Overzicht van slachtoffers cyberaanvallen week 01-2024

Gepubliceerd op 8 januari 2024 om 15:00

EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


In een tijd waarin digitale dreigingen steeds complexer en impactvoller worden, laten de recente gebeurtenissen op het gebied van cyberveiligheid zien hoe urgent de noodzaak is voor betere beveiligingsmaatregelen en bewustwording. Van Google's onderbelichte misbruik van API's tot het enorme datalek bij HealthEC, dat miljoenen patiënten raakte, de diversiteit en omvang van cyberaanvallen zijn zorgwekkend. Deze week zagen we hoe zelfs bedrijven die bekend staan om hun robuuste beveiliging, zoals Mandiant, kwetsbaar bleken voor geavanceerde aanvallen.

Ransomware blijft een hoofdpijndossier, zoals blijkt uit de aanvallen op de Zweedse Coop-keten en Xerox Business Solutions in de VS. Deze aanvallen benadrukken de noodzaak voor een debat over het al dan niet toestaan van losgeldbetalingen bij ransomware.

Internationaal gezien werden netwerken en organisaties in Spanje, de Verenigde Staten, Canada en Australië getroffen door diverse cyberincidenten, waarbij zelfs gerechtelijke opnames in Victoriaanse rechtbanken werden blootgesteld.

De cyberwereld wordt ook geplaagd door een reeks van cyberaanvallen en -dreigingen, van phishing-aanvallen door de nieuwe Bandook RAT-variant tot grote hacks op crypto-organisaties zoals Orbit Chain. Tegelijkertijd stijgt het aantal kwetsbare SSH-servers en zijn er nieuwe malware-families die macOS-bedreigingen vormen.

In het licht van deze ontwikkelingen is het aantal organisaties waarvan data op het darkweb is gelekt, een alarmerende statistiek: “11.882”. Dit toont de kritieke behoefte aan verhoogde waakzaamheid en proactieve maatregelen in de digitale wereld.

Hieronder volgt het volledige overzicht van de cyberaanvallen van de afgelopen week, die een helder beeld schetsen van de huidige cyberveiligheidsuitdagingen en de noodzaak voor een continue, wereldwijde inspanning om deze bedreigingen het hoofd te bieden.



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
capitalhealth.org LockBit capitalhealth.org USA Health Services 7-jan-24
Televerde PLAY www.televerde.com USA Business Services 6-jan-24
The Lutheran World Federation Rhysida www.lutheranworld.org Switzerland Membership Organizations 6-jan-24
ips-securex.com LockBit ips-securex.com Singapore IT Services 5-jan-24
Proax Technologies LTD BianLian proax.ca Canada Machinery, Computer Equipment 5-jan-24
Somerset Logistics BianLian somersetlogistics.com USA Transportation Services 5-jan-24
Project M.O.R.E. Hunters International projectmore.org USA Social Services 4-jan-24
Gunning & LaFazia, Inc. Hunters International gunninglafazia.com USA Legal Services 4-jan-24
Thermosash Commercial Ltd Hunters International thermosash.co.nz New Zealand Construction 4-jan-24
Diablo Valley Oncology and Hematology Medical Group MONTI www.dvohmg.com USA Health Services 4-jan-24
Bradford Health Hunters International bradfordhealth.net USA Health Services 3-jan-24
Kershaw County School District BLACK SUIT kcsdschools.net USA Educational Services 3-jan-24
groupe-idea.com LockBit groupe-idea.com France Transportation Services 2-jan-24
SAED International BlackCat (ALPHV) www.saed.sa Saudi Arabia Business Services 2-jan-24
graebener-group.com Black Basta graebener-group.com Germany Machinery, Computer Equipment 2-jan-24
leonardsexpress.com Black Basta leonardsexpress.com USA Motor Freight Transportation 2-jan-24
nals.com Black Basta nals.com USA Real Estate 2-jan-24
MPM Medical Supply CiphBit www.mpmmedicalsupply.com USA Wholesale Trade-durable Goods 2-jan-24
Aspiration Training Rhysida www.aspirationtraining.com United Kingdom Educational Services 1-jan-24
Southeast Vermont Transit (MOOver) BianLian www.moover.com USA Passenger Transportation 1-jan-24

Slachtoffers België en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
Meetmoment Aantal organisaties waar data van gelekt is op het darkweb
01-05-2019 (eerste slachtoffer) 1
01-05-2020 85
01-05-2021 2.167
01-05-2022 5.565
01-05-2023 8.292
01-05-2024 ?
08-01-2024 11.885

Aantal organisaties waarvan alle gegevens gelekt zijn op het darkweb

In samenwerking met StealthMol

Sponsor Cybercrimeinfo


Cyberaanvallen nieuws


Gebruikers van X gefrustreerd door aanhoudende stroom van kwaadaardige crypto-advertenties

Gebruikers van X, voorheen bekend als Twitter, worden geconfronteerd met een toenemende stroom van misleidende crypto-advertenties. Cybercriminelen misbruiken het advertentieplatform van X om websites te promoten die leiden tot crypto-drainers, nep-airdrops, en andere oplichtingen. Deze advertenties zijn vooral gericht op gebruikers die interesse tonen in cryptocurrency. De advertenties bevatten vaak links naar Telegram-kanalen die pump-and-dump-schema's promoten, phishingpagina's, en sites met crypto-drainers - kwaadaardige scripts die alle middelen in een verbonden wallet stelen. Veel van deze advertenties zijn afkomstig van geverifieerde gebruikers. De situatie is zo ernstig dat andere X-gebruikers waarschuwingsnotities bij de advertenties moeten plaatsen om te waarschuwen voor de oplichterij. Volgens een rapport van ScamSniffer heeft een specifieke cryptocurrency-drainer, genaamd 'MS Drainer', in negen maanden tijd $59 miljoen gestolen van 63.210 slachtoffers. Deze drainer werd gepromoot in zowel Google Zoeken als X-advertenties. Op X creëerden de dreigingsactoren advertenties die zich voordeden als een beperkte oplage NFT-collectie genaamd Ordinals Bubbles, nep-airdrops, en nieuwe tokenlanceringen. Er is onduidelijkheid over het controleproces dat X hanteert om dergelijke advertenties te voorkomen. De frustratie onder gebruikers groeit, omdat men van mening is dat er onvoldoende toezicht is op de toegestane advertenties. Bloomberg meldde dat de advertentie-inkomsten van X naar verwachting met $2,5 miljard zullen dalen, meer dan 50% minder dan in 2022. Dit heeft geleid tot de speculatie dat X mogelijk een oogje dichtknijpt voor deze kwaadaardige advertenties om de dalende reclame-inkomsten te compenseren. [1]


Google Bagatelliseert Misbruik van API door Malware voor Diefstal Authenticatietokens

Google minimaliseert de rapporten over malware die een ongedocumenteerde API van Google Chrome misbruikt om nieuwe authenticatiecookies te genereren nadat eerder gestolen cookies zijn verlopen. Malware zoals Lumma en Rhadamanthys gebruiken deze techniek om toegang te krijgen tot Google-accounts van gebruikers. Cybersecuritybedrijf CloudSEK onthulde dat de malware een Google OAuth "MultiLogin" API endpoint misbruikt voor dit doel. Google ziet dit echter als standaard diefstal van cookies en tokens, een bekend probleem, en heeft stappen ondernomen om gecompromitteerde accounts te beveiligen. Google adviseert getroffen gebruikers om uit te loggen uit Chrome en wachtwoorden te wijzigen, maar erkent geen kwetsbaarheid in de API.

Bescherming Tegen Nieuwe Cookie-Aanval van Google Accounts

Google heeft bevestigd dat gebruikers zich kunnen beschermen tegen een nieuwe aanval waarbij aanvallers cookies genereren met gegevens van besmette computers. Deze aanval stelt de aanvallers in staat om toegang te krijgen tot Google-accounts, zelfs als het wachtwoord gewijzigd is. De aanval begint met malware die tokens en account-ID's uit Google Chrome steelt. Vervolgens wordt met deze informatie een nieuw cookie gegenereerd via een Google API, wat toegang tot het account mogelijk maakt. Google meldt dat het maatregelen heeft getroffen om gecompromitteerde accounts te beschermen en benadrukt dat berichtgeving over de machteloosheid van gebruikers onjuist is. Gebruikers kunnen gestolen sessies ongeldig maken door uit te loggen uit de getroffen browser of door de sessie in te trekken via de apparatenpagina van Google. [1, 2]


Merck bereikt cruciale schikking in cyberhackzaak van $1,4 miljard

Farmaceutisch bedrijf Merck & Co. Inc. heeft een laatste-moment schikking getroffen met verzekeringsmaatschappijen, waardoor een beoordeling door het Hooggerechtshof van New Jersey werd vermeden. Deze zaak betrof een aanzienlijk geschil over cyberaanvalverzekeringen en had een nationaal precedent kunnen stellen. Drie verzekeraars van Merck trokken hun beroep in na een uitspraak van een lagere rechtbank, waarin Merck recht had op ongeveer $700 miljoen aan claims na een hack in 2017 gelinkt aan Rusland. De totale geclaimde schade door Merck bedroeg $1,4 miljard. De schikking markeert een belangrijk moment in de discussie over de dekking van cyberaanvallen onder verzekeringspolissen. [1]


Beveiligingslek in Web3 Firma CertiK Leidt tot Crypto Phishing Aanval

Op 5 januari 2024 werd het Twitter/X-account van blockchain beveiligingsbedrijf CertiK gehackt. De aanvallers richtten zich op de meer dan 343.000 volgers van het bedrijf door hen om te leiden naar een kwaadaardige website die een zogenaamde 'cryptocurrency wallet drainer' promootte. Deze aanval werd mogelijk gemaakt door een social engineering tactiek, waarbij een ander gehackt account gebruikt werd, dat toebehoorde aan een bekend mediapersoon. CertiK, wiens account een gouden verificatiebadge had, ontdekte de inbreuk en waarschuwde hun volgers onmiddellijk om niet te interageren met verdachte posts. De aanval werd uitgevoerd via een nepjournalistiek account, inactief sinds 2020 maar met meer dan 1 miljoen volgers. De aanvallers deden zich voor als journalisten die een interview wilden plannen voor een artikel in Forbes, maar de link naar de planningswebsite was in werkelijkheid een phishing-site bedoeld om inloggegevens van CertiK-medewerkers te stelen. Nadat ze toegang hadden verkregen tot het CertiK-account, plaatsten de aanvallers een phishingbericht met een link naar een wallet drainer. Dit bericht waarschuwde onterecht voor een kwetsbaarheid in het Uniswap Router-contract. Revoke.cash meldde bijna onmiddellijk dat het CertiK-account gecompromitteerd was en dat de tweet mensen naar een valse Revoke-website stuurde. CertiK verwijderde de kwaadaardige tweet binnen 15 minuten en stelde vast dat deze aanval deel uitmaakte van een grootschalige social engineering campagne die al vele andere accounts had gecompromitteerd. Het bedrijf onderstreepte dat dergelijke aanvallen zijn ontworpen om menselijk vertrouwen en kwetsbaarheden te exploiteren en nodigde getroffenen uit contact op te nemen. [1, 2, 3, 4, 5]


Cyberaanval treft West-Virginiaanse Stad Beckley

De stad Beckley in West Virginia, met een bevolking van meer dan 17.000 mensen, is het recentste slachtoffer van een cyberaanval. Dit incident, aangekondigd via een sociale media bericht, voegt zich bij een reeks van aanvallen gericht op kleine overheden in de Verenigde Staten gedurende 2023. Stadsfunctionarissen hebben problemen met hun computernetwerk ontdekt en verontschuldigen zich voor eventuele ongemakken. Ze onderzoeken momenteel de bron, omvang en impact van het incident, inclusief mogelijke gegevensinbreuken. Burgemeester Rob Rappold van Beckley heeft de aanval bevestigd, maar kon geen tijdslijn geven voor het herstel van de systemen. In februari 2023 misten bijna 20.000 studenten in West Virginia de school vanwege een cyberaanval. Cyberbeveiligingsbedrijf Emsisoft registreerde aanvallen op minstens 95 overheidsinstanties in 2023, waaronder grote incidenten in Oakland en Dallas. Recentelijk kampt de stad Huber Heights in Ohio met de nasleep van een ransomware-aanval die in november plaatsvond. De Dayton Daily News meldde dat de stad nog steeds in een noodsituatie verkeert en $350.000 heeft vrijgemaakt als reactie op de aanval. Dit geld werd gebruikt voor betalingen aan een cybersecurity respons- en herstelbedrijf, onderhandelaars voor ransomware, nieuwe apparaten en geüpdatete systemen voor stadsfuncties. De City Manager van Huber Heights, Rick Dzik, benadrukt de noodzaak om vast te stellen welke gegevens gecompromitteerd zijn. Hoewel hij niet wil speculeren, geeft hij aan dat alle gegevens op stadservers en computers potentieel risico lopen, variërend van onschuldige documenten tot persoonlijke informatie. Het belangrijkste aandachtspunt is het definitief bepalen van de aard van de gecompromitteerde data. [1]


Cyberaanval treft Memorial University of Newfoundland; Vertraging Start Semester

De Memorial University of Newfoundland (MUN), de grootste openbare universiteit in Atlantisch Canada, kampt met de nasleep van een cyberaanval die eind december plaatsvond. Deze aanval leidde tot de uitstel van de start van lessen op de Grenfell campus. Op 29 december werd de aanval ontdekt, waarna MUN beveiligingsprotocollen activeerde, waaronder het isoleren van getroffen systemen. Als voorzorgsmaatregel werden IT-diensten op het Marine Institute stilgelegd, maar zijn inmiddels hersteld. Voor de Grenfell campus is de start van lessen verschoven van 4 naar 8 januari. Extra specialisten helpen het IT-team van Grenfell met de systeemherstel. Internet en WiFi voor bewonende studenten, evenals betaalterminals, zijn nog niet operationeel. MUN heeft na de aanval de wetshandhavingsautoriteiten geïnformeerd. Er is nog geen bewijs dat studentengegevens zijn gecompromitteerd, maar onderzoek loopt nog. Gebruikers moeten hun MUN-wachtwoorden opnieuw instellen als voorzorgsmaatregel. [1, 2, 3]


Mandiant's X-account Gehackt Ondanks Tweefactorauthenticatie

Samenvatting: Deze week werd het X-account van securitybedrijf Mandiant gekaapt en gebruikt voor een cryptoscam. Het account leidde gebruikers naar een frauduleuze website. Ondanks de inzet van tweefactorauthenticatie (2FA) kon het account gehackt worden. Mandiant heeft de controle over het account snel hersteld en meldt momenteel geen verdere kwaadaardige activiteiten. Het bedrijf, overgenomen door Google in 2022 voor 5,4 miljard dollar, belooft de resultaten van hun onderzoek naar deze inbreuk openbaar te maken zodra het is afgerond. [1]


Mede-oprichter Crypto Wallet Verliest $125.000 Door Nep Airdrop Website

Bill Lou, mede-oprichter van Nest Wallet, een startup voor cryptocurrency portemonnees, heeft $125.000 verloren door een phishing-scam via een neppe airdrop website. Deze pijnlijke ervaring deelde hij op sociale media. Lou, die geloofde dat hij op een legitieme website voor een cryptocurrency airdrop was, realiseerde zich na zijn verlies dat hij het slachtoffer was geworden van een phishing-website, opgezet om argeloze gebruikers te misleiden. Lou beschreef hoe hij probeerde deel te nemen aan een zogenaamde airdrop, een marketingstrategie waarbij kleine hoeveelheden munten of tokens worden weggegeven om een blockchain-service te promoten. Hij volgde een link van een artikel op Medium, wat leidde naar een nagebootste phishing website, lessfeesandgas[.]io, die zich voordeed als de legitieme lessfeesandgas.org. Deze fout kostte hem 52 stEth, wat neerkomt op ongeveer $125.000. Ondanks dat hij medeleven ontving, werd Lou ook bespot omdat hij beweerde dat zijn product deze scam had kunnen voorkomen. Hij gebruikte zijn MetaMask-portemonnee voor de transactie in plaats van zijn eigen Nest Wallet, omdat hij bezig was met het oplossen van enkele bugs in de testversie van zijn eigen product. Lou werd bekritiseerd door gebruikers op sociale media, waaronder Nick Bax, die betwistte dat Nest Wallet hem daadwerkelijk had kunnen beschermen tegen deze phishing-aanval. De recente toename van cryptocurrency-scams treft iedereen, zelfs experts in de industrie. BleepingComputer meldde onlangs een soortgelijk incident waarbij een blockchain-ontwikkelaar zijn crypto verloor na een valse sollicitatie via LinkedIn. Deze verhalen benadrukken het belang van verhoogde waakzaamheid en voorzichtigheid bij het omgaan met cryptocurrency-websites, jobaanbiedingen en deals die te mooi lijken om waar te zijn. [1, 2, 3, 4]


Ironie van het Lot: Advocatenkantoor gespecialiseerd in Datalekken Zelf Slachtoffer van Datalek

In een ironische wending van het lot is het Amerikaanse advocatenkantoor Orrick, Herrington & Sutcliffe, dat organisaties bijstaat na datalekken, zelf het slachtoffer geworden van een groot datalek. Dit lek, oorspronkelijk ontdekt in maart vorig jaar, bleek aanzienlijk ernstiger dan aanvankelijk gedacht. Aanvankelijk werd gemeld dat de gegevens van 152.000 personen waren gelekt, maar recente onderzoeken hebben uitgewezen dat het daadwerkelijk gaat om de gevoelige informatie van ruim 637.000 individuen. Deze informatie omvatte een breed scala aan persoonlijke gegevens, zoals namen, adressen, e-mailadressen, geboortedata, socialezekerheidsnummers, rijbewijs- of paspoortnummers, bankgegevens, belastingidentificatienummers, medische diagnoses, behandelingsgegevens, claims bij zorgverzekeraars, medische dossiernummers en creditcardgegevens. Deze data was oorspronkelijk in handen van het advocatenkantoor vanwege hun eerdere werkzaamheden voor verschillende Amerikaanse zorgverleners, waarbij de gegevens van miljoenen mensen waren gestolen. Het advocatenkantoor heeft onlangs besloten om vier massaclaims, die als gevolg van dit datalek waren ingediend, te schikken. Dit incident benadrukt niet alleen de ironie van een gespecialiseerd advocatenkantoor dat zelf slachtoffer wordt van een datalek, maar onderstreept ook het groeiende risico en de ernst van cyberaanvallen in de hedendaagse digitale wereld. Het laat zien hoe essentieel het is voor organisaties van elke omvang en in elke sector om hun digitale beveiliging voortdurend te evalueren en te versterken. [1, 2]


Ransomware-aanvallen Bedreigen Vertrouwen in Overheid en Vereisen Verhoogde Digitale Weerbaarheid

Ransomware-aanvallen vormen een toenemend risico voor overheidsinstanties, met ernstige financiële gevolgen en potentieel schadelijke effecten op het publieke vertrouwen in de overheid. Dit is de kernboodschap van de recent gepresenteerde Informatieplannen van de Nederlandse ministeries van Financiën en Landbouw. Het ministerie van Financiën benadrukt in het Informatieplan 2024 - 2026 het belang van continue versterking van de digitale weerbaarheid, waarbij technische maatregelen en menselijk gedrag beide cruciaal zijn. Het plan legt uit dat informatiebeveiligingsincidenten niet alleen financiële gevolgen hebben, maar ook het vertrouwen in de overheid kunnen ondermijnen. Het ministerie van Landbouw wijst eveneens op het toenemende gevaar van ransomware-aanvallen, waarbij menselijke fouten als hoofdoorzaak worden aangeduid. Het ministerie streeft naar een hoger bewustzijn onder medewerkers en de implementatie van technische maatregelen om de risico's te verlagen en de veiligheid te vergroten. Beide ministeries onderstrepen het belang van risicomanagement om digitale risico's te identificeren en te mitigeren, met een nadruk op het bewust accepteren van eventuele restrisico's. Het ministerie van Financiën meldt dat het aanvullende maatregelen neemt, zoals security-audits en Red Teaming, om tekortkomingen of nieuwe bedreigingen te ontdekken en aan te pakken. Dit alles is gericht op het creëren van een veilige digitale omgeving voor medewerkers, burgers en bedrijven. Het rapport onderstreept de noodzaak van een proactieve en alomvattende aanpak om de integriteit en veiligheid van overheidsdiensten te waarborgen in het licht van groeiende cyberdreigingen. [pdf1, pdf2]


Nieuwe Bandook RAT-variant Doelwit van Windows-machines via Phishing-aanvallen

In oktober 2023 identificeerde Fortinet FortiGuard Labs een nieuwe variant van de Bandook Remote Access Trojan (RAT), verspreid via phishing-aanvallen om Windows-systemen te infiltreren. Deze malware wordt verstopt in een PDF-bestand met een link naar een met wachtwoord beveiligd .7z-archief. Zodra het slachtoffer de malware uitpakt, injecteert het zijn payload in 'msinfo32.exe', een legitiem Windows-bestand. Oorspronkelijk ontdekt in 2007, is Bandook een veelzijdige malware voor het op afstand beheersen van geïnfecteerde systemen. In 2021 gebruikte ESET een geüpgradede variant voor cyberespionage in Spaanstalige landen. De malware wijzigt het Windows-register voor persistentie en maakt verbinding met een command-and-control server voor extra payloads en instructies. De activiteiten omvatten bestands- en registermanipulatie, datadiefstal, en het besturen van het geïnfecteerde systeem. [1]


Toename van Crypto Scams via Gehackte Geverifieerde Accounts op Sociaal Platform X

Hackers richten zich steeds vaker op geverifieerde accounts op X (voorheen bekend als Twitter), waaronder die van overheids- en bedrijfsprofielen, gemarkeerd met 'gouden' en 'grijze' vinkjes. Deze accounts worden gebruikt om cryptocurrency-scams, phishing-sites en sites met crypto-drainers te promoten. Een recent voorbeeld is het account van Mandiant, een dochteronderneming van Google, dat werd gehackt om een valse airdrop te verspreiden die cryptocurrency wallets leegmaakte. MalwareHunterTeam heeft dergelijke activiteiten op X gevolgd en meldt meerdere gevallen van gecompromitteerde 'gouden' en 'grijze' accounts. In de afgelopen dagen werden accounts van onder andere de Canadese senator Amina Gerba, het non-profit consortium 'The Green Grid', en de Braziliaanse politicus Ubiratan Sanderson gehackt. Het account van Mandiant werd gebruikt om een site met een crypto-drainer te promoten, ondanks dat er tweefactorauthenticatie was ingeschakeld. Een gouden vinkje bij een account duidt op een officiële organisatie/bedrijf, terwijl een grijs vinkje overheidorganisaties of officiële instanties markeert. Deze accounts moeten voldoen aan specifieke eisen. In tegenstelling tot de blauwe vinkjes, die beschikbaar zijn voor elke gebruiker met een X Premium-abonnement. Ondanks de strikte criteria voor gouden en grijze vinkjes, die normaal vertrouwen wekken, zijn deze accounts doelwitten geworden voor hackers en een handelswaar voor cybercriminelen. Een rapport van CloudSEK, een platform voor digitale risicobewaking, benadrukt de opkomst van een zwarte markt waar gehackte gouden en grijze X-accounts worden verkocht voor prijzen tussen de $1.200 en $2.000. Sommige verkopers bieden ook de optie om scam-accounts toe te voegen als affiliates aan de geverifieerde gouden accounts voor $500, waardoor ze geloofwaardigheid krijgen zonder door het strenge verificatieproces van het socialemediaplatform te gaan. In sommige gevallen sluiten hackers de legitieme eigenaren van de accounts uit, abonneren ze zich op goud voor 30 dagen, en geven ze de accounts door aan nieuwe eigenaren. Onderzoekers raden bedrijven aan om inactieve accounts te sluiten als ze langdurig inactief zijn geweest. Ze adviseren ook om de beveiligingsinstellingen te controleren en tweefactorauthenticatie in te schakelen, en om te controleren welke apps verbonden zijn met het account en de log van actieve sessies op andere apparaten. [1, 2, 3, 4]


Zeppelin Ransomware Broncode Verkocht voor $500 op Hackersforum

In januari 2024 werd bekend dat de broncode en een gekraakte versie van de Zeppelin ransomware-bouwer voor slechts $500 werden verkocht op een cybercriminaliteitsforum. Deze informatie, inclusief screenshots van het aanbod, werd opgemerkt door het dreigingsinformatiebedrijf KELA, hoewel de authenticiteit van het aanbod nog niet is bevestigd. De koper van dit pakket zou de malware kunnen gebruiken om een nieuwe ransomware-as-a-service (RaaS) operatie te starten of een nieuwe locker gebaseerd op de Zeppelin-familie te ontwikkelen. De verkoper, met de alias 'RET', benadrukte dat hij de malware niet had gemaakt, maar slechts een versie van de bouwer had gekraakt. RET vermeldde dat hij de bouwer zonder licentie had verkregen en bedoelde het product aan één koper te verkopen, waarna de verkoop zou worden stopgezet. In november 2022, na het stopzetten van de Zeppelin RaaS-operatie, onthulden wetshandhavingsinstanties en beveiligingsonderzoekers dat ze kwetsbaarheden in het encryptieschema van Zeppelin hadden gevonden, waardoor ze een decrypter konden bouwen om slachtoffers sinds 2020 te helpen. Op een forumthread vroeg een gebruiker expliciet of de nieuwe versie de cryptografische fouten had verholpen, waarop de verkoper antwoordde dat het de tweede versie van de malware betrof, die naar verluidt vrij zou zijn van deze kwetsbaarheden. Zeppelin is een afgeleide van de Delphi-gebaseerde Vega/VegaLocker malwarefamilie, actief tussen 2019 en 2022, en werd gebruikt in dubbele afpersingsaanvallen. Soms vroegen de operators losgeld tot $1 miljoen. Oorspronkelijke builds van de Zeppelin ransomware werden in 2021 verkocht voor maximaal $2.300, nadat de auteur een grote update had aangekondigd. De RaaS bood affiliates een voordelige deal, waarbij zij 70% van de losgeldbetalingen mochten houden en 30% naar de ontwikkelaar ging. In de zomer van 2022 waarschuwde de FBI voor een nieuwe tactiek van Zeppelin ransomware-operators, die meerdere rondes van encryptie betrof. [1]

Forumbericht waarin broncode van Zeppelin wordt gepromoot voor $500 (KELA)

Screenshots of the builder (KELA)​


Oproep tot Totaalverbod op Losgeldbetalingen bij Ransomware

Emsisoft, een antivirusbedrijf, pleit voor een algeheel verbod op het betalen van losgeld bij ransomware-aanvallen. Dit voorstel komt na een overzicht van aanvallen op meer dan 2200 Amerikaanse ziekenhuizen, scholen en overheden. Volgens Emsisoft is het verbod de enige oplossing voor de escalerende ransomware-crisis. Het bedrijf benadrukt dat ransomware een winstgedreven onderneming is en dat een verbod op losgeldbetalingen de meeste aanvallen zou doen stoppen. Hoewel zo'n verbod niet alle betalingen zal stoppen, is het doel om ransomware onrendabel te maken. Emsisoft erkent dat dit op korte termijn problemen kan veroorzaken, maar benadrukt dat het toestaan van betalingen op lange termijn voor meer problemen zorgt. [1]


Zweedse Coop-keten opnieuw doelwit van ransomware-aanval

De Zweedse supermarktketen Coop is wederom het slachtoffer geworden van een ransomware-aanval. Deze aanval resulteerde in het uitvallen van hun kassasystemen, waardoor klanten tijdelijk enkel met contant geld konden betalen. Deze recente aanval, die specifiek zestig winkels in de provincie Värmland trof, is toegeëist door de groepering achter de Cactus-ransomware. Deze groepering beweert meer dan 250 gigabyte aan gegevens te hebben buitgemaakt, waaronder rijbewijzen van medewerkers en andere interne documenten. In 2021 had Coop ook te kampen met een ernstige ransomware-aanval via de VSA-software van Kaseya, waarbij zo'n achthonderd winkels tijdelijk gesloten moesten worden. In het geval van de meest recente aanval heeft Coop bevestigd dat het om ransomware gaat, maar ze hebben aangegeven het gevraagde losgeld niet te zullen betalen. Inmiddels zijn de betaalsystemen hersteld, waardoor betaling met betaalkaarten weer mogelijk is. De exacte wijze waarop de systemen van Coop zijn geïnfecteerd, is niet bekendgemaakt. Wel is er recentelijk gewaarschuwd voor het gebruik van malafide advertenties en kwetsbaarheden in het analyticsplatform Qlik Sense als methoden om Cactus-ransomware te verspreiden. Deze aanval benadrukt wederom de kwetsbaarheid van grote organisaties voor cyberaanvallen en het belang van adequate cybersecurity maatregelen. Het illustreert tevens de groeiende dreiging van ransomware, die steeds vaker bedrijven en organisaties wereldwijd treft. [1, 2]


Omvangrijke Datalek bij HealthEC Treft Miljoenen Patiënten

HealthEC LLC, een aanbieder van gezondheidsmanagementoplossingen, heeft een datalek gemeld dat bijna 4,5 miljoen personen treft. Deze personen ontvingen zorg via klanten van het bedrijf. Het datalek, dat plaatsvond tussen 14 en 23 juli 2023, leidde tot ongeautoriseerde toegang tot de systemen van HealthEC. Uit het onderzoek, afgerond op 24 oktober 2023, bleek dat er gegevens waren gestolen, waaronder namen, adressen, geboortedata, socialezekerheidsnummers en medische informatie. HealthEC raadt aan waakzaam te zijn voor identiteitsdiefstal en fraude. Het totale aantal getroffen personen is 4.452.782, verspreid over 17 gezondheidszorgaanbieders en staatsgezondheidssystemen. Enkele grote betrokken organisaties zijn Corewell Health en HonorHealth. [1, 2, 3]


Aanval op RIPE-account van Orange Spanje verstoort netwerkverbindingen

Een aanvaller heeft het RIPE-account van Orange Spanje gekaapt en veranderde meerdere netwerkinstellingen, wat leidde tot het loskoppelen van netwerken en beïnvloedde de verbindingen en bereikbaarheid van Orange en andere providers zoals Jazztel en Simyo. De aanval was mogelijk door de Raccoon-malware, die inloggegevens van een Orange-medewerker stal. Het RIPE-account miste tweefactorauthenticatie. De aanvaller wijzigde BGP- en RPKI-instellingen, essentieel voor internetrouting en -beveiliging, wat resulteerde in onjuiste aankondiging van ip-adressen en bereikbaarheidsproblemen. Orange bevestigde de inbraak, maar klantgegevens waren niet gecompromitteerd. Het probleem werd na enkele uren opgelost. [1, 2, 3, 4]


Google-dochteronderneming Mandiant Slachtoffer van Cryptoscam via Gehackt X-account

Criminelen hebben recent het X-account van Mandiant, een dochteronderneming van Google, overgenomen en gebruikt voor een frauduleuze cryptoscam. Mandiant, dat in 2022 door Google werd overgenomen voor 5,4 miljard dollar, bevestigde het incident in een persverklaring. De aanvallers wijzigden de accountbeschrijving, verwijzend naar de Phantom-cryptowallet - een opslagmethode voor cryptovaluta en NFT's (Non-Fungible Tokens). Echter, de links leidden naar een scamwebsite. Ook via tweets van het Mandiant-account werd reclame gemaakt voor de Phantom-wallet, waarbij men misleid werd met beloftes over gratis tokens. Mandiant heeft inmiddels de controle over het X-account, dat meer dan 122.000 volgers heeft, teruggekregen. Er is geen informatie vrijgegeven over hoe het account precies gekaapt kon worden. Dit incident benadrukt de voortdurende risico's en kwetsbaarheden in de cybersecuritywereld, vooral als het gaat om social media accounts van grote bedrijven. Het voorval met Mandiant toont aan dat zelfs gevestigde securitybedrijven doelwit kunnen zijn van geraffineerde cyberaanvallen, wat het belang van voortdurende waakzaamheid en geavanceerde beveiligingsmaatregelen onderstreept. [1]


❗️Bijna 11 miljoen SSH-servers kwetsbaar voor Terrapin-aanval

De Shadowserver Foundation heeft gewaarschuwd dat bijna 11 miljoen SSH-servers wereldwijd, inclusief bijna 367.000 in Nederland, kwetsbaar zijn voor de zogenaamde 'Terrapin-aanval'. Deze kwetsbaarheid kwam eind december aan het licht en stelt aanvallers in staat om gebruikte authenticatie-algoritmes te downgraden en bepaalde beveiligingsmaatregelen tegen keystroke timing-aanvallen, die in OpenSSH 9.5 werden geïntroduceerd, uit te schakelen. Voor het uitvoeren van deze aanval moet een aanvaller zich in een man-in-the-middle-positie bevinden tussen de client en server. Dit houdt in dat het mogelijk moet zijn om het verkeer op de TCP/IP-laag te onderscheppen en te manipuleren. Bovendien moet de verbinding gebruikmaken van ChaCha20-Poly1305 of de Cipher Block Chaining (CBC) encryptiemode met de optie 'Encrypt-then-MAC'. SSH (Secure Shell) is een protocol waarmee gebruikers op een beveiligde manier kunnen inloggen op servers of machines op afstand kunnen beheren. De Terrapin-kwetsbaarheid, ook bekend als CVE-2023-48795, wordt als lastig te patchen beschouwd vanwege de betrokken kwetsbare encryptiemethoden. Er zijn echter al updates uitgebracht voor populaire programma's zoals OpenSSH, PuTTY en WinSCP. De Shadowserver Foundation, een non-profitorganisatie actief in Nederland en de Verenigde Staten, focust zich op het bestrijden van botnets en cybercriminaliteit en voert regelmatig scans uit op kwetsbare systemen. Uit hun laatste scan bleek dat bijna elf miljoen servers nog steeds kwetsbaar zijn voor CVE-2023-48795. De kwetsbaarheid vereist specifieke omstandigheden om uitgevoerd te worden, zoals een man-in-the-middle-positie en het gebruik van bepaalde encryptiemethoden. Dit suggereert dat de impact ervan beperkt kan blijven als netwerken adequaat beveiligd zijn en tijdige patches worden toegepast. [1, 2]


CISA Signaleert Actief Uitgebuite Kwetsbaarheden in Chrome en Excel Parsing Bibliotheek

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft recent twee kwetsbaarheden toegevoegd aan hun catalogus van bekende uitgebuite kwetsbaarheden. Deze omvatten een recent gepatchte fout in Google Chrome en een bug in de open-source Perl-bibliotheek Spreadsheet::ParseExcel, die wordt gebruikt voor het lezen van informatie in Excel-bestanden. De eerste kwetsbaarheid, aangeduid als CVE-2023-7101, betreft een mogelijkheid tot remote code execution in versies 0.65 en ouder van Spreadsheet::ParseExcel. Deze kwetsbaarheid ontstaat doordat niet-gevalideerde input uit een bestand wordt doorgegeven naar een string-type "eval" binnen de Excel-parsing logica. Deze bibliotheek wordt breed ingezet voor data-import/export operaties in Excel-bestanden en is onder meer gebruikt in Barracuda ESG (Email Security Gateway). Chinese hackers hebben laat in december deze kwetsbaarheid uitgebuit om apparaten te compromitteren, door de malware 'SeaSpy' en 'Saltwater' te implementeren. Barracuda heeft op 20 december maatregelen getroffen en op 29 december 2023 een beveiligingsupdate uitgebracht met versie 0.66 van Spreadsheet::ParseExcel. De tweede kwetsbaarheid, met het kenmerk CVE-2023-7024, betreft een heap buffer overflow-probleem in WebRTC in de Google Chrome-webbrowser. Deze kwetsbaarheid, ontdekt door Google's Threat Analysis Group (TAG), maakte het mogelijk voor aanvallers om crashes of code-uitvoering te veroorzaken. Google heeft op 20 december een noodupdate uitgebracht voor deze kwetsbaarheid. Dit was de achtste zero-day kwetsbaarheid die Google in 2023 in Chrome heeft aangepakt. CISA heeft federale instanties tot 23 januari de tijd gegeven om deze beveiligingsproblemen te verhelpen volgens instructies van de leverancier of om te stoppen met het gebruik van de kwetsbare producten. De KEV-catalogus van CISA is een waardevolle bron voor organisaties wereldwijd voor beter kwetsbaarheidsbeheer en -prioritering. [1, 2]


Grote Storing Treft Rabobank: Website en App Onbereikbaar

Op woensdagochtend 3 januari 2024 kampte de Rabobank met een aanzienlijke storing, waardoor zowel de website als de app van de bank onbereikbaar waren. Dit incident veroorzaakte aanzienlijke overlast voor klanten, die hierdoor geen bankzaken konden regelen. De exacte oorzaak van de storing was op het moment van rapportage nog niet duidelijk. Klanten die probeerden in te loggen op de app, kregen een melding dat er geen verbinding mogelijk was met de Rabobank. Deze storing had niet alleen impact op de directe diensten van de bank, maar zorgde ook voor problemen met iDeal-betalingen. Op de website van Rabobank verschenen foutmeldingen, en er was een bericht geplaatst waarin de bank haar excuses aanbood voor het ongemak en aangaf te werken aan een oplossing. De storing had verstrekkende gevolgen voor vele klanten. Op de website Allestoringen.nl, een platform waar men storingen kan rapporteren en inzien, werden tienduizenden klachten gemeld over de bereikbaarheid van de Rabobank. De situatie veroorzaakte aanzienlijke onrust en ongemak, gezien de centrale rol die de Rabobank speelt in het financiële leven van haar klanten. Dit incident benadrukt de kwetsbaarheid van digitale bankdiensten en de impact die technische storingen kunnen hebben op zowel individuele klanten als het bredere financiële systeem. Het wachten was op verdere updates van de Rabobank over de oorzaak van de storing en de te verwachten duur van de onderbreking. Op dat moment is het nog niet bekend of de storing het resultaat is van een cyberaanval [1]


Marokkaanse Hackers Kapen RASD TV van Polisario Beweging

Marokkaanse hackers hebben onlangs de televisiezender van de Polisario-beweging, RASD TV, overgenomen. Dit incident, dat opmerkelijke aandacht trok, vond plaats in een context van politieke en territoriale spanningen. De Polisario-beweging, die streeft naar onafhankelijkheid voor de Westelijke Sahara, zag haar zender gekaapt worden door Marokkaanse hackers. Deze laatste hebben bijna een uur lang uitzendingen van Laâyoune TV, een Marokkaanse zender, uitgezonden op RASD TV. Laâyoune TV, gelegen in de hoofdstad van de Marokkaanse Sahara, heeft in het verleden verschillende programma's en evenementen uitgezonden die de Marokkaanse culturele en sociale activiteiten in de regio benadrukken. Een opvallende uitzending die tijdens de hack werd vertoond, was die van het Internationaal Festival Touizgui van de Nomaden. Dit festival, dat eind december in de Westelijke Sahara werd gehouden, is een belangrijk cultureel evenement dat de lokale nomadische tradities en levenswijze viert. De actie van de hackers werd breed uitgemeten op sociale media en andere platforms, met specifieke vermelding door de Algerijnse activist Oualid Kebir. Hij bracht de hack aan het licht via platforms zoals YouTube en X, een voormalig Twitter-platform. Deze gebeurtenis werpt licht op de voortdurende spanningen en conflicten in de regio, waarbij de Westelijke Sahara een centraal punt van discussie blijft tussen Marokko, Polisario, en hun respectievelijke bondgenoten. De actie van de hackers wordt gezien als een daad van digitale sabotage en propagandaverspreiding, en weerspiegelt de complexe aard van de politieke en culturele strijd in de regio. [1]


