EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑

In de week van 15-2024 zijn er verschillende significante cybersecurity incidenten gemeld die onze aandacht verdienen. Eén van de grootste is het lek bij Nexperia, waar cybercriminelen van Dunghill Leak 1 terabyte aan gevoelige data op het darkweb hebben geplaatst. Dit lek bevat kwaliteitscontrolegegevens en klantendossiers van grote merken zoals SpaceX en Apple, evenals gedetailleerde industriële productie-instructies en vertrouwelijke informatie over halfgeleidertechnologieën. Het blootleggen van dergelijke gegevens kan verstrekkende gevolgen hebben, niet alleen voor Nexperia zelf, maar ook voor de betrokken klanten en de bredere technologie-industrie.

Tegelijkertijd heeft de Gelderse schoolboekenleverancier Iddink te kampen gehad met een ransomware-aanval. Criminelen achter de Cactus-ransomware hebben gevoelige klantgegevens gecompromitteerd, waaronder namen, e-mailadressen en bankgegevens van scholen en studenten. Dit incident onderstreept het aanhoudende risico van ransomware-aanvallen en de noodzaak voor organisaties om hun digitale verdediging te versterken.

Verder is de Canadese winkelketen Giant Tiger ook slachtoffer geworden van een datalek, waarbij persoonlijke gegevens van 2,8 miljoen klanten zijn blootgesteld. Dit lek bevatte namen, e-mailadressen, telefoonnummers en adressen, maar geen betalingsinformatie of wachtwoorden. Hoewel dit lek minder ernstig lijkt dan sommige andere, blijft het risico op phishingaanvallen als gevolg van dergelijke incidenten aanzienlijk.

Een andere zorgwekkende ontwikkeling is de verkoop van een geavanceerde 'zero-click' exploit gericht op de desktopversies van Telegram voor $25.000. Deze exploit maakt het mogelijk om zonder enige interactie van de gebruiker op afstand code uit te voeren, wat een aanvaller volledige controle over het apparaat kan geven. Gebruikers van Telegram en vergelijkbare applicaties moeten alert blijven op updates en verdachte activiteiten om zich tegen dergelijke dreigingen te beschermen.

Tot slot heeft de FBI gewaarschuwd voor een grote golf van SMS-phishingaanvallen gerelateerd aan tolwegen. Cybercriminelen sturen nepberichten over niet-betaalde tolgelden om persoonlijke informatie te verzamelen. Dit benadrukt het belang van waakzaamheid bij het omgaan met ongevraagde berichten en de noodzaak om geen persoonlijke informatie te delen via onbetrouwbare links.

Elk van deze incidenten levert waardevolle lessen op over de noodzaak van sterke cyberveiligheidspraktijken en het belang van voortdurende waakzaamheid in een steeds evoluerend digitaal landschap.

Nieuwe exploits en kwetsbaarheden bedreigen wereldwijde systemen

In aanvulling op de incidenten bij Nexperia, Iddink en Giant Tiger, zagen we ook andere verontrustende ontwikkelingen in de cybersecuritywereld. Een dreigingsactor op het darkweb heeft bijvoorbeeld illegale toegang tot firewall VPNs en servers aangeboden, met startprijzen van $150.000. Deze toegangen, gericht op de IT- en telecomindustrieën in landen zoals de VS en het VK, omvatten VPN-, SSH- en shell-functionaliteiten. Dit toont de hoge mate van georganiseerde misdaad binnen de cybersecurity bedreigingen aan en benadrukt het belang van robuuste netwerkbeveiliging en voortdurende monitoring.

Daarnaast is er een nieuwe Windows 1-Day LPE exploit ontdekt die specifiek gericht is op Windows-systemen. Deze exploit, waarmee kwaadwillenden verhoogde rechten kunnen verkrijgen op een besmet systeem, wordt te koop aangeboden voor $5000. Dit legt de noodzaak bloot voor bedrijven om hun systemen regelmatig te updaten en patches tijdig toe te passen om te voorkomen dat ze kwetsbaar worden voor dergelijke aanvallen.

Een opmerkelijk incident betrof ook de Britse postdienst Royal Mail, die kampt met problemen van vervalste postzegels ondanks de invoering van barcodes die bedoeld waren om fraude tegen te gaan. Dit probleem heeft geleid tot financiële verliezen en logistieke complicaties, wat de complexiteit van het beveiligen van fysieke en digitale assets onderstreept.

Verder heeft Palo Alto Networks gewaarschuwd voor een kritieke zerodaykwetsbaarheid in hun firewalls, die actief wordt uitgebuit door cybercriminelen. Dit benadrukt wederom de noodzaak voor bedrijven om constant op de hoogte te blijven van de beveiligingsstatus van hun apparatuur en tijdig in te grijpen bij dreigingen.

Deze gebeurtenissen zijn een duidelijke indicatie dat zowel individuen als organisaties een proactieve aanpak moeten hanteren als het gaat om cyberbeveiliging. Het is cruciaal om beveiligingsmaatregelen continu te evalueren en te versterken in reactie op deze snel evoluerende bedreigingen. Elk van deze incidenten biedt belangrijke inzichten en leermogelijkheden die kunnen helpen om toekomstige inbraken en aanvallen beter te voorkomen.

Aanhoudende uitdagingen en toezicht in cyberbeveiliging

De incidenten bij Nexperia, Iddink, en Giant Tiger zijn slechts enkele voorbeelden van de vele bedreigingen die elke week worden gemeld, maar de lijst gaat verder. Zo heeft het Canadese bedrijf Sisense een ernstige data-inbreuk ondergaan, waarbij gevoelige bedrijfsinformatie op een server met beperkte toegang beschikbaar kwam. Dit lek onderstreept het belang van een veilige configuratie en het beheer van toegangsrechten binnen cloudomgevingen.

Eveneens zorgwekkend is de situatie in de provincie Zuid-Holland, die door de Autoriteit Persoonsgegevens onder verscherpt toezicht is gesteld na een datalek. Dit lek toonde aan dat gevoelige persoonsgegevens onbedoeld toegankelijk waren voor een breder publiek dan noodzakelijk. Dit benadrukt het belang van adequate toegangscontroles en het regelmatig herzien van wie toegang heeft tot welke gegevens.

Een ander opmerkelijk voorval betreft de ransomware-aanval op het Japanse bedrijf Hoya Corporation, waarbij cybercriminelen een losgeld van $10 miljoen eisten. Dit incident toont de brutaal directe methoden die cybercriminelen gebruiken om bedrijven te dwingen te betalen of geconfronteerd te worden met ernstige verstoringen en het risico van dataverlies.

Aanvullend hierop worden we herinnerd aan de noodzaak van waakzaamheid bij het ontvangen van SMS-berichten, zoals benadrukt door de FBI, die waarschuwt voor een golf van phishingaanvallen gerelateerd aan tolwegen. Dit type aanval maakt misbruik van de schijnbare legitimiteit van de berichten om slachtoffers te verleiden tot het delen van persoonlijke informatie.

Deze voorbeelden van cybersecurity-incidenten tonen duidelijk de diversiteit en complexiteit van de bedreigingen waarmee we worden geconfronteerd. Het is van cruciaal belang dat zowel individuen als organisaties een gelaagde beveiligingsaanpak hanteren, die zowel preventie als reactieve maatregelen omvat, om zich effectief te kunnen verdedigen tegen deze steeds veranderende en evoluerende cyberdreigingen. Door deze aanpak te volgen, kunnen we hopen de impact van toekomstige incidenten te minimaliseren en onze digitale wereld veiliger te maken.

Begrippenlijst: Sleutelwoorden uitgelegd

• Datalek (Data Breach) - Dit gebeurt wanneer vertrouwelijke, beschermde of gevoelige informatie onbedoeld wordt blootgesteld, gestolen of gebruikt door een onbevoegde persoon. Datalekken kunnen plaatsvinden bij bedrijven, overheidsinstanties of andere organisaties en kunnen leiden tot identiteitsdiefstal of andere ernstige beveiligingsproblemen.

• Ransomware - Een type malware dat computersystemen of gegevens versleutelt, waardoor gebruikers geen toegang meer hebben tenzij ze losgeld betalen. Ransomware-aanvallers eisen meestal betaling (vaak in cryptocurrency) om de versleuteling ongedaan te maken.

• Zero-click exploit - Een zeer geavanceerde cyberaanval die geen interactie van het slachtoffer vereist, zoals het klikken op een kwaadaardige link. De aanval kan automatisch worden uitgevoerd zodra de malware een kwetsbaar apparaat vindt.

• Local Privilege Escalation (LPE) Exploit - Dit type exploit maakt misbruik van kwetsbaarheden in een systeem om een aanvaller meer rechten te geven dan oorspronkelijk toegestaan, vaak tot het niveau van systeembeheerder.

• Phishing - Een cyberaanval die misbruik maakt van social engineering om gebruikers te misleiden tot het verstrekken van vertrouwelijke informatie, zoals wachtwoorden of creditcardnummers, vaak via vervalste e-mails of websites die legitiem lijken.

• Zerodaykwetsbaarheid - Een softwarefout die nog niet bekend is bij de softwaremaker en waarvoor nog geen patch of oplossing bestaat. Cybercriminelen kunnen deze kwetsbaarheden exploiteren om ongeautoriseerde acties uit te voeren.

• Credential Stuffing - Een type cyberaanval waarbij gestolen accountgegevens worden gebruikt om toegang te krijgen tot accounts bij andere diensten. Dit werkt omdat veel gebruikers dezelfde wachtwoorden op meerdere sites gebruiken.

• Deepfake - Kunstmatige intelligentie en machine learning technieken worden gebruikt om overtuigende maar valse audiovisuele media te creëren, vaak om personen iets te laten zeggen of doen wat nooit echt heeft plaatsgevonden.

Cybercrimeinfo update: Tot en met 31 maart 2024 publiceren we dagelijks realtime overzichten van slachtoffers van cybercriminaliteit wiens gegevens zijn gelekt op het darkweb. Na deze datum schakelen we over naar een wekelijkse update. Vanaf dan bieden we elke maandag een totaaloverzicht van de gebeurtenissen van de afgelopen week. Lees verder

Cyberaanvallen nieuws

🇳🇱 Groot Datalek bij Nexperia: 1TB Gevoelige Informatie Op Darkweb

Op 10 april 2024 onthulden cybercriminelen van Dunghill Leak een massief datalek bij Nexperia, een Nederlandse fabrikant van elektronische componenten. Het lek omvat 1 terabyte aan gevoelige data, waaronder kwaliteitscontrolegegevens, klantendossiers van grote merken zoals SpaceX en Apple, en gedetailleerde projectdata. Ook bevat het industriële productie-instructies en vertrouwelijke informatie over halfgeleidertechnologieën. Persoonlijke gegevens van medewerkers en uiterst geheime ontwerptekeningen van halfgeleiders werden eveneens blootgesteld. Gelukkig hebben nog maar weinig hackers de data ontdekt; toen ik het ontdekte, stond de teller slechts op één. [ccinfo]

Mijn gegevens staan op darkweb, wat nu?

Het is belangrijk om snel en zorgvuldig te handelen als je persoonlijke gegevens gestolen zijn door een hack. Hier zijn enkele stappen die je kunt nemen:

1. Informeer je werkgever: Zorg ervoor dat je werkgever op de hoogte is van het feit dat jouw gegevens gestolen zijn, ook al is de hack bij hen bekend. Vraag naar de maatregelen die zij nemen en welke hulp zij bieden, zoals identiteitsbescherming of juridische bijstand.

2. Contact opnemen met de bank: Als financiële informatie of identiteitsgegevens zijn gestolen, informeer dan je bank of financiële instellingen. Zij kunnen je account monitoren op verdachte activiteiten en waar nodig preventieve maatregelen nemen.

3. Waarschuw de autoriteiten: Doe aangifte bij de politie. Dit is belangrijk voor het officiële onderzoek en kan ook van belang zijn voor eventuele verzekeringsclaims of schadevergoedingen.

4. Fraude alert plaatsen: Overweeg om een fraude alert te plaatsen op je naam bij kredietregistratiebureaus. Dit waarschuwt kredietverstrekkers om extra controles uit te voeren voordat ze krediet verlenen in jouw naam.

5. Paspoort en identiteitsfraude: Meld het verlies van je paspoort bij de gemeente en vraag een nieuw paspoort aan. Het is ook verstandig om een melding te maken bij het Centraal Meldpunt Identiteitsfraude en -fouten (CMI) van de Rijksoverheid.

6. Monitoring en bescherming: Blijf waakzaam op tekenen van identiteitsdiefstal. Overweeg je aan te melden voor een dienst die je identiteit en kredietstatus monitort. Controleer regelmatig je bankrekeningen en volg je credit score.

7. Verander wachtwoorden en beveiligingsinstellingen: Als inloggegevens zijn gecompromitteerd, wijzig dan onmiddellijk je wachtwoorden voor alle relevante accounts, met name je e-mailaccounts en accounts die linken naar financiële informatie.

8. Blijf geïnformeerd: Blijf op de hoogte van het laatste nieuws over de hack van je werkgever, en volg alle aanbevolen stappen van zowel je werkgever als de autoriteiten.

Het is cruciaal om actie te ondernemen om verdere schade te voorkomen en je rechten te beschermen.

🇳🇱 Ransomware-aanval treft Gelderse schoolboekenleverancier Iddink

De Gelderse schoolboekenleverancier Iddink is recent het doelwit geworden van een ransomware-aanval, waarbij gevoelige klantgegevens zijn gecompromitteerd. De gestolen data omvat namen, e-mailadressen en bankgegevens van zowel scholen als studenten die via Iddink boeken en leermaterialen hebben besteld. Iddink heeft bevestigd dat hun systeem, Iddink Learning Materials, is getroffen en dat er een uitgebreid onderzoek loopt om te bepalen welke informatie precies is gelekt en om de omvang van de inbreuk vast te stellen. De aanval is uitgevoerd door de criminelen achter de Cactus-ransomware. Iddink heeft de aanval gemeld bij de Autoriteit Persoonsgegevens en de politie, die betrokken zijn bij het onderzoek. Volgens berichten van Iddink aan de NOS heeft de aanval ervoor gezorgd dat het bedrijf momenteel geen toegang heeft tot haar eigen systemen. Iddink heeft aangegeven niet bereid te zijn losgeld te betalen en is bezig alle mogelijk getroffen partijen te informeren over het incident. [iddinkgroup]

Groot Datalek bij Canadese Winkelketen Giant Tiger

In maart 2024 werd de Canadese winkelketen Giant Tiger getroffen door een datalek, waarbij persoonlijke gegevens van 2,8 miljoen klanten werden blootgesteld. Onlangs beweerde een hacker op een online forum verantwoordelijk te zijn voor dit lek en publiceerde hij de gestolen gegevens, waaronder namen, e-mailadressen, telefoonnummers en adressen van klanten. De database bevatte tevens informatie over de websiteactiviteiten van de gebruikers. Het lek werd veroorzaakt door een derde partij die door Giant Tiger werd ingeschakeld voor klantencommunicatie en -betrokkenheid. Hoewel er geen betalingsinformatie of wachtwoorden zijn gelekt, zijn de gegevens inmiddels toegevoegd aan de database van HaveIBeenPwned, een dienst die het mogelijk maakt voor gebruikers om te controleren of hun informatie gecompromitteerd is. Giant Tiger heeft de betrokken klanten op de hoogte gesteld en maatregelen genomen om verdere incidenten te voorkomen. Klanten worden aangeraden waakzaam te zijn voor phishingpogingen die als gevolg van het lek kunnen voorkomen. [haveibeenpwned]

Zorgwekkende Verkoop van Zero-Click RCE Exploit Gericht op Telegram

Een cybercrimineel beweert een geavanceerde 'zero-click' exploit te verkopen die gericht is op de desktopversies van de populaire berichtenapp Telegram. Deze exploit maakt het mogelijk om zonder enige interactie van de gebruiker op afstand code uit te voeren (RCE), wat inhoudt dat een aanvaller volledige controle over het apparaat kan krijgen. De exploit wordt exclusief aangeboden inclusief de broncode en documentatie over de werking ervan, met een vraagprijs van 25.000 dollar, al is onderhandeling mogelijk. Deze aankondiging heeft geleid tot bezorgdheid binnen de cybersecuritygemeenschap. Deskundigen adviseren Telegram-gebruikers om hun software regelmatig bij te werken en alert te zijn op berichten van onbekende afzenders om zich te beschermen tegen dergelijke aanvallen. Gezien de nieuwe aanwezigheid van de verkoper op het forum en het gebrek aan eerdere activiteiten, bestaan er echter twijfels over de authenticiteit van de aangeboden exploit. [darkweb]

Nieuwe Windows 1-Day LPE Exploit te Koop voor $5000

In recente ontwikkelingen is een zorgwekkende cybersecurity-dreiging aan het licht gekomen waarbij een dreigingsactor beweert een nieuwe exploit te hebben ontwikkeld die specifiek gericht is op Windows-systemen. Deze exploit, een zogenoemde Local Privilege Escalation (LPE) voor Windows 10-11 en alle versies van Windows Server, stelt kwaadwillenden in staat om verhoogde rechten te verkrijgen op een besmet systeem. De verkoper vraagt $5000 voor de volledige broncode van deze exploit en beweert legitiem te zijn door het aanbieden van een proof of concept (POC). Deze ontwikkeling onderstreept het continue risico van geavanceerde cyberdreigingen die gericht zijn op essentiële systemen en benadrukt de noodzaak voor bedrijven om hun beveiligingsmaatregelen voortdurend te evalueren en te versterken. [darkweb]

Vervalsing Ondanks Barcode: Britse Stempelproblemen

Ondanks de invoering van barcodes op postzegels door Royal Mail, de Britse postdienst, blijft het Verenigd Koninkrijk kampen met vervalste zegels. Deze barcodes, bedoeld om de beveiliging te versterken en fraude te voorkomen, hebben hun doel gemist. Veel verzenders kregen hun post terug met een boete van £5 voor het gebruik van "nepzegels", ondanks dat zij beweerden legitieme zegels te hebben gekocht. Er is onthuld dat vier grote Chinese leveranciers wekelijks tot een miljoen vervalste Royal Mail zegels kunnen produceren en deze snel kunnen leveren. Dit wordt door sommige Britse parlementsleden en veiligheidsexperts gezien als een vorm van economische oorlogsvoering. De Chinese overheid wijst deze beschuldigingen echter af als ongegrond en suggereert dat Royal Mail zijn toeleveringsketens moet onderzoeken. Royal Mail heeft de Britse grensautoriteiten de schuld gegeven omdat zij de invoer van deze vervalste producten niet hebben gestopt. Interessant is dat sommige van deze als vals gemarkeerde zegels eigenlijk bij postkantoren waren gekocht, wat leidt tot ernstige beschuldigingen tegen medewerkers die mogelijk betrokken zijn bij de verkoop van nepzegels. Ondanks de inspanningen van Royal Mail om samen te werken met retailers en rechtshandhavingsinstanties, blijft het probleem van de vervalste zegels een grote zorg voor de postdienst en haar klanten. [telegraph, telegraph2]

Illegale Toegang tot Firewall VPNs en Servers Aangeboden voor Hoge Prijzen

Een dreigingsactor op het darkweb biedt grootschalige ongeautoriseerde toegang tot firewall VPN's en servers, met startprijzen van $150,000. Deze toegangen, die de IT- en telecomindustrieën in landen zoals de VS en het VK richten, omvatten VPN-, SSH- en shell-functionaliteiten, met in totaal 4.000 toegangen. Deze diensten worden exclusief aangeboden via een tussenpersoon met prijsverhogingen van $20.000 en een flash-verkoopoptie voor $400.000. Dezelfde dreigingsactor beweert ook toegang te verkopen tot een aanzienlijk aantal hosts, voornamelijk firewalls, met root-toegangsprivileges. Deze pakketten omvatten configuratiebestanden, uitvoeringsmogelijkheden van codes en opties om nieuwe logins te creëren. De meeste hosts bevinden zich in de VS, EU (inclusief VK) en enkele Aziatische landen, voornamelijk gericht op de IT-sector met een opmerkelijke aanwezigheid in grote investeringsbanken en een vooraanstaand Amerikaans telecombedrijf. Prijzen variëren van $249 tot $599 per configuratiebestand, met onderhandelbare prijzen afhankelijk van de kenmerken zoals code-uitvoering. [darkweb]

❗️Palo Alto Networks waarschuwt voor actief aangevallen zerodaylek in firewalls

Palo Alto Networks heeft onlangs gewaarschuwd voor een kritieke zerodaykwetsbaarheid in hun firewalls, geïdentificeerd als CVE-2024-3400, die actief wordt uitgebuit door cybercriminelen. Deze kwetsbaarheid stelt een ongeauthenticeerde aanvaller in staat om willekeurige code met rootrechten uit te voeren op de getroffen firewalls. De ernst van het lek is beoordeeld met een maximale score van 10 op een schaal van 1 tot 10, wat wijst op een uiterst kritieke impact. Volgens rapporten van het beveiligingsbedrijf Volexity begon het misbruik van dit lek op 26 maart en werden onder meer aanvallen waargenomen waarbij de aanvallers een reverse shell installeerden en daarmee verdere schadelijke tools en backdoors konden downloaden. De aanvallers hadden ook toegang tot configuratiegegevens en gebruikten de gecompromitteerde firewall als een platform om lateraal binnen netwerken te bewegen, waarbij ze onder andere Windows-gerelateerde data en browserinformatie zoals inloggegevens en cookies stalen. Palo Alto Networks heeft nog geen update uitgebracht om dit lek te dichten, maar heeft wel twee tijdelijke maatregelen aanbevolen: het uitschakelen van de telemetrie en het inschakelen van 'Threat ID 95187' om verdere aanvallen te mitigeren. [unit42, volexity]

Waarschuwing van FBI over massale golf van SMS-phishingaanvallen gerelateerd aan tolwegen

De Federal Bureau of Investigation (FBI) heeft een waarschuwing afgegeven over een grote en aanhoudende golf van SMS-phishingaanvallen die gericht zijn op Amerikanen. Deze aanvallen, die begonnen zijn in maart 2024, betrekken nepberichten over niet-betaalde tolgelden. De FBI heeft meer dan 2.000 klachten ontvangen via het Internet Crime Complaint Center (IC3), met meldingen van phishing-teksten die afkomstig zouden zijn van tolheffingsdiensten uit minstens drie staten. Deze SMS-berichten beweren dat de ontvanger geld verschuldigd is voor onbetaalde tol en bevatten een bijna identieke tekst, inclusief een link die zogenaamd naar de website van de tolheffingsdienst leidt. Deze links zijn echter frauduleus en zijn ontworpen om persoonlijke informatie te verzamelen. Autoriteiten, waaronder de Pennsylvania State Police en de Pennsylvania Turnpike, adviseren ontvangers om niet op de links te klikken en dergelijke berichten te verwijderen. De FBI moedigt iedereen die dergelijke berichten ontvangt aan om een klacht in te dienen bij het IC3 en geen persoonlijke informatie via deze links te verstrekken. [ic3]

Miljoenen Vergoeding voor Voormalige AT&T Klanten na Dataknelpunten

De Federal Trade Commission (FTC) heeft aangekondigd dat 267.000 voormalige klanten van AT&T Wireless in totaal $6,3 miljoen aan gedeeltelijke terugbetalingen zullen ontvangen. Dit is het resultaat van een schikking uit 2019 na een rechtszaak die in 2014 door de FTC werd aangespannen tegen AT&T. De telecomgigant werd ervan beschuldigd de voorwaarden van hun zogenaamde "onbeperkte data-abonnementen" niet volledig te hebben onthuld. Specifiek, dat de datasnelheid van klanten aanzienlijk zou afnemen zodra een bepaalde gebruiksdata was bereikt, wat hun internetfunctionaliteit ernstig beperkte. In 2020 ontvingen huidige consumenten al $52 miljoen van een totale schikking van $60 miljoen via rekeningcredits en restituties, maar voormalige klanten waren tot nu toe buiten beschouwing gelaten. De compensatie aan deze voormalige gebruikers wordt nu uitbetaald via cheques en PayPal-betalingen. De FTC heeft ook stappen ondernomen om AT&T verdere claims over de snelheid en hoeveelheid van mobiele data te verbieden, tenzij alle beperkingen duidelijk aan de klant worden gecommuniceerd. Dit besluit volgt te midden van verhoogde phishing risico's na een recent datalek bij AT&T, waarbij gevoelige klantgegevens werden blootgesteld. [ftc1, ftc2]

Grootschalige Credential Stuffing Aanvallen Raken 576.000 Roku Accounts

In april 2024 heeft Roku bekendgemaakt dat maar liefst 576.000 van hun gebruikersaccounts zijn gehackt door middel van zogenaamde credential stuffing aanvallen. Deze aanvallen kwamen kort na een eerder incident in maart, waarbij 15.000 accounts waren gecompromitteerd. De hackers gebruikten inloggegevens die eerder op andere online platforms waren gestolen om toegang te krijgen tot Roku-accounts. Ze maakten gebruik van geautomatiseerde tools om miljoenen inlogpogingen te doen, wat vooral effectief bleek bij accounts waarbij dezelfde inloggegevens op meerdere platforms werden gebruikt. Uit het onderzoek van Roku bleek dat er geen bewijs is dat de inloggegevens uit hun systemen waren gelekt. In minder dan 400 gevallen hebben de aanvallers daadwerkelijk kunnen inloggen en ongeautoriseerde aankopen gedaan. Roku heeft als reactie hierop de wachtwoorden van de getroffen accounts gereset en is overgestapt op tweefactorauthenticatie (2FA) als standaardbeveiligingsmaatregel voor alle accounts. Gebruikers worden geadviseerd om sterke en unieke wachtwoorden te gebruiken en alert te zijn op verdachte verzoeken om inloggegevens te delen of betalingsgegevens te wijzigen. Roku heeft toegezegd alle ongeautoriseerde transacties terug te draaien en de gedupeerden hiervan op de hoogte te stellen. [roku]

Waarschuwing van CISA over Gegevensinbreuk bij Sisense

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft recentelijk gewaarschuwd voor een gegevensinbreuk bij het bedrijf Sisense, bekend om zijn business intelligence diensten. Sisense, gevestigd in New York, dient diverse industrieën, waaronder financiële diensten en gezondheidszorg, met meer dan duizend klanten wereldwijd. Het incident kwam aan het licht toen bleek dat er gevoelige bedrijfsinformatie van Sisense beschikbaar was gekomen op een server met beperkte toegang. In reactie hierop heeft Sisense haar klanten geadviseerd alle wachtwoorden en toegangssleutels te veranderen. Onderzoek wijst uit dat de aanvallers toegang kregen via een Gitlab-codeopslag van Sisense, waar ze een token vonden dat hen toegang verschafte tot Sisense's Amazon S3-cloudopslag. Hier hebben zij meerdere terabytes aan klantgegevens gekopieerd, waaronder toegangstokens en wachtwoorden. CISA is nu actief betrokken bij het onderzoek en werkt samen met partners in de industrie om de situatie aan te pakken. Sisense heeft verder geen commentaar gegeven op de details van de inbreuk. Het bedrijf blijft klanten aanraden hun digitale veiligheidsmaatregelen aan te scherpen door wachtwoorden en sleutels te vervangen, vooral bij gebruik van diensten die betrokken zijn bij kritieke infrastructuur. Dit incident onderstreept het belang van robuuste cyberbeveiligingsmaatregelen en het regelmatig bijwerken van toegangscredentials. [krebsonsecurity]

🇳🇱 Verhoogd Toezicht op Provincie Zuid-Holland Door Autoriteit Persoonsgegevens na Datalek

De Autoriteit Persoonsgegevens (AP) heeft de provincie Zuid-Holland onder verscherpt toezicht gesteld. Dit besluit volgt op een datalek gemeld op 8 september 2023, waarbij gevoelige persoonsgegevens onbedoeld toegankelijk waren voor een te breed publiek binnen de provinciale systemen. Het lek betrof een intern systeem gebruikt voor archivering en samenwerking, waarbij onnodig veel medewerkers toegang hadden tot bepaalde persoonsgegevens. De AP heeft haar zorgen geuit over de wijze waarop de provincie omgaat met de bescherming van persoonsgegevens en verlangt dat er sneller wordt gereageerd op eerdere signalen over de privacy van de gegevens. Als onderdeel van het toezicht moet de provincie regelmatig rapporteren over de voortgang en maatregelen. Ondanks het datalek verwacht de provincie dat de gevolgen voor burgers en bedrijven minimaal zullen zijn, omdat de gegevens voornamelijk intern circuleerden. Na de ontdekking van het lek zijn direct stappen ondernomen om de toegang tot bepaalde gegevens te beperken en beveiligingsmaatregelen te verbeteren. Verder investeert de provincie actief in de professionalisering van haar informatiebeheer, met trainingen en systemische aanpassingen om herhaling te voorkomen. [zuid-holland]

🇳🇱 Cryptomoeras: de Risico's van Online Beleggen in Cryptovaluta

In Venlo waarschuwt financieel rechercheur Jolien voor de gevaren van boilerroomfraude, een sluwe vorm van oplichting via nepbeleggingsadvertenties op sociale media, vaak geprezen door bekende Nederlanders. Jolien, die in Limburg de leiding heeft over het onderzoek, stelt dat de schade in deze regio alleen al oploopt tot 7,4 miljoen euro. Veel mensen worden verleid door beloften van hoge rendementen op crypto-investeringen. Na een eerste contact via een professioneel ogend platform, worden ze overgehaald om steeds meer geld te investeren via een crypto-wallet. De problemen beginnen echter wanneer men probeert hun geld terug te krijgen. Vaak wordt het geld als 'vast in de blockchain' bestempeld of illegaal verklaard door financiële autoriteiten. Slachtoffers die proberen hun geld terug te krijgen, moeten vaak betalen voor onverwachte kosten of boetes, waarbij ze telkens dieper wegzinken in financiële problemen. Volgens Jolien is deze vorm van fraude niet alleen financieel verwoestend, maar ook emotioneel zwaar. Mensen van alle leeftijden en beroepen, met spaargeld of geld van een erfenis, kunnen slachtoffers worden. De impact is enorm, vaak raken slachtoffers al hun spaargeld kwijt, inclusief geld van familie of pensioen. [politie]

Groot Optiekbedrijf Hoya Slachtoffer van Omvangrijke Ransomware-aanval

Onlangs is het Japanse bedrijf Hoya Corporation, een toonaangevende fabrikant van optische instrumenten, medische apparatuur en elektronische componenten, het slachtoffer geworden van een ernstige cyberaanval. De aanval werd uitgevoerd door de ransomwaregroep 'Hunters International', die een losgeld van $10 miljoen eiste in ruil voor een decryptor en de belofte om gestolen bestanden niet openbaar te maken. Het bedrijf, met 160 kantoren en dochterondernemingen in meer dan 30 landen en een netwerk van 43 laboratoria wereldwijd, ondervond aanzienlijke verstoringen in de productie en orderverwerking door deze IT-storingen. Een week na de bekendmaking van de aanval meldde Hoya dat het onderzoek naar de mogelijkheid van datadiefstal uit hun systemen nog gaande was, zonder directe bevestiging of er daadwerkelijk gegevens waren ontvreemd. De ransomwaregroep heeft tot nu toe geen bestanden vrijgegeven, noch hebben zij de verantwoordelijkheid voor de aanval opgeëist. Hunters International staat bekend om hun strikte 'Geen Onderhandelingen / Geen Korting'-beleid, wat de ernst van hun eisen benadrukt. Hoya heeft sinds de aanval geen updates meer gegeven over de status van de bedrijfsvoering, wat suggereert dat de productie nog steeds wordt beïnvloed en herstelwerkzaamheden aan de gang zijn.[lemagit]

🇳🇱 Ransomware-aanval treft Nijmeegse chipfabrikant Nexperia

Een ransomwaregroep heeft onlangs duizend gigabyte aan data gestolen van de Nijmeegse chipfabrikant Nexperia. Volgens informatie vrijgegeven door het securitybedrijf Falcon Feeds en bevestigd door Nexperia zelf, heeft de groep, die zichzelf Dunghill noemt, vorige maand toegang verkregen tot de systemen van het bedrijf. De gestolen gegevens omvatten onder andere interne e-mails en het paspoort van een voormalig senior vicepresident. Daarnaast beweert de ransomwaregroep in het bezit te zijn van handelsgeheimen, chipontwerpen en klantgegevens. Ze dreigen meer gegevens te publiceren indien er geen losgeld wordt betaald. Nexperia heeft in reactie hierop de politie ingeschakeld en melding gedaan bij de Autoriteit Persoonsgegevens. [rtlnieuws]

Deepfake Aanval op LastPass Medewerker Ontmaskerd

Een medewerker van wachtwoordbeheerder LastPass werd recentelijk benaderd door een aanvaller die zich voordeed als de directeur van het bedrijf, gebruikmakend van deepfake audio. De aanvaller probeerde via WhatsApp contact te leggen door berichten te sturen, te bellen en een voicemail achter te laten. LastPass verklaart dat de gebruikte audio een deepfake was van de stem van de CEO. De medewerker, alert op de vreemde manier van contact buiten de gebruikelijke kanalen, negeerde de pogingen en waarschuwde direct het interne securityteam. Het incident, dat afgelopen woensdag plaatsvond, is door LastPass gepubliceerd in een blogpost en er is een screenshot gedeeld van de contactpoging. De voicemail van de aanvaller is echter niet openbaar gemaakt. Dit voorval benadrukt het belang van waakzaamheid tegen social engineering aanvallen. [lastpass]

FBI waarschuwt voor doorschakelen telefoonnummers door cybercriminelen

De FBI heeft recentelijk een waarschuwing uitgebracht over een toenemende cyberdreiging waarbij criminelen telefoonnummers van slachtoffers doorschakelen naar hun eigen telefoons. Dit fenomeen, bekend als 'call forwarding', wordt door cybercriminelen ingezet om toegang te krijgen tot persoonlijke accounts van slachtoffers. Een andere gerelateerde techniek, 'simultaneous ring', laat gesprekken tegelijkertijd op meerdere toestellen binnenkomen. Deze tactieken worden gebruikt om multifactorauthenticatie te omzeilen, wat normaliter een extra beveiligingslaag biedt. Deze vormen van cyberaanvallen zijn onderdeel van bredere social engineering strategieën. Cybercriminelen doen zich voor als personeel en trachten via helpdesks inloggegevens van gebruikers te verkrijgen. Sim-swapping is een specifieke methode waarbij het telefoonnummer van eenslachtoffer naar de simkaart van een crimineel wordt overgezet. De FBI adviseert consumenten om met hun telecomproviders te regelen dat er geen wijzigingen aan simkaarten kunnen worden doorgevoerd zonder expliciete verificatie, evenals het beperken van de mogelijkheden tot call forwarding en simultaneous ring. Dit moet helpen om dergelijke frauduleuze activiteiten te voorkomen. [ic3]

Inbraak bij Microsoft Leidt tot Diefstal van Amerikaanse Overheidse-mails

Hackers hebben toegang verkregen tot e-mails van de Amerikaanse overheid door een inbraak op Microsoft's systemen. Dit incident kwam aan het licht toen het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security rapporteerde over de uitwisseling van inloggegevens tussen Microsoft en haar klanten die gecompromitteerd waren. Microsoft heeft aangegeven dat de aanval in januari plaatsvond, uitgevoerd door een Russische groep bekend als Cozy Bear of APT29, via een techniek genaamd password spraying. Het CISA heeft als reactie een noodbevel uitgevaardigd dat overheidsdiensten verplicht om de inhoud van de gestolen e-mails te onderzoeken en alle gecompromitteerde inloggegevens te resetten. Er wordt ook een beroep gedaan op het verhogen van de beveiliging voor accounts met hogere rechten binnen Microsoft Azure. Overheidsinstanties hebben tot 30 april de tijd om te reageren op dit bevel door gecompromitteerde gegevens, zoals tokens en wachtwoorden, te wijzigen en hun bevindingen aan het CISA te rapporteren. [cisa]

🇳🇱 Oproep PVV aan Minister van Financiën voor Betere Bescherming tegen AI-gestuurde Cyberaanvallen

De PVV heeft aan de demissionaire minister Van Weyenberg van Financiën gevraagd om de bescherming van rekeninghouders tegen AI-gestuurde hackers te versterken. Dit verzoek volgt op een alarmerend artikel in De Telegraaf over een nieuwe criminele methode waarbij cybercriminelen gezichten kopiëren met behulp van deepfake technologie om bankrekeningen te plunderen. Deze aanvallen maken vaak gebruik van malware die onopgemerkt geïnstalleerd wordt tijdens phishing-aanvallen, waarna cybercriminelen toegang krijgen tot persoonlijke gegevens zoals inlogcodes en biometrische gegevens. Volgens het securitybedrijf Group-IB gebruiken aanvallers soms ook een techniek waarbij ze slachtoffers misleiden om zelf schadelijke apps te installeren. Deze apps kunnen vervolgens deepfake video’s creëren om bankbeveiliging te omzeilen. De ontdekkingen zijn tot nu toe voornamelijk in Thailand en Vietnam gemaakt. Als reactie hierop heeft PVV-Kamerlid De Vree vragen gesteld over de maatregelen die de minister neemt om burgers tegen deze moderne vormen van cybercrime te beschermen. [tweedekamer]

Cybercrimeinfo komt met een artikel hierover in de tip van de week (12 april 2024)

Grote Cyberaanval treft Saint-Nazaire (FRA) en omliggende gemeenten

In de nacht van 9 op 10 april is een uitgebreide cyberaanval uitgevoerd op de servers van de stadsdiensten en de agglomeratie van Saint-Nazaire. Als gevolg van deze aanval konden de diensten op woensdag 10 april niet normaal functioneren. De telefonische bereikbaarheid en e-mailcommunicatie waren volledig verstoord. Zowel de servers als de toegang tot werkbestanden en bedrijfssoftware waren buiten gebruik. De bron van de aanval en hoe lang de verstoring zal duren, waren op dat moment nog onbekend. De cyberaanval had niet alleen gevolgen voor Saint-Nazaire, maar ook voor vier nabijgelegen gemeenten: Montoir-de-Bretagne, Donges, La Chapelle-des-Marais en Pornichet, die dezelfde servers gebruikten. Ook regionale ontwikkelingsorganisaties zoals de Sonadev en de ADDRN (Agence pour le développement durable de la région nazairienne) werden getroffen. Het team van de directie informatiesystemen (DSI) was volledig gemobiliseerd om de werktools en het beveiligde netwerk zo snel mogelijk te herstellen. Hierdoor konden de medewerkers van zowel gemeentelijke als gemeenschapsdiensten hun werkzaamheden onder veilige omstandigheden hervatten. Updates over de herstelwerkzaamheden en de heropstart van de diensten werden gecommuniceerd via de websites en sociale media van de stad Saint-Nazaire en de agglomeratie, evenals via traditionele mediakanalen. [saintnazaireagglo]

Apple waarschuwt iPhone-gebruikers wereldwijd voor spyware-aanvallen

Apple heeft recent iPhone-gebruikers in 92 landen geïnformeerd over potentiële spyware-aanvallen, waarbij de getroffenen mogelijk specifiek zijn uitgekozen vanwege hun persoonlijke of professionele achtergrond. Het bedrijf benadrukt het serieus nemen van deze dreiging en heeft vertrouwen in de nauwkeurigheid van hun detectiesystemen. Als preventieve maatregel wordt aangeraden de Lockdown Mode in te schakelen, die extra bescherming biedt tegen dergelijke aanvallen. Deze zogenaamde 'mercenary spyware-aanvallen' zijn niet alleen frequent maar ook geavanceerd en kostbaar door hun complexiteit en wereldwijde reikwijdte. Apple heeft al meerdere malen per jaar dreigingsmeldingen uitgestuurd sinds 2021 om gebruikers in meer dan 150 landen te waarschuwen. Verder adviseert Apple alle gebruikers om reguliere updates uit te voeren, hun apparaten te beveiligen met een passcode, tweefactorauthenticatie en sterke, unieke wachtwoorden te gebruiken, vooral voor hun Apple ID. Het downloaden van apps dient uitsluitend via de officiële App Store te gebeuren en gebruikers moeten waakzaam zijn voor verdachte links en bijlagen van onbekende afzenders. [techcrunch]

Massale Datalek in El Salvador Treft Bijna Gehele Bevolking

In El Salvador is de persoonlijke data van bijna de gehele bevolking op internet gelekt. De gelekte gegevens omvatten volledige namen, geboortedata, telefoonnummers, adresgegevens, burgerservicenummers en pasfoto's van meer dan vijf miljoen inwoners. Dit betreft een groot deel van de totale populatie van 6,6 miljoen personen, waarvan een aanzienlijk deel in het buitenland verblijft. Het lek, dat 144 gigabyte aan data bevat, werd oorspronelijk vorig jaar te koop aangeboden en is nu via torrentbestanden publiekelijk beschikbaar gemaakt. De precieze wijze waarop deze gegevens zijn buitgemaakt, is nog onduidelijk. Daarnaast zijn bijna één miljoen e-mailadressen opgenomen in de database van Have I Been Pwned, waardoor getroffenen kunnen nagaan of hun informatie eerder is gelekt; 32 procent van deze e-mailadressen bleek reeds in andere datalekken voor te komen. [dailydarkweb, haveibeenpwned]

Omvangrijk Datalek in Alarmsysteemsoftware

Een ernstig beveiligingslek in de MAS Mobile Classic app van het Amerikaanse bedrijf Carrier Global heeft gedurende een jaar de afmeldcodes, adresgegevens en alarmstatus van duizenden Nederlandse beveiligingssystemen blootgesteld. De betreffende systemen werden gebruikt door kritieke sectoren zoals banken, overheidsdiensten en nutsbedrijven. Bijzonder gevoelige gegevens van CEO's, bekende Nederlanders en een voormalig minister kwamen hierbij in gevaar, met speciale aanduidingen die prominente klanten nog toegankelijker maakten voor kwaadwillenden. Het probleem werd aan het licht gebracht door een softwareontwikkelaar, die de kwetsbaarheid ontdekte terwijl hij aan een klantproject werkte. Ondanks vroege meldingen aan Carrier Global en later aan de alarmcentrale SMC, bleven de gegevens toegankelijk tot ver in 2023. De softwareontwikkelaar stapte vervolgens naar de Autoriteit Persoonsgegevens, maar zonder onmiddellijk resultaat. Naast SMC bleken ook andere alarmcentrales zoals die van Securitas door hetzelfde probleem te zijn getroffen, alhoewel afmeldcodes hier niet toegankelijk waren. Securitas heeft na ontdekking van het lek actie ondernomen door het systeem tijdelijk uit te zetten en melding te doen bij de Autoriteit Persoonsgegevens. Carrier Global heeft uiteindelijk de kwetsbaarheid in hun systeem erkend en onderzoekt de zaak, terwijl SMC en Securitas stappen hebben ondernomen om hun systemen te beveiligen tegen verdere inbreuken. [bnr]

Risico's van Twitter’s Overgang naar X.com voor Phishing

Na de recente wijziging van Twitter naar X.com, waarbij automatisch verwijzingen van "twitter.com" werden gewijzigd in "x.com", zijn er binnen 48 uur tientallen nieuwe domeinnamen geregistreerd die laten zien hoe deze verandering kan leiden tot overtuigende phishing-aanvallen. Voorbeelden zoals fedetwitter[.]com werden op Twitter/X getoond als fedex.com. Veel van deze domeinen zijn defensief geregistreerd door particulieren om te voorkomen dat ze door oplichters worden gekocht. Twitter/X heeft deze fout erkend en stopt nu met het inkorten van domeinen die eindigen op “twitter.com” naar “x.com”. Onderzoek van DomainTools.com toont echter aan dat de registratie van dergelijke domeinen wijdverbreid was, waarbij zelfs defensief geregistreerde domeinen zoals carfatwitter.com tijdelijk werden weergegeven als carfax.com. De aanpassing volgde na veel ophef en kritiek van voormalige gebruikers en experts, waarbij sommigen opmerkten dat de fout snel was verholpen, maar toch een belangrijk toezicht toonde op de kwaliteitscontrole bij Twitter/X. Dit incident benadrukt het risico van domeinnaammanipulaties in handen van kwaadwillenden, vooral met veelgebruikte domeinnamen die nu kwetsbaarder zijn voor misbruik in phishing-aanvallen. [krebsonsecurity]

Omvangrijk Datalek bij AT&T Raakt Miljoenen Klanten

Telecombedrijf AT&T heeft bekendgemaakt dat een aanzienlijk datalek heeft plaatsgevonden waarbij persoonsgegevens van ruim 51 miljoen voormalige en huidige klanten zijn uitgelekt. Aanvankelijk ontkende AT&T de diefstal van deze gegevens, maar corrigeerde later door te bevestigen dat het in feite om gegevens van 73 miljoen personen ging, waarna dit aantal bijgesteld werd naar 51,2 miljoen getroffenen. Deze gegevens, waaronder namen, e-mailadressen, adressen, geboortedata, telefoonnummers, social-securitynummers, klantnummers en passcodes, dateren van 2019 en eerder. AT&T ontdekte op 26 maart dat deze gegevens al eerder die maand online waren gezet. Als reactie hierop heeft het bedrijf de passcodes van actieve accounts gereset en waarschuwt het klanten om waakzaam te zijn voor verdachte activiteiten zoals vreemde telefoontjes en e-mails. Betrokken klanten krijgen ook een jaar gratis toegang tot een dienst voor kredietbewaking en bescherming tegen identiteitsdiefstal. De exacte oorzaak van het lek is nog onbekend. [maine.gov]

Nieuwe Spectre v2-aanval treft Linux-systemen op Intel CPU's

Onderzoekers hebben de eerste inheemse Spectre v2-exploit aangetoond, die een nieuwe variant is van de oorspronkelijke Spectre-aanval en invloed heeft op Linux-systemen die draaien op moderne Intel-processoren. Deze nieuwe aanval maakt gebruik van speculatieve uitvoering, een techniek die bedoeld is om de prestaties te verbeteren door te anticiperen op mogelijke instructiepaden die de processor vervolgens uitvoert. Hoewel dit de prestaties verhoogt, blijkt het ook beveiligingsrisico's met zich mee te brengen door gevoelige gegevens in de CPU-cache achter te laten die aanvallers kunnen benutten. Er zijn twee aanvalsmethoden geïdentificeerd: Branch Target Injection (BTI) en Branch History Injection (BHI). Intel heeft al CVE's toegekend aan deze methoden. De nieuw ontdekte kwetsbaarheid, bekend als CVE-2024-2201, stelt ongeautoriseerde aanvallers in staat om geheugen te lezen dat ze normaal niet zouden kunnen bereiken door middel van speculatieve uitvoering. Verschillende Linux-distributies en de hardwareleverancier Intel hebben maatregelen aanbevolen of geïmplementeerd om deze aanval te mitigeren, waaronder het uitschakelen van bepaalde functies en het versterken van code met specifieke instructies. Intel heeft aangegeven dat toekomstige processors verbeteringen zullen bevatten om dergelijke kwetsbaarheden tegen te gaan. [vusec]

Geavanceerde Cyberaanval Gebruikt AI-gegenereerd PowerShell Script

Een cyberdreigingsactor, bekend onder de naam TA547, heeft in maart een e-mailcampagne gelanceerd gericht op tientallen organisaties in Duitsland, waarbij een PowerShell-script werd gebruikt dat vermoedelijk is gecreëerd met behulp van AI-technologieën zoals OpenAI's ChatGPT, Google's Gemini of Microsoft's CoPilot. Dit script was ontworpen om de Rhadamanthys informatie stealer te leveren, een schadelijke software die continu zijn dataverzamelingsmogelijkheden uitbreidt. TA547, die sinds ten minste 2017 actief is, heeft een historie van het verspreiden van verschillende soorten malware voor zowel Windows als Android systemen. De recente aanvallen markeren de eerste keer dat deze groep de Rhadamanthys stealer gebruikte, die sinds september 2022 onder meerdere cybercrimegroepen wordt verspreid als een malware-as-a-service (MaaS). Volgens de onderzoekers van Proofpoint, die TA547 sinds 2017 volgen, maakte de groep gebruik van vervalste e-mails die zich voordeden als facturen van het Duitse merk Metro, om organisaties te verleiden het schadelijke bestand te openen. Dit activeerde het PowerShell-script, dat vervolgens de malware in het geheugen van het systeem laadde en uitvoerde zonder de harde schijf te raken. De structuur en commentaar in de code suggereren dat deze mogelijk door een AI is geschreven of herzien, een methode die steeds vaker door cybercriminelen wordt toegepast om detectie te vermijden en de effectiviteit van hun aanvallen te vergroten. [proofpoint]

Misbruik van GitHub en Visual Studio projecten voor verspreiding van Keyzetsu malware

Cybercriminelen misbruiken automatiseringsfuncties van GitHub en kwaadaardige Visual Studio-projecten om een nieuwe variant van de Keyzetsu malware te verspreiden. Deze malware, die het klembord van Windows kaapt, vervangt de inhoud van het klembord door gegevens van de aanvallers om cryptocurrency betalingen te stelen. De aanvallers creëren GitHub-repositories onder populaire namen en manipuleren hun zichtbaarheid via automatisch gegenereerde updates en valse sterbeoordelingen. De malware wordt vermomd in Visual Studio-projectbestanden en wordt uitgevoerd tijdens het bouwen van het project. De campagne, die begon op 3 april 2024, omvat nu ook een gecodeerd bestand dat zo groot is dat het moeilijk door beveiligingstools kan worden gescand. Gebruikers wordt aangeraden om verdachte patronen in repository-activiteiten te controleren om zich tegen dergelijke aanvallen te beschermen. [bleepingcomputer]

Groot Gezondheidsdatalek bij GHC-SCW

In januari heeft een ransomwarebende het netwerk van de non-profit gezondheidszorgaanbieder Group Health Cooperative of South Central Wisconsin (GHC-SCW) doorbroken en persoonlijke en medische gegevens van meer dan 500.000 personen gestolen. De aanvallers waren niet in staat om de apparaten te versleutelen, waardoor GHC-SCW met behulp van externe cyberincident-experts zijn systemen kon beveiligen en terug online kon brengen na isolatie om de inbreuk te beperken. Op 25 januari ontdekte GHC-SCW ongeautoriseerde toegang tot hun netwerk. Hun IT-afdeling heeft het netwerk met opzet geïsoleerd en beveiligd, wat leidde tot tijdelijke uitval van verschillende systemen. Begin februari tijdens een onderzoek, ontdekte GHC-SCW dat er kopieën van gegevens waren gemaakt, inclusief beschermde gezondheidsinformatie. De aanval werd geclaimd door de buitenlandse ransomwarebende BlackSuit, die ook financiële informatie en andere gevoelige gegevens claimt te hebben gestolen. Als reactie heeft GHC-SCW beveiligingsmaatregelen versterkt, waaronder betere controle, dataverzekering en gebruikerstraining. Getroffen individuen wordt aangeraden om alle communicatie van zorgverleners nauwlettend in de gaten te houden en verdachte activiteiten direct te melden. Tot op heden is er geen bewijs dat de gestolen informatie voor kwaadaardige doeleinden is gebruikt. [ghcscw]

Overzicht van de RUBYCARP Botnet Activiteiten

Een Roemeense hacker groep, genaamd 'RUBYCARP', gebruikt bekende kwetsbaarheden en brute force aanvallen om bedrijfsnetwerken binnen te dringen en servers te compromitteren voor financieel gewin. Volgens een recent rapport van Sysdig beheert RUBYCARP een botnet via private IRC-kanalen met meer dan 600 gecompromitteerde servers. De Sysdig Threat Research Team heeft 39 varianten van de Perl-gebaseerde payload van RUBYCARP gevonden, waarvan slechts acht gedetecteerd zijn door VirusTotal. Dit duidt op een lage detectiegraad van deze cyberdreiging. RUBYCARP richt zich onder andere op Laravel applicaties en WordPress sites door gebruik te maken van gestolen inloggegevens. Eenmaal geïnstalleerd, verbindt de shellbot payload zich met een IRC-commando- en controle-server en wordt onderdeel van het botnet. Deze servers worden vervolgens gebruikt voor DDoS-aanvallen, phishing en financiële fraude, en voor het minen van cryptocurrencies zoals Monero, Ethereum en Ravencoin. De phishing-inspanningen hebben een Europese focus, inclusief doelwitten zoals de Zwitserse Bank en Nets Bank. Ondanks dat RUBYCARP niet tot de grootste botnet operators behoort, toont hun vermogen om meer dan tien jaar onder de radar te blijven een significante mate van sluwheid en operationele veiligheid. [sysdig]

Groot Ransomware-aanval legt databank van Genios plat (D)

Een heftige ransomware-aanval heeft de servers van GBI Genios, een gezamenlijke dochteronderneming van de Frankfurter Allgemeine Zeitung en de Handelsblatt Media Group, lamgelegd. Dit incident begon op maandag en heeft grote gevolgen voor de beschikbaarheid van hun uitgebreide databases met pers- en economische volteksten. Genios staat bekend om haar cruciale rol voor onderzoekers die toegang nodig hebben tot persartikelen van de afgelopen jaren. De belangrijkste gebruikers van deze diensten zijn bibliotheken, hogescholen en bedrijven, die momenteel geen toegang hebben tot deze essentiële informatiebronnen. De exacte omvang van de schade en de specifieke details van de aanval zijn nog onbekend. Dit incident onderstreept het voortdurende risico van cyberaanvallen op informatieverstrekkers en de potentieel verstrekkende impact op de toegang tot kritische informatie. [medieninsider, genios]

Ernstige kwetsbaarheden in D-Link NAS-systemen bedreigen tienduizenden apparaten

In recent nieuws wordt onthuld dat aanvallers een backdoor en een kwetsbaarheid actief exploiteren in circa 92.000 Network-Attached Storage (NAS) systemen van het merk D-Link. Deze systemen, waaronder modellen als de DNS-340L, DNS-320L, DNS-327L, en DNS-325, zijn end-of-life verklaard en ontvangen geen updates meer voor beveiliging. De kwetsbaarheden omvatten een command injection-probleem en hardcoded inloggegevens, waardoor aanvallers zonder authenticatie willekeurige commando's kunnen uitvoeren. Dit risico leidt tot remote code execution (RCE) wat de systemen potentieel toegankelijk maakt voor verdere malware-infecties. Verschillende beveiligingsorganisaties, waaronder de Shadowserver Foundation en GreyNoise, hebben bevestigd dat deze kwetsbaarheden actief worden misbruikt, voornamelijk door botnets die pogingen doen om de NAS-systemen met malware te infecteren. Zowel D-Link als deze beveiligingsbedrijven adviseren eigenaren van de kwetsbare NAS-systemen om deze apparaten offline te halen, of op zijn minst te zorgen dat de remote toegang goed beveiligd is achter een firewall en de UPnP-configuratie te controleren. Door het gebrek aan beschikbare patches is het vervangen van de apparaten vaak de enige veilige optie. [greynoise]

Targus Ondergaat Cyberaanval met Verstoring van Bedrijfsvoering

Targus, een fabrikant van accessoires voor laptops en tablets, heeft een cyberaanval ondergaan die hun bedrijfsvoering tijdelijk heeft verstoord. Deze aanval werd ontdekt toen hackers toegang verkregen tot de bestandsservers van het bedrijf. Het incident werd voor het eerst waargenomen op 5 april 2024, waarna Targus onmiddellijk hun incidentrespons en bedrijfscontinuïteit protocollen activeerde met hulp van externe cyberbeveiligingsadvocaten en consultants. Deze protocollen omvatten proactieve maatregelen om ongeautoriseerde toegang te blokkeren, wat leidde tot een tijdelijke onderbreking van de bedrijfsvoering. Het bedrijf heeft inmiddels bevestigd dat het incident is ingeperkt en dat ze bezig zijn met het herstel van hun interne systemen met ondersteuning van externe cyberbeveiligingsexperts. Hoewel het bedrijf nog niet heeft bekendgemaakt of er bedrijfsdata is gestolen, is de kans aanwezig dat er data is geëxtraheerd aangezien de hackers toegang hadden tot de bestandssystemen waar gegevens werden opgeslagen. Targus heeft relevante regelgevende autoriteiten en wetshandhavingsinstanties geïnformeerd over de ongeautoriseerde toegang. Er is nog geen groep of individu die de verantwoordelijkheid voor de aanval heeft opgeëist. [sec.gov]

Toename van Crypto Drainers op WordPress-sites

Bijna 2.000 gehackte WordPress-websites tonen nu valse pop-ups van NFT-aanbiedingen en kortingen om bezoekers te verleiden hun wallets te koppelen aan zogenaamde crypto drainers. Deze kwaadaardige scripts stelen automatisch geld zodra een wallet verbonden is. De beveiligingsfirma Sucuri meldde vorige maand dat ongeveer 1.000 WordPress-sites gecompromitteerd waren en gebruikt werden om deze crypto drainers te promoten via misleidende reclame en YouTube-video's. De aanvallers hebben hun tactieken aangepast door nieuwe scripts te gebruiken die de browsers van bezoekers veranderen in gereedschappen voor het kraken van admin-wachtwoorden op andere sites. Er zijn ongeveer 1.700 van deze brute-force sites betrokken bij deze aanvallen. Deze campagne heeft zich nu uitgebreid tot het tonen van pop-ups die valse NFT's en crypto-kortingen promoten, in een poging om een groter aantalsites te kunnen monetariseren. Hoewel niet alle gecompromitteerde sites momenteel deze pop-ups tonen, kan dit elk moment veranderen. De dreiging breidt zich uit omdat de scripts ondersteuning bieden voor meerdere wallets, waaronder MetaMask, Safe Wallet en Trust Wallet. Bezoekers worden geadviseerd extra voorzichtig te zijn met onverwachte pop-upvensters, vooral als deze niet overeenkomen met het hoofdonderwerp of ontwerp van de website.

Cyberaanval verstoort operaties van CVS Group in het VK

De Britse dierenzorgverlener CVS Group heeft onlangs een cyberaanval ondergaan die zijn IT-diensten heeft verstoord, wat invloed had op zijn operaties over het hele land. CVS Group, met 500 veterinaire praktijken in het VK, Australië, Nederland en Ierland, waarschuwde via een mededeling aan de London Stock Exchange dat kwaadwillenden onbevoegde toegang tot enkele van hun IT-systemen hadden gekregen. Als reactie heeft het bedrijf zijn IT-systemen tijdelijk offline gehaald om de situatie te isoleren en verdere ongeautoriseerde toegang te voorkomen. Deze actie leidde tot aanzienlijke operationele verstoringen, hoewel CVS meldt dat er tot nu toe geen verdere externe toegang tot de systemen is geweest. Met hulp van externe specialisten werkt CVS aan het onderzoek naar het incident en het veilig herstellen van de IT-diensten. Hoewel de verstoringen momenteel beperkt blijven tot het VK, aangezien de buitenlandse operaties niet op dezelfde infrastructuur draaien, is het incident ook aanleiding geweest voor CVS om de migratie van alle IT-infrastructuur naar de cloud te versnellen. Dit zou de operationele efficiëntie en beveiliging moeten verbeteren, maar zal naar verwachting de operationele verstoringen verlengen. Er is niets vermeld over een datalek dat personeel of klanten zou kunnen beïnvloeden. [londonstockexchange]

Oproep tot actie tegen namaakwebsite Notepad++

Notepad++, een populair open-sourceproject voor tekst- en broncodebewerking, roept het publiek op om te helpen bij het neerhalen van een namaakwebsite, genaamd notepad[.]plus. Deze website, die zich voordoet als de officiële Notepad++-site, heeft potentieel om veiligheidsrisico's te veroorzaken, zoals het verspreiden van schadelijke software of spam. Volgens Don Ho, de originele ontwikkelaar van Notepad++, heeft de namaakwebsite al voor veel verwarring en frustratie gezorgd onder gebruikers, aangezien sommigen denken dat het de officiële site is. Deze site bevat wel een disclaimer waarin staat dat het een onofficiële fanwebsite is en geen banden heeft met het officiële project. Hoewel de website momenteel gebruikers doorstuurt naar de officiële downloadpagina's van Notepad++, waarschuwt Ho dat de site een verborgen agenda heeft en vol zit met misleidende advertenties. Deze advertenties kunnen gebruikers verleiden tot klikken, wat inkomsten genereert voor de beheerders van de namaaksite. Daarnaast beweert Ho dat het hoofddoel van de site is om verkeer weg te leiden van de legitieme Notepad++-website, wat de veiligheid van de gebruikers en de integriteit van de gemeenschap ondermijnt. Hij roept iedereen op om de website te rapporteren via Google Safebrowsing's webformulier voor het melden van kwaadaardige software. [notepad]

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Week overzicht slachtoffers

Cybercrimeinfo update: Tot en met 31 maart 2024 publiceren we dagelijks realtime overzichten van slachtoffers van cybercriminaliteit wiens gegevens zijn gelekt op het darkweb. Na deze datum schakelen we over naar een wekelijkse update. Vanaf dan bieden we elke maandag een totaaloverzicht van de gebeurtenissen van de afgelopen week. Lees verder

Slachtoffers België en Nederland

In samenwerking met StealthMole

Sponsor Cybercrimeinfo

Meer weekoverzichten