval beperkte de handelsmogelijkheden op bepaalde locaties. Eagers heeft een intensief onderzoek gestart naar de cyberinbraak, met speciale aandacht voor de bescherming van klant- en werknemersinformatie. Tot nu toe is er geen misbruik van deze gegevens geconstateerd. Het bedrijf heeft externe cyberbeveiligingsexperts ingeschakeld en benadrukt de prioriteit voor het veilig herstellen van hun systemen. Klanten zijn gevraagd alert te blijven op verdachte activiteiten. De aanval benadrukt het toenemende risico van cyberaanvallen op autoverkopers en de noodzaak voor versterkte digitale beveiliging. [1]


Ransomware-aanval treft Socialezekerheidsagentschap van Trinidad en Tobago na Kerst

Op 27 december 2023 werd het socialezekerheidsagentschap van Trinidad en Tobago, de National Insurance Board (NIBTT), getroffen door een ransomware-aanval. Dit incident zal naar verwachting de werking van het agentschap voor de rest van het jaar beïnvloeden. De NIBTT, verantwoordelijk voor de sociale zekerheid van meer dan 630.000 mensen, kondigde aan dat alle kantoren gesloten zouden zijn van woensdag tot vrijdag vanwege de aanval. De organisatie verklaarde dat ze stappen ondernamen om de integriteit van hun data en technologische infrastructuur te beschermen. Ze werken samen met externe technologiepartners en hebben het incident gemeld aan het Cyber Security Incident Response Team van Trinidad en Tobago (TT-CSIRT) onder het Ministerie van Nationale Veiligheid. Het is niet bekend welke ransomwaregroepverantwoordelijk is voor de aanval en of er een losgeld is geëist. Eerder in juli werd het justitiedepartement van Trinidad en Tobago ook aangevallen door een ransomwaregroep, wat leidde tot ernstige verstoringen in het rechtssysteem van het land. Documenten konden niet elektronisch worden verwerkt en overheidsadvocaten hadden geen toegang tot belangrijke documenten. Deze aanval is onderdeel van een groter patroon van ransomware-aanvallen in het Caribisch gebied. In 2023 werden meerdere Caribische eilanden getroffen door ransomwaregroepen die zwakke cybersecurity-infrastructuren uitbuiten. Ook Bermuda, Martinique, de Dominicaanse Republiek en Guadeloupe werden geconfronteerd met dergelijke aanvallen. Costa Rica, gelegen aan de Caribische Zee, onderging eveneens een omvangrijke ransomware-aanval die de Amerikaanse inspanningen om de Counter Ransomware Initiative uit te breiden, stimuleerde. [1]


Cyberaanval treft Ohio (VS) Loterij

De Ohio Loterij werd op kerstavond getroffen door een cyberaanval, uitgevoerd door de nieuw opgedoken DragonForce ransomwaregroep. Deze aanval dwong de loterij om enkele belangrijke systemen uit te schakelen, waarbij een onbekend aantal interne applicaties werd beïnvloed. Hoewel hun spelsystemen volledig operationeel bleven, ondervonden specifieke diensten zoals mobiele uitbetalingen en prijsuitbetalingen boven de $599 bij Super Retailers onderbrekingen. De loterij publiceerde een persbericht waarin ze aangaven dat de winnende nummers voor KENO, Lucky One en EZPLAY Progressive Jackpots niet beschikbaar waren op hun website of mobiele app. Klanten werden geadviseerd om de winnende nummers te controleren bij Ohio Lottery Retailers of via de website en mobiele app van de loterij. Prijzen tot $599 konden nog steeds worden geïndbij elke Ohio Lottery Retailer locatie, maar prijzen boven de $600 moesten per post worden opgestuurd naar het centrale kantoor van de Ohio Lottery of digitaal worden geclaimd. De cyberaanval werd op 24 december ontdekt, waarna onmiddellijk actie werd ondernomen om de schade te beperken. De loterij bood haar excuses aan voor het ongemak en werkt hard aan het herstellen van alle diensten. De interne onderzoeken zijn nog gaande. Het meest verontrustende aspect van deze aanval is dat de DragonForce-groep beweert apparaten te hebben versleuteld en gegevens te hebben gestolen, waaronder de Social Security-nummers en geboortedata van klanten en werknemers. Volgens de groep bevat de gelekte data meer dan 3 miljoen records met persoonlijke informatie. Hoewel er weinig bekend is over de DragonForce ransomwaregroep, wijzen hun tactieken, onderhandelingsstijl en datalekwebsite op een ervaren afpersingsgroep. Deskundigen sluiten niet uit dat deze groep een herbranding zou kunnen zijn van een eerdere ransomwaregroep. [1]


Groot Datalek bij LoanCare (VS) Treft 1,3 Miljoen Mensen

Samenvatting: LoanCare, een belangrijke speler in de Amerikaanse hypotheekverzorgingssector, heeft een datalek gemeld dat 1.316.938 leners in de VS treft. Het lek vond plaats bij het moederbedrijf Fidelity National Financial en heeft geleid tot de blootstelling van gevoelige klantinformatie. De gestolen gegevens omvatten volledige namen, fysieke adressen, Social Security-nummers en leningnummers. Deze informatie kan worden gebruikt voor gerichte phishing, sociale manipulatie en oplichting. LoanCare heeft getroffen individuen gewaarschuwd en biedt twee jaar gratis identiteitsbewakingsdiensten via Kroll aan. Het bedrijf werkt samen met deskundigen en gespecialiseerde staatsdepartementen aan het onderzoek naar het incident. [1, 2]


Panasonic Avionics Openbaart Datalek na Cyberaanval in December 2022

In december 2023 onthulde Panasonic Avionics Corporation, een vooraanstaande leverancier van communicatie- en entertainmentsystemen voor in vliegtuigen, een datalek dat een onbekend aantal individuen trof. Dit incident vond meer dan een jaar eerder plaats, in december 2022, toen hun bedrijfsnetwerk werd gehackt. De aanvaller slaagde erin een deel van de apparaten op het netwerk van Panasonic te compromitteren en verkreeg toegang tot informatie van getroffen individuen en hun werkgevers. Panasonic ontdekte op 30 december 2022 aanwijzingen voor een probleem dat rond 14 december 2022 plaatsvond. Zij startten onmiddellijk een grondig onderzoek naar de aard en omvang van het incident en de betrokken persoonlijke informatie, met assistentie van cybersecurity- en forensische experts. Hoewel er persoonlijke en gezondheidsinformatie werd blootgesteld tijdens het incident, heeft Panasonic nog geen bewijs gevonden dat deze informatie sinds de aanval is misbruikt. De gecompromitteerde gegevens omvatten namen, contactgegevens, geboortedata, medische en ziektekostenverzekeringsinformatie, financiële rekeningnummers, bedrijfswerkstatus en overheidsidentificatienummers, zoals socialezekerheidsnummers. Als reactie biedt Panasonic 24 maanden gratis identiteits- en kredietbewakingsdiensten aan via Kroll voor alle getroffen personen, en adviseert hen om hun rapporten te controleren op verdachte activiteiten. Een woordvoerder van Panasonic Avionics Corporation bevestigde dat de impact beperkt was tot een kleine hoeveelheid gegevens van werknemers en zakelijke klanten. Er is geen bewijs gevonden dat in-flight entertainmentsystemen, connectiviteit, digitale oplossingen of onderhoudssystemen zijn aangetast. Panasonic's in-flight entertainment (IFE) oplossingen zijn geïnstalleerd op meer dan 15.000 commerciële vliegtuigen, en meer dan 3.780 vliegtuigen bieden klanten satelliet-Wi-Fi connectiviteit van Panasonic Avionics. Meer dan 200 luchtvaartmaatschappijen gebruiken hun IFE, Wi-Fi en digitale diensten aan boord, wat neerkomt op ongeveer 70% van de wereldwijde IFE-uitgeruste vloot. [1, 2]


Cyberaanval treft Albanese Parlement en Lokale Bedrijven

Op 26 december 2023 meldde het Albanese Parlement een cyberaanval, waarbij hackers probeerden toegang te krijgen tot hun datasysteem. Dit leidde tot een tijdelijke stopzetting van de parlementaire diensten. Hoewel de data van het systeem niet aangetast leek, waren experts nog bezig met het onderzoeken van de mogelijke gevolgen van de aanval. Naast het parlement werden ook een mobiele telefoonprovider en een luchtvaartmaatschappij het doelwit van cyberaanvallen, vermoedelijk uitgevoerd door Iraans-gebaseerde hackers genaamd 'Homeland Justice'. Deze bewering kon echter niet onafhankelijk worden geverifieerd. In juli 2022 had Albanië al eens een soortgelijke cyberaanval ervaren, die zowel door de regering als door multinationale technologiebedrijven werd toegeschreven aan het Iraanse Ministerie van Buitenlandse Zaken. Deze aanval werd gezien als vergelding voor Albanië's onderdak bieden aan leden van de Iraanse oppositiegroep Mujahedeen-e-Khalq (MEK). De Albanese regering verbrak twee maanden later de diplomatieke betrekkingen met Iran. Het Iraanse Ministerie van Buitenlandse Zaken ontkende betrokkenheid bij de aanval en wees erop dat Iran zelf doelwit was geweest van cyberaanvallen van de MEK. In juni had de Albanese overheid een inval gedaan in een kamp van MEK-leden in ballingschap, waarbij computerapparatuur in beslag werd genomen die vermoedelijk gebruikt werd voor verboden politieke activiteiten. Sinds 2013 biedt Albanië onderdak aan ongeveer 2.500 Iraanse ballingen, die volgens de Albanese wet geen politieke activiteiten mogen ontplooien. De Verenigde Staten, de NAVO en de Europese Unie steunden NAVO-lidstaat Albanië in dit conflict. In een verklaring aan The Associated Press benadrukte MEK's mediawoordvoerder Ali Safavi dat de recente cyberaanvallen in Albanië niet gerelateerd waren aan de aanwezigheid of activiteiten van MEK-leden in het land. Safavi bekritiseerde ook de bewering dat MEK-leden in Albanië niet politiek actief mogen zijn en stelde dat zij recht hebben op volledige vrijheid van meningsuiting en vergadering. [1]


Cyberaanval Trof IT-Systemen van Drie Ziekenhuizen in Ostwestfalen (D)

In de vroege ochtend van 24 december 2023 werden de IT-systemen van drie ziekenhuizen in Ostwestfalen - Franziskus Hospital Bielefeld, Sankt Vinzenz Hospital Rheda-Wiedenbrück en Mathilden Hospital Herford - het doelwit van een cyberaanval. Onbekende aanvallers verschaften zich toegang tot de IT-infrastructuur van deze ziekenhuizen en versleutelden doelbewust data. Er wordt vermoed dat deze aanval uitgevoerd werd met Lockbit 3.0. De tijd benodigd voor het herstel van de systemen is nog onbekend. Uit voorzorg werden alle systemen direct na het ontdekken van de aanval 's nachts uitgeschakeld. Alle relevante personen en instanties zijn ingelicht. Over de omvang van de schade en eventuele eisen of voorwaarden van de aanvallers is momenteel nog niets bekend. Dr. Jan Schlenker, directeur van KHO gGmbH, meldde dat er een crisisteam is opgezet en dat de toegang tot alle systemen onmiddellijk is geblokkeerd. Dankzij back-upsystemen zijn patiëntgegevens nog steeds beschikbaar voor behandeling. De bevoegde autoriteiten zijn geïnformeerd en zowel interne als externe IT-beveiligingsexperts werken intensief aan het onderzoeken van de situatie en het beveiligen van alle gegevens. Volgens Philipp Herzog, de plaatsvervangend directeur, loopt de patiëntenzorg door, hoewel er lichte technische beperkingen zijn. Uit voorzorg heeft het ziekenhuis zich echter teruggetrokken uit de noodhulpverlening. De Katholische Hospitalvereinigung Ostwestfalen, waar deze drie ziekenhuizen deel van uitmaken, omvat in totaal zes ziekenhuizen en biedt sinds juli 2022 medische zorg met ongeveer 3.300 medewerkers. De ziekenhuizen zijn actief in diverse medische disciplines en bieden zowel deeltijd- als voltijdbanen aan in verschillende sectoren, waaronder medische, verpleegkundige, administratieve, technische en servicegebieden. [1]


Cyberaanval op Bluebrixx (D)

In december 2023 werd de online winkel van Bluebrixx, een alternatief voor Lego, getroffen door een IT-beveiligingsincident. Dit incident kwam aan het licht nadat het bedrijf, BB Services GmbH, onregelmatigheden in hun IT-infrastructuur ontdekte. Nadat werd vastgesteld dat het een cyberaanval betrof, informeerde het bedrijf onmiddellijk de politie en de Hessische commissaris voor gegevensbescherming en vrijheid van informatie. Ook een externe functionaris voor gegevensbescherming werd op de hoogte gebracht. Bij de aanval zouden gevoelige gegevens zoals namen, e-mailadressen, factuur- en leveringsadressen, bestelde artikelen en versleutelde wachtwoorden mogelijk zijn ontvreemd. Belangrijk om op te merken is dat kredietkaartinformatie, bankgegevens en PayPal-accountinformatie niet getroffen zijn. Deze informatie werd niet door het bedrijf opgeslagen, aangezien de betalingsverwerking door externe dienstverleners werd uitgevoerd. Als voorzorgsmaatregel werden klanten van Bluebrixx via e-mail gevraagd om hun wachtwoorden te wijzigen. Dit konden ze doen door in te loggen op hun account en onder 'Mijn Account > Mijn Gegevens' een nieuw wachtwoord in te stellen. Andreas Becker, de CEO van BB Services GmbH, verklaarde dat het bedrijf de beveiligingsmaatregelen zou versterken om toekomstige risico's te minimaliseren. In reactie op het incident werd de getroffen server onmiddellijk beveiligd en werden de kwetsbaarheden verholpen. Dit incident benadrukt het belang van robuuste IT-beveiliging en snelle actie in het geval van een cyberaanval. [1]


Cyberaanval treft Universiteit Innsbruck (A): 23.000 Studentengegevens Gecompromitteerd

Op 25 december 2023 werd de Universiteit Innsbruck in Oostenrijk het doelwit van een cyberaanval. Bij deze aanval zijn de basisgegevens van 23.000 studenten gedownload, waaronder namen, geboortedata, woonadressen en e-mailadressen. De universiteit heeft deze inbreuk op maandag bevestigd en aangegeven dat er momenteel geen nadere details over de achtergronden, motieven en mogelijke daders verstrekt kunnen worden, vanwege tactische redenen in het lopende onderzoek. De politie is betrokken bij het onderzoek en de universiteit heeft de nodige tegenmaatregelen getroffen. De studenten van de universiteit zijn gewaarschuwd om de komende tijd extra alert te zijn op mogelijke phishingpogingen en om verdachte situaties te melden. Dit incident onderstreept het groeiende risico van cyberaanvallen op onderwijsinstellingen en de noodzaak voor verhoogde digitale veiligheid en bewustzijn. De aanval op de Universiteit Innsbruck vormt een ernstige inbreuk op de privacy van de studenten en roept vragen op over de beveiliging van persoonlijke gegevens binnen onderwijsinstellingen. Het onderzoek naar de aanval is in volle gang en verdere details worden verwacht zodra deze beschikbaar zijn. Studenten en personeel worden geadviseerd om waakzaam te blijven en hun digitale beveiliging te versterken. [1]


Cyberaanval treft Australische zorgaanbieder St Vincent’s Health Australia

St Vincent’s Health Australia, de grootste non-profit gezondheidszorgaanbieder van Australië, is het slachtoffer geworden van een datalek na een cyberaanval. Het incident werd ontdekt op dinsdag 19 december 2023, en later bleek dat cybercriminelen enige data van het netwerk hadden verwijderd. De organisatie heeft de aanval gemeld bij de lokale autoriteiten en werkt samen met de Australische overheid om het veiligheidsincident aan te pakken. Er zijn externe beveiligingsexperts ingehuurd om het binnendringen te onderzoeken en de omvang van de aanval vast te stellen. Tot op heden is er geen duidelijkheid over welke data precies is verwijderd. De organisatie benadrukt echter dat het vermogen om zorgdiensten aan patiënten te leveren niet is beïnvloed door het incident. De verklaring van St Vincent’s Health Australia gaf geen details over de aard van de aanval en wees niet direct naar een ransomware-aanval. Tot nu toe heeft geen enkele dreigingsactor de verantwoordelijkheid voor de beveiligingsinbreuk opgeëist. Deze cyberaanval op St Vincent’s Health Australia is een van de vele aanvallen die in de afgelopen jaren prominente Australische organisaties hebben getroffen. Andere getroffen organisaties zijn onder meer Medibank, Energy One, Crown Resorts, Latitude Financial, Nissan Australia, DP World Australia, EnergyAustralia en Optus. Het onderzoek naar dit incident is nog steeds gaande en de organisatie werkt aan het bepalen van de volledige impact van de datalek. [1]


Xamalicious: Nieuwe Android Malware Infecteert Meer dan 327.000 Apparaten

Samenvatting: Een nieuwe Android backdoor malware, genaamd Xamalicious, is ontdekt. Deze malware, ontwikkeld met het open-source Xamarin framework, maakt misbruik van Android's toegankelijkheidsrechten. Xamalicious kan gedetailleerde informatie verzamelen over geïnfecteerde apparaten en contact opnemen met een command-and-control server voor extra ladingen. Het is geïnstalleerd via legitiem lijkende apps, met meer dan 327.000 installaties wereldwijd, voornamelijk in landen als Brazilië, Argentinië, het VK, Australië, de VS, Mexico, en delen van Europa en Amerika. De malware is in staat tot frauduleuze acties zoals het klikken op advertenties en het installeren van apps zonder gebruikerstoestemming. Dit toont de voortdurende dreiging van Android-malware die toegankelijkheidsservices misbruikt en onderstreept het belang van waakzaamheid bij het downloaden van apps. [1, 2, 3]


Carbanak Malware Krijgt Nieuwe Vorm: Ransomware-aanvallen met Valse Bedrijfssoftware

De Carbanak malware, voor het eerst waargenomen in 2014, staat bekend om zijn vermogen tot gegevensdiefstal en afstandsbediening. Oorspronkelijk ontwikkeld als bankmalware, wordt het nu ingezet door de FIN7 cybercrime-syndicaat voor ransomware-aanvallen met vernieuwde tactieken. In november 2023 werd geconstateerd dat Carbanak zich verspreidt via gecompromitteerde websites die zich voordoen als legitieme zakelijke software, waaronder bekende programma's zoals HubSpot, Veeam en Xero. Deze valse installatiebestanden dienen als trigger voor het implementeren van Carbanak. Deze ontwikkeling komt in een maand waarin 442 ransomware-aanvallen werden gerapporteerd, een stijging ten opzichte van de 341 incidenten in oktober. In totaal werden er tot nu toe dit jaar 4.276 gevallen gemeld, wat een significante stijging is vergeleken met de voorgaande jaren. De meest getroffen sectoren zijn industrieën (33%), consumentencycli (18%) en gezondheidszorg (11%), met de meeste aanvallen in Noord-Amerika (50%), Europa (30%) en Azië (10%). De meest voorkomende ransomware-families in deze aanvallen waren LockBit, BlackCat en Play, goed voor 47% van de 442 aanvallen. Hoewel BlackCat onlangs is ontmanteld door autoriteiten, is het effect van deze actie op het dreigingslandschap nog onbekend. De piek in ransomware-aanvallen in november is bevestigd door cyberverzekeringsfirma Corvus, die 484 nieuwe slachtoffers van ransomware identificeerde op lekwebsites. Na de wettelijke stillegging van de infrastructuur van QBot (ook bekend als QakBot), hebben ransomware-groepen hun tactieken aangepast door software-exploits en andere malwarefamilies in hun aanvallen op te nemen. Tot slot, onthulde Kaspersky dat de Akira ransomware veiligheidsmaatregelen bevat die analyse van hun communicatiesite voorkomen door uitzonderingen te veroorzaken bij pogingen tot toegang via een debugger in de webbrowser. Verder wordt misbruik gemaakt van verschillende beveiligingslekken in de Windows Common Log File System (CLFS) driver – CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252 – voor privilege-escalatie. [1, 2, 3, 4, 5]


Grootschalige Datalek bij Yakult Australia na Cyberaanval door DragonForce

Yakult Australia heeft bevestigd dat het slachtoffer is geworden van een cyberincident waarbij 95 GB aan data is gelekt. Het incident, dat zich medio december voordeed, heeft zowel de Australische als Nieuw-Zeelandse IT-systemen van het bedrijf getroffen. Cybercriminaliteitsgroep DragonForce heeft verantwoordelijkheid voor de aanval opgeëist en dreigde met het lekken van bedrijfsgegevens, waaronder databases, contracten en paspoorten. Ondanks het incident blijven de kantoren in beide regio's operationeel. De exacte omvang van het incident wordt nog onderzocht. [1, 2]


Cyberaanval op Integris Health (VS) leidt tot afpersing van patiënten

Patiënten van Integris Health in Oklahoma (VS) zijn het doelwit van afpersingsmails na een cyberaanval op het gezondheidsnetwerk. In de e-mails wordt beweerd dat hun persoonlijke gegevens zijn gestolen en dreigen de hackers deze te verkopen aan andere kwaadwillenden, tenzij er betaald wordt. Integris Health, het grootste non-profit gezondheidsnetwerk van Oklahoma, bevestigde dat er in november een cyberaanval plaatsvond waarbij patiëntgegevens zijn buitgemaakt. Uit onderzoek bleek dat op 28 november onbevoegden toegang hadden tot bepaalde bestanden. Patiënten ontvingen op 24 december afpersingsmails met de claim dat de hackers persoonlijke gegevens van meer dan 2 miljoen patiënten hadden gestolen. Deze gegevens omvatten onder meer socialezekerheidsnummers, geboortedata, adressen, telefoonnummers, verzekeringsinformatie en werkgeversgegevens. Patiënten bevestigden dat de e-mails accurate persoonlijke informatie bevatten. De afpersingsmails boden patiënten de mogelijkheid om hun gegevens uit de databases van de hackers te verwijderen voordat deze op 5 januari 2024 aan databrokers verkocht zouden worden. Een Tor dark web-site die de gestolen gegevens vermeldt, laat bezoekers toe om $50 te betalen om een datagegeven te verwijderen of $3 om het te bekijken. Hoewel het niet duidelijk is wie achter de aanval zit, wijst de gelijkenis met e-mails verstuurd naar patiënten van Fred Hutchinson Cancer Center erop dat dezelfde ransomwaregroep verantwoordelijk kan zijn. Integris Health heeft zijn patiënten gewaarschuwd om niet te reageren op de e-mails, geen contact op te nemen met de afzender, of op links in de e-mails te klikken. Er is echter geen garantie dat betaling daadwerkelijk zal leiden tot verwijdering van de gegevens, en het kan patiënten kwetsbaar maken voor verdere afpersing. [1, 2]


❗️Nederlands Chemisch Bedrijf Walkro.eu Doelwit van LockBit Cyberaanval

In een recente cyberaanval heeft de beruchte LockBit-groep het Nederlandse chemische productiebedrijf Walkro.eu getroffen. De aanval, die op 25 december 2023 werd bekendgemaakt op het darkweb, markeert een verontrustende trend van gerichte aanvallen op vitale industrieën. Walkro.eu, een prominente speler in de chemische sector, wordt nu geconfronteerd met de uitdagingen van gegevensbeveiliging en de gevolgen van deze inbreuk. Dit incident benadrukt de voortdurende noodzaak voor bedrijven om hun cyberbeveiligingsmaatregelen te versterken.


GTA 5 Broncode Uitgelekt Online, Een Jaar Na Hack RockStar door Lapsus$ Groep

Op kerstavond werd de broncode van Grand Theft Auto 5 (GTA 5) online gelekt, iets meer dan een jaar nadat de beruchte Lapsus$ hackersgroep Rockstar Games had gehackt en bedrijfsgegevens had gestolen. Links naar de broncode werden gedeeld via meerdere kanalen, waaronder Discord, een website op het dark web, en een Telegramkanaal dat eerder werd gebruikt door de hackers om gestolen Rockstar-data te lekken. De eigenaar van een Grand Theft Auto lekkagekanaal op Telegram, bekend als 'Phil', plaatste links naar de gestolen broncode en deelde een screenshot van een van de mappen. Phil bracht ook eer aan Arion Kurtaj, een Lapsus$ hacker die eerder pre-release video's van Grand Theft Auto 6 had gelekt. Kurtaj werd onlangs door een Britse rechter veroordeeld tot een onbepaalde ziekenhuisopname voor het hacken van Rockstar en Uber. In 2022 hackte Lapsus$ Rockstar Games, waarbij ze toegang kregen tot het interne Slack-server en Confluence wiki van het bedrijf. Ze beweerden de broncodes en assets van zowel GTA 5 als GTA 6 te hebben gestolen, waaronder een testbuild van GTA 6. Sommige van deze gestolen inhoud werd gelekt op forums en Telegram. De hackers deelden ook voorbeelden van de GTA 5 broncode als bewijs van hun diefstal. Een veiligheidsonderzoeksgroep, vx-underground, sprak met de leaker op Discord, die beweerde dat de broncode eerder dan verwacht werd gelekt. Hun motivatie was naar verluidt om oplichting binnen de GTA V modding-scene tegen te gaan. Hoewel de authenticiteit van de lek niet onafhankelijk kon worden geverifieerd, lijkt het om legitieme GTA 5 broncode te gaan. Rockstar Games heeft niet gereageerd op het lek, waarschijnlijk vanwege de feestdagen. Lapsus$ staat bekend om hun vaardigheden in social engineering en SIM swapping aanvallen om bedrijfsnetwerken te infiltreren. Naast Rockstar Games, werden bedrijven als Uber, Microsoft, Nvidia en anderen ook slachtoffer van hun cyberaanvallen. Naar verluidt zijn sommige leden van Lapsus$ nu actief in het losjes georganiseerde hackerscollectief Scattered Spider. [1]


