Overzicht van slachtoffers cyberaanvallen week 06-2024

Gepubliceerd op 12 februari 2024 om 15:00

EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


De digitale veiligheidslandschap heeft de afgelopen week opnieuw verontrustende activiteiten gezien, met een reeks cyberaanvallen die wereldwijd verschillende sectoren en organisaties hebben getroffen. Van de ontdekking van Chinese malware in het Nederlandse defensienetwerk door de Militaire Inlichtingendienst, tot een gerichte cyberaanval op North Sea Yacht Support, de dreiging lijkt niet te verminderen. In Nederland werd ook de exploitatie van een Ivanti SSRF zero-day kwetsbaarheid gemeld, terwijl VCS Observation het doelwit werd van een cyberaanval door de groep Akira.

Ondertussen benadrukt België de toenemende risico's van ransomware-aanvallen, met een specifieke nadruk op hoe rijker landen vaker doelwit worden, naast een zorgwekkende toename van dergelijke aanvallen binnen haar grenzen. De Belgische groothandel Harinck werd eveneens het slachtoffer van een cyberaanval, wat de breedte van de bedreiging illustreert.

Internationaal hebben we gezien hoe een grootschalige ransomware-aanval 18 Roemeense ziekenhuizen trof, een cyberaanval een Frans ziekenhuis in Armentières tot de sluiting van de noodafdeling dwong, en diverse andere aanvallen, waaronder een die de persoonsgegevens van miljoenen Fransen blootlegde via Viamedis. Europol's waarschuwing over het actief misbruik van kwetsbaarheden in Ivanti VPN onderstreept de voortdurende bedreiging voor onze digitale veiligheid.

Deze incidenten worden gevolgd door zorgwekkende ontwikkelingen in de verspreiding van malware en de exploitatie van kwetsbaarheden, met nieuwe dreigingen zoals Raspberry Robin malware, nieuwe macOS malware vermomd als een Visual Studio-update, en de toename van DDoS-aanvallen op grote technologiebedrijven.

De activiteiten van cybercriminelen blijven evolueren, zoals blijkt uit de actieve uitbuiting van een kritieke bug in Fortinet RCE, terwijl het aantal slachtoffers van ransomware-aanvallen - waaronder grote namen zoals Hyundai Motor Europe - en de financiële verliezen blijven stijgen.

De impact van cybercriminaliteit wordt nog verder onderstreept door een recordverlies van 10 miljard dollar door fraude in de VS in 2023, en het besluit van Canada om het gebruik van Flipper Zero te verbieden in een poging autodiefstal tegen te gaan.

Met een onthutsende tellerstand van 12.264 organisaties waarvan de data op het darkweb is gelekt, benadrukt deze week opnieuw de cruciale noodzaak voor verhoogde cyberbeveiligingsmaatregelen en bewustwording. Hieronder vindt u een volledig overzicht van de cyberaanvallen van de afgelopen week, waaruit de omvang en diversiteit van de huidige cyberdreigingen blijken.



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
LILI'S BROWNIES 8BASE lilisbrownies.fr France Eating And Drinking Places 11-feb-24
Amoskeag Network Consulting Group LLC Medusa www.ancgllc.com USA IT Services 11-feb-24
lacolline-skincare.com LockBit lacolline-skincare.com Switzerland Chemical Producers 11-feb-24
Upper Merion Township Qilin www.umtownship.org USA General Government 10-feb-24
Avianor Aircraft Hunters International www.avianor.com Canada Transportation Equipment 10-feb-24
Carespring Health Care Hunters International www.carespring.com USA Health Services 10-feb-24
Dalmahoy Hotel & Country Club Hunters International www.dalmahoyhotelandcountryclub.co.uk United Kingdom Lodging Places 10-feb-24
Groupe Goyette Hunters International www.groupegoyette.com Canada Motor Freight Transportation 10-feb-24
Impact Energy Services Hunters International impact-energy.ca Canada Engineering Services 10-feb-24
Nastech Hunters International nastech.ae United Arab Emirates Oil, Gas 10-feb-24
Benchmark Management Group Hunters International www.benchmarkgrp.com USA Real Estate 10-feb-24
SOPEM Tunisie Hunters International www.sopem.com.tn Tunisia Machinery, Computer Equipment 10-feb-24
Lancaster County Sheriff's Office Hunters International www.lancastersheriff.net USA Justice, Public Order, And Safety 10-feb-24
Village of Skokie Hunters International www.skokie.org USA General Government 10-feb-24
maddockhenson BlackCat (ALPHV) maddockhenson.com USA Accounting Services 10-feb-24
aisg-online.com LockBit aisg-online.com USA IT Services 10-feb-24
verdimed.es LockBit verdimed.es Spain Agriculture 10-feb-24
Pacific American Fish Company Inc. INC Ransom pafco.net USA Wholesale Trade-non-durable Goods 10-feb-24
magi-erp.com LockBit magi-erp.com USA IT Services 9-feb-24
CTSI BianLian ctsiweb.com USA Miscellaneous Services 9-feb-24
J.P. Original BianLian www.jpo.com USA Wholesale Trade-non-durable Goods 9-feb-24
TechNet Kronoberg AB BianLian www.technetsyd.se Sweden IT Services 9-feb-24
Grace Lutheran Foundation BlackCat (ALPHV) www.graceluthfound.com USA Health Services 9-feb-24
Capozzi Adler, P.C. BianLian capozziadler.com USA Legal Services 9-feb-24
Drost Kivlahan McMahon & O'Connor LLC BianLian www.dkmolaw.com USA Legal Services 9-feb-24
ZGEO Qilin zivilgeometer.at Austria Construction 9-feb-24
alfiras.com LockBit alfiras.com United Arab Emirates Construction 9-feb-24
indoramaventures.com LockBit indoramaventures.com Thailand Chemical Producers 9-feb-24
soken-ce.co.jp LockBit soken-ce.co.jp Japan Chemical Producers 9-feb-24
wannago.cloud Qilin wannago.cloud United Arab Emirates IT Services 9-feb-24
maximumresearch.com LockBit maximumresearch.com USA Research Services 9-feb-24
grupomoraval.com LockBit grupomoraval.com Spain Real Estate 9-feb-24
cdtmedicus.pl LockBit cdtmedicus.pl Poland Health Services 9-feb-24
willislease.com Black Basta willislease.com USA Transportation By Air 9-feb-24
northseayachtsupport.nl LockBit northseayachtsupport.nl Netherlands Transportation Equipment 9-feb-24
moneyadvicetrust.org LockBit moneyadvicetrust.org United Kingdom Social Services 9-feb-24
seymourct.org LockBit seymourct.org USA General Government 9-feb-24
bsaarchitects.com LockBit bsaarchitects.com USA Construction 9-feb-24
macqueeneq.com LockBit macqueeneq.com USA Engineering Services 9-feb-24
parksite.com Cactus parksite.com USA Wholesale Trade-durable Goods 9-feb-24
galbusera.it LockBit galbusera.it Italy Food Products 9-feb-24
bulldogbag.com Underground bulldogbag.com Canada Miscellaneous Manufacturing Industries 9-feb-24
frenckengroup.com Underground frenckengroup.com Singapore Machinery, Computer Equipment 9-feb-24
synology.com Underground synology.com Taiwan IT Services 9-feb-24
tpa-group.sk Underground tpa-group.sk Slovakia Accounting Services 9-feb-24
Triathlon.group Underground triathlon.group Germany Electronic, Electrical Equipment, Components 9-feb-24
water.cc LockBit water.cc USA Membership Organizations 8-feb-24
Ducont Hunters International www.ducont.com USA IT Services 8-feb-24
Jewish Home Lifecare BlackCat (ALPHV) jewishhome.org USA Health Services 8-feb-24
originalfootwear.com LockBit originalfootwear.com USA Leather Products 8-feb-24
perkinsmfg.com LockBit perkinsmfg.com USA Machinery, Computer Equipment 8-feb-24
Distecna Akira www.distecna.com Argentina Wholesale Trade-durable Goods 8-feb-24
Western Municipal Construction BLACK SUIT www.wmc-i.com USA Construction 7-feb-24
Southwest Binding & Laminating BLACK SUIT swbindinglaminating.com USA Wholesale Trade-durable Goods 7-feb-24
TeraGo Akira www.terago.ca Canada Miscellaneous Services 7-feb-24
Anderco PTE LTD 8BASE anderco.com.sg Singapore Miscellaneous Manufacturing Industries 7-feb-24
Tetrosyl Group Limited 8BASE tetrosyl.com United Kingdom Transportation Equipment 7-feb-24
Therme Laa Hotel and Silent Spa 8BASE therme-laa.at Austria Amusement And Recreation Services 7-feb-24
Karl Rieker GmbH and Co. KG 8BASE karl-rieker.com Germany Apparel And Other Finished Products 7-feb-24
YRW Limited 8BASE yrw.co.nz New Zealand Accounting Services 7-feb-24
Harinck 8BASE harinck.be Belgium Wholesale Trade-durable Goods 7-feb-24
axsbolivia.com LockBit axsbolivia.com Bolivia Communications 7-feb-24
vimarequipment.com LockBit vimarequipment.com Canada Automotive Dealers 7-feb-24
Worthen Industries 8BASE www.worthenind.com USA Chemical Producers 6-feb-24
CERALP 8BASE ceralp.fr France Accounting Services 6-feb-24
PWS - The Laundry Company 8BASE pwslaundry.com USA Miscellaneous Services 6-feb-24
PJ Green Inc 8BASE pjgreen.com USA Publishing, printing 6-feb-24
Shipleys LLP RansomHouse www.shipleys.com United Kingdom Accounting Services 6-feb-24
Celeste Akira www.celeste.fr France Communications 6-feb-24
AVer Information Akira www.averusa.com Taiwan Electronic, Electrical Equipment, Components 6-feb-24
B&B Electric Inc BianLian www.bandbelectric.com USA Construction 6-feb-24
Hbl Cpas, P.C. RansomHouse www.hblcpa.com USA Accounting Services 6-feb-24
ArpuPlus Medusa www.arpuplus.com Egypt Communications 6-feb-24
gocco.com Cactus gocco.com Spain Apparel And Accessory Stores 6-feb-24
spbglobal.com Cactus spbglobal.com Spain Chemical Producers 6-feb-24
Hannon Transport PLAY www.hannontransport.com Ireland Motor Freight Transportation 5-feb-24
McMillan Pazdan Smith PLAY www.mcmillanpazdansmith.com USA Construction 5-feb-24
Mason Construction PLAY www.masonconstruction.net USA Construction 5-feb-24
Albert Bartlett PLAY www.albertbartlett.com United Kingdom Food Products 5-feb-24
Perry-McCall Construction PLAY www.perry-mccall.com USA Construction 5-feb-24
Virgin Islands Lottery PLAY www.winusvilottery.com U.S. Virgin Islands Amusement And Recreation Services 5-feb-24
Premier Facility Management PLAY www.pfmgreen.com USA Management Services 5-feb-24
Douglas County Libraries PLAY www.dcl.org USA Educational Services 5-feb-24
Leaders Staffing PLAY www.leadersstaffing.com USA Business Services 5-feb-24
asecos.com Black Basta asecos.com Germany Machinery, Computer Equipment 5-feb-24
themisbourne.co.uk LockBit themisbourne.co.uk United Kingdom Educational Services 5-feb-24
Vail-Summit Orthopaedics & Neurosurgery (VSON) BlackCat (ALPHV) vsortho.com USA Health Services 5-feb-24
VCS Observation Akira www.vcsobservation.com Netherlands IT Services 5-feb-24
hutchpaving.com LockBit hutchpaving.com USA Construction 5-feb-24
davis-french-associates.co.uk LockBit davis-french-associates.co.uk United Kingdom Engineering Services 5-feb-24
Campaign for Tobacco-Free Kids BLACK SUIT tobaccofreekids.org USA Membership Organizations 5-feb-24
ksa-architecture.com LockBit ksa-architecture.com USA Construction 5-feb-24
noe.wifi.at LockBit noe.wifi.at Austria Educational Services 5-feb-24
GRTC Transit System BianLian www.ridegrtc.com USA Passenger Transportation 5-feb-24
tgestiona.br LockBit tgestiona.br Brazil Transportation Services 5-feb-24
semesco.com LockBit semesco.com Cyprus Oil, Gas 5-feb-24
ultraflexx.com LockBit ultraflexx.com USA Publishing, printing 5-feb-24
philogen.com LockBit philogen.com Italy Chemical Producers 5-feb-24
prima.com LockBit prima.com USA Agriculture 5-feb-24
logtainer.com LockBit logtainer.com Italy Railroad Transportation 5-feb-24
portline.pt LockBit portline.pt Portugal Water Transportation 5-feb-24
DOD contractors D0N#T (Donut Leaks) Unknown USA Miscellaneous Services 5-feb-24

Slachtoffers België en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
northseayachtsupport.nl LockBit northseayachtsupport.nl Netherlands In progress 9-feb-24
Harinck 8BASE harinck.be Belgium Wholesale Trade-durable Goods 7-feb-24
VCS Observation Akira www.vcsobservation.com Netherlands IT Services 5-feb-24
Meetmoment Aantal organisaties waar data van gelekt is op het darkweb
01-05-2019 (eerste slachtoffer) 1
01-05-2020 85
01-05-2021 2.167
01-05-2022 5.565
01-05-2023 8.292
01-05-2024 ?
NU: 12-02-2024 12.281

Aantal organisaties waarvan alle gegevens gelekt zijn op het darkweb

In samenwerking met StealthMole

Sponsor Cybercrimeinfo


Cyberaanvallen nieuws


Grootschalige Ransomware Aanval Treft 18 Roemeense Ziekenhuizen

Een grootschalige ransomware aanval heeft ten minste 18 ziekenhuizen in Roemenië offline gedwongen door het versleutelen van de database van hun zorgbeheersysteem, het Hipocrate Information System (HIS). Dit systeem wordt gebruikt voor het beheren van medische activiteiten en patiëntgegevens. De aanval, die plaatsvond in de nacht van 11 op 12 februari 2024, heeft ervoor gezorgd dat het systeem niet meer toegankelijk is, met bestanden en databases die versleuteld zijn. Het Roemeense Ministerie van Gezondheid heeft bekendgemaakt dat IT-specialisten en cybersecurity experts van de National Cyber Security Directorate (DNSC) de situatie onderzoeken en de mogelijkheden voor herstel beoordelen. De aanval heeft een breed scala aan ziekenhuizen getroffen, waaronder regionale en oncologische behandelcentra. Er zijn uitzonderlijke voorzorgsmaatregelengenomen voor andere ziekenhuizen die niet zijn getroffen. Tot op heden is er geen informatie beschikbaar over welke ransomwaregroep verantwoordelijk is of of er patiëntgegevens tijdens het incident zijn gestolen. [1, 2, 3]


Cyberaanval treft ziekenhuis in Armentières; noodafdeling gesloten (FRA)

In de nacht van zaterdag op zondag is het ziekenhuiscentrum in Armentières, Departement Nord, het slachtoffer geworden van een cyberaanval. Dit markeert de eerste keer dat het ziekenhuis dergelijke cybercriminaliteit ervaart. Hackers hebben de data van het ziekenhuis versleuteld en eisen nu een losgeld voor de herstelling ervan. Als direct gevolg van deze aanval is de noodafdeling van het ziekenhuis voor de komende 24 uur gesloten, met een herleiding van patiënten naar andere ziekenhuizen voor dringende zorg. Volgens Samy Bayod, de adjunct-directeur van het ziekenhuis, begonnen de printers ineens berichten af te drukken waarin stond dat hun gegevens waren gecodeerd en dat er contact met de hackers opgenomen moest worden. Deze incident onderstreept de groeiende dreiging van cyberaanvallen op essentiële diensten zoals de gezondheidszorg en benadrukt de noodzaak voor versterkte beveiligingsmaatregelen tegen dergelijke criminele activiteiten. [1]


Cyberaanval treft Krankenhaus Lindenbrunn en Zorginstellingen (DEU)

Het Krankenhaus Lindenbrunn in Coppenbrügge, gespecialiseerd in geriatrie en neurologie, en de bijbehorende zorginstellingen van de Gesundheits- und Pflegeeinrichtungen Lindenbrunn e. V. (GPL) zijn het doelwit geworden van een cyberaanval, ontdekt op 9 februari 2024. Hoewel het volledige bereik van de aanval nog onderzocht wordt, zijn er tot nu toe geen aanwijzingen dat patiënten- of bewonersgegevens zijn gecompromitteerd. De zorg voor patiënten en bewoners blijft gegarandeerd, dankzij een goed georganiseerd noodplan. Als voorzorgsmaatregel zijn alle systemen direct offline gehaald en zijn de verbindingen met de faciliteiten tijdelijk verbroken, waardoor de instelling momenteel slechts beperkt bereikbaar is via email en telefoon. Experts in IT-veiligheid zijn ingeschakeld om alle servers en databases grondig te onderzoeken. Het is nog onduidelijk wanneer de systemen weer volledig operationeel zullen zijn, en men verwacht dat de gebruikelijke communicatiemethodes begin week 7 nog steeds niet beschikbaar zullen zijn. [1]


De Evolutie van Raspberry Robin Malware en het Gebruik van 1-Day Exploits

Recente versies van de Raspberry Robin malware zijn geëvolueerd om stealthier te zijn en maken nu gebruik van zogenaamde 1-day exploits, die alleen worden ingezet op systemen die daar vatbaar voor zijn. Deze 1-day exploits benutten kwetsbaarheden die recentelijk door de softwareontwikkelaar zijn gepatcht, maar waarvan de fix nog niet breed is uitgerold of geïmplementeerd op alle kwetsbare systemen. Raspberry Robin, voor het eerst geïdentificeerd in 2021 door Red Canary, verspreidt zich voornamelijk via verwijderbare opslagapparaten en is in verband gebracht met verschillende cybercriminele groeperingen. De malware heeft zich continu ontwikkeld, met nieuwe ontwijkingstechnieken en distributiemethoden, waaronder het gebruik van de Discord-platform voor het verspreiden van kwaadaardige bestanden. Recente campagnes richten zich op het exploiteren van kwetsbaarheden zoals CVE-2023-36802 en CVE-2023-29360, waarbij de malware deze flaws begon te misbruiken kort na hun openbare onthulling. Check Point's onderzoek wijst uit dat Raspberry Robin geavanceerde anti-analyse, ontwijking, en laterale bewegingsmechanismen heeft toegevoegd, inclusief technieken om detectie door securitytools te vermijden. De malware blijft evolueren, waardoor de dreiging voor systemen wereldwijd toeneemt, met een toenemend gebruik van niet-publieke exploits in haar arsenaal. [1]


Kritieke Fortinet RCE Bug Actief Uitgebuit, Bevestigt CISA

De Cybersecurity and Infrastructure Security Agency (CISA) heeft bevestigd dat aanvallers actief een kritieke remote code execution (RCE) bug in het FortiOS besturingssysteem van Fortinet uitbuiten. Deze kwetsbaarheid, geïdentificeerd als CVE-2024-21762, stelt ongeautoriseerde aanvallers in staat om op afstand willekeurige code uit te voeren via speciaal vervaardigde HTTP-verzoeken. Fortinet heeft de bug op donderdag gepatcht en beheerders geadviseerd om SSL VPN op de apparaten uit te schakelen als onmiddellijke beveiligingsupdate niet mogelijk is. Deze ontwikkeling volgt op de waarschuwing van Fortinet dat de fout mogelijk al "in het wild" wordt uitgebuit. Bovendien heeft CISA de kwetsbaarheid toegevoegd aan zijn catalogus van bekende uitgebuite kwetsbaarheden, gezien het een vaak gebruikt aanvalspunt voor kwaadwillende cyberactoren is en aanzienlijke risico's voor het federale ondernemingsniveau vormt. Amerikaanse federale agentschappen zijn opgedragen om FortiOS-apparaten binnen zeven dagen tegen deze bug te beveiligen. Fortinet heeft ook twee andere kritieke RCE-kwetsbaarheden in zijn FortiSIEM-oplossing gepatcht, maar de onthulling hiervan zorgde voor verwarring vanwege aanvankelijke ontkenningen en verwarrende communicatie vanuit het bedrijf. De kwetsbaarheden, ontdekt door Horizon3's Zach Hanley, werden later erkend als varianten van een eerder gepatchte bug. De uitbuiting van Fortinet-fouten, vaak als zero-days, vormt een significant risico voor bedrijfsnetwerken in cyberespionagecampagnes en ransomware-aanvallen. [1, 2, 3, 4]


Nieuwe macOS Malware Doet Zich Voor Als Visual Studio Update

Een recent ontdekte macOS malware, genaamd RustDoor, verspreidt zich als een update voor Visual Studio en biedt achterdeurtoegang tot gecompromitteerde systemen. De malware, ontwikkeld in Rust, is effectief op zowel Intel-gebaseerde als ARM-architecturen en is gelinkt aan de infrastructuur van de beruchte ALPHV/BlackCat ransomwarebende. Deze campagne is actief sinds november 2023 en blijft nieuwe varianten van de malware distribueren. Onderzoekers van Bitdefender, die de malware volgen, hebben ontdekt dat RustDoor communiceert met vier command-and-control servers, waarvan drie eerder gebruikt werden in aanvallen die mogelijk verband houden met ransomwareactiviteiten van een ALPHV/BlackCat affiliate. Ondanks deze associaties is er onvoldoende bewijs om RustDoor direct te koppelen aan specifieke dreigingsactoren. De malware wordt voornamelijk verdeeld alseen updater voor Visual Studio voor Mac, een ontwikkelomgeving die later dit jaar wordt stopgezet. RustDoor gebruikt een atypische distributiemethode om detectie door beveiligingsproducten te vermijden en beschikt over commando's om het gecompromitteerde systeem te controleren en data te exfiltreren. Het past ook systeembestanden aan om persistentie op het apparaat te waarborgen, waaronder het aanpassen van de ~/.zshrc file en het toevoegen aan het Dock om te vermommen als legitieme applicaties. [1]


Recordverlies van 10 miljard dollar door fraude in de VS in 2023

In 2023 hebben Amerikanen een recordbedrag van meer dan 10 miljard dollar verloren aan oplichters, een stijging van 14% ten opzichte van het voorgaande jaar, volgens de Amerikaanse Federal Trade Commission (FTC). Deze toename in fraudeverliezen ging hand in hand met een toename in ransomware betalingen, die meer dan 1.1 miljard dollar bereikten. Er werden meer dan 2.6 miljoen fraude rapporten ingediend, vergelijkbaar met het aantal in 2022. De meest gemelde vorm van fraude was imitatie van bedrijven en overheidsinstellingen, gevolgd door online winkelfraude en oplichting met prijzen, loterijen, en investeringsschema's. Vooral investeringsfraude sprong eruit, met verliezen van meer dan 4.6 miljard dollar, een stijging van 21% ten opzichte van 2022. Bankoverschrijvingen en cryptocurrency waren de voornaamste methoden waarmee consumenten geld verloren.De FTC heeft meer dan 5.4 miljoen consumentenrapporten toegevoegd aan hun Consumer Sentinel Network database, inclusief meer dan 1.1 miljoen rapporten van identiteitsdiefstal. Samuel Levine, directeur van de FTC's Bureau of Consumer Protection, benadrukte de toenemende dreiging van digitale hulpmiddelen die worden gebruikt om Amerikanen op te lichten. [1, 2]


🇳🇱 Cyberaanval op North Sea Yacht Support

North Sea Yacht Support, een Nederlandse onderneming gespecialiseerd in diensten voor jachten, is het recentste slachtoffer geworden van een cyberaanval. De aanval is uitgevoerd door de beruchte cybercriminele groep LockBit. Het incident werd op 9 februari 2024 bekendgemaakt op het darkweb, waarbij de status van de aanval nog steeds als 'in uitvoering' wordt beschreven. 


Canada Implementeert Verbod op Flipper Zero om Autodiefstal te Beperken

In een recente ontwikkeling heeft de Canadese overheid de import, verkoop, en het gebruik van de Flipper Zero verboden, samen met andere apparatuur die keyless entry-signalen van auto's kan onderscheppen. Dit besluit is genomen als onderdeel van een breder initiatief om autodiefstallen in het land tegen te gaan. De Flipper Zero, een populaire tool onder geeks en penetratietesters, staat bekend om zijn veelzijdigheid met ondersteuning voor diverse radioprotocollen, NFC, RFID, Bluetooth, en infrarood. Het apparaat kan ook fungeren als een USB universal 2nd-factor (U2F) authenticatie token of security key. De Canadese autoriteiten werken samen met de auto-industrie om nieuwe beveiligingsoplossingen te ontwikkelen die voertuigen beschermen tegen diefstal en helpen bij het terugvinden van gestolen voertuigen. De maatregelen hebben tot discussie geleid binnen de gemeenschap, met name op platforms als Reddit en Hacker News. De makers van Flipper Zero benadrukken dat hun apparaat bedoeld is voor legitieme test- en ontwikkelingsdoeleinden, met ingebouwde voorzorgsmaatregelen tegen misbruik. [1, 2]


Rijkere Landen Vaker Doelwit van Ransomware, Stelt Belgische Overheid

Het Centrum voor Cybersecurity België (CCB) heeft een verband gelegd tussen de rijkdom van een land en de prevalentie van ransomware-aanvallen. Op basis van een analyse van 2,5 jaar aan gegevens, waarin informatie over meer dan 14.000 slachtoffers is meegenomen, concludeert het CCB dat landen met een hoger bruto binnenlands product (BBP) aanzienlijk vaker slachtoffer worden van ransomware. Dit fenomeen wordt toegeschreven aan de aanname van cybercriminelen dat rijkere landen over meer financiële middelen beschikken. Bijzonder getroffen zijn Noord-Amerika en Europa, waar 80% van de geregistreerde slachtoffers zich bevindt. De reden hiervoor is dat rijkere landen vaak over een uitgebreidere operationele infrastructuur beschikken die via het internet toegankelijk is, wat het aanvalsoppervlak voor cybercriminelen vergroot. Het onderzoek toont ook aan dat het aantal ransomware-slachtoffers sinds 2021 meer dan verdubbeld is, terwijl het landschap van ransomware zelf weinig veranderingen heeft ondergaan. [1, rapport CCB]


Hyundai Motor Europe getroffen door Black Basta ransomware-aanval

Hyundai Motor Europe, de Europese divisie van Hyundai Motor Company gevestigd in Duitsland, heeft te maken gehad met een ransomware-aanval door Black Basta, waarbij de dreigende actoren beweerden drie terabyte aan bedrijfsgegevens te hebben gestolen. Hoewel BleepingComputer in januari voor het eerst van de aanval hoorde, ontkende Hyundai aanvankelijk en sprak alleen van IT-problemen. Nadat echter aanvullende informatie over gestolen gegevens was gedeeld, bevestigde Hyundai uiteindelijk dat ze het slachtoffer waren van een cyberaanval. De exacte aard van de aanval is niet gespecificeerd, maar het is bekend dat Black Basta de aanval heeft uitgevoerd en beweert 3 TB aan gegevens te hebben gestolen. De aanval heeft waarschijnlijk betrekking op verschillende afdelingen van het bedrijf, zoals juridische zaken, verkoop, human resources en boekhouding. Hyundai had eerder in april 2023 een datalek gemeld en recentelijk werd het account van Hyundai MEA's X gehackt. Black Basta is een beruchte ransomware-groep die naar schatting meer dan $100 miljoen aan losgeld heeft ontvangen sinds de lancering in april 2022. [1]


Nieuwe Versie van Android XLoader Malware Lanceert Automatisch na Installatie

Een recente ontdekking onthult een nieuwe versie van de XLoader Android malware, die zonder gebruikersinteractie automatisch op geïnfecteerde apparaten wordt uitgevoerd. XLoader, ook bekend als MoqHao, wordt vermoedelijk beheerd door een bedreigingsacteur genaamd 'Roaming Mantis', die eerder gebruikers in verschillende landen heeft getroffen. De malware wordt voornamelijk verspreid via SMS-berichten met verkorte URL's die leiden naar sites met schadelijke APK-installatiebestanden voor mobiele apps. Onderzoekers van McAfee melden dat recente varianten van XLoader automatisch worden gestart na installatie, waardoor de malware onopgemerkt op de achtergrond kan draaien en gevoelige gebruikersinformatie kan onderscheppen. Deze ontwikkeling wijst op een voortdurende evolutie van XLoader's aanvalsmethoden, die nu minimale gebruikersinteractie vereisen en een verhoogde bedreiging vormen voor mobiele apparaten. McAfee raadt aan om een beveiligingsproduct te gebruiken dat bekende indicatoren van deze malware kan detecteren en verwijderen, gezien de vermomming van XLoader als Chrome-app. [1]


Five Eyes waarschuwen vitale infrastructuur voor living off the land-aanvallen

Veel organisaties zijn vatbaar voor 'living off the land' (LOTL) aanvallen, waarbij cyberaanvallers bestaande bestanden, programma's en tools op gecompromitteerde systemen misbruiken. De cyberagentschappen van Australië, Canada, Nieuw-Zeeland, het Verenigd Koninkrijk en de Verenigde Staten, bekend als de Five Eyes, adviseren de vitale infrastructuur om zich te beschermen tegen deze aanvallen. LOTL biedt voordelen voor aanvallers, omdat het moeilijk is om legitiem van kwaadaardig gedrag te onderscheiden en er geen indicators of compromise (IOC's) zijn. Zelfs organisaties met bekende LOTL-praktijken vinden het lastig om het malafide gedrag te detecteren. De Five Eyes dringen er bij de vitale infrastructuur op aan om best practices te volgen voor het detecteren van LOTL-activiteiten, zoals logging en het monitoren van veelgebruikte bestanden en tools, ook bekend als LOLBins. Het document bevat een lijst van veelgebruikte LOLBins in verschillende besturingssystemen, zoals cmd.exe, powershell.exe en RDP. [1, pdf]


Manta Network Overwint DDoS-aanval na TGE terwijl Nieuwe Telegram-bot Opkomt

Manta Network, een blockchain-protocol dat zich richt op zero-knowledge applicaties, werd kort na de lancering van zijn MANTA-token getroffen door een DDoS-aanval, wat vertragingen veroorzaakte in het netwerk. De aanval, met meer dan 135 miljoen RPC-verzoeken, leidde tot communicatiebeperkingen tussen applicaties en de blockchain. Ondanks de impact verzekerde medeoprichter Kenny Li dat de blockchain veilig draait. Manta Network werkt intensief aan het verbeteren van DDoS-mitigatie-inspanningen. Intussen biedt Bitbot, een Telegram-bot, particuliere beleggers krachtige, AI-ondersteunde handelsoplossingen. De BITBOT-token presale biedt investeerders een gestructureerde kans om deel te nemen. Bitbot belooft een niet-bewarende, institutionele kwaliteit handelservaring met ultraflexibel portefeuillebeheer en veiligheidsfuncties zoals een Anti MEV Bot. Met zijn presale heeft Bitbot al meer dan $27.000 opgehaald, wat wijst op een groeiende interesse in zijn potentieel als investeringskans. [1]


 Waarschuwing voor frauduleuze 'LassPass' app in Apple App Store

LastPass heeft een waarschuwing uitgegeven over een valse app in de Apple App Store, die zich voordoet als de legitieme LastPass wachtwoordmanager. Deze malafide app, genaamd 'LassPass Password Manager', imiteert de branding en gebruikersinterface van de echte app, maar bevat spelfouten en andere indicaties van fraude. LastPass werkt aan het verwijderen van de app uit de store. De app claimt door meer dan één miljoen gebruikers en tienduizend bedrijven gebruikt te worden, maar recensies suggereren dat het een oplichterij betreft. [1]


Nieuwe Ov3r_Stealer malware steelt wachtwoorden via Facebook-advertenties

Een recente malware-campagne, bekend als Ov3r_Stealer, verspreidt zich via neppe Facebook-advertenties voor baanposities, met als doel het stelen van inloggegevens en cryptocurrency. Gebruikers worden gelokt naar een Discord URL via een PDF-bestand, dat ogenschijnlijk vacaturedetails bevat, maar in werkelijkheid een PowerShell-script downloadt dat de malware initieert. Trustwave analisten, die de campagne ontdekten, waarschuwen voor de ernst van de bedreiging door de populariteit van Facebook. De malware richt zich op een breed scala aan apps en diensten, en verzendt gestolen data, inclusief geolocatie-informatie van het slachtoffer, elke 90 minuten naar een Telegram-bot. Ondanks de bekende tactieken, blijft de verspreiding via vertrouwde platforms zoals Facebook een significante dreiging. [pdf]


Uitbreiding Doelwitten Mirai DDoS-malware met Nieuwe Routerexploits

Een nieuwe variant van de Mirai DDoS-malware, bekend als IZ1H9, heeft zijn aanvalsbereik uitgebreid door dertien nieuwe exploits toe te voegen gericht op Linux-gebaseerde routers en apparaten van merken als D-Link, Zyxel, en TP-Link. Volgens onderzoekers van Fortinet zijn er in de eerste week van september tienduizenden exploitatiepogingen waargenomen. Deze malwarevariant richt zich op diverse kwetsbaarheden, variërend van 2015 tot 2023, om apparaten te compromitteren en toe te voegen aan een botnet voor het uitvoeren van DDoS-aanvallen. Naast het uitvoeren van aanvallen, probeert de malware zich verder te verspreiden door gebruik te maken van hardcoded inloggegevens voor brute-force aanvallen. Apparaateigenaren wordt aangeraden sterke beveiligingsmaatregelen te treffen, zoals het bijwerken van firmware en het verminderen van de blootstelling aan het publieke internet. [1, 2]


De Toenemende Dreiging van DDoS-aanvallen op Grote Technologiebedrijven

DDoS-aanvallen, gericht op het verstoren van online diensten door deze te overspoelen met verkeer, vormen een toenemende bedreiging voor grote technologiebedrijven. Recentelijk ondervonden Microsoft's cloudplatforms een piek in dergelijke aanvallen. Deze aanvallen, uitgevoerd door botnets die wereldwijd gecompromitteerde computersystemen omvatten, richten zich op het overweldigen van de capaciteit van servers, wat leidt tot uitval van diensten zoals Azure, Outlook en OneDrive. De aanvalsmethoden variëren, inclusief technieken zoals HTTP-floods, cachebypass en Slowloris, die erop gericht zijn om zoveel mogelijk verbindingen met de webserver open te houden. De daders achter deze aanvallen, waaronder Anonymous Sudan, hebben niet alleen technologiereuzen getarget, maar ook gedreigd met aanvallen op Europese banksystemen, wat de noodzaak onderstreept voor verbeterde beveiligingsmaatregelen tegen deze cyberdreigingen. [1]

Lees ook: Digitale frontlinies: De impact van crowdsourced cyberaanvallen in geopolitieke conflicten


Elektrische Tandenborstels Niet Gebruikt in DDoS-aanval

Een recent artikel ontkracht het gerucht dat 3 miljoen elektrische tandenborstels gehackt waren om een DDoS-aanval uit te voeren. Dit verhaal, oorspronkelijk gepubliceerd door een Zwitserse nieuwssite, claimde dat malware geïnstalleerd was op de tandenborstels om een Zwitsers bedrijf aan te vallen, wat miljoenen dollars aan schade veroorzaakte. Echter, na onderzoek blijkt dat er geen bewijs is dat zo'n aanval daadwerkelijk heeft plaatsgevonden. Fortinet, het cybersecuritybedrijf dat als bron werd genoemd, heeft geen informatie over de aanval gepubliceerd noch gereageerd op verzoeken om commentaar. Experts suggereren dat het verhaal waarschijnlijk een hypothetisch scenario was dat verkeerd begrepen of uit zijn verband gerukt is. [1, 2, 3, 4]


Recordbedrag aan Losgeld betaald door Slachtoffers van Ransomware in 2023

In 2023 hebben slachtoffers van ransomware een recordbedrag van 1,1 miljard dollar aan losgeld betaald, een significante stijging ten opzichte van voorgaande jaren, volgens een analyse van Chainalysis. Deze toename wordt deels toegeschreven aan de verspreiding van Ransomware-as-a-Service en de beschikbaarheid van hackingtools, die het voor criminelen eenvoudiger maken om aanvallen uit te voeren. Bovendien speelde de oorlog in Oekraïne en acties van de FBI tegen specifieke ransomwaregroepen een rol in deze ontwikkeling. Het rapport belicht ook de MOVEit-aanval, waarbij gegevens van miljoenen mensen werden gestolen, en de cruciale rol van initial access brokers in het faciliteren van ransomware-aanvallen. [1]


Toename Ransomware-aanvallen in België

Het Centrum voor Cyberveiligheid België heeft een zorgwekkende stijging van 24 procent in ransomware-incidenten vastgesteld in het afgelopen jaar. Ransomware-aanvallen, waarbij hackers losgeld eisen in ruil voor de toegang tot gegijzelde gegevens, blijven een groeiend probleem. Een recent voorbeeld hiervan is het datalek bij Limburg.net, dat de ernst van de situatie onderstreept. Deze toename benadrukt het groeiende risico voor zowel organisaties als individuen, waardoor de noodzaak voor verbeterde cyberveiligheidsmaatregelen urgenter wordt. Het rapport toont aan dat cybercriminaliteit een steeds grotere bedreiging vormt, waarbij de impact op de samenleving aanzienlijk is en oproept tot zowel bewustwording als actie om deze digitale dreigingen het hoofd te bieden. [1]


AnyDesk verzekert veiligheid na aanval op Europese servers

AnyDesk, een software voor het op afstand beheren van computers, is recentelijk getroffen door een cyberaanval, waarbij twee Europese relay-servers gecompromitteerd werden. Dit incident had potentieel de inloggegevens van gebruikers kunnen blootstellen. Echter, AnyDesk heeft de situatie onder controle verklaard en benadrukt dat de software veilig blijft voor gebruik. Als voorzorgsmaatregel zijn alle wachtwoorden voor het webportaal my.anydesk.com vernieuwd. Het bedrijf heeft geen bewijs gevonden dat klantgegevens zijn gestolen of dat er gecompromitteerde versies van de software in omloop zijn. Desondanks worden gebruikers aangemoedigd om naar de nieuwste softwareversie te updaten. AnyDesk is tevens bezig met het vervangen van certificaten die gebruikt worden voor het signeren van de software, waarbij alle security-gerelateerde certificaten reeds zijn ingetrokken, om zo de veiligheid van zijn gebruikers verder te waarborgen. [1, 2]


Actief Misbruik Ontdekt van Kritieke Kwetsbaarheid in Google Chrome

In september werd een update uitgebracht voor een ernstig beveiligingslek in Google Chrome, maar recent meldt de Amerikaanse overheid dat aanvallers dit lek alsnog misbruiken. Het lek, aangeduid als CVE-2023-4762, is gevonden in V8, de JavaScript-engine van Chrome, die al vaker doelwit was van aanvallen. De impact van het lek is hoog; aanvallers kunnen potentieel kwaadaardige code uitvoeren binnen de browsercontext. Dit maakt het mogelijk voor hen om gegevens van websites te lezen of aan te passen, waardoor gebruikersinformatie gestolen kan worden. Het lek alleen is niet voldoende voor volledige systeemcontrole; een aanvaller zou een tweede kwetsbaarheid moeten exploiteren. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft geen details over de specifieke aanvallen vrijgegeven. Dankzij Chrome's automatische updatefunctie blijven dergelijke kwetsbaarheden meestal niet lang exploiteerbaar. [1]


Hacker steelt $900.000 aan LINK van Zwitsers investeringsbedrijf

Crypto blijft het Wilde Westen: recente diefstal van $900.000 aan Chainlink (LINK) tokens schetst de risico's. Een gebruiker genaamd "Alchemist63" viel ten prooi aan een geraffineerde oplichting, waarbij eerst $400.000 en vervolgens meer dan $450.000 werd afgetapt. Het slachtoffer leek een account te hebben op Binance en verbonden te zijn met het Zwitserse PrismInvest. Verdachten zijn de hackgroep Inferno Drainer, gespecialiseerd in "drainer" aanvallen. Deze tactiek maakt gebruik van kwaadaardige software om automatisch fondsen af te tappen zonder detectie. Het incident benadrukt de noodzaak voor waakzaamheid in de cryptowereld, waar hacks zoals die bij Euler Finance en Multichain in 2023 honderden miljoenen verloren. Ondanks enkele succesvolle afhandelingen van hacks blijven investeerders kwetsbaar voor cyberaanvallen. [1]


Werknemer verliest 24 miljoen door levensechte deepfake-video

Een werknemer van een multinational uit Hong Kong werd slachtoffer van een oplichtingstruc waarbij hij 24 miljoen euro verloor. De financieel directeur van het bedrijf benaderde hem per e-mail en instrueerde hem via videocalls om overschrijvingen te doen. Deze videocalls, waarbij ook andere bedrijfsfunctionarissen aanwezig leken te zijn, duurden een week en resulteerden in een totaalbedrag van 200 miljoen HK Dollar. Echter, de werknemer kwam er later achter dat de CFO en andere leidinggevenden eigenlijk deepfakes waren, gecreëerd met behulp van kunstmatige intelligentie. De oplichters waren zo overtuigend dat de werknemer gemakkelijk werd misleid. Deze situatie benadrukt de toenemende dreiging van deepfake-technologie in de wereld van cybersecurity. [1]


Grote DDoS-cyberaanval op Times of Malta

De Times of Malta, de populairste website van het land, werd dinsdagochtend getroffen door een omvangrijke DDoS-cyberaanval. Cybercriminelen overspoelden de servers met miljoenen verzoeken in korte tijd, wat leidde tot een tijdelijke onbereikbaarheid van de website voor veel lezers. De aanval, die rond 6 uur begon, kon rond 9.30 uur onder controle worden gebracht. Ondanks de intensiteit van de aanval is er geen datalek vastgesteld. Deze gebeurtenis markeert een ongekende aanval voor de grootste website van Malta. Om herhaling te voorkomen, heeft Times of Malta extra beveiligingslagen toegevoegd en blijft het IT-team het websiteverkeer nauwlettend monitoren. Bezoekers van de website kunnen een iets langzamere ervaring en een ongebruikelijk Cloudflare-scherm tegenkomen als extra beveiligingsmaatregel. De Times of Malta heeft de aanval bij de politie gemeld, die een onderzoek heeft ingesteld. DDoS-aanvallen, die tot doel hebben de websiteverkeer te verstoren door servers te overweldigen met toegangsverzoeken, behoren tot de meest voorkomende vormen van cyberaanvallen. [1]


Cyberaanval treft Kalmar Gemeente in Zweden

Vroeg in de ochtend werden ernstige problemen gemeld bij de gemeente Kalmar, die nu bevestigd zijn als een cyberaanval. Als reactie is de gemeente in crisisbeheermodus gegaan. Na het ontdekken van netwerkproblemen sloot de gemeente haar interne systemen af, alhoewel medewerkers nog steeds kunnen werken via cloudservices, aldus communicatiechef Nico Werge. Essentiële diensten zoals alarmen, medicijnkasten en liften zijn niet beïnvloed door de aanval. De aanval wordt toegeschreven aan de Russische groep Akira, dezelfde groep die recent het datacenter van Tietoevry aanviel en verschillende bedrijven, overheidsinstanties en gemeenten trof. Deze gebeurtenis benadrukt de ernst van de cyberveiligheidsdreiging en het belang van adequate beveiligingsmaatregelen. [1]


Cyberaanval op Viamedis legt persoonsgegevens miljoenen Fransen bloot

De Franse zorgdienstverlener Viamedis is het slachtoffer geworden van een cyberaanval, waardoor de gegevens van verzekerden en zorgprofessionals in Frankrijk zijn blootgesteld. Ondanks dat de website van het bedrijf offline was, werd via LinkedIn een waarschuwing over het datalek gepubliceerd. Bij dit lek zijn gevoelige gegevens zoals de burgerlijke staat, geboortedatum, socialezekerheidsnummer, naam van de zorgverzekeraar en garanties voor derdenbetaling blootgesteld. Belangrijk is dat bankgegevens, postadressen, telefoonnummers en e-mailadressen niet in de gecompromitteerde systemen waren opgeslagen. Viamedis heeft de betrokken gezondheidsorganisaties geïnformeerd, een klacht ingediend bij de openbare aanklager en de autoriteiten (CNIL, ANSSI) op de hoogte gesteld. De exacte omvang van het datalek is nog niet bekendgemaakt, maar gezien Viamedis betalingen beheert voor 84 zorgorganisaties die 20 miljoen verzekerden vertegenwoordigen, kan de impact aanzienlijk zijn. Het bedrijf onderzoekt nog steeds de volledige reikwijdte van de cyberaanval. Algemeen Directeur Christophe Cande verduidelijkte dat het geen ransomware-aanval betrof, maar een succesvolle phishingaanval op een medewerker waardoor de systemen werden gecompromitteerd. Een van de samenwerkende organisaties, Malakoff Humanis, bevestigde indirecte gevolgen van het datalek en stelde dat de tijdelijke onderbreking van het Viamedis-platform bepaalde zorgdiensten zou beïnvloeden. Ook andere dienstverleners die Viamedis gebruiken, waaronder Carte Blanche Partenaires en Itelis, verwachten vergelijkbare situaties. Lokale media melden dat ook Almerys, een ander betalingsverwerker voor zorgorganisaties, doelwit was van een cyberaanval. [1, 2, 3, 4]


🇧🇪 Belgische Groothandel Harinck Doelwit van Cyberaanval

In een recente onthulling op het darkweb hebben cybercriminelen van de groep 8BASE bekendgemaakt dat ze de Belgische groothandel in duurzame goederen, Harinck, hebben aangevallen. De website harinck.be is gecompromitteerd, waarbij de aanval op 7 februari 2024 aan het licht kwam. Dit incident benadrukt de toenemende cyberdreigingen waarmee bedrijven wereldwijd, en specifiek in België, geconfronteerd worden. De aanval onderstreept de noodzaak voor bedrijven om hun cyberbeveiliging te versterken.


🇳🇱 Militaire Inlichtingendienst Ontdekt Chinese Malware in Defensie Netwerk

De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) heeft geavanceerde Chinese malware, genaamd 'Coathanger', aangetroffen op FortiGate-apparaten binnen een Defensie netwerk dat zich richt op research en development. Deze apparaten, onderdeel van een losstaand netwerk met minder dan vijftig gebruikers, waren besmet via een bekende kwetsbaarheid in FortiOS SSL-VPN. Fortinet, de leverancier van FortiGate, had voor deze kwetsbaarheid gewaarschuwd, maar het lek werd als zeroday aangevallen, wat betekent dat er nog geen update beschikbaar was toen de eerste aanvallen plaatsvonden. De malware, specifiek ontwikkeld voor FortiGate-apparaten, werd gebruikt voor spionagedoeleinden en om toegang tot gecompromitteerde apparaten te behouden. De MIVD heeft een technisch rapport over deze malware en de werkwijze van Chinese hackers openbaar gemaakt en benadrukt het belang van het attribueren van deze spionageactiviteiten om internationale weerbaarheid te verhogen. Er wordt geadviseerd om beveiligingsupdates onmiddellijk te installeren en organisaties waar de malware is aangetroffen, worden opgeroepen zich te melden bij het Nationaal Cyber Security Centrum (NCSC). [1, 2]

Zie ook Cyberoorlog blog


🇪🇺 Europol Waarschuwt voor Actief Misbruik van Kwetsbaarheden in Ivanti VPN

Europol heeft alarm geslagen over actief misbruik van beveiligingslekken in Ivanti Connect Secure VPN en adviseert organisaties dringend om de aanbevelingen van lokale en Europese cyberbeveiligingsinstanties op te volgen. Deze maatregelen omvatten onder meer het uitvoeren van een fabrieksreset. Ivanti Connect Secure, voorheen bekend als Pulse Secure, is een VPN-oplossing die toegang biedt tot bedrijfsnetwerken. Recentelijk zijn er ernstige kwetsbaarheden aan het licht gekomen, waaronder CVE-2023-46805 en CVE-2024-21887, die actief worden uitgebuit door aanvallers om systemen over te nemen. Bovendien is een nieuwe kwetsbaarheid, CVE-2024-21893, ontdekt die ongeautoriseerde toegang tot beperkte middelen mogelijk maakt en al actief wordt misbruikt. De situatie wordt als zorgwekkend beschouwd en vereist directe actie van de getroffen organisaties. [1, 2]


Grootschalige Databeveiligingsinbreuk door 'ResumeLooters'

Een cybercriminele groep genaamd 'ResumeLooters' heeft persoonlijke gegevens van meer dan twee miljoen werkzoekenden buitgemaakt door 65 legitieme vacature- en retailwebsites te compromitteren via SQL-injectie en cross-site scripting (XSS) aanvallen. Deze aanvallen waren voornamelijk gericht op sites in de APAC-regio, waaronder Australië, Taiwan, China, Thailand, India en Vietnam. De gestolen gegevens omvatten namen, e-mailadressen, telefoonnummers, werkgeschiedenis, opleiding en andere relevante informatie. De cybercriminelen gebruikten een reeks open-source tools zoals SQLmap, Acunetix, Beef Framework, X-Ray, Metasploit, ARL en Dirsearch om kwetsbaarheden op te sporen en uit te buiten. Naast het injecteren van kwaadaardige scripts in de HTML van de websites, creëerden ze ook nep-werkgeversprofielen en plaatsten vervalste CV-documenten met XSS-scripts. ResumeLooters probeerde de gestolen gegevens te verkopen via Telegram-kanalen. Hoewel de exacte oorsprong van de groep niet bevestigd is, wijzen de gebruikte Chinese tools en telegramaccounts op een mogelijke Chinese herkomst. [1]


Onderzoek naar Nieuw Datalek bij HPE na Verkoop van Gegevens op Hackersforum

Hewlett Packard Enterprise (HPE) is bezig met een onderzoek naar een mogelijk nieuw datalek nadat een bedreigingsactor beweerde gevoelige informatie, waaronder HPE-gegevens, te koop aan te bieden op een hackersforum. Ondanks deze claims heeft het bedrijf tot nu toe geen bewijs gevonden voor een inbreuk of enige impact op zijn producten of diensten, en is er geen losgeld geëist. De vermeende gestolen gegevens bevatten onder meer toegang tot CI/CD, systeemlogboeken, configuratiebestanden, toegangstokens, HPE StoreOnce-bestanden en toegangswachtwoorden. De verkoop volgt op eerdere incidenten waarbij HPE werd getroffen door een reeks cyberaanvallen, waaronder een aanval door de Russische APT29-hackersgroep en een datalek in hun Aruba Central-netwerkmonitoringplatform. HPE heeft verzekerd dat de gegevens die nu te koop worden aangebodenafkomstig zijn uit een testomgeving, en dat er geen aanwijzingen zijn dat productieomgevingen of klantinformatie zijn aangetast.


Wijdverspreide Exploitatie van Ivanti SSRF Zero-Day Kwetsbaarheid ook in Nederland

Een ernstige SSRF-kwetsbaarheid (server-side request forgery) in Ivanti Connect Secure en Ivanti Policy Secure, aangeduid als CVE-2024-21893, wordt op grote schaal misbruikt. Ivanti waarschuwde voor het eerst over deze kwetsbaarheid in de SAML-componenten van hun gateway op 31 januari 2024, waardoor het de zero-day status kreeg vanwege beperkte actieve exploitatie bij een klein aantal klanten. De exploitatie stelt aanvallers in staat om authenticatie te omzeilen en toegang te krijgen tot beperkte bronnen op kwetsbare apparaten (versies 9.x en 22.x). Shadowserver heeft vastgesteld dat meerdere aanvallers de SSRF-bug misbruiken, met pogingen van 170 verschillende IP-adressen. De exploitatievolumes van deze specifieke kwetsbaarheid overtreffen die van andere recent gepatchte of gematigde Ivanti-kwetsbaarheden. Hoewel de door Rapid7 onderzoekers gepubliceerde proof-of-concept (PoC) exploit hierbij een rol speelde, merkte Shadowserver op dat aanvallers vergelijkbare methoden gebruikten uren voor de publicatie van het Rapid7-rapport. Dit duidt erop dat hackers al wisten hoe ze CVE-2024-21893 konden misbruiken voor onbeperkte, ongeauthenticeerde toegang tot kwetsbare Ivanti-eindpunten. Vanwege de actieve exploitatie van meerdere kritieke zero-day kwetsbaarheden en het gebrek aan effectieve mitigerende maatregelen en beveiligingsupdates voor sommige getroffen productversies, heeft het Amerikaanse Cybersecurity & Infrastructure Security Agency (CISA) federale agentschappen opgedragen alle Ivanti Connect Secure en Policy Secure VPN-apparaten los te koppelen. Alleen apparaten die zijn teruggezet naar fabrieksinstellingen en zijn geüpgraded naar de nieuwste firmwareversie mogen weer worden aangesloten op het netwerk. Dit advies geldt ook voor privéorganisaties, hoewel het niet verplicht is. [1]


Waakzaamheid Tegen 'Quishing': België Ziet Daling in Phishing Slachtoffers

De Belgische overheid waarschuwt voor 'quishing', een phishing-techniek via QR-codes. Deze malafide QR-codes, vaak verzonden via e-mail en WhatsApp, doen zich voor als officiële instanties en lokken mensen naar phishingwebsites of tot het doen van betalingen. Het doel is het installeren van schadelijke software om persoonlijke data zoals bankgegevens te stelen. Ondanks de opkomst van quishing, is het aantal phishing slachtoffers in België gedaald: van 1100 in 2022 naar 600 in 2023, evenals de gemiddelde schade per slachtoffer. Deze daling wordt toegeschreven aan verhoogde alertheid onder burgers, dankzij voorlichtingscampagnes en de gerichte aanpak van Economische Inspectie van de FOD Economie in het identificeren en informeren van betrokken banken. [1]


🇳🇱 VCS Observation Doelwit van Cyberaanval door Akira

Het Nederlandse IT-bedrijf VCS Observation is recentelijk slachtoffer geworden van een cyberaanval. De aanval werd uitgevoerd door de cybercriminele groep Akira. Het incident kwam aan het licht toen de gegevens van de aanval op 5 februari 2024 op het darkweb werden gepubliceerd. Dit benadrukt de voortdurende dreiging waar bedrijven in de IT-sector mee te maken hebben en het belang van robuuste cyberbeveiliging.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Meer weekoverzichten

Februari 2024
Januari 2024