Grootschalige Hack op Orbit Chain Resulteert in Verlies van $86 Miljoen

Orbit Chain, een blockchainplatform dat als een multi-asset hub fungeert, heeft een aanzienlijke beveiligingsinbreuk ervaren. Deze inbreuk heeft geleid tot een verlies van $86 miljoen aan cryptocurrency, met name in Ether, Dai, Tether en USD Coin. Het platform, dat niet direct door investeerders wordt gebruikt om activa of diensten te kopen, maar meer een infrastructuurproject is ter ondersteuning van het bredere ecosysteem, werd op 31 december 2023 getroffen door een reeks ongeautoriseerde transacties. Deze aanvallen, uitgevoerd door niet-geïdentificeerde hackers, resulteerden in een onmiddellijke daling van Orbit Chain's balans van $115M naar $29M. De exacte methode die door de hackers is gebruikt om de aanval uit te voeren, is momenteel onbekend. Er zijn echter aanwijzingen dat de aanvallers geavanceerde, door staten gesponsorde hackers zijn, mogelijk uit Noord-Korea. Dergelijke groepen, waaronder de beruchte Lazarus-groep, zijn eerder in 2023 betrokken geweest bij diverse crypto-gerelateerde cyberaanvallen. Deze aanvallen worden gezien als een middel om internationale sancties te omzeilen en Noord-Korea's wapenontwikkelingsprogramma en cyberoperaties te financieren. Orbit Chain werkt samen met de Koreaanse Nationale Politie en Korea's Internet en Security Agency (KISA) die gespecialiseerd zijn in dreigingen uit Noord-Korea. Tevens wordt opgemerkt dat Orbit Bridge een project is van Ozys, dat ook Belt Finance en KlaySwap bezit, welke eerder zijn gehackt door vermoedelijk geavanceerde staatshackers die gebruik maakten van Border Gateway Protocol (BGP) kaping. De gestolen fondsen van de recente Orbit Chain hack worden momenteel gevolgd met de hulp van meerdere internationale partners, en er wordt uitgebreid gepoogd om de gestolen activa te bevriezen. Orbit Chain waarschuwt ook voor oplichters die geverifieerde accounts gebruiken om phishing-sites te promoten, die zich voordoen als terugbetalingsportalen. Zodra een portemonnee echter is verbonden, worden alle activa en NFT's uit de portemonnee gedraineerd. In 2023 hebben portemonneedrainers naar verluidt $295 miljoen gestolen van meer dan 320.000 slachtoffers. [1, 2, 3, 4, 5]


Ransomware-aanval treft Museumsoftwarebedrijf Gallery Systems

Gallery Systems, een belangrijke aanbieder van museumsoftware, heeft bekendgemaakt dat de recente IT-storingen het gevolg zijn van een ransomware-aanval op 28 december 2023. Het bedrijf, opgericht in april 2022 na een fusie met Artsystems, bedient meer dan 800 musea, waaronder prominente namen zoals het Museum of Modern Art en het Metropolitan Museum of Art. De aanval resulteerde in het versleutelen van bepaalde computersystemen, waardoor deze niet meer functioneerden. Gallery Systems is druk bezig met het herstellen van de toegang tot hun software en data, waarbij gebruik wordt gemaakt van de laatste beschikbare back-up. De aanval heeft ook invloed gehad op eMuseum, een online platform voor publieke collecties, waardoor diverse musea en universiteiten hun digitale tentoonstellingen tijdelijk niet kunnen tonen. Het bedrijf heeft de autoriteiten ingelicht en voert een intern onderzoek uit om de volledige impact van de inbreuk te bepalen. Tot op heden is er geen respons van Gallery Systems op vragen over de aanval en de mogelijke gevolgen ervan. [1]


Xerox Business Solutions (XBS) VS Getroffen door Ransomware-aanval

De Amerikaanse divisie van Xerox Business Solutions (XBS) is het slachtoffer geworden van een hackersaanval, waarbij beperkte persoonlijke informatie mogelijk is blootgesteld. Dit is naar voren gekomen in een aankondiging van het moederbedrijf, Xerox Corporation. XBS is gespecialiseerd in documenttechnologie en diensten en levert diverse producten, waaronder printers, kopieermachines, digitale prints systemen, en bijbehorende advies- en leveringsdiensten. De ransomwaregroep INC Ransom heeft XBS toegevoegd aan hun afpersingsportal, met de claim gevoelige data en vertrouwelijke documenten uit hun systemen te hebben gestolen. Na contact met Xerox deelde het bedrijf een verklaring met BleepingComputer. Hierin stelde Xerox dat de cyberaanval op de Amerikaanse divisie van XBS gedetecteerd en ingeperkt is door hun cybersecurityteam. Ze werken samen met externe cybersecurityexperts om het incident grondig te onderzoeken en nemen de nodige stappen om de IT-omgeving van XBS verder te beveiligen. Volgens Xerox heeft de aanval geen invloed gehad op de bedrijfsvoering van Xerox of XBS. Echter, uit een voorlopig onderzoek blijkt dat er beperkte persoonlijke informatie is blootgesteld. De gelekte gegevens op de INC Ransom-website omvatten e-mailcommunicatie (met inhoud en adressen), betalingsdetails, facturen, ingevulde aanvraagformulieren en inkooporders. Het is mogelijk dat de bedreigers data hebben over meerdere klanten,partners en werknemers van XBS, maar de volledige omvang van de inbreuk is momenteel onbekend. Xerox heeft toegezegd alle betrokkenen die bevestigd zijn getroffen door dit incident, te zullen informeren. [1]


Uitgebreide Cyberaanval op Victoriaanse Rechtbanken: Qilin Ransomware Exposeert Gerechtelijke Opnames

In Victoria, Australië, zijn rechtbanken het doelwit geworden van een ernstige cyberaanval. De Court Services Victoria (CSV), een onafhankelijke autoriteit die diensten levert aan de rechtbanken van Victoria, waarschuwt dat video-opnames van rechtszittingen zijn blootgesteld na een aanval met Qilin-ransomware. Deze aanval werd op 21 december 2023 ontdekt, maar het bleek dat de inbreuk al eerder had plaatsgevonden, namelijk op 8 december 2023. De getroffen systemen werden direct geïsoleerd en uitgeschakeld, maar uit onderzoek bleek dat de blootgestelde opnames teruggaan tot 1 november 2023. Dit incident heeft geleid tot ongeautoriseerde toegang en verstoring van de audiovisuele technologie in de rechtbank, waardoor video- en audio-opnames en transcriptiediensten werden beïnvloed. De aangetaste rechtbanken omvatten het Hooggerechtshof, het Landgerecht, het Kantongerecht, de Kinderrechtbank en het Gerecht voor lijkschouwingen. Deze opnames bevatten een mix van openbare en vertrouwelijke informatie, wat afhankelijk van de zaak gevoelige informatie over rechtszaken zou kunnen blootleggen. De getroffen rechtbanken zullen, waar mogelijk, kennisgevingen van inbreuken sturen naar degenen die door het incident zijn getroffen. CSV heeft ook de autoriteiten ingelicht over de mogelijke datalek, waaronder de Victoriaanse Politie, het Victoriaanse Ministerie van Overheidsdiensten en IDCARE, de Australische nationale identiteits- en cyberondersteuningsdienst. CSV is nog bezig met het herstructureren van het getroffen systeem met meer focus op beveiliging, maar de werking van de rechtbanken in Victoria zal niet worden beïnvloed. Alle zaken die voor januari 2024 zijn gepland, zullen naar verwachting normaal doorgaan. Hoewel de autoriteit de cybercriminelen die verantwoordelijk zijn voor de aanval niet bij naam noemt, rapporteren bronnen dat de Qilin-ransomwarebende de aanval heeft uitgevoerd. Deze ransomware-operatie werd oorspronkelijk gelanceerd onder de naam "Agenda" in augustus 2022, maar werd later omgedoopt tot Qilin. Sinds de lancering heeft de operatie een gestage stroom slachtoffers gehad, met een toename van activiteiten tegen het einde van 2023. [1, 2]


Toename van Nieuwe Malware-families voor macOS in 2023

In 2023 zijn negentien nieuwe malware-families voor macOS geïdentificeerd, aldus beveiligingsonderzoeker Patrick Wardle. In zijn jaarlijkse overzicht van Mac-malware onthulde hij dat de meeste malware bestond uit backdoors en infostealers, gericht op het stelen van wachtwoorden en crypto-gerelateerde informatie. Twee ransomware-exemplaren, voornamelijk testversies, werden ook ontdekt. Bepaalde malware werd ingezet door 'Advanced Persistent Threats' (APT's), met nadruk op groepen uit Noord-Korea en Iran. Verspreidingstechnieken van deze malware varieerden, waaronder social engineering en malafide applicaties. [1]


Cyberbeveiligingsincident treft Grenfell Campus van Memorial University Canada

De Memorial University heeft een cyberbeveiligingsincident gemeld dat invloed heeft op de Grenfell Campus in Corner Brook. Dit incident werd voor het eerst opgemerkt op vrijdag, waarbij onmiddellijke veiligheidsprotocollen werden geactiveerd om de getroffen systemen te isoleren. Hoewel specifieke details over de getroffen systemen niet zijn vrijgegeven, heeft dit voorval geleid tot een tijdelijke sluiting van de IT-diensten bij het Marine Institute. Als voorzorgsmaatregel en onderdeel van het onderzoek heeft het centrale IT-team van Memorial zowel de Grenfell Campus als het Marine Institute geïsoleerd. Er is momenteel geen aanwijzing dat IT-diensten of data op andere campussen zijn beïnvloed. Een onderzoek is ingezet en de wetshandhaving is op de hoogte gebracht. De universiteit werkt samen met cyberbeveiligingsexperts om de oorzaak en reikwijdte van het probleem te bepalen. Dit onderzoek bevindt zich in een vroeg stadium en zal naar verwachting enige tijd in beslag nemen. Memorial University heeft haar noodoperatiecentrum geactiveerd en een team van experts van de hele universiteit werkt samen om de impact op academische, onderzoeks- en administratieve activiteiten te beperken. De universiteit zal alle betrokkenen, waaronder docenten, personeel en studenten van de Grenfell Campus, op de hoogte houden van eventuele veranderingen die hen kunnen beïnvloeden voor aanvang van het wintersemester 2024. De lessen op de campus zullen naar verwachting hervat worden op donderdag 4 januari. Dit incident benadrukt het belang van robuuste cybersecuritymaatregelen in onderwijsinstellingen en de noodzaak van een snelle reactie bij dergelijke inbreuken om de schade te beperken en de privacy van betrokkenen te beschermen. [1]


JinxLoader: Nieuwe Malware Loader Bedreigt Gebruikers met Formbook en XLoader

In de cyberbeveiligingswereld is recentelijk een nieuwe malware loader, JinxLoader, geïdentificeerd. Deze loader wordt gebruikt door cybercriminelen om gevaarlijke payloads zoals Formbook en XLoader af te leveren. Cybersecurity bedrijven Palo Alto Networks Unit 42 en Symantec hebben dit onthuld en wijzen op de gelaagde aanvalssequenties die leiden tot de inzet van JinxLoader via phishing-aanvallen. JinxLoader, die zijn naam ontleent aan een personage uit het spel League of Legends, werd voor het eerst geadverteerd op het forum hackforums[.]net in april 2023. Deze service is beschikbaar voor $60 per maand, $120 per jaar of een eenmalige betaling van $200. De aanvallen beginnen met phishing-e-mails die zich voordoen als de Abu Dhabi National Oil Company (ADNOC), waarbij ontvangers worden aangemoedigd om wachtwoordbeveiligde RAR-archiefbijlagen te openen. Deze bijlagen bevatten de JinxLoader uitvoerbaar, die als gateway dient voor Formbook of XLoader. Tegelijkertijd meldt ESET een toename in infecties, waarbij een andere nieuwe loader malware, genaamd Rugmi, wordt gebruikt om een breed scala aan informatie stelende malware te verspreiden. Daarnaast zijn er stijgingen in campagnes die DarkGate en PikaBot verspreiden, met een groep bekend als TA544 die nieuwe varianten van loader malware gebruikt om Remcos RAT of SystemBC malware te implementeren. De Meduza Stealer, een andere dreiging, heeft recentelijk een geüpdatete versie (versie 2.2) op het dark web uitgebracht. Deze nieuwe versie ondersteunt browser-gebaseerde cryptocurrency wallets en heeft een verbeterde creditcard (CC) grabber. Verder is er een nieuwe stealer-familie ontdekt, Vortex Stealer, die browsergegevens, Discord-tokens, Telegram-sessies, systeeminformatie en bestanden kleiner dan 2 MB kan exfiltreren. Deze informatie wordt gearchiveerd en geüpload naar platforms als Gofile of Anonfiles, en kan ook via webhooks op Discord van de auteur of via een Telegram-bot worden gepost. Dit alles onderstreept de aanhoudende lucrativiteit van stealer malware voor cybercriminelen en de noodzaak van voortdurende waakzaamheid en up-to-date cyberbeveiligingsmaatregelen.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Meer weekoverzichten

Februari 2024
Januari 2024