Zeroday-aanval op Barracuda Gateways via Spreadsheet

Barracuda Email Security Gateways zijn het doelwit geworden van een zeroday-aanval via een kwetsbaarheid in Spreadsheet::ParseExcel, een opensource-library voor het verwerken van Excel-bestanden. Deze kwetsbaarheid stelde aanvallers in staat om malware te installeren op de gateways door middel van besmette Excel-bijlagen. Hoewel Barracuda updates heeft uitgebracht om de gateways te beschermen, blijft de onderliggende kwetsbaarheid in Spreadsheet::ParseExcel onopgelost. Deze zwakte wordt geëxploiteerd door een vermoedelijk vanuit China opererende groep, die twee backdoors installeerde voor toegang tot de geïnfecteerde apparaten. Organisaties die afhankelijk zijn van deze library worden aangemoedigd om voorzorgsmaatregelen te nemen, zoals benadrukt door een waarschuwing van de Australische overheid. [1, 2, 3]


"Cloud Atlas": Geavanceerde Spear-Phishing Aanvallen op Russische Agro- en Onderzoeksbedrijven

De cyber-espionagegroep 'Cloud Atlas', actief sinds minstens 2014 en ook bekend onder namen als Clean Ursa, Inception, Oxygen, en Red October, heeft recentelijk spear-phishing aanvallen uitgevoerd op Russische agro-industriële en staatsgecontroleerde onderzoeksbedrijven. Deze informatie komt naar voren uit een rapport van F.A.C.C.T., een onafhankelijk cybersecurity bedrijf opgericht na de formele exit van Group-IB uit Rusland eerder dit jaar. Cloud Atlas is bekend om zijn aanhoudende campagnes gericht tegen landen als Rusland, Belarus, Azerbeidzjan, Turkije, en Slovenië. Hun aanvalsmethode omvat het versturen van phishing-berichten met verleidelijke documenten die gebruikmaken van CVE-2017-11882, een zes jaar oude geheugen corruptie fout in Microsoft Office's Equation Editor. Deze techniek, die ze sinds oktober 2018 gebruiken, initieert de uitvoering van kwaadaardige payloads. Volgens rapporten van Check Point en Positive Technologies, beginnen de aanvallen met een multi-stage aanvalsreeks die leidt tot de implementatie van een PowerShell-gebaseerde backdoor genaamd PowerShower, evenals DLL-payloads die kunnen communiceren met een server gecontroleerd door de aanvaller. De e-mails met de kwaadaardige ladingen worden verzonden vanuit populaire Russische e-maildiensten zoals Yandex Mail en VK's Mail.ru. De HTML-applicatie die door de phishing-aanval wordt gelanceerd, gebruikt Visual Basic Script (VBS) bestanden om onbekende VBS-code van een externe server op te halen en uit te voeren. Positive Technologies merkt op dat de toolkit van de groep al jaren niet is veranderd, waarbij ze hun malware verbergen door eenmalige payloadverzoeken te gebruiken en deze te valideren. Ze vermijden netwerk- en bestandsdetectietools door legitieme cloudopslag te gebruiken en bekende softwarefuncties, vooral in Microsoft Office. Daarnaast meldt het bedrijf dat minstens 20 organisaties in Rusland zijn gecompromitteerd met Decoy Dog, een gemodificeerde versie van Pupy RAT, toegeschreven aan een geavanceerde persistente dreigingsactor genaamd Hellhounds. Deze malware, die actief wordt onderhouden, stelt de tegenstander in staat om de geïnfecteerde host op afstand te besturen en bevat een scriptlet ontworpen om telemetriegegevens naar een "geautomatiseerd" Mastodon-account te verzenden. [1]


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Meer weekoverzichten

Februari 2024
Januari 2024