Slachtofferanalyse en Trends van Week 09-2024

Gepubliceerd op 4 maart 2024 om 15:36

EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


De digitale wereld is opnieuw opgeschrikt door een reeks cyberaanvallen die zowel nationaal als internationaal het nieuws hebben gehaald. In Nederland zijn diverse sectoren getroffen, van retail tot de chemische industrie, transport en zelfs de gezondheidszorg, waarbij organisaties zoals Carpetright, HAL Allergy, Abtexelgroup en GCA Nederland het slachtoffer zijn geworden van gesofisticeerde aanvalstechnieken. Deze incidenten benadrukken de voortdurende dreiging en de noodzaak voor bedrijven om hun cybersecuritymaatregelen te versterken. Ook in België blijft men niet gespaard, met het bouwbedrijf Smuldes als recent slachtoffer van de LockBit cyberaanval.

De aanvallen beperken zich niet tot specifieke sectoren; van phishingcampagnes gericht op de medewerkers van de Federal Communications Commission en gebruikers van grote cryptocurrency-platformen tot ransomware-aanvallen die een kinderziekenhuis in Chicago dwingen tot het betalen van een losgeld van 3,6 miljoen dollar. Bovendien onderstrepen recente ontdekkingen de wereldwijde reikwijdte van deze dreigingen, met de beruchte Noord-Koreaanse Lazarus Groep die actief kwetsbaarheden in Windows exploiteert en malware verspreidt via PyPI-pakketten.

De lijst van dreigingen is uitgebreid en omvat geavanceerde malware gericht op mobiele operators, waarschuwingen van de FBI over RDP-risico's, en actief uitgebuite kwetsbaarheden in Microsoft Streaming Service. Cybercriminelen blijven nieuwe tactieken ontwikkelen, zoals blijkt uit de operaties van groepen als LockBit, Savvy Seahorse, en de Russische Mogilevich-groep, die niet alleen gericht zijn op financiële winst maar ook op het veroorzaken van maximale disruptie.

Slachtoffers van deze aanvallen variëren van grote corporaties tot overheidsinstellingen en non-profit organisaties, met soms verwoestende financiële en operationele gevolgen. Het aantal organisaties waarvan data op het darkweb is gelekt, is een stille getuige van de omvang van het probleem.

Hieronder vindt u het volledige overzicht van de cyberaanvallen van de afgelopen week, die een duidelijk beeld schetsen van de dynamische en constant evoluerende aard van de cyberdreigingslandschap. Het is een herinnering aan de noodzaak voor waakzaamheid, voorbereiding, en de implementatie van robuuste cybersecuritystrategieën om deze bedreigingen het hoofd te bieden.



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Land Sector Publicatie darkweb ↑
jovani.com LockBit USA Apparel And Other Finished Products 3-mrt-24
valoremreply.com LockBit USA IT Services 3-mrt-24
ipmaltamira BlackCat (ALPHV) Mexico Water Transportation 3-mrt-24
earnesthealth.com LockBit USA Health Services 3-mrt-24
Ward Transport & Logistics DragonForce USA Motor Freight Transportation 3-mrt-24
stockdevelopment.com LockBit USA Real Estate 3-mrt-24
Ewig Usa BlackCat (ALPHV) USA Electronic, Electrical Equipment, Components 3-mrt-24
Hedlunds PLAY In progress In progress 2-mrt-24
Red River Title PLAY In progress In progress 2-mrt-24
Northeastern Sheet Metal PLAY USA Fabricated Metal Products 2-mrt-24
aerospace.com LockBit USA Research Services 2-mrt-24
starkpower.de LockBit Germany Electronic, Electrical Equipment, Components 2-mrt-24
roehr-stolberg.de LockBit Germany Fabricated Metal Products 2-mrt-24
schuett-grundei.de LockBit Germany Miscellaneous Retail 2-mrt-24
unitednotions.com LockBit USA Textile Mill Products 2-mrt-24
smuldes.com LockBit Belgium Construction 2-mrt-24
Compact Mould PLAY Canada Fabricated Metal Products 1-mrt-24
Winona Pattern & Mold PLAY USA Fabricated Metal Products 1-mrt-24
Marketon PLAY USA Food Stores 1-mrt-24
Stack Infrastructure PLAY USA IT Services 1-mrt-24
Coastal Car PLAY USA Passenger Transportation 1-mrt-24
New Bedford Welding Supply PLAY USA Repair Services 1-mrt-24
Influence Communication PLAY Canada Communications 1-mrt-24
Kool-air PLAY Canada Machinery, Computer Equipment 1-mrt-24
FBi Construction PLAY USA Construction 1-mrt-24
SBM & Co BlackCat (ALPHV) United Kingdom Accounting Services 1-mrt-24
www.sbmaccountancy.co.uk BlackCat (ALPHV) United Kingdom Accounting Services 1-mrt-24
Petrus Resources Ltd. BlackCat (ALPHV) Canada Oil, Gas 1-mrt-24
Shooting House Ransomhub Brazil IT Services 1-mrt-24
Crystal Window & Door Systems DragonForce USA Fabricated Metal Products 1-mrt-24
Gilmore Construction BLACK SUIT USA Construction 1-mrt-24
Gansevoort Hotel Group Akira USA Lodging Places 1-mrt-24
CoreData Akira Canada IT Services 1-mrt-24
Bangladesh Police Mogilevich Bangladesh Justice, Public Order, And Safety 1-mrt-24
Kumagai Gumi Group BlackCat (ALPHV) Japan Construction 1-mrt-24
BAZAARVOICE.COM Mogilevich USA IT Services 1-mrt-24
Gilmore & Associates PLAY USA Construction 29-feb-24
Allan Berger & Associates BlackCat (ALPHV) USA Legal Services 29-feb-24
wilsonfabrics.com Black Basta Australia Textile Mill Products 29-feb-24
opt.net.au Black Basta Australia Health Services 29-feb-24
bruck.com.au Black Basta Australia Textile Mill Products 29-feb-24
bartgroup.com.au Black Basta Australia Miscellaneous Retail 29-feb-24
bartgroup.com.au Black Basta Australia Miscellaneous Retail 29-feb-24
ausweave.com.au Black Basta Australia Textile Mill Products 29-feb-24
localbar.com.au Black Basta Australia Eating And Drinking Places 29-feb-24
australiantextiles.com.au Black Basta Australia Textile Mill Products 29-feb-24
therose.pub Black Basta Australia Eating And Drinking Places 29-feb-24
advancedcs.com.au Black Basta Australia Miscellaneous Retail 29-feb-24
xenit.com.au Black Basta Australia IT Services 29-feb-24
primrose.co.uk Black Basta United Kingdom Building Materials, Hardware, Garden Supply, And Mobile Home Dealers 29-feb-24
novaemployment.com.au Black Basta Australia Business Services 29-feb-24
knoxbridge.com.au Black Basta Australia Real Estate 29-feb-24
Faison DragonForce USA Real Estate 29-feb-24
Erwat DragonForce South Africa Electric, Gas, And Sanitary Services 29-feb-24
Artissimo Designs DragonForce USA Miscellaneous Retail 29-feb-24
scullionlaw.com Black Basta United Kingdom Legal Services 29-feb-24
fcw.ch Black Basta Switzerland Miscellaneous Retail 29-feb-24
haas4.com Black Basta USA Construction 29-feb-24
alanritchey.com Black Basta USA Motor Freight Transportation 29-feb-24
goodinabernathy.com Black Basta USA Legal Services 29-feb-24
Benthanh Group Ransomhub Vietnam Holding And Other Investment Offices 29-feb-24
Array Networks Dunghill Leak USA Machinery, Computer Equipment 29-feb-24
gapsolutions.com.au LockBit Australia Home Furniture, Furnishings, And Equipment Stores 29-feb-24
Frencken Snatch Malaysia Machinery, Computer Equipment 29-feb-24
HSPG & Associates Snatch USA Accounting Services 29-feb-24
Essential Labs 8BASE USA Chemical Producers 29-feb-24
HAL Allergy RansomHouse Netherlands Chemical Producers 28-feb-24
Dinamic Oil Trigona Italy Machinery, Computer Equipment 28-feb-24
Hostal Espoz y Mina Trigona Spain Lodging Places 28-feb-24
Hotel Avenida Trigona Portugal Lodging Places 28-feb-24
Pension Alemana Trigona Spain Lodging Places 28-feb-24
Hostal Arriazu Trigona Spain Lodging Places 28-feb-24
easternshipbuilding.com LockBit USA Transportation Equipment 28-feb-24
etairoshealth.com Qilin USA Health Services 28-feb-24
J A Piper Roofing BLACK SUIT USA Construction 28-feb-24
Change Healthcare BlackCat (ALPHV) USA Insurance Carriers 28-feb-24
Medall Healthcare Pvt Ltd. BianLian India Health Services 28-feb-24
DTN Management Company Akira USA Real Estate 28-feb-24
vertdure.com LockBit Canada Miscellaneous Services 28-feb-24
sundbirsta.com LockBit Sweden Machinery, Computer Equipment 28-feb-24
abtexelgroup.com Cactus Netherlands Motor Freight Transportation 28-feb-24
JS International Medusa USA Furniture 28-feb-24
Orange Public School District INC Ransom USA Educational Services 28-feb-24
Saudia MRO 8BASE Saudi Arabia Transportation By Air 28-feb-24
Bertani Trasporti Spa 8BASE Italy Motor Freight Transportation 28-feb-24
ROYAL INSIGNIA 8BASE Singapore Miscellaneous Manufacturing Industries 28-feb-24
RWF FrΓΆmelt 8BASE Austria Publishing, printing 28-feb-24
verbraucherzentrale hessen BlackCat (ALPHV) Germany Miscellaneous Services 27-feb-24
npgandour.com LockBit Ivory Coast Chemical Producers 27-feb-24
Electro Marteix BlackCat (ALPHV) Spain Construction 27-feb-24
moore-tibbits.co.uk ThreeAM United Kingdom Legal Services 27-feb-24
Ann & Robert H. Lurie Children's Hospital of Chicago Rhysida USA Health Services 27-feb-24
Hardeman County Community Health Center INC Ransom USA Health Services 27-feb-24
WEL Partners INC Ransom Canada Legal Services 27-feb-24
PEDDIE.ORG CL0P USA Educational Services 27-feb-24
ch-armentieres.fr Blackout France Health Services 27-feb-24
metal7.com Blackout Canada Metal Industries 27-feb-24
Ironrock Rhysida USA Miscellaneous Manufacturing Industries 26-feb-24
Southwest Industrial Sales Medusa USA Machinery, Computer Equipment 26-feb-24
The Professional Liability Fund Medusa USA Legal Services 26-feb-24
Penn Cinema Medusa USA Amusement And Recreation Services 26-feb-24
prattindustries.com LockBit USA Paper Products 26-feb-24
GCA Nederland RansomHouse Netherlands Motor Freight Transportation 26-feb-24
Headwater Companies LLC Ransomhub USA Electric, Gas, And Sanitary Services 26-feb-24
Angeles Medical Centers BlackCat (ALPHV) USA Health Services 26-feb-24
silganholdings.com LockBit USA Fabricated Metal Products 26-feb-24
Bjuvs kommun Akira Sweden General Government 26-feb-24
Webber International University RansomHouse USA Educational Services 26-feb-24
S+C Partners BlackCat (ALPHV) Canada Accounting Services 26-feb-24
silganholdings.com LockBit USA Fabricated Metal Products 26-feb-24
ernesthealth.com LockBit USA Health Services 26-feb-24
we****.com Cloak USA Unknown 26-feb-24
The************.org Cloak USA Unknown 26-feb-24
Sped**********.de Cloak Germany Unknown 26-feb-24
Ponoka.ca Cloak Canada General Government 26-feb-24
BRADSHAW-MEDICAL.COM CL0P France Measuring, Analyzing, Controlling Instruments 26-feb-24
dunaway.com LockBit USA Construction 26-feb-24
apeagers.com.au LockBit Australia Automotive Dealers 26-feb-24

Slachtoffers België en Nederland

Slachtoffer Cybercriminelen Land Sector Publicatie datum darkweb ↑
smuldes.com LockBit Belgium Construction 2-mrt-24
HAL Allergy RansomHouse Netherlands Chemical Producers 28-feb-24
abtexelgroup.com Cactus Netherlands Motor Freight Transportation 28-feb-24
GCA Nederland RansomHouse Netherlands Motor Freight Transportation 26-feb-24
Meetmoment Aantal organisaties waar data van gelekt is op het darkweb
01-05-2019 (eerste slachtoffer) 1
01-05-2020 85
01-05-2021 2.167
01-05-2022 5.565
01-05-2023 8.292
01-05-2024 ?
NU: 04-03-2024 12.593

Aantal organisaties waarvan alle gegevens gelekt zijn op het darkweb

In samenwerking met StealthMole

Sponsor Cybercrimeinfo


Cyberaanvallen nieuws


Ontdekking van GTPDOOR: Geavanceerde Malware Gericht op Mobiele Operatoren

Een recente ontdekking door beveiligingsonderzoeker HaxRob heeft licht geworpen op een tot nu toe onbekende Linux backdoor, genaamd GTPDOOR, die speciaal is ontworpen om onopgemerkt operaties uit te voeren binnen de netwerken van mobiele operators. Deze malware richt zich op systemen die grenzen aan de GPRS Roaming Exchange (GRX), zoals SGSN, GGSN, en P-GW, die toegang bieden tot het kernnetwerk van een telecombedrijf. GTPDOOR maakt gebruik van het GPRS Tunnelling Protocol Control Plane (GTP-C) voor heimelijke commando- en controlecommunicatie, waardoor het zich kan vermengen met legitiem netwerkverkeer en onopgemerkt blijft door standaardbeveiligingsoplossingen. De malware kan zijn procesnaam wijzigen om legitieme systeemprocessen na te bootsen en luistert naar specifieke GTP-C echoverzoeken om commando's uit te voeren. Ontdekt in twee versies, toont GTPDOOR de geavanceerde mogelijkheden voor aanvallen en netwerkinfiltratie, waaronder het schrijven naar lokale bestanden en het uitvoeren van willekeurige shell-commando's. HaxRob suggereert dat GTPDOOR mogelijk toebehoort aan de 'LightBasin' dreigingsgroep, berucht om haar spionageactiviteiten gericht op telecommunicatiebedrijven wereldwijd. Detectie- en verdedigingsstrategieën omvatten het monitoren van ongebruikelijke socketactiviteiten en procesnamen, en het implementeren van GTP-firewalls volgens GSMA-veiligheidsrichtlijnen om kwaadaardige pakketten en verbindingen te blokkeren of te filteren. [1, 2]


πŸ‡§πŸ‡ͺ Belgisch Bouwbedrijf Smuldes.com Slachtoffer van LockBit Cyberaanval

Het Belgische bouwbedrijf Smuldes.com is recentelijk het doelwit geworden van een cyberaanval door de beruchte LockBit-groep. Deze aanval, die op 2 maart 2024 aan het licht kwam via het darkweb, markeert een zorgwekkende trend van gerichte cybercriminaliteit binnen de bouwsector. De impact van deze inbreuk op Smuldes.com's bedrijfsvoering en de veiligheid van hun data is nog niet volledig bekend, maar het incident benadrukt de noodzaak voor bedrijven om hun digitale beveiliging te versterken tegen dergelijke dreigingen.


Geavanceerde Phishingaanvallen Richten Zich op FCC en Crypto-bedrijven

Een nieuw phishingprogramma genaamd CryptoChameleon richt zich op medewerkers van de Federal Communications Commission (FCC) en gebruikers van cryptocurrency-platformen zoals Binance, Coinbase, Kraken en Gemini. De aanvallen maken gebruik van nagemaakte inlogpagina's die sterk lijken op die van de echte diensten zoals Okta, Gmail, iCloud, Outlook, Twitter, Yahoo en AOL. De aanvallers voeren een gecompliceerde phishing- en social engineering-aanval uit door middel van e-mail, SMS en telefonische phishing om slachtoffers te verleiden gevoelige informatie in te voeren op de phishingpagina's. De phishingoperatie vertoont overeenkomsten met de Oktapus-campagne uit 2022, uitgevoerd door de Scattered Spider hackinggroep. De aanvallers registreren domeinen die sterk lijken op die van legitieme entiteiten, zoals "fcc-okta[.]com", en zetten phishingpagina's op die exacte replica's lijken van de legitieme inlogsites van Okta. Het phishingkit stelt cybercriminelen in staat om in real-time met de slachtoffers te communiceren, wat hen helpt om extra authenticatie te vragen indien nodig. Na de phishingfase kunnen slachtoffers worden omgeleid naar de echte inlogpagina van het platform of een nepportal die aangeeft dat hun account wordt beoordeeld, wat de aanvallers meer tijd geeft om de gestolen informatie te benutten. Onderzoekers van Lookout, die de campagne ontdekten, konden niet vaststellen of het CryptoChameleon phishingkit exclusief door één dreigingsactor wordt gebruikt of aan meerdere groepen wordt verhuurd. [1]


FBI Waarschuwt voor RDP-Risico's en Adviseert Strikte Beperkingen

De FBI heeft organisaties dringend geadviseerd het gebruik van Remote Desktop Protocol (RDP) te minimaliseren wegens toenemende zorgen over de veiligheid. In een recent uitgebracht document, gericht op de gevaren van Phobos-ransomware, benadrukt de dienst hoe criminelen RDP exploiteren om netwerken binnen te dringen en aanzienlijke financiële schade te veroorzaken. Deze ransomware, die al jaren actief is, heeft vooral vitale sectoren getroffen, met miljoenen dollars aan losgeld als gevolg. Aanvallers scannen naar openstaande RDP-poorten of misbruiken RDP in Windows-omgevingen voor bruteforce-aanvallen, leidend tot diefstal van data en verdere netwerkcompromittering. Om organisaties te beschermen, beveelt de FBI aan het gebruik van RDP en vergelijkbare diensten sterk te beperken. Als het gebruik van RDP onvermijdelijk is, dienen organisaties verschillende best practices te implementeren: het sluiten van ongebruikte RDP-poorten, het identificeren van systemen die RDP gebruiken, het instellen van account lockouts na meerdere mislukte inlogpogingen, het toepassen van phishingbestendige multifactorauthenticatie, en het monitoren van RDP-inlogpogingen. Deze maatregelen zijn essentieel om de veiligheid van organisaties te waarborgen tegen de groeiende dreiging van cybercriminaliteit via RDP. [pdf]


Waarschuwing voor Actief Uitgebuite Kwetsbaarheid in Microsoft Streaming Service

De Cybersecurity and Infrastructure Security Agency (CISA) heeft Amerikaanse federale instanties opgeroepen hun Windows-systemen te beveiligen tegen een ernstige kwetsbaarheid in de Microsoft Streaming Service (MSKSSRV.SYS), die actief wordt uitgebuit in malware-aanvallen. Deze kwetsbaarheid, aangeduid als CVE-2023-29360, stelt lokale aanvallers in staat SYSTEM-rechten te verkrijgen door een zwakte in het dereferentieproces van niet-vertrouwde aanwijzers, zonder dat hierbij interactie van de gebruiker vereist is. Ontdekt door Thomas Imbert van Synactiv en gerapporteerd via Trend Micro's Zero Day Initiative, werd deze bug door Microsoft gepatcht in juni 2023, maar exploitatiecodes verschenen drie maanden later online. CISA heeft geen specifieke details over de aanvallen verstrekt, maar benadrukt het risico van dergelijke kwetsbaarheden en verplicht federale instanties de patch binnen drie weken toe te passen. Daarnaast wordt wereldwijd aan private organisaties aangeraden deze kwetsbaarheid met prioriteit te patchen. Check Point onthulde dat de Raspberry Robin malware sinds augustus 2023 gebruikmaakt van deze exploit. Raspberry Robin, een malware met wormcapaciteiten die zich voornamelijk via USB-drives verspreidt, is gelinkt aan verschillende cybercriminele groepen en blijft zich ontwikkelen met nieuwe tactieken en functies. [1, 2, 3, 4]


Cybercriminelen Potentieel Bevoordeeld door Lek in Database van Chinees Telecombedrijf

Het Chinese telecombedrijf YX International, bekend om zijn productie van telecomapparatuur en het routeren van sms-berichten, heeft door een onbeveiligde database sms-berichten met tweefactorauthenticatie (2FA) codes gelekt. Deze berichten bevatten gevoelige codes van populaire diensten zoals Facebook, Google, WhatsApp, en TikTok. Dagelijks verstuurt het bedrijf ongeveer vijf miljoen sms-berichten, waarvan de inhoud door een gebrek aan beveiliging toegankelijk was op het internet, met enkel het kennen van het IP-adres als vereiste voor toegang. Deze kwetsbaarheid kwam aan het licht toen beveiligingsonderzoeker Anurag Sen de database ontdekte en de informatie doorspeelde aan TechCrunch. De blootgestelde database bevatte niet alleen de sms-logbestanden die teruggingen tot juli 2023, maar ook interne e-mailadressen en wachtwoorden van YX International. Na de ontdekking heeft het bedrijf de database beveiligd. Vanwege het ontbreken van toegangslogs blijft het onduidelijk of anderen naast Sen toegang hebben gehad tot de informatie. YX International heeft geen details vrijgegeven over de periode waarin de database onbeveiligd was. [1]


Grote financiële schade voor Pepco Group door phishingaanval

De Europese discountketen Pepco Group heeft een financiële klap van meer dan vijftien miljoen euro moeten incasseren als gevolg van een phishingaanval, specifiek gericht op hun Hongaarse afdeling. Met meer dan 4800 winkels verspreid over 21 landen en een jaarlijks klantenbestand van 57 miljoen mensen, vormt dit incident een significante tegenslag voor het bedrijf. De aanval, beschreven als 'geraffineerd', heeft 15,5 miljoen euro gekost en op dit moment is het onzeker of dit bedrag teruggevorderd kan worden. Pepco is actief op zoek naar mogelijkheden om het verloren geld via banken en politie-interventies terug te krijgen. Tot nu toe zijn er geen aanwijzingen dat klant-, leverancier-, of personeelsgegevens gecompromitteerd zijn bij de aanval. De exacte methode van de phishingaanval is niet bekendgemaakt, maar het vermoeden bestaat dat het gaat om ceo-fraude of een variant daarop. [1]


πŸ‡³πŸ‡±πŸ‡§πŸ‡ͺ Datalek bij Carpetright: Advies tot Wachtwoordwijziging

Carpetright heeft recentelijk een datalek gemeld waarbij gehashte wachtwoorden mogelijk gestolen zijn. Dit incident werd ontdekt op 19 februari, toen medewerkers een ongeautoriseerde toegang tot de back-end van hun website vaststelden. Het bedrijf heeft direct actie ondernomen door de wachtwoorden van de getroffen accounts te resetten en klanten te adviseren hun wachtwoorden ook op andere online platformen te wijzigen indien dezelfde gebruikt worden. Carpetright benadrukt het belang van unieke wachtwoorden en raadt het gebruik van een wachtwoordmanager aan voor extra veiligheid. Naast de gehashte wachtwoorden zijn er mogelijk ook persoonlijke gegevens van klanten, zoals namen, adressen, telefoonnummers, en e-mailadressen, betrokken bij het lek. Betaalgegevens zouden veilig zijn, aangezien deze op een andere locatie worden opgeslagen. Het bedrijf heeft cybersecurity specialisten ingeschakeld om het lek te onderzoeken en de omvang ervan vast te stellen. Het incident is gemeld bij relevante autoriteiten in Nederland en België, gezien het mogelijk impact heeft op 30.000 klanten uit deze landen. Carpetright, een Brits bedrijf opgericht in 1988 met meer dan vijfhonderd winkels in het VK en de Benelux, benadrukt het serieus nemen van de beveiliging van klantgegevens.


Nieuwe Bifrost Malware voor Linux Gebruikt VMware Domaan voor Ontduiking

Een recent ontdekte variant van de Bifrost remote access trojan (RAT), gericht op Linux-systemen, maakt gebruik van geavanceerde ontduikingstechnieken. Deze variant maakt onder andere gebruik van een misleidende domeinnaam die lijkt op die van VMware, waardoor het moeilijker wordt om tijdens controles op te merken. Bifrost, een dreiging die al twintig jaar bestaat, infecteert gebruikers via kwaadaardige e-mailbijlagen of websites die malware verspreiden, en verzamelt vervolgens gevoelige informatie van de geïnfecteerde systemen. Onderzoekers van Palo Alto Networks' Unit 42 hebben een toename in Bifrost-activiteit waargenomen en hebben bij hun onderzoek een nieuwe, meer heimelijke variant ontdekt. Deze variant verbindt met een command-and-control (C2) server via het domein "download.vmfare[.]com", wat sterk lijkt op een legitiem VMware-domein. Bovendien wordt de domeinnaam opgelost via een DNS-resolver in Taiwan, wat het traceren en blokkeren bemoeilijkt. De malware, die nu ook een ARM-versie omvat, toont de intentie van de aanvallers om hun aanvalsbereik uit te breiden naar ARM-gebaseerde architecturen. Hoewel Bifrost niet als een bijzonder geavanceerde dreiging wordt beschouwd, benadrukken de bevindingen van Unit 42 de noodzaak van verhoogde waakzaamheid tegen deze steeds verfijndere malware. [1]


Ransomware-aanval treft Amerikaanse gezondheidszorg: Betalingen aan Ziekenhuizen Gestagneerd

Een recente ransomware-aanval op Change Healthcare, een sleutelspeler in de Amerikaanse gezondheidszorg die declaraties voor zorginstellingen en apotheken verwerkt, heeft geleid tot een betalingsstagnatie voor ziekenhuizen, praktijken, en andere zorgverleners in de Verenigde Staten. Als gevolg van de aanval, die werd uitgevoerd door de ransomwaregroep ALPHV/Blackcat, kunnen zorginstanties hun zorgdeclaraties niet vergoed krijgen en is het onmogelijk om de dekking van zorgverzekeringen te verifiëren. Dit heeft ook invloed op patiënten, die hun medicatie niet kunnen ophalen bij apotheken vanwege niet-doorkomende medicijnrecepten. De financiële druk op verschillende zorgaanbieders neemt toe, met sommigen die krap bij kas zitten en wachten op duizenden dollars aan declaraties. De American Hospital Association heeft een beroep gedaan op het Amerikaanse ministerie van Volksgezondheid voor hulp, terwijl Change Healthcare worstelt met het herstellen van hun systemen, waarbij de meeste diensten nog steeds offline zijn. De aanval benadrukt de kwetsbaarheid van kritieke infrastructuur voor cybercriminaliteit en de verstrekkende gevolgen voor de gezondheidszorg en patiëntenzorg. [1, 2]


Gevaar van Malware Verspreid via Kalender Vergaderingslinks voor Mac-gebruikers

Malafide hackers viseren mensen in de cryptocurrency-sfeer met aanvallen die beginnen met een link toegevoegd aan de kalender van het slachtoffer via Calendly, een populaire app voor het plannen van afspraken. De aanvallers doen zich voor als gevestigde cryptocurrency-investeerders en vragen om een videobelafspraak in te plannen. Echter, het klikken op de vergaderingslink van de oplichters leidt ertoe dat er stiekem malware wordt geïnstalleerd op macOS-systemen. Deze aanvalsmethode is recentelijk gebruikt om een start-up-medewerker te misleiden, die dacht dat hij een investeerder van Signum Capital sprak. Na het klikken op de link, werd er een script uitgevoerd dat een trojan installeerde. Experts benadrukken het belang van voorzichtigheid bij het installeren van software en adviseren om contacten te verifiëren voordat er actie wordt ondernomen. [1]


Omvangrijke Malware-aanval via GitHub Ontmaskerd

Onderzoekers hebben een zorgwekkende ontdekking gedaan op het populaire softwareontwikkelingsplatform GitHub: meer dan honderdduizend repositories, die op het eerste gezicht legitiem lijken, blijken besmet te zijn met malware. Deze repositories zijn klonen van echte softwareprojecten, maar bevatten kwaadaardige code. Aanvallers maken gebruik van social engineering technieken, zoals berichten op fora en Discord, om gebruikers naar deze malafide repositories te lokken. Soms kiezen gebruikers ook onbewust voor de verkeerde, besmette versie. Hoewel GitHub automatisch veel van deze malafide gekloonde repositories verwijdert, blijven de handmatig geüploade exemplaren vaak onopgemerkt en actief. Dit resulteert in duizenden nog steeds beschikbare besmette repositories. De in de repositories verstopte malware is ontworpen om wachtwoorden, cookies, en andere gevoelige informatie te stelen en door te sturen naar de cybercriminelen. Dit incident werpt licht op de voortdurende strijd tegen cybercriminaliteit op platforms die essentieel zijn voor softwareontwikkeling en onderstreept de noodzaak voor verhoogde waakzaamheid onder gebruikers. [1]


πŸ‡³πŸ‡± HAL Allergy Getroffen door Cyberaanval van RansomHouse

In een recente onthulling op het darkweb door de cybercriminele groep RansomHouse, blijkt dat HAL Allergy, een prominente Nederlandse producent in de chemische sector, slachtoffer is geworden van een cyberaanval. De aanval, die op 28 februari 2024 aan het licht kwam, legt de kwetsbaarheden bloot binnen de cybersecurity van bedrijven in kritieke industrieën. Met de website www.hal-allergy.com als focuspunt, roept dit incident op tot verhoogde waakzaamheid en versterking van digitale beveiligingsmaatregelen.


πŸ‡³πŸ‡± Nederlandse Transportonderneming Slachtoffer van Cyberaanval

In een recente onthulling op het darkweb is bekend geworden dat Abtexelgroup.com, een prominente speler in de Nederlandse transportsector, het slachtoffer is geworden van een cyberaanval uitgevoerd door een groep genaamd Cactus. De aanval, die zich richtte op het bedrijf bekend om zijn activiteiten in motorvrachtvervoer, werd op 28 februari 2024 publiekelijk gemaakt. Dit incident benadrukt de voortdurende dreiging van cybercriminaliteit binnen de transportindustrie en onderstreept het belang van geavanceerde beveiligingsmaatregelen om dergelijke aanvallen te voorkomen.


Wereldwijde Hacking van Anycubic 3D Printers Legt Beveiligingslek Bloot

Wereldwijd zijn Anycubic 3D printers gehackt om een ernstige beveiligingsfout aan het licht te brengen. Hackers voegden een bestand toe aan de apparaten, genaamd hacked_machine_readme.gcode, dat normaal 3D-printinstructies bevat, om gebruikers te waarschuwen voor een kritieke beveiligingsbug. Deze kwetsbaarheid zou aanvallers in staat stellen elke getroffen Anycubic 3D printer te besturen via de MQTT service API van het bedrijf. De hackers riepen Anycubic ook op om hun 3D-printersoftware open-source te maken wegens tekortkomingen. In het bestand wordt geadviseerd de printer van het internet los te koppelen om hacking te voorkomen, benadrukkend dat dit bericht onschadelijk is en er geen schade is aangericht. Volgens het bestand zijn 2,934,635 apparaten gewaarschuwd via de kwetsbare API. Anycubic heeft officieel nog niet gereageerd, maar sociale media vertegenwoordigers zijn begonnen met het verzamelen van informatie van getroffen klanten. Ondertussen ervaren gebruikers problemen met de Anycubic app, die "netwerk niet beschikbaar" foutmeldingen toont. Anycubic, gevestigd in Shenzhen, China sinds 2015, is een van de populairste merken op de 3D-printermarkt, met meer dan 3 miljoen verkochte printers in meer dan 120 landen. [1, 2]


Malware in AI-modellen op Hugging Face-platform

Op het Hugging Face-platform zijn minstens honderd kwaadaardige AI- en ML-modellen ontdekt die code kunnen uitvoeren op de computers van slachtoffers, waardoor aanvallers een blijvende achterdeur krijgen. Hugging Face, een technologiebedrijf gespecialiseerd in kunstmatige intelligentie, natuurlijke taalverwerking, en machine learning, biedt een platform waarop gemeenschappen modellen, datasets en complete toepassingen kunnen delen en samenwerken. Het beveiligingsteam van JFrog heeft vastgesteld dat ongeveer honderd modellen op het platform kwaadaardige functionaliteiten bevatten, wat een aanzienlijk risico op datalekken en spionageaanvallen met zich meebrengt. Dit gebeurt ondanks de beveiligingsmaatregelen van Hugging Face, zoals malware-, pickle- en geheimenscanning, en het onderzoeken van de functionaliteit van de modellen om onveilige gedragingen zoals onveilige deserialisatie te ontdekken. JFrog heeft een geavanceerd scansysteem ontwikkeld en ingezet om PyTorch- en Tensorflow Keras-modellen te onderzoeken die op Hugging Face zijn gehost, en vond honderd modellen met een vorm van kwaadaardige functionaliteit. Een specifiek geval van een PyTorch-model, geüpload door een gebruiker met de naam "baller423" en inmiddels verwijderd van HuggingFace, bevatte een payload die het de mogelijkheid gaf om een reverse shell te vestigen met een gespecificeerd host. Dit benadrukt de noodzaak van verhoogde waakzaamheid en proactieve maatregelen om het ecosysteem te beschermen tegen kwaadaardige actoren. [1]


Ransomware-aanval eist 3,6 miljoen dollar van kinderziekenhuis in Chicago (USA)

Begin deze maand heeft de Rhysida ransomware-bende een cyberaanval op het Lurie Children's Hospital in Chicago opgeëist. Als vooraanstaand pediatrisch zorgcentrum dat jaarlijks zorg biedt aan meer dan 200.000 kinderen, werd het ziekenhuis gedwongen zijn IT-systemen offline te halen en in sommige gevallen medische zorg uit te stellen. De aanval beïnvloedde e-mail, telefoonverbindingen, toegang tot MyChart, en internet ter plaatse, waardoor ultrasound en CT-scanresultaten onbereikbaar werden en artsen teruggrepen op pen en papier voor recepten. De Rhysida-bende heeft nu 600 GB aan gestolen gegevens van het ziekenhuis op hun afpersingsportal op het darkweb geplaatst, met een vraagprijs van 60 BTC (ongeveer 3,7 miljoen dollar) voor een enkele koper. Als de gegevens niet binnen zeven dagen verkocht zijn, dreigt de bende ze tegen een lagere prijs aan meerdere kwaadwillenden te verkopen of gratis te lekken op hun platform. Het herstel van het IT-systeem van Lurie Children's is nog steeds gaande, waarbij sommige operationele segmenten beïnvloed blijven. Ouders worden geadviseerd de verzekeringskaart van hun kind en medicatieflessen mee te nemen naar afspraken. Sommige procedures en afspraken kunnen worden geannuleerd en verplaatst om urgente zorggevallen te accommoderen. De betalingssystemen zijn ook getroffen, wat heeft geleid tot een verlenging van de betaaltermijn voor medische rekeningen zolang de storing duurt. Het ziekenhuis brengt momenteel geen kosten in rekening voor gemiste afspraken. [1, 2]


LockBit Ransomware Hervat Aanvallen met Nieuwe Encryptors en Servers

Na een onderbreking door een gecoördineerde actie van de NCA, FBI, en Europol, bekend als 'Operatie Cronos', heeft de LockBit ransomwaregroep hun aanvallen hervat met vernieuwde encryptors en servers. Tijdens de operatie werd infrastructuur van de groep in beslag genomen en werden decryptors buitgemaakt, wat leidde tot het tijdelijk offline gaan van de LockBit datalekwebsite. Deze site werd door de autoriteiten zelfs omgezet in een politiepersportaal. LockBit reageerde door een nieuwe datalekwebsite op te zetten en beloofde met verbeterde infrastructuur en beveiligingsmechanismen terug te keren om te voorkomen dat wetshandhavingsinstanties opnieuw toegang zouden krijgen. De groep heeft zijn belofte waargemaakt door aanvallen te hervatten met geüpdatete encryptors, waarvan de ransom notes nu linken naar de nieuwe infrastructuur. Er zijn nieuwe onderhandelingssites opgezet die enkel functioneren voor slachtoffers van de recente aanvallen. LockBit beweert actief ervaren pentesters te werven om hun operaties te versterken, wat wijst op een potentieel voor een toename in aanvallen in de toekomst. Ondanks een tijdelijke disruptie blijft LockBit een bedreiging in het cyberlandschap. [1, sample 1, sample 2]


Noord-Koreaanse Hackers Omzeilen Beveiliging met Windows Exploit

Noord-Koreaanse cyberdreigingsactoren, bekend als de Lazarus Groep, hebben een kwetsbaarheid in de Windows AppLocker driver (appid.sys) uitgebuit. Dit deden ze door een zero-day exploit te gebruiken om kernel-niveau toegang te verkrijgen en beveiligingstools uit te schakelen. Hierdoor konden zij de gebruikelijke lawaaierige BYOVD (Bring Your Own Vulnerable Driver) technieken omzeilen. Deze activiteiten werden ontdekt door analisten van Avast, die Microsoft informeerden, leidend tot een oplossing voor de kwetsbaarheid, nu bekend als CVE-2024-21338, als onderdeel van de Patch Tuesday updates in februari 2024. De Lazarus Groep benutte CVE-2024-21338 om een lees/schrijf kernel primitief te creëren in een bijgewerkte versie van hun FudModule rootkit, die eerst door ESET werd gedocumenteerd in 2022. Deze nieuwe versie van FudModule toont aanzienlijke verbeteringen in stealth en functionaliteit, met nieuwe en bijgewerkte technieken om detectie te ontwijken en beveiligingsbeschermingen zoals Microsoft Defender en CrowdStrike Falcon uit te schakelen. Bovendien onthulde Avast een voorheen ongedocumenteerde remote access trojan (RAT) gebruikt door Lazarus, met de belofte meer details te delen tijdens BlackHat Asia in april. De exploitatie door Lazarus van een ingebouwde Windows driver onderstreept een significante evolutie in de kerneltoegangscapaciteiten van de dreigingsactor, waardoor ze stealthier aanvallen kunnen lanceren en langer kunnen volhouden op gecompromitteerde systemen. De enige effectieve beveiligingsmaatregel is het zo snel mogelijk toepassen van de Patch Tuesday updates van februari 2024. [1, 2, 3]


Waarschuwing voor kwaadaardige PyPI-pakketten door Noord-Koreaanse hackers

Het Japanse Computer Security Incident Response Team (JPCERT/CC) slaat alarm over vier kwaadaardige PyPI-pakketten, geüpload door de beruchte Noord-Koreaanse hackersgroep Lazarus, met als doel ontwikkelaars te infecteren met malware. Deze pakketten, onderdeel van de Python Package Index, een bibliotheek van open-source softwarepakketten, maakten misbruik van de minimale controle op het platform om kwaadaardige software te verspreiden. De malware stelt de hackers in staat toegang te krijgen tot netwerken van ontwikkelaars voor financiële fraude of het compromitteren van softwareprojecten. De nieuwe pakketten, bedoeld om 'Comebacker' malware te installeren, zijn inmiddels van PyPI verwijderd, maar hadden al duizenden downloads. Deze actie markeert een herhaling van Lazarus' strategie, die eerder vergelijkbare tactieken gebruikte. De Japanse cyberbeveiligingsautoriteit benadrukt de ernst van de dreiging, gezien de geschiedenis van Lazarus in het uitvoeren van financiële fraude en het stelen van cryptocurrencies via gecompromitteerde netwerken. [1]


Savvy Seahorse: Innovatieve DNS Misbruik voor Financiële Oplichting

Een cybercriminele groep genaamd Savvy Seahorse zet geavanceerde technieken in om via DNS CNAME-records (Canonical Name) een verdelingssysteem voor verkeer op te zetten, dat wordt gebruikt om financiële oplichtingscampagnes te ondersteunen. Door middel van misleidende Facebook-advertenties worden slachtoffers naar nagemaakte investeringsplatformen gelokt, waar zij worden verleid tot het storten van geld en het achterlaten van persoonlijke informatie. Een opmerkelijke tactiek van deze campagnes is het gebruik van chatbots die interactie met de slachtoffers aangaan om hen te overtuigen van de hoge rendementen, wat het oplichtingsproces voor de aanvallers automatiseert. Deze methode, die sinds augustus 2021 actief is, maakt slim gebruik van DNS CNAME-records als een verkeersdistributiesysteem (TDS), waardoor aanvallers gemakkelijk wijzigingen kunnen beheren, zoals IP-rotatie, om detectie te ontwijken. Infoblox-onderzoekers, die deze operatie ontdekten, stellen dat dit de eerste publiekelijk gerapporteerde zaak is van het misbruiken van DNS CNAMEs voor TDS. Savvy Seahorse registreert meerdere subdomeinen die een gemeenschappelijk CNAME-record delen, wat het mogelijk maakt om nieuwe bestemmingen te roteren zonder de DNS-instellingen van het aanvalsdomein te wijzigen. Dit illustreert de complexiteit en de geavanceerdheid van de infrastructuur van Savvy Seahorse, die zich uitstrekt over meerdere registrars en hostingproviders om zowel attributie te ontwijken als operationele veerkracht te bereiken. [1, 2]


Lazarus Group Exploiteert Windows Zeroday Voor Rootkit Installatie

Een beruchte cybercrimegroep, bekend als de Lazarus Group, heeft een zerodaylek in Windows benut om een geavanceerde rootkit te installeren. Dit lek, dat in staat stelt adminrechten naar kernelrechten te escaleren, werd door Avast in augustus vorig jaar aan Microsoft gerapporteerd en is recentelijk gedicht. Deze groep, die ook achter de beruchte WannaCry-ransomware, de Sony Pictures hack, en aanzienlijke financiële diefstallen staat, maakt al jaren gebruik van deze rootkit om antivirussoftware te omzeilen. Volgens Avast zet Lazarus deze rootkit zeer doelgericht in, waarbij de installatie via een nog onbekende trojan verloopt. Details over deze infectiemethode en de trojan zelf zullen binnenkort worden vrijgegeven. Dit incident onderstreept het voortdurende gevaar van gerichte cyberaanvallen en het belang van snelle patching van bekende beveiligingslekken. [1, 2, 3]


⚠️ Aanhoudende Dreiging: Backdoors in Ivanti VPN-Servers

Aanvallers hebben een reeks kwetsbaarheden in Ivanti Connect Secure VPN-servers uitgebuit om deze van backdoors te voorzien, met als doel deze malware ook na upgrades, patches, en fabrieksresets in stand te houden. Volgens een analyse van securitybedrijf Mandiant is het de aanvallers, door een fout in de malware, nog niet gelukt om de backdoors na een fabrieksreset te behouden. Deze pogingen benadrukken echter de vastberadenheid van de aanvallers om toegang tot strategische doelen te behouden en onderstrepen het belang van het updaten van netwerkapparatuur. De aanvallen hebben geleid tot de compromittering van mogelijk vele Ivanti VPN-servers door het misbruik van recent ontdekte zerodaylekken. Als reactie hierop werden Amerikaanse overheidsdiensten en andere organisaties opgeroepen om betrokken apparatuur los te koppelen en een fabrieksreset uit te voeren. Mandiant identificeerde de aanvallen als het werk van twee Chinese spionagegroepen, wat de ernst van de dreiging onderstreept. Ivanti heeft in reactie een vernieuwde Integrity Checking Tool uitgebracht om organisaties te helpen bij het detecteren van de malware. Het incident toont aan hoe geavanceerd de kennis van aanvallers over Ivanti's VPN-servers is, en wijst op een voortdurende dreiging van zerodaylekken in netwerkapparatuur.


Farmaceutisch Gigant Cencora Getroffen Door Cyberaanval

Farmaceutisch reus Cencora, voorheen bekend als AmerisourceBergen, heeft bekendgemaakt slachtoffer te zijn geworden van een cyberaanval waarbij gegevens uit hun IT-systemen zijn gestolen. Het bedrijf, dat zich specialiseert in de distributie van geneesmiddelen en oplossingen biedt voor dokterspraktijken, apotheken en diergezondheidszorg, rapporteerde een omzet van $262,2 miljard in het fiscale jaar 2023 en heeft ongeveer 46.000 werknemers. In een officiële verklaring aan de SEC onthulde Cencora op 21 februari 2024 dat er data, mogelijk inclusief persoonlijke informatie, uit hun informatiesystemen is ontvreemd. Het bedrijf heeft actie ondernomen om het incident in te dammen en werkt samen met wetshandhavingsinstanties, externe cybersecurityexperts en juridisch adviseurs om de zaak te onderzoeken. Cencora heeft nog niet kunnen vaststellen of dit incidenteen materiële impact zal hebben op hun financiën of bedrijfsvoering. Ook hebben ze bevestigd dat deze cyberaanval niet gerelateerd is aan de recente ransomware-aanval op Optum Change Healthcare, die aanzienlijke uitval veroorzaakte in de farmaceutische facturering. Tot op heden is de dader achter de inbraak bij Cencora niet geïdentificeerd, en geen enkele ransomware-groep heeft de verantwoordelijkheid opgeëist. [1]


Ransomware-aanval op Epic Games door Russische Hackersgroep

Een Russische hackersgroep genaamd Mogilevich heeft een omvangrijke ransomware-aanval uitgevoerd op de servers van de bekende gameontwikkelaar Epic Games, waarbij ze claimen bijna 200 gigabyte aan vertrouwelijke gegevens buitgemaakt te hebben. Deze gegevens omvatten klantinformatie zoals namen, e-mails, wachtwoorden, betaalgegevens, de broncode van games en meer. De groep heeft de gestolen data te koop aangeboden op het dark web, met een vraagprijs van 15.000 dollar, hoewel de geloofwaardigheid van deze claim in twijfel wordt getrokken door experts. Epic Games heeft gereageerd door te verklaren dat er geen bewijs is van de beweerde cyberaanval en dat ze de zaak onderzoeken. Ondanks de beweringen van de hackers, heeft Epic Games snel gereageerd door onderzoek in te stellen en te trachten contact op te nemen met Mogilevich voor bewijs, waarop geen reactie is gekomen. Dit incident benadrukt opnieuw hoe de gamingindustrie een geliefd doelwit is voor hackers. Eerder waren bedrijven zoals Insomniac Games ook al het slachtoffer van vergelijkbare aanvallen. Deze aanval op Epic Games toont de voortdurende dreiging aan die cybercriminaliteit vormt voor de digitale veiligheid van bedrijven wereldwijd. [1]


FBI, CISA en HHS waarschuwen voor gerichte BlackCat ransomware-aanvallen op Amerikaanse ziekenhuizen

Het FBI, CISA en het Department of Health and Human Services (HHS) hebben Amerikaanse zorginstellingen gewaarschuwd voor gerichte ransomware-aanvallen door ALPHV/BlackCat. Deze cybercriminele groep, vermoedelijk een heroprichting van de DarkSide en BlackMatter ransomware-groepen, heeft sinds haar verschijning in november 2021, in de eerste vier maanden al meer dan 60 aanvallen uitgevoerd en minstens $300 miljoen aan losgelden geïnd van meer dan 1.000 slachtoffers. Sinds medio december 2023 is de zorgsector het voornaamste doelwit, mogelijk als reactie op een oproep van de ALPHV BlackCat-beheerder om ziekenhuizen te targeten na acties tegen de groep in december 2023. De FBI, CISA en HHS adviseren zorgorganisaties dringend om cybersecuritymaatregelen te implementeren tegen de veelgebruikte tactieken en technieken van deze bedreiging. De waarschuwing komt tevens na een aanval op UnitedHealth Group-dochter Optum, waarbij de BlackCat ransomware groep toegang kreeg via een kwetsbaarheid in ScreenConnect, wat leidde tot een grote uitval bij Change Healthcare, een belangrijk betalingsplatform in de Amerikaanse gezondheidszorg. [1]


Toename van phishingaanvallen op Canadese banken door PhaaS-platform LabHost

Het Phishing as a Service (PhaaS) platform, LabHost, heeft een significante toename veroorzaakt in phishingaanvallen op Noord-Amerikaanse banken, met een bijzondere focus op financiële instellingen in Canada. LabHost biedt cybercriminelen complete phishingkits, inclusief infrastructuur voor het hosten van pagina's, het genereren van e-mailinhoud en campagnebeheersdiensten, tegen een maandelijks abonnement. Sinds de introductie van op maat gemaakte phishingkits voor Canadese banken in de eerste helft van 2023, is LabHost populairder geworden dan het voormalige favoriete platform Frappo. Volgens Fortra, een organisatie die de activiteiten van cybercriminelen volgt, is LabHost nu de belangrijkste aanjager van de meeste phishingaanvallen gericht op klanten van Canadese banken. Ondanks een onderbreking in oktober 2023, heeft LabHost zijn activiteiten hersteld, met honderden aanvallen per maand. LabHost biedt drie lidmaatschapsniveaus, variërend van $179 tot $300 per maand, gericht op banken in Canada, de VS en wereldwijd. Het platform stelt aanvallers ook in staat 2FA-beveiligingen te omzeilen via het LabRat-beheerinstrument en heeft onlangs een nieuwe SMS-spamtool, LabSend, geïntroduceerd. Deze ontwikkelingen maken cybercriminaliteit toegankelijker voor ongeschoolde hackers en vergroten de bedreiging voor de cyberveiligheid. [1]


⚠️ Ransomware-aanvallen op ongepatchte ScreenConnect-servers

De Black Basta en Bl00dy ransomware-groepen hebben zich aangesloten bij aanvallen op ScreenConnect-servers die kwetsbaar zijn door een ernstige authenticatie-omzeilingskwetsbaarheid. Deze kritieke fout, geïdentificeerd als CVE-2024-1709, stelt aanvallers in staat om admin accounts te creëren, alle andere gebruikers te verwijderen, en controle over kwetsbare instanties te nemen. De exploitatie van deze kwetsbaarheid is actief sinds een dag na de release van beveiligingsupdates door ConnectWise. ConnectWise heeft ook een path traversal kwetsbaarheid aangepakt, waarmee klanten met verlopen licenties hun servers kunnen beveiligen tegen deze aanvallen. CISA heeft CVE-2024-1709 toegevoegd aan zijn catalogus van bekende uitgebuite kwetsbaarheden, met een beveiligingsdeadline voor Amerikaanse federale instanties. Onderzoek door Trend Micro heeft uitgewezen dat de Black Basta en Bl00dy groepen de ScreenConnect-kwetsbaarheden gebruiken voor initiële toegang en het achterlaten van web shells in de netwerken van slachtoffers. Naast de inzet van Cobalt Strike beacons en XWorm malware, worden ook diverse remote management tools ingezet door aanvallers. Het is cruciaal voor organisaties om onmiddellijk te patchen en hun systemen te beschermen tegen deze bedreigingen. [1]


Ransomware-aanval treft Hessen Consumenten Centrum

Het Hessen Consumenten Centrum in Duitsland, een non-profit organisatie die onafhankelijk advies biedt over consumentenrechten en diverse andere onderwerpen aan de inwoners van de staat Hessen, is het slachtoffer geworden van een ransomware-aanval. Deze cyberaanval, die plaatsvond op donderdag 22 februari, leidde tot een tijdelijke onderbreking van de IT-systemen van de organisatie, waardoor zowel telefonische als e-mailcommunicatie ernstig verstoord werd. Hoewel de communicatiestoornissen grotendeels zijn verholpen en de website weer volledig operationeel is, ondervinden mensen nog steeds moeite om het adviescentrum en de consumentenadvocaten te bereiken. Externe IT-beveiligingsexperts zijn ingeschakeld om te helpen bij het herstellen van de volledige beschikbaarheid van alle communicatiekanalen, maar een tijdsbestek voor de terugkeer naar normale operaties is nog niet gegeven. De organisatie kan op dit moment nog niet bepalen of er data is gestolen, maar heeft beloofd getroffen individuen te informeren zodra meer bekend is over de omvang van de datalek. Het adviescentrum benadrukt dat het minimale hoeveelheden data op zijn servers bewaart, in lijn met hun toewijding aan gegevensbescherming. De staatsautoriteiten voor gegevensbescherming en IT-beveiliging zijn ingelicht, en er is een strafklacht ingediend bij de politie van Hessen. Tot dusver heeft geen enkele grote ransomware-groep de verantwoordelijkheid opgeëist voor de aanval. [1]


Cyberveiligheidsincident Treft Gemeente Hamilton (CAN)

De gemeente Hamilton heeft een cyberveiligheidsincident gemeld dat hun systemen heeft getroffen. Direct na de ontdekking van het incident heeft de IT-afdeling van de gemeente stappen ondernomen om de situatie te onderzoeken en de schade te beperken. Er wordt momenteel hard gewerkt door experts om de oorzaak en mogelijke gevolgen van het incident vast te stellen. De prioriteit ligt bij het veiligstellen van de integriteit van de systemen en het beschermen van gevoelige of privégegevens. Hoewel het onderzoek nog loopt, benadrukt de gemeente dat ze het incident zeer serieus neemt en in nauwe samenwerking met cybersecurity experts en relevante autoriteiten werkt aan een snelle en effectieve oplossing. De gemeente Hamilton belooft transparant te zijn en updates te geven zodra er nieuwe informatie beschikbaar is en biedt excuses aan voor eventuele overlast veroorzaakt door dit incident. Er wordt benadrukt dat de bescherming van de privacy en veiligheid van de gemeenschap, evenals het beheersen van de impact op de dienstverlening van de gemeente, hoog in het vaandel staat. [1]


Kwaadaardige Code in Tornado Cash Voorstel Brengt Gebruikersfondsen in Gevaar

Een verborgen kwaadaardige JavaScript-code in een governancevoorstel van Tornado Cash heeft bijna twee maanden lang depositobonnetjes en data doorgesluisd naar een privéserver. Deze lek bedreigt de privacy en veiligheid van alle fondstransacties via IPFS-implementaties sinds 1 januari. De code werd ontdekt door de beveiligingsonderzoeker Gas404, die de gemeenschap opriep om de malafide voorstellen te vetoën. Tornado Cash, een gedecentraliseerde mixer op de Ethereum-blockchain, biedt privacy voor transacties door middel van niet-bewarende, vertrouwensloze en serverloze anonimisering met behulp van het cryptografische systeem SNARKs. Ondanks het legitieme gebruik voor privacy, is Tornado Cash ook gebruikt voor het witwassen van geld, wat leidde tot sancties in de VS in 2022. Het malafide voorstel, nummer 47, ingediend door 'Butterfly Effects', wijzigde het protocol om depositobonnetjes naar de server van een aanvaller te lekken. De ontwikkelaars van Tornado Cash bevestigden het compromis en adviseerden gebruikers om hun oude, mogelijk blootgestelde bonnetjes te vervangen. Stemhouders werden aangemoedigd om hun stemmen voor voorstel 47 in te trekken om de protocolwijzigingen terug te draaien. [1]


Optum, een dochteronderneming van UnitedHealth, getroffen door BlackCat ransomware

Een cyberaanval op Optum, een dochteronderneming van UnitedHealth Group, heeft geleid tot een aanhoudende storing die de Change Healthcare betalingsuitwisselingsplatform beïnvloedt. Deze aanval wordt in verband gebracht met de BlackCat ransomwaregroep, volgens bronnen bekend met het onderzoek. Change Healthcare waarschuwde klanten dat sommige van hun diensten offline zijn vanwege een cybersecurityincident. UnitedHealth Group meldde later dat de aanval waarschijnlijk gecoördineerd werd door "staatshackers" die toegang hadden gekregen tot de IT-systemen van Change Healthcare. Deze storing heeft geleid tot wijdverbreide factureringsproblemen in het Amerikaanse gezondheidszorgsysteem. Optum verstrekt dagelijkse updates over het incident en werkt aan het herstellen van de getroffen omgeving, terwijl ze verzekeren dat hun eigen systemen niet zijn aangetast. Volgens UnitedHealth Group zijn meer dan 90% van de apotheken overgegaan op nieuwe elektronische claimprocessen om de gevolgen van het cybersecurityprobleem te mitigeren. UnitedHealth Group, de grootste gezondheidszorgonderneming ter wereld qua omzet, bevestigt dat hun diensten minimaal zijn getroffen, met minder dan 100 van de meer dan 65 miljoen PBM-leden die hun recepten niet konden krijgen. [1, 2]


Toenemende Cyberdreigingen voor Nederlandse Zorgsector door Cloudafhankelijkheid

De overgang van Nederlandse zorginstellingen naar cloudoplossingen brengt nieuwe cybersecurityrisico's met zich mee. IT-leveranciers, essentieel voor de zorginfrastructuur, ervaren een hoger aantal cyberaanvallen dan de zorginstellingen zelf, aldus het Cybersecurity Dreigingsbeeld voor de zorg 2023 van Z-CERT. Dit verhoogde risico op incidenten door ransomware en datalekken bij leveranciers wordt als 'hoog' ingeschat. In Europa werden IT-dienstverleners vorig jaar vaker getroffen door ransomware dan de zorgaanbieders. Dergelijke incidenten bij leveranciers kunnen significante gevolgen hebben voor de dienstverlening van zorginstellingen. Naast ransomware vormen DDoS (Website aanval) en datalekken via leveranciers en onderleveranciers een bedreiging. Z-CERT benadrukt het belang van solide afspraken over informatiebeveiliging tussen zorginstellingen en hun leveranciers. Het rapport illustreert de noodzaak voor verhoogde waakzaamheid en verbeterde cybersecuritymaatregelen binnen de zorgsector om patiëntgegevens en zorgdiensten te beschermen tegen de groeiende dreiging van cybercriminaliteit. [pdf]


Ransomware-aanval legt Amerikaanse apotheken plat

Een omvangrijke storing bij apotheken door heel de Verenigde Staten heeft ertoe geleid dat deze geen medicijnen kunnen verstrekken of kosten kunnen declareren. De oorzaak is een ransomware-aanval, zoals gemeld door persbureau Reuters. De apotheken zijn afhankelijk van Change Healthcare voor de verwerking van medicijnrecepten en declaraties, een bedrijf dat diensten levert aan zo'n 67.000 apotheken in het land. Na de cyberaanval vorige week, die vermoedelijk door een statelijke actor is uitgevoerd, werkt Change Healthcare aan het herstel van de getroffen systemen zonder risico's te nemen. Deze cyberaanval heeft niet alleen voor vertraging gezorgd in de verstrekking van medicijnen, maar ook een enorme achterstand in de verwerking van medicijnrecepten veroorzaakt, volgens de American Pharmacists Association en de American Hospital Association. De aanval, uitgevoerd door criminelen achter de ALPHV-ransomware (ook bekend als BlackCat), heeft mogelijk grote gevolgen voor de gehele zorgsector die afhankelijk is van Change Healthcare's diensten en technologieën. [1, 2, 3, 4, 5]


πŸ‡³πŸ‡± Cyberaanval treft GCA Nederland

GCA Nederland, een prominente speler in de Nederlandse transportsector, is recentelijk het slachtoffer geworden van een cyberaanval. De aanval is uitgevoerd door RansomHouse, een bekende groep cybercriminelen. De aanval werd op 26 februari 2024 bekendgemaakt op het darkweb. De website van GCA Nederland (www.gcanederland.nl) en hun operaties binnen de motorvrachttransportsector zijn hierdoor ernstig getroffen. Dit incident benadrukt de voortdurende dreiging van cybercriminaliteit in de transportindustrie.


Misbruik van Verouderde CMS-editor door Hackers voor SEO Vergiftiging

Hackers richten zich wereldwijd op onderwijs- en overheidsinstellingen door een 14 jaar oude CMS-editor, genaamd FCKeditor, te exploiteren om zoekresultaten te vergiftigen met kwaadaardige sites of scams. Deze aanvalsmethode maakt gebruik van open redirects, waarbij legitieme domeinen gebruikers onbedoeld omleiden naar externe URL's zonder adequate validatie, waardoor de veiligheid in het geding komt. Dit stelt aanvallers in staat om phishing-aanvallen uit te voeren, malware te verspreiden of gebruikers op te lichten, terwijl het lijkt alsof de activiteit van een legitieme domein komt. Zoekmachines indexeren deze omleidingen en plaatsen ze in de zoekresultaten, waardoor de kwaadaardige URL's hoger ranken. Dit fenomeen, bekend als SEO-vergiftiging, benut de reputatie van vertrouwde domeinen om malafide content te promoten. De FCKeditor, die sinds 2010 is stopgezet en vervangen door CKEditor, blijft niettemin in gebruik op diverse sites, waardoor ze kwetsbaar zijn voor dergelijke aanvallen. Cybersecurityonderzoeker @g0njxa ontdekte deze campagne na het tegenkomen van zoekresultaten voor 'Free V Bucks' generators op universitaire websites. Ondanks de kennis van deze kwetsbaarheden, blijven sommige organisaties, inclusief overheids- en onderwijsinstellingen, de verouderde software gebruiken, waardoor ze een gemakkelijk doelwit worden voor kwaadwillenden. [1]


Cyberaanval treft Automotive Divisie van Staalreus ThyssenKrupp

Staalreus ThyssenKrupp heeft bevestigd dat hackers vorige week zijn binnengedrongen in de systemen van zijn Automotive divisie, wat leidde tot het noodgedwongen offline halen van IT-systemen als onderdeel van de reactie en inperkingspogingen. ThyssenKrupp AG, een van 's werelds grootste staalproducenten met meer dan 100.000 werknemers en een jaarlijkse omzet van meer dan 44,4 miljard dollar in 2022, speelt een cruciale rol in de wereldwijde toeleveringsketen van staalproducten voor diverse sectoren, waaronder machinebouw, automotive, liften en roltrappen, industriële engineering, hernieuwbare energie en bouw. De cyberaanval had specifiek invloed op de divisie voor automotive carrosserieproductie, waar ongeautoriseerde toegang tot de IT-infrastructuur werd vastgesteld. Het IT-beveiligingsteam van de divisie heeft snel gehandeld in samenwerking met het groepsbrede IT-beveiligingsteam van ThyssenKrupp om de dreiging in te dammen. Als gevolg hiervan werden verschillende beveiligingsmaatregelen getroffen en sommige applicaties en systemen tijdelijk offline gehaald. Er is verduidelijkt dat geen andere bedrijfseenheden of segmenten zijn getroffen door de cyberaanval, die beperkt bleef tot de automotive divisie. Het bedrijf heeft de situatie onder controle en werkt aan een geleidelijke terugkeer naar normale operaties. Ondanks de aanval op de in Saarland gevestigde fabriek, die direct werd getroffen, is de levering aan klanten nog niet beïnvloed. ThyssenKrupp, vanwege zijn prominente rol in de wereldeconomie, is meerdere malen het doelwit geweest van hackers, gericht op spionage en operationele verstoring. De aard van de inbreuk blijft vooralsnog onbekend. [1]


Groot Datalek bij LoanDepot Treft Bijna 17 Miljoen Klanten

LoanDepot, een vooraanstaande Amerikaanse krediet- en hypotheekverstrekker, heeft te maken gehad met een aanzienlijk datalek waarbij de persoonlijke informatie van bijna 17 miljoen klanten is blootgesteld. Dit incident, dat een van de grootste datalekken in de Verenigde Staten van de afgelopen maanden vormt, werd veroorzaakt door een ransomware-aanval op 8 januari. De gestolen gegevens omvatten namen, adresgegevens, e-mailadressen, financiële rekeningnummers, social-securitynummers, telefoonnummers en geboortedata. Als reactie hierop biedt LoanDepot getroffen klanten twee jaar lang gratis diensten aan voor kredietmonitoring en bescherming tegen identiteitsdiefstal. De exacte wijze waarop de aanval heeft kunnen plaatsvinden en de financiële gevolgen voor het bedrijf zijn tot dusver niet bekendgemaakt.


SubdoMailing-campagne verstuurt dagelijks 5 miljoen e-mails via 8.000 gekaapte domeinen

Een grootschalige advertentiefraude campagne, genaamd "SubdoMailing", maakt dagelijks misbruik van meer dan 8.000 legitieme internetdomeinen en 13.000 subdomeinen om tot vijf miljoen e-mails te versturen. Deze e-mails, bedoeld om inkomsten te genereren door middel van scams en malvertising, lijken afkomstig van betrouwbare bedrijven door de overname van verlaten subdomeinen en domeinen. Dit zorgt ervoor dat ze spamfilters kunnen omzeilen en in sommige gevallen zelfs beveiligingsbeleid zoals SPF en DKIM kunnen misbruiken. Bekende merken zoals MSN, VMware, McAfee en eBay zijn hier ongewild slachtoffer van geworden. De e-mails leiden gebruikers via omleidingen naar nepweggeefacties, beveiligingsscans, enquêtes, of affiliate scams, waarmee de fraudeurs inkomsten genereren. Guardio Labs onderzoekers Nati Tal en Oleg Zaytsev hebben deze campagne, die al sinds 2022 actief is, blootgelegd. De fraudeurs gebruiken complexe tactieken, waaronder CNAME-kaping en het uitbuiten van SPF-records, om deze operatie op grote schaal uit te voeren. Met behulp van deze methoden registreren ze domeinen onder hun controle en passen ze SPF-records aan om hun malafide e-mails als legitiem te laten lijken. De campagne, toegeschreven aan een dreigingsactor genaamd "ResurrecAds", blijft nieuwe domeinen en IP-adressen vergaren om haar netwerk en de complexiteit van de operatie te behouden. Dagelijks worden meer dan 5 miljoen doelwitten bereikt, wat de enorme omvang en impact van deze frauduleuze activiteiten onderstreept. [1]


Internationale Waarschuwing voor Russische Cloudaanvallen

De Amerikaanse overheid, samen met bondgenoten uit Australië, Canada, Nieuw-Zeeland, en het Verenigd Koninkrijk, slaat alarm over aanvallen op cloudomgevingen door de Russische inlichtingendienst SVR. Deze aanvallen, gericht op zowel bedrijven als overheidsinstanties, benutten service-accounts en accounts die niet langer in gebruik zijn. De Five Eyes-landen verklaren dat de SVR zijn aanvalsmethoden heeft aangepast aan de cloudmigratie van organisaties, waarbij ze zich eerst moeten authenticeren bij cloudproviders. De NSA en FBI benadrukken dat de SVR bruteforce-aanvallen uitvoert om toegang te verkrijgen tot service-accounts, die vaak moeilijk te beschermen zijn met multifactorauthenticatie (MFA) en over hogere rechten beschikken. Daarnaast is er misbruik gemaakt van inactieve accounts en gestolen cookies. Ter voorkoming adviseren de diensten het gebruik van MFA, sterke wachtwoorden, het uitschakelen van niet gebruikte accounts, het toepassen van het principe van 'least privilege', en het beperken van de sessieduur van cookies. [1]


⚠️ LockBit Ransomware Herstelt na Politie-inval

Minder dan een week na een politie-inval waarbij hun servers gehackt werden, kondigt de LockBit-groep de herlancering van hun ransomware-operatie aan op een nieuwe infrastructuur. Ditmaal met een nadrukkelijke dreiging om meer aanvallen op de overheidssector te richten. Na een "mock-up FBI-lek" publiceerde de groep een bericht waarin ze toegeven dat persoonlijke nalatigheid de politie-inbraak mogelijk maakte en onthullen ze hun toekomstplannen om de operatie voort te zetten. Op 19 februari haalden autoriteiten LockBit's infrastructuur neer, inclusief 34 servers. De groep beweert echter dat back-upsystemen intact bleven en belooft hun infrastructuur te versterken tegen toekomstige aanvallen. LockBit geeft toe dat oude PHP-versies de oorzaak waren van de inbraak en kondigt aan beloningen te geven voor het vinden van kwetsbaarheden in hun systemen. De aanval op Fulton County en de mogelijke impact op Amerikaanse verkiezingen worden gespeculeerd als redenen voor de FBI-inval. LockBit plant een gedecentraliseerde aanpak voor hun affiliate panelen om de beveiliging te verbeteren en hacking-pogingen te verminderen. Ondanks de pogingen tot schadebeperking en het herstel van hun reputatie, blijven affiliates waakzaam en mogelijk wantrouwend na de aanzienlijke tegenslag.

Meer hierover volgt in een artikel van Cybercrimeinfo


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Meer weekoverzichten

April 2024
Maart 2024