CYBERAANVALLEN, DATALEKKEN, TRENDS EN DREIGINGEN
Supply Chain-aanvallen en Ransomware Dreigingen
Deze week hebben we te maken met een reeks ernstige cyberincidenten die organisaties wereldwijd treffen. Van supply chain-aanvallen en ransomware tot datalekken en gecompromitteerde cloud-diensten, de impact is wijdverspreid en aanzienlijk. Cloudflare heeft gewaarschuwd voor het ongeautoriseerde gebruik van hun naam door Polyfill.io, een populaire JavaScript-dienst die onlangs malware heeft geïnjecteerd op meer dan 100.000 websites. Dit incident is onderdeel van een bredere aanval via meerdere CDNs, zoals BootCDN en Staticfile, waarbij één gemeenschappelijke operator werd geïdentificeerd dankzij gelekte API-sleutels op GitHub. Cloudflare adviseert alle websitebeheerders om Polyfill.io-links te vervangen door een veilig alternatief om verdere infecties te voorkomen.
Hackers hebben ook een kritieke kwetsbaarheid in Progress MOVEit Transfer uitgebuit, wat wereldwijd gevolgen heeft, inclusief in Nederland. De kwetsbaarheid (CVE-2024-5806) maakt het mogelijk om authenticatie in de SFTP-module te omzeilen, wat leidt tot toegang tot gevoelige gegevens en de manipulatie van bestanden. De exploitatie van deze kwetsbaarheid is al waargenomen en organisaties worden dringend geadviseerd om de beveiligingsupdates van Progress onmiddellijk toe te passen om verdere schade te voorkomen.
Datalekken en Gecompromitteerde Diensten
In een ander ernstig incident werden de gegevens van 293.000 klanten van de Belgische afvalverwerker Limburg.net gestolen tijdens een ransomware-aanval. Deze aanval benadrukt opnieuw de kwetsbaarheid van organisaties voor dergelijke bedreigingen en het belang van robuuste beveiligingsmaatregelen. Nederlandse onderwijsdiensten werden getroffen door de LockBit-groep, die gevoelige gegevens op het darkweb heeft geplaatst. Dit incident benadrukt de noodzaak voor verbeterde cyberbeveiligingsmaatregelen binnen de onderwijssector om datalekken te voorkomen en gevoelige informatie te beschermen.
Een ander zorgwekkend incident is de hack van de supportportal van Mercku, een Canadese routerfabrikant. De gehackte portal verstuurde phