Slachtofferanalyse en Trends van Week 08-2024

Gepubliceerd op 26 februari 2024 om 15:00

EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


In de afgelopen week heeft het digitale domein opnieuw bewezen een strijdtoneel te zijn voor cybercriminaliteit en geavanceerde cyberaanvallen die zowel nationaal als internationaal voor onrust zorgen. Van een Nederlandse voedselproductenwebsite, getroffen door de sluwe groep "Cactus", tot de nasleep van een cyberaanval die de gemeente Hof van Twente al sinds eind 2020 in zijn greep houdt; Nederlandse bedrijven blijven een aantrekkelijk doelwit voor cybercriminelen. Niet alleen zijn Nederlandse ondernemingen vaak het slachtoffer van ransomware, maar ook de persoonsgegevens van duizenden klanten zijn in gevaar gebracht door onveilige digitale praktijken, zoals recentelijk aan het licht kwam bij de juweliersketen Brandfield.

Ook in België blijven bedrijven niet gespaard. De prominente Belgische autodealer SOCO werd recent het doelwit van de beruchte LockBit-groep, een teken dat de dreiging dicht bij huis komt. Internationaal zien we dat cybercriminaliteit geen grenzen kent, met aanvallen die variëren van de Verenigde Staten, waar apotheken kampen met verstoringen, tot aan Europa, waar zelfs het Europese Parlement niet veilig is voor spyware besmettingen.

De methoden die hackers gebruiken worden steeds geavanceerder, zoals blijkt uit de uitbuiting van kritieke kwetsbaarheden en het misbruik van cloudservices om malware te verspreiden. Dit toont aan dat de cyberdreiging zich blijft ontwikkelen en aanpassen, met nieuwe malware die specifiek is ontworpen om netwerken en zelfs specifieke apparaten te targeten.

Cybercriminelen zoals de LockBit ransomwarebende blijven ondertussen astronomische bedragen aan losgeld ontvangen, en de ontwikkeling van nieuwe, nog gevaarlijkere versies van hun software wijst op een toekomst waarin cyberaanvallen nog moeilijker te bestrijden zijn. Het aantal slachtoffers blijft stijgen, met recente aanvallen op zowel overheidsinstanties als bedrijven in verschillende sectoren, waardoor de productie stilvalt en enorme financiële verliezen worden geleden.

Dit volledige overzicht van de cyberaanvallen van de afgelopen week onderstreept de urgente noodzaak voor bedrijven en overheden om hun cybersecuritymaatregelen te versterken en zich te wapenen tegen de groeiende dreiging van cybercriminaliteit. Met al meer dan 12.456 organisaties waarvan de data op het darkweb is gelekt, is het duidelijk dat niemand immuun is voor deze digitale pandemie.



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie darkweb ↑
Pot O' Gold Coffee CiphBit www.potogoldcoffee.com USA Wholesale Trade-non-durable Goods 25-feb-24
fbi.gov LockBit fbi.gov In progress In progress 25-feb-24
crbgroup.com LockBit crbgroup.com In progress In progress 25-feb-24
nationaldentex.com LockBit nationaldentex.com In progress In progress 25-feb-24
magierp.com LockBit magierp.com In progress In progress 25-feb-24
Roncelli Plastics BianLian www.roncelli.com USA Rubber, Plastics Products 25-feb-24
Wangkanai Group RansomHouse www.wangkanai.co.th Thailand Food Products 24-feb-24
Spine West MONTI www.spinewest.com USA Health Services 24-feb-24
IJM Corporation Hunters International www.ijm.com Malaysia Construction 24-feb-24
ANDFLA SRL BlackCat (ALPHV) andfla.ro Romania Business Services 24-feb-24
Family Health center BlackCat (ALPHV) fhckzoo.com USA Health Services 24-feb-24
APEX MONTI apexspedition.de Germany Transportation Services 24-feb-24
Welch's PLAY www.welchs.com USA Food Products 24-feb-24
Rapid Granulator RansomHouse www.rapidgranulator.com Sweden Machinery, Computer Equipment 24-feb-24
C and J Industries, Inc. 8BASE cjindustries.com USA Rubber, Plastics Products 24-feb-24
GRUPOCREATIVO Qilin gcherrera.com Ecuador Business Services 24-feb-24
kinematica.ch Qilin kinematica.ch Switzerland Machinery, Computer Equipment 24-feb-24
remkes.nl Cactus remkes.nl Netherlands Food Products 24-feb-24
H*********** *********y ********** BianLian Unknown USA Health Services 23-feb-24
Acorn Medusa www.acornpropertyinvest.com United Kingdom Real Estate 23-feb-24
Pressco Technology Medusa www.pressco.com USA Machinery, Computer Equipment 23-feb-24
Quik Pawn Shop Akira quikpawnshop.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 22-feb-24
PEER Consultants Akira peercpc.com USA Business Services 22-feb-24
mtmrobotics.com ThreeAM mtmrobotics.com USA Machinery, Computer Equipment 22-feb-24
abcor.com.au ThreeAM abcor.com.au Australia Fabricated Metal Products 22-feb-24
Hardeman County Community Health Center BlackCat (ALPHV) hardemanhealth.org USA Health Services 22-feb-24
nfllp.com Black Basta nfllp.com USA Legal Services 22-feb-24
climatech.com Black Basta climatech.com USA Construction 22-feb-24
usmerchants.com Black Basta usmerchants.com USA Rubber, Plastics Products 22-feb-24
birchallfoodservice.co.uk Black Basta birchallfoodservice.co.uk United Kingdom Wholesale Trade-non-durable Goods 22-feb-24
dilweg.com Black Basta dilweg.com USA Real Estate 22-feb-24
zircodata.com Black Basta zircodata.com Australia IT Services 22-feb-24
Worthen Industries BlackCat (ALPHV) www.worthenind.com USA Chemical Producers 22-feb-24
KHSS BlackCat (ALPHV) www.khss.com USA Construction 21-feb-24
Desarrollo De Tecnologia y Sistemas Ltda Akira www.dts.cl Chile Transportation By Air 21-feb-24
Lancaster Akira www.lancasterco.com USA Wholesale Trade-durable Goods 21-feb-24
HRTec Inc BianLian www.hrtec.net USA IT Services 21-feb-24
Marchassociates BianLian www.marchassociates.com USA Construction 21-feb-24
Austen Consultants BlackCat (ALPHV) austein-it.com USA IT Services 21-feb-24
dasteam.ch Black Basta dasteam.ch Switzerland Business Services 21-feb-24
doneff.com ThreeAM doneff.com USA Real Estate 21-feb-24
Helical Technology 8BASE www.helical-technology.com United Kingdom Transportation Equipment 21-feb-24
Axel Johnson 8BASE axeljohnson.se Sweden Security And Commodity Brokers, Dealers, Exchanges, And Services 21-feb-24
Acies Srl 8BASE www.aciesinstruments.com Italy Electronic, Electrical Equipment, Components 21-feb-24
INFINITIUSA.COM Mogilevich infinitiusa.com Japan Transportation Equipment 20-feb-24
River Delta Unified School District MEOW LEAKS www.rdusd.org USA Educational Services 20-feb-24
Raocala Everest raocala.com USA Health Services 20-feb-24
advancedprosolutions.com Cactus advancedprosolutions.com Uruguay IT Services 20-feb-24
Finlay Screening & Crushing Systems Hunters International www.finlay.com.au Australia Machinery, Computer Equipment 20-feb-24
loransrl Qilin www.loransrl.net Italy IT Services 19-feb-24
soco.be LockBit soco.be Belgium Automotive Dealers 19-feb-24
se.com Cactus se.com France Electronic, Electrical Equipment, Components 19-feb-24
First Professional Services BianLian 1stprofessional.com USA Educational Services 19-feb-24
aivi.it Trisec aivi.it Italy Membership Organizations 19-feb-24
ki.se Trisec ki.se Sweden Health Services 19-feb-24
Compression Leasing Services DragonForce compressionleasing.com USA Machinery, Computer Equipment 19-feb-24
Westward 360 DragonForce westward360.com USA Real Estate 19-feb-24

Slachtoffers België en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
remkes.nl Cactus remkes.nl Netherlands Food Products 24-feb-24
soco.be LockBit soco.be Belgium Automotive Dealers 19-feb-24
Meetmoment Aantal organisaties waar data van gelekt is op het darkweb
01-05-2019 (eerste slachtoffer) 1
01-05-2020 85
01-05-2021 2.167
01-05-2022 5.565
01-05-2023 8.292
01-05-2024 ?
NU: 26-02-2024 12.463

Aantal organisaties waarvan alle gegevens gelekt zijn op het darkweb

In samenwerking met StealthMole

Sponsor Cybercrimeinfo


Cyberaanvallen nieuws


πŸ‡³πŸ‡± Remkes.nl Slachtoffer van Cyberaanval door "Cactus"

In een recente cyberveiligheidsbreuk is Remkes.nl, een Nederlandse website actief in de voedselproductensector, getroffen door een cyberaanval uitgevoerd door een groep genaamd "Cactus". De aanval, die op 24 februari 2024 bekend werd gemaakt op het darkweb, heeft de aandacht gevestigd op de toenemende dreiging van cybercriminaliteit binnen de voedselindustrie. Dit incident benadrukt de noodzaak voor bedrijven in alle sectoren om hun cybersecuritymaatregelen te versterken en te investeren in de bescherming van hun digitale infrastructuur.


RCMP Onderzoekt Cyberaanval terwijl Website Onbereikbaar Blijft (CAN)

De Koninklijke Canadese Bereden Politie (RCMP) is het doelwit geworden van een cyberaanval op haar netwerken, waarbij onmiddellijk een strafrechtelijk onderzoek is ingesteld om de omvang van de inbreuk op de beveiliging te bepalen. Ondanks deze ernstige inbreuk, benadrukt de RCMP dat de operationele capaciteiten niet zijn aangetast en er geen directe dreiging is voor de veiligheid en beveiliging van de Canadese bevolking. De politiemacht, onder leiding van hoofdveiligheidsfunctionaris Paul L. Brown, heeft snel gehandeld om de aanval te mitigeren en benadrukt het belang van waakzaamheid onder haar medewerkers. De cyberaanval heeft geleid tot de onbereikbaarheid van de RCMP-website, die een HTTP 404-foutmelding weergeeft, wat wijst op mogelijke configuratiewerkzaamheden of herstel na de aanval. Dit incident heeft geen bekende impact op buitenlandse politie- en inlichtingendiensten, en de Privacycommissaris is geïnformeerd over de cyberaanval. Ondanks de tijdelijke onbereikbaarheid van de hoofdwebsite, blijven sommige diensten via een alternatieve domeinnaam toegankelijk. De RCMP werkt aan een volledig herstel en onderzoekt de precieze oorzaak en omvang van deze "cybergebeurtenis". [1, 2]


Wereldwijde Cyberaanvallen Door Chinees Bedrijf iSoon

Het Chinese cybersecuritybedrijf iSoon is naar verluidt verantwoordelijk voor het hacken van ongeveer tachtig bedrijven en organisaties wereldwijd, waaronder buitenlandse overheidsinstanties en telecombedrijven. Deze beschuldigingen, gestoeld op informatie van een ontwikkelaarsplatform waar 577 documenten werden ontdekt, suggereren dat iSoon in opdracht van de Chinese overheid handelt. Experts beschouwen de informatie als authentiek, gezien de gedetailleerde inzichten in de operaties van een inlichtingenoperatie. De hacks omvatten een breed scala aan doelwitten, van Aziatische telecomgiganten tot Europese en Amerikaanse organisaties. Bijzonder verontrustend zijn de diefstal van 95,2 gigabyte aan immigratiedata van de Indiase overheid en 459 gigabyte aan data van Taiwanese weginfrastructuur, wat duidt op mogelijke voorbereidingen voor militaire strategieën tegen Taiwan. De Chinese overheid en iSoon ontkennen elke betrokkenheid bij de hacks. Ondertussen waarschuwen veiligheidsdiensten in Nederland en elders voor de toenemende dreiging van Chinese cyber- en spionageactiviteiten. Deze incidenten onderstrepen de noodzaak voor verhoogde internationale samenwerking en weerbaarheid tegen cyberaanvallen en spionage. [1, 2]


Insomniac Games Getroffen door Ransomware Aanval met Datalek

In november werd Insomniac Games, een dochteronderneming van Sony, het slachtoffer van een ransomware-aanval door de Rhysida-groep, waarbij persoonlijke informatie van medewerkers werd gestolen en online gelekt. De aanval resulteerde in de diefstal en openbaring van meer dan 1,3 miljoen bestanden, waaronder ID-scans, contractinformatie en licentieovereenkomsten, evenals gegevens over het aanstaande Wolverine-spel van de studio. Ondanks een gevraagd losgeld van $2 miljoen, weigerde Insomniac te betalen, wat leidde tot het lekken van 1,67 TB aan documenten door Rhysida. Insomniac heeft de betrokken medewerkers op de hoogte gebracht en biedt twee extra jaren gratis kredietbewaking en identiteitsherstelservices aan, bovenop de bestaande voordelen. Het bedrijf heeft ook een speciaal callcenter ingericht voor vragen over de aanval. De Rhysida ransomware-groep, actief sinds mei 2023, heeft zich snel een naam gemaakt met aanvallen op diverse sectoren, waaronder het Chileense leger en de British Library. Insomniac en Sony hebben nog niet gereageerd op vragen over het exacte aantal getroffen personen en de specifieke gelekte informatie. [1, 2]


LockBit Ransomwarebende Zit Op Meer Dan $110 Miljoen Aan Bitcoin

De LockBit ransomwarebende heeft in de afgelopen 18 maanden meer dan $125 miljoen aan losgeld ontvangen. Dit is gebleken uit een analyse van honderden aan de groep gelinkte cryptocurrency wallets. Na de ontmanteling van LockBit tijdens Operatie Cronos ontdekte de Britse National Crime Agency (NCA), met steun van blockchain analysebedrijf Chainalysis, meer dan 500 actieve cryptocurrency adressen. Uit de hacking van LockBit's infrastructuur kwamen 30.000 Bitcoin adressen naar voren, gebruikt voor het beheer van de groep’s inkomsten uit losgeldbetalingen, waarvan meer dan 500 adressen actief waren en samen meer dan $125 miljoen ontvingen tussen juli 2022 en februari 2024. De onderzoekers vonden dat meer dan 2.200 BTC - meer dan $110 miljoen aan de huidige wisselkoers - onuitgegeven bleef bij de verstoring van LockBit. Volgens de NCA vertegenwoordigen deze fondsen een combinatie van zowel slachtoffer- als LockBit-betalingen, waarbij een aanzienlijk deel van dit geld de 20% fee betreft die affiliates aan de ransomware-ontwikkelaars betaalden. Dit suggereert dat de totale som van de losgelden die slachtoffers betaalden om een datalek te voorkomen "veel, veel hoger" ligt, aldus de NCA.


Langdurige Gevolgen van Cyberaanval in Hof van Twente

De gemeente Hof van Twente kampt nog steeds met de nasleep van een cyberaanval eind 2020, waardoor de versturing van de gemeentelijke belastingaanslagen dit jaar opnieuw vertraagd is. Normaal gesproken versturen de meeste gemeenten deze aanslagen in de laatste week van februari, maar in Hof van Twente zullen de aanslagen pas eind maart verzonden worden. Dit is een voortzetting van de vertragingen sinds de aanval; waarbij de aanslagen in voorgaande jaren telkens later werden verstuurd - van eind juni in 2021, tot eind mei in 2022, en eind april vorig jaar. De vertraging betreft de rioolheffing, afvalstoffenheffing, en onroerende-zaakbelastingen. Ondanks de vertraging verzekert de gemeente dat dit geen invloed heeft op de aangifte inkomstenbelasting over 2023, aangezien de WOZ-waarde van het voorgaande jaar gebruikt dient te worden. Echter, de late versturing kan wel andere praktische problemen opleveren, aangezien de WOZ-waarde voor meer dient dan alleen de inkomstenbelastingaangifte, zoals voor het vaststellen van huurprijzen. [1]


Cyberaanval ontwricht Amerikaanse apotheken

Apotheken door de hele Verenigde Staten kampen met problemen bij het verwerken van recepten als gevolg van een cyberaanval op Change Healthcare, een cruciale schakel in het Amerikaanse zorgsysteem. Het bedrijf, dat medicijnrecepten en declaraties voor apothekers en zorgverzekeraars verwerkt, werd afgelopen woensdag getroffen. Change Healthcare meldt aan de SEC dat een statelijke actor vermoedelijk achter de aanval zit, maar details blijven uit. Door de aanval kunnen declaraties niet verwerkt worden, waardoor apotheken niet betaald krijgen. Dit leidt ertoe dat medicijnen mogelijk later of niet worden geleverd. Het tijdstip van herstel van de systemen is onbekend. De American Hospital Association waarschuwt voor een mogelijke sneeuwbaleffect binnen de hele zorgsector, gezien de belangrijke positie van Change Healthcare, dat jaarlijks miljarden zorgtransacties en een derde van de Amerikaanse patiëntendossiers verwerkt. De aard van de cyberaanval is nog niet gespecificeerd. [1, 2]


U-Haul (VS) Klantenrecords Blootgesteld door Hacker

U-Haul, een Amerikaanse verhuurfirma voor doe-het-zelf verhuisbenodigdheden, heeft onlangs ontdekt dat een hacker met gestolen inloggegevens toegang heeft gekregen tot een intern systeem. Dit systeem wordt gebruikt door dealers en teamleden om klantreserveringen bij te houden. De inbreuk, ontdekt op 5 december 2023, resulteerde in de blootstelling van klantgegevens, waaronder volledige namen, geboortedata en rijbewijsnummers. Belangrijk is dat betalingsinformatie niet is gecompromitteerd omdat deze gegevens buiten het getroffen systeem worden bewaard. Als voorzorgsmaatregel heeft U-Haul wachtwoorden gereset en extra beveiligingsmaatregelen ingevoerd om toekomstige incidenten te voorkomen. Getroffen klanten worden aangeboden om zich in te schrijven voor een jaarlijkse dienst ter bescherming tegen identiteitsdiefstal. Het exacte aantal getroffen klanten is nog niet vastgesteld. Dit incident volgt op een eerdere datalek in 2022, waarbij klantcontracten werden gecompromitteerd door gebruik te maken van twee gehackte accounts. [1]


Grootste Zorgverzekeraar VS Getroffen door Cyberaanval

UnitedHealth Group, 's werelds grootste zorgverzekeraar qua omzet, bevestigde dat zijn dochteronderneming Optum getroffen is door een cyberaanval, uitgevoerd door vermoedelijke "natie-staat" hackers. Deze aanval richtte zich op het Change Healthcare platform, een cruciale schakel in het Amerikaanse zorgbetalingssysteem, dat diensten verleent tussen dokters, apotheken, zorgverleners en patiënten. Als gevolg hiervan moest Optum zijn IT-systemen en diverse diensten tijdelijk stilleggen. Dit incident heeft een breed effect op de gezondheidszorg in de VS, met name op het gebied van facturatie en het indienen van claims voor recepten of zorgdiensten. Veel lokale en landelijke apotheken kunnen momenteel geen verzekeringsclaims verwerken of kortingskaarten voor recepten accepteren. In reactie hierop heeft de American Hospital Association (AHA) zorgorganisaties geadviseerd om hun systemen los te koppelen van Optum-oplossingen om patiënt- en partnergegevens te beschermen. Dit incident onderstreept de kwetsbaarheid van kritieke infrastructuur in de gezondheidszorg voor cyberdreigingen en benadrukt het belang van robuuste beveiligingsmaatregelen. [1, 2, 3]


Productie batterijfabrikant Varta ligt nog altijd stil wegens cyberaanval

De Duitse batterijproducent Varta ondervindt forse hinder van een cyberaanval die op 12 februari plaatsvond, waardoor al zijn vijf fabrieken stilgelegd zijn en de productie volledig is gestopt. De aanval heeft niet alleen de productiecapaciteit lamgelegd, maar ook de communicatie met klanten beïnvloed, met een week aan klantenemails die verloren is gegaan. Ondanks pogingen om de situatie te herstellen, blijft het onduidelijk wanneer Varta de productie kan hervatten, met een mogelijke gedeeltelijke herstart pas in de komende week. Het bedrijf onthult dat de aanval het werk van een georganiseerde hackergroep was, die de hoge beveiligingsmaatregelen van Varta's IT-systemen heeft weten te doorbreken. Verdere details over de aard van de aanval of hoe deze heeft kunnen plaatsvinden, worden niet vrijgegeven vanwege lopend onderzoek. Deze cyberaanval onderstreept de kwetsbaarheid van industriële productie tegenover geavanceerde cyberdreigingen. [1]


⚠️ ScreenConnect Servers Doelwit van LockBit Ransomware Aanvallen Door Ernstige Beveiligingslekken

Hackers misbruiken een ernstige authenticatie-omzeilingskwetsbaarheid, gelabeld als CVE-2024-1709, om ongepatchte ScreenConnect-servers binnen te dringen en LockBit ransomware te verspreiden over gecompromitteerde netwerken. Deze kwetsbaarheid kwam aan het licht nadat ConnectWise, het bedrijf achter ScreenConnect, beveiligingsupdates uitbracht om dit en een ander ernstig padtraversal-lek (CVE-2024-1708) aan te pakken. Ondanks deze maatregelen en de verwijdering van licentiebeperkingen om updates te vergemakkelijken, blijft CVE-2024-1709 actief misbruikt worden, met meldingen van aanvallen op lokale overheden en gezondheidszorginstellingen. Deze incidenten onderstrepen de persistentie van LockBit-activiteiten, zelfs na een internationale politieactie, Operation Cronos, die een deel van de infrastructuur van de ransomwaregroep ontmantelde en leidde tot de arrestatie van meerdere affiliates. Ondanks deze inspanningen blijven de dreigingsactoren en hun malware een significante bedreiging voor organisaties wereldwijd, waarbij ze gebruikmaken van niet-gepatchte beveiligingslekken om hun aanvallen uit te voeren. [1, 2]

Kwetsbaar in Nederland: 84

Kwetsbaar in Belgie: 19


πŸ‡ͺπŸ‡Ί Europa in de Greep van Cyberaanvallen: Identiteit als Hoofddoelwit

In een recent rapport van IBM X-Force wordt onthuld dat cybercriminelen in Europa steeds vaker identiteiten aanvallen, waardoor bedrijven kwetsbaarder zijn voor cyberinbreuken. De analyse, gebaseerd op gegevens van meer dan 150 miljard beveiligingsincidenten wereldwijd, toont aan dat Europa het hoogste aantal cyberaanvallen heeft ervaren, met het Verenigd Koninkrijk, Duitsland en Denemarken als voornaamste doelwitten. Opmerkelijk is de 66% toename van aanvallen via legitieme gebruikersaccounts, waardoor identiteiten en e-mails de zwakke schakels vormen binnen organisaties. Malware en ransomware blijven de voornaamste bedreigingen, met een aanzienlijke impact op de productie-, diensten-, en financiële sectoren. Het rapport benadrukt ook de toegenomen complexiteit en kosten voor bedrijven om te reageren op incidenten veroorzaakt door legitieme accountexploitatie. Dit probleem wordt verergerd door de beschikbaarheid van miljarden gecompromitteerde inloggegevens op het Darkweb en de langere detectie- en hersteltijd voor inbreuken, die nu gemiddeld 11 maanden bedraagt. De groeiende inzet van AI door cybercriminelen om hun aanvallen te verfijnen, onderstreept de noodzaak voor bedrijven om hun beveiligingsmaatregelen te versterken en voorbereid te zijn op een nieuwe golf van geavanceerde cyberdreigingen. [pdf]


πŸ‡³πŸ‡± Gebrek aan Back-ups Verhoogt Risico voor Nederlandse Ransomware Slachtoffers

Een recent onderzoek, gepubliceerd in het Jaarbeeld Ransomware 2023 van Project Melissa, wijst uit dat een aanzienlijk deel van de Nederlandse bedrijven en organisaties die vorig jaar door ransomware werden getroffen, geen adequate back-up systemen hadden. Maar liefst 58% van de onderzochte slachtoffers, bestaande uit 147 ondernemingen met meer dan honderd werknemers, miste een back-up oplossing. Dit contrast met een wereldwijd percentage van 30% dat geen back-ups heeft. De bevindingen benadrukken de noodzaak voor meer robuuste back-up strategieën binnen organisaties om de schade van ransomware-aanvallen te beperken. De aanvallen vonden vaak plaats door het uitbuiten van kwetsbaarheden of door onrechtmatige logins, met respectievelijk 30% en 28% van de gevallen. Ondanks de dreiging besloot 18% van de getroffenen het losgeld te betalen dat door cybercriminelen werd geëist. Project Melissa, een samenwerking tussen het Openbaar Ministerie, de politie, het Nationaal Cyber Security Centrum en diverse beveiligingsbedrijven, benadrukt het belang van het delen van informatie over ransomware-incidenten om zo effectievere strategieën tegen deze vorm van cybercriminaliteit te ontwikkelen. [pdf]


LockBit Ransomware Ontwikkelaars Werkten Aan Nieuwe Versleutelaar Voor Takedown

Ontwikkelaars van de LockBit ransomware waren in het geheim bezig met de bouw van een nieuwe versie van hun bestandsversleutelende malware, genaamd LockBit-NG-Dev, die waarschijnlijk de toekomstige LockBit 4.0 zou worden. Deze activiteiten werden onthuld toen wetshandhavingsinstanties eerder deze week de infrastructuur van de cybercriminelen ontmantelden. De samenwerking met de National Crime Agency in het VK stelde cybersecuritybedrijf Trend Micro in staat om een sample van de nieuwste LockBit ontwikkeling te analyseren, die op meerdere besturingssystemen kan functioneren. In tegenstelling tot eerdere LockBit malware, die in C/C++ is gebouwd, is het laatste sample een werk-in-uitvoering geschreven in .NET, gecompileerd met CoreRT en ingepakt met MPRESS. Hoewel het enkele functies mist die aanwezig zijn in vorige iteraties, zoals de mogelijkheid om zichzelf te verspreiden op gecompromitteerde netwerken, lijkt het alsnog de meeste verwachte functionaliteit te bieden, waaronder drie encryptiemodi, aanpasbare bestands- of directory-uitsluiting, en een zelfverwijderingsmechanisme. De ontdekking van de nieuwe LockBit versleutelaar markeert een belangrijke slag die wetshandhavingsinstanties hebben toegebracht aan de LockBit operators door Operatie Cronos, waarbij het herstellen van de cybercriminele onderneming een grote uitdaging wordt nu de broncode van de versleutelende malware bekend is bij beveiligingsonderzoekers. [1]


πŸ‡³πŸ‡± Nederlandse Bedrijven Vaak Slachtoffer van Ransomware in 2023

In 2023 zijn grote Nederlandse bedrijven en instellingen 147 keer het slachtoffer geworden van ransomware-aanvallen, waarbij 18% van de getroffen organisaties ervoor koos om het gevraagde losgeld te betalen. Dit vertaalt zich naar ongeveer 26 bedrijven die een financiële transactie hebben verricht in de hoop hun gegevens terug te krijgen. Deze informatie is gepubliceerd door Melissa, een samenwerkingsinitiatief tussen de politie en securitybedrijven, gericht op het verminderen van de aantrekkelijkheid van Nederland voor cybercriminelen. Het onderzoek benadrukt voornamelijk de incidenten bij ondernemingen met meer dan honderd werknemers. Een recente studie van de Universiteit Twente onthulde dat bij 481 onderzochte ransomware-aanvallen, organisaties in totaal meer dan 50 miljoen euro aan losgeld hebben betaald, met een gemiddelde van 431.000 euro per incident. De bereidheid om te betalen lijkt hoger bij organisaties die te maken hebben met datadiefstal of die verzekerd zijn tegen dergelijke aanvallen. Deze trend wordt verder gecompliceerd doordat niet alle bedrijven melding maken van aanvallen, veelal uit angst voor reputatieschade. [1]


Spyware Besmetting treft Europese Parlementscommissie

In het Europees Parlement is opschudding ontstaan nadat bij een routinecontrole spyware is aangetroffen op twee telefoons van leden van de subcommissie veiligheid en defensie (SEDE). Deze commissie, verantwoordelijk voor het veiligheids- en defensiebeleid van de EU, staat nu in het middelpunt van zorgen over digitale veiligheid. Leden van de commissie zijn dringend verzocht hun mobiele apparaten door de IT-afdeling te laten onderzoeken op de aanwezigheid van dergelijke schadelijke software. De specifieke aard van de spyware is niet bekendgemaakt, maar er wordt gesproken over "zeer indringende" surveillancesoftware. Dit incident komt kort nadat de IT-afdeling van het Parlement een nieuw systeem had ingevoerd om parlementsleden te beschermen tegen spyware-aanvallen. Onder de getroffenen is Nathalie Loiseau, de voorzitter van de commissie, die in een interview aangaf dat haar telefoon besmet was met de Israëlische Pegasus spyware. Dit incident benadrukt de voortdurende dreiging van digitale spionage en de noodzaak voor verhoogde cyberveiligheidsmaatregelen binnen overheidsinstellingen. [1]


Grote Crypto Exchange FixedFloat Gehackt: Verlies van €24 Miljoen

Een significante hack heeft de gedecentraliseerde crypto exchange FixedFloat getroffen, waarbij ongeveer €24 miljoen verloren ging. De inbraak vond plaats op 18 februarien trof vooral bitcoin (BTC) en ethereum (ETH), met de grootste schade in BTC. Aanvankelijk minimaliseerde FixedFloat de situatie als een 'klein technologisch probleem'. De hack werd eerst op sociale media platform X aangekondigd, waarbij het bedrijf bevestigde dat er fondsen waren gestolen en dat er gewerkt werd aan het dichten van de beveiligingslekken en het versterken van de beveiliging. Interessant is dat de gestolen fondsen niet van klanten waren, aangezien FixedFloat geen klantentegoeden opslaat. Ze faciliteren alleen handel en blockchain-transacties zonder KYC-verificatie, wat het platform populair maakt voor het verbergen van criminele activiteiten. De hacker heeft de gestolen middelen reeds verplaatst, wat het onderzoek bemoeilijkt. Ondanks de tegenslag zoekt men naar manieren om de gestolen fondsen terug te krijgen, terwijl het platform technische werkzaamheden ondergaat om dergelijke incidenten in de toekomst te voorkomen. [1]


πŸ‡³πŸ‡± Hackersgroep LockBit Achter Cyberaanval op Limburgse Zorginstantie Xonar

De Limburgse zorginstelling Xonar is het slachtoffer geworden van een cyberaanval door de beruchte hackersgroep LockBit. Begin januari werd bekend dat de servers van de zorginstantie waren geïnfecteerd met ransomware, waardoor digitale cliëntdossiers onbereikbaar werden voor medewerkers. Hoewel de zorgverlening ongehinderd doorging, had het personeel geen toegang meer tot belangrijke cliëntinformatie. Xonar heeft sindsdien maatregelen genomen om herhaling te voorkomen en riep op tot verhoogde waakzaamheid tegen phishing en identiteitsfraude. Recentelijk hebben internationale handhavingsinstanties een slag geslagen tegen LockBit door hun digitale infrastructuur offline te halen. In een gecoördineerde actie genaamd operatie Cronos zijn wereldwijd 34 servers uitgeschakeld, waarvan 13 in Nederland, en zijn er arrestaties verricht. Deze actie onderstreept de inzet van de Nederlandse politie en internationale partners om ransomwarecriminaliteit tegen te gaan. LockBit staat bekend om zijn wereldwijde cyberaanvallen en heeft tal van bedrijven en organisaties, waaronder in Nederland, als slachtoffer geëist. [1]

Lees ook artikel: De internationale overwinning op LockBit ransomware


Misbruik van Google Cloud Run in Grote Banktrojanen Campagne

Beveiligingsonderzoekers hebben ontdekt dat hackers de Google Cloud Run-service misbruiken om grote hoeveelheden banktrojanen, waaronder Astaroth, Mekotio, en Ousaban, te verspreiden. Google Cloud Run, dat gebruikers in staat stelt voor- en achterkant services, websites of applicaties te implementeren zonder de infrastructuur te beheren of te schalen, is aantrekkelijk geworden voor cybercriminelen vanwege de kosteneffectiviteit en het vermogen om standaardbeveiligingsblokkades en filters te omzeilen. Vanaf september 2023 werd een significante toename van misbruik waargenomen, voornamelijk door Braziliaanse actoren die MSI-installatiebestanden gebruikten om malware payloads te implementeren. De aanval begint met phishing-e-mails die lijken op legitieme communicatie, zoals facturen of financiële verklaringen, waarbij links naar kwaadaardige webdiensten op Google Cloud Run worden bijgevoegd. Wanneer slachtoffers de kwaadaardige MSI-bestanden uitvoeren, worden nieuwe componenten en payloads gedownload en uitgevoerd, wat resulteert in persistentie van de malware op het systeem van het slachtoffer om herstarts te overleven. De betrokken banktrojanen zijn ontworpen om stilletjes systemen te infiltreren, persistentie te vestigen en gevoelige financiële gegevens te exfiltreren. Google heeft gereageerd door de aanstootgevende links te verwijderen en onderzoekt hoe ze hun mitigatie-inspanningen kunnen versterken om dergelijke kwaadaardige activiteiten te voorkomen. [1]


SSH-Snake Malware: Een Nieuwe Dreiging voor SSH-Sleutels

Een nieuw soort malware, genaamd SSH-Snake, vormt een bedreiging voor netwerken door SSH-sleutels te stelen en zich onopgemerkt te verspreiden over de infrastructuur van het slachtoffer. Ontdekt door het Sysdig Threat Research Team, onderscheidt SSH-Snake zich als een 'zelfmodificerende worm' die traditionele aanvalspatronen van SSH-wormen vermijdt. Deze worm speurt naar privésleutels in diverse bestanden, zoals shellgeschiedenis, en gebruikt deze om zich stilletjes naar nieuwe systemen te verplaatsen na het in kaart brengen van het netwerk. SSH-Snake, beschikbaar als een open-source tool, is ontworpen voor geautomatiseerde SSH-netwerktraversatie en kan aangepast worden aan specifieke operationele behoeften. Volgens Sysdig maakt de malware's vermogen om zichzelf aan te passen en zijn zoektocht naar privésleutels rigoureuzer, het een geavanceerdere bedreiging dan bestaande SSH-wormen. De malware is actief gebruikt tegen ongeveer 100 slachtoffers, waarbij aanvallers bekende Confluence kwetsbaarheden exploiteren voor initiële toegang. Sysdig beschouwt SSH-Snake als een evolutionaire stap in malware, gericht op een beveiligingsmethode die breed wordt gebruikt in bedrijfsomgevingen. [1, GitHub]


Malafide Exodus-wallet Steelt $490.000 van Investeerder via Canonical Snap Store

Een investeerder heeft een verlies van 490.000 dollar geleden na het downloaden van een nep Exodus-wallet uit de Canonical Snap Store. Deze frauduleuze app, die zich voordeed als de officiële Linux-applicatie voor het beheren van verschillende cryptovaluta, slaagde erin om een 'veilig' logo te verkrijgen binnen de store. Gebruikers die hun Exodus-wallet wilden importeren, werden misleid om hun herstelzin in te voeren, een actie die door de officiële website sterk wordt afgeraden omdat dit externe toegang tot de wallet mogelijk maakt. Het slachtoffer zag hierdoor negen bitcoin uit zijn wallet verdwijnen, wat op dat moment gelijkstond aan ongeveer 490.000 dollar. Ondanks dat de malafide applicatie na zes dagen werd verwijderd uit de Snap Store, benadrukt deze gebeurtenis de aanhoudende risico's binnen digitale app-winkels. Alan Pope, een voormalig lid van het Snapcraft-team bij Canonical, waarschuwt dat dit incident mogelijk niet het laatste zal zijn als er geen veranderingen worden doorgevoerd. [1]


Nieuwe Migo Malware Richt Zich op Redis Servers voor Cryptojacking

Beveiligingsonderzoekers hebben een nieuwe malware, genaamd 'Migo', ontdekt die specifiek Linux hosts met Redis servers als doelwit heeft om cryptocurrency te mijnen. Redis, bekend om zijn hoge prestaties en breed gebruik in verschillende industrieën, wordt vaak aangevallen door hackers die kwetsbare servers proberen te exploiteren voor kwaadaardige doeleinden zoals datadiefstal en het kapen van resources. Migo onderscheidt zich door het uitschakelen van beveiligingsfuncties van Redis, waardoor het voor langere tijd ongemerkt cryptojacking activiteiten kan uitvoeren. De campagne werd opgemerkt door analisten bij Cado Security, die zagen hoe aanvallers via CLI-commando's beveiligingsconfiguraties uitschakelden om de server te exploiteren. Ze schakelden onder meer de beschermde modus uit, maakten replica's schrijfbaar, en pasten instellingen aan die leiden tot hogere IO-belasting en prestatievermindering, waardoor detectie bemoeilijkt werd. Vervolgens installeerden de aanvallers een Monero miner via een script, zorgden voor persistentie door een systemd service te creëren, en gebruikten een gebruikersmodus rootkit om hun processen en bestanden te verbergen. Migo manipuleert ook de firewall en systeembestanden om communicatie met cloudserviceproviders te blokkeren en concurrerende miners uit te schakelen. Hoewel de directe schade van cryptojacking beperkt blijft tot het onrechtmatig gebruiken van serverresources, waarschuwen experts voor het potentieel dat deze toegang kan bieden voor het leveren van gevaarlijkere payloads. [1]


Knight Ransomware Broncode Te Koop Aangeboden

De broncode van de derde versie van de Knight ransomware wordt exclusief te koop aangeboden op een hackersforum, aangeboden door een vertegenwoordiger van de operatie. Knight ransomware, oorspronkelijk gelanceerd in juli 2023 als een herbranding van de Cyclops operatie, richt zich op Windows, macOS, en Linux/ESXi systemen en heeft enige bekendheid verkregen door het aanbieden van info-stealers en een 'lite' versie van zijn encryptor voor aanvallen op kleinere organisaties. De verkoopadvertentie werd gespot door analisten van het cyber-intelligentiebedrijf KELA op de RAMP forums, geplaatst door iemand onder het alias Cyclops, een bekende vertegenwoordiger van de Knight ransomware bende. De derde versie van de Knight locker, uitgebracht op 5 november 2023, kenmerkt zich door een 40% snellere encryptie en diverse verbeteringen. De verkoper specificeerde geen prijs, maar benadrukte dat de code aan slechts één koper verkocht zou worden om de exclusiviteit te waarborgen. De reden achter de verkoop blijft onduidelijk, maar met de inactiviteit van de Knight operatie sinds december 2023 en het offline gaan van hun slachtoffer afpersingsportal, lijkt het erop dat de groep mogelijk hun activiteiten staakt en hun middelen verkoopt. [1]


Duitse Softwareontwikkelaar PSI Software SE Getroffen door Ransomwareaanval

PSI Software SE, een toonaangevende Duitse ontwikkelaar van software voor complexe productie- en logistieke processen, heeft bevestigd dat het slachtoffer is geworden van een ransomwareaanval. Deze aanval, die het bedrijf vorige week al had gemeld, heeft de interne infrastructuur aanzienlijk verstoord. PSI Software, met meer dan 2.000 werknemers wereldwijd, levert essentiële softwareoplossingen aan grote energieleveranciers, inclusief systemen voor operationeel beheer, netwerkbenutting, en energiehandel. De cyberaanval werd op 15 februari ontdekt, waarna het bedrijf verschillende IT-systemen, waaronder e-mail, uit voorzorg offline haalde. De aanval is uitgevoerd door de ransomwaregroep Hunters International, die beweert 36.133 bestanden met een totale grootte van 88 GB te hebben gestolen van PSI's systemen. Deze claim is echter nog niet geverifieerd. PSI heeft aangegeven dat uit voorlopig onderzoek geen bewijs is gevonden dat klantensystemen zijn gecompromitteerd. De Duitse autoriteiten en het Federale Bureau voor Informatiebeveiliging ondersteunen PSI bij het onderzoek en de herstelwerkzaamheden. [1]


Omvangrijke Crypto Wallet Hack en Ethereum's Koersstijging

Recentelijk heeft de phishinggroep Angel Drainer opnieuw toegeslagen door $400.000 te ontvreemden uit 128 crypto wallets, gebruikmakend van een nieuwe aanvalsmethode. Dit incident verhoogt hun totale diefstal in een jaar naar meer dan $25 miljoen uit bijna 35.000 wallets. De hackers misbruikten de verificatietool van Etherscan om een schadelijk smart contract te verhullen. Ondertussen ervaart Ethereum een positieve trend, met een koersstijging richting de $3.000, ondersteund door een bullish patroon en een groeiend optimisme onder beleggers. Dit succes wordt toegeschreven aan de handel boven belangrijke bewegende gemiddelden en een toename in handelsvolume, ondanks potentiële weerstand rond de $3.000. Verder deelt Dennis Liu, een gerespecteerde figuur in de crypto-gemeenschap, drie essentiële signalen voor investeerders om te overwegen bij het plannen van hun uitstapstrategie. Deze omvatten het bereiken van specifieke prijsdoelen ($200.000 voor Bitcoin en $15.000 voor Ethereum), een tijdsbeperking (tegen eind 2025), en het gebruik van technische analyse als indicatie voor het juiste uitstapmoment. Deze strategieën bieden investeerders houvast in een volatiele markt, gericht op het maximaliseren van winsten en het beperken van verliezen. [1]


πŸ‡³πŸ‡± Cybercriminelen Goudmijn: Datalek Bij Brandfield Legt Kwetsbaarheid Bloot

In een recent onderzoek door BNR is aan het licht gekomen dat persoonsgegevens van 60.000 klanten van juweliersketen Brandfield online toegankelijk waren door een slecht beveiligde cloudomgeving. Dit betrof gegevens van meer dan honderdduizend bestellingen, gemaakt tussen 2018 en 2020, die op een publiek toegankelijke Google Cloudserver stonden. De gegevens omvatten een backup van klantinformatie. Brandfield heeft inmiddels de betrokken klanten geïnformeerd en de server beveiligd. Deze situatie wordt als zeer ernstig beschouwd omdat dergelijke informatie zeer waardevol is voor criminelen voor activiteiten zoals phishing-aanvallen. Het lek bij Brandfield staat niet op zichzelf; met een specifieke scantool konden meer dan vijftig Nederlandse cloudservers gevonden worden die publiek inzichtelijk waren. Dit incident onderstreept het belang van adequate beveiliging van cloudopslag, ondanks dat deze doorgaans als veiliger wordt beschouwd dan traditionele opslagmethoden. Experts en betrokkenen benadrukken de ernst van de situatie, wijzend op nalatigheid en overtreding van wetgeving omtrent de bescherming van persoonsgegevens door Brandfield. Het bedrijf heeft naast het dichten van het lek, ook interne audits uitgevoerd om verdere lekken uit te sluiten en heeft het incident gemeld bij de Autoriteit Persoonsgegevens. Dit incident dient als een waarschuwing voor andere bedrijven over de risico's van cloudopslag en het belang van databeveiliging. [1]


Cactus Ransomware-aanval treft Schneider Electric met Diefstal van 1.5TB Data

De Cactus ransomware-groep heeft verklaard 1.5 terabyte (TB) aan gegevens gestolen te hebben van Schneider Electric, een toonaangevend bedrijf in energiebeheer en automatisering, na het binnendringen van het netwerk van het bedrijf vorige maand. Als bewijs van hun bewering hebben ze 25 megabyte (MB) van de vermoedelijk gestolen gegevens gelekt op hun darkweb leksite. Dit omvat snapshots van Amerikaanse paspoorten en scans van geheimhoudingsovereenkomsten. De ransomwaregroep richtte zich specifiek op de divisie Duurzaamheid van het bedrijf op 17 januari, waarbij ze dreigen alle gestolen gegevens te lekken als er geen losgeld wordt betaald. De exacte inhoud van de gestolen gegevens is nog onbekend, maar gezien de rol van de getroffen divisie in het bieden van consultatiediensten voor hernieuwbare energie en regelgevingscompliance aan prominente bedrijven wereldwijd, kunnen de gegevens gevoelige informatie bevatten over klantensystemen en naleving van milieu- en energieregelgeving. Schneider Electric, met meer dan 150.000 werknemers wereldwijd en een omzet van $28.5 miljard in 2023, was eerder slachtoffer van de Clop ransomware. De Cactus ransomware, opgedoken in maart 2023, voert dubbele afpersingsaanvallen uit door netwerken van bedrijven binnen te dringen en gevoelige data te stelen voor losgeldonderhandelingen.


Kritieke Kwetsbaarheid in Bricks WordPress Thema Actief Uitgebuit

Hackers zijn actief een kritieke kwetsbaarheid aan het uitbuiten in het Bricks Builder Thema, een premium WordPress thema met ongeveer 25.000 actieve installaties. Deze kwetsbaarheid, geïdentificeerd als CVE-2024-25600, werd op 10 februari ontdekt door onderzoeker 'snicco'. Het probleem ligt in een `eval` functieaanroep binnen de `prepare_query_vars_from_settings` functie, waardoor ongeautoriseerde gebruikers willekeurige PHP-code kunnen uitvoeren. De Bricks ontwikkelaars hebben snel gereageerd met een oplossing in versie 1.9.6.1, uitgebracht op 13 februari, ondanks dat er toen nog geen bewijs van uitbuiting was. Echter, Patchstack rapporteerde dat exploitatiepogingen begonnen op 14 februari, waarbij aanvallers specifieke malware gebruikten om beveiligingsplugins zoals Wordfence en Sucuri uit te schakelen. Bricks gebruikers worden aangemoedigd om zo snel mogelijk naar de nieuwste versie te updaten om bescherming te garanderen tegen deze ernstige beveiligingsdreiging. [1, 2, 3, 4, 5]


Speciaal Voor Samsung-Telefoons Ontworpen Malware Ontdekt in Google Play Store

Recentelijk is er door het securitybedrijf Threatfabric een malafide applicatie ontdekt in de Google Play Store, die specifiek gericht is op gebruikers van Samsung-smartphones. Deze app, die zich voordeed als een schoonmaakprogramma voor smartphones, bleek eigenlijk een 'dropper' te zijn, een type malware dat andere schadelijke software installeert. Opvallend was dat de app in eerste instantie geen kwaadaardig gedrag vertoonde. Pas na een update, een week na de lancering, werd de kwaadaardige functionaliteit geactiveerd, waardoor de app zonder gebruikersinteractie kon ingrijpen in de bediening van de telefoon. Dit werd mogelijk gemaakt door misbruik van de AccessibilityService, die speciaal was aangepast voor de gebruikersinterface van Samsung-telefoons. Een van de gevolgen van de installatie van deze dropper was dat de Anatsa banking Trojan kon worden geïnstalleerd, waarmee criminelen bankfraude konden plegen. Threatfabric benadrukt het belang voor banken om hun klanten te waarschuwen voor de risico's van het downloaden van apps, zelfs uit officiële app stores, en het achteloos inschakelen van toegankelijkheidsdiensten.[1]


πŸ‡§πŸ‡ͺ Belgische Autodealer Slachtoffer van LockBit Cyberaanval

In een recente ontwikkeling op het cybercriminaliteitsfront is SOCO.be, een prominente Belgische autodealer, het slachtoffer geworden van een cyberaanval uitgevoerd door de beruchte groep LockBit. De aanval, die aanzienlijke onrust heeft veroorzaakt binnen de automotive sector, werd op 19 februari 2024 bekendgemaakt op het darkweb. Deze gebeurtenis benadrukt de voortdurende dreiging van cybercriminaliteit en de noodzaak voor bedrijven om hun digitale beveiligingsmaatregelen te versterken.


πŸ‡³πŸ‡± Aanval op Tachtig Organisaties via Zerodaylek in Roundcube Webmail

Zeker tachtig organisaties, waaronder de Iraanse ambassade in Nederland, zijn getroffen door cyberaanvallen via een zerodaylek in Roundcube Webmail, volgens onderzoek van het securitybedrijf Recorded Future. Dit beveiligingslek, geïdentificeerd als CVE-2023-5631, stelde aanvallers in staat om stored cross-site scripting (XSS) aanvallen uit te voeren. Door het versturen van een kwaadaardige e-mail konden zij JavaScript-code in de browsers van hun slachtoffers uitvoeren, wat resulteerde in het stelen van alle e-mails uit de getroffen accounts. De aanvallen waren voornamelijk gericht op overheden, militaire organisaties en academische instellingen in Oekraïne, Georgië, Polen, en België. Een aan Rusland gelieerde groepering wordt verantwoordelijk gehouden voor deze cyberaanvallen. Het lek in de Roundcube-software werd reeds in oktober gedicht. Recorded Future heeft ook gewaarschuwd voor een ander recent ontdekt zerodaylek in Roundcube, waarover nog geen verdere details bekend zijn gemaakt. [1]


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Meer weekoverzichten

April 2024
Maart 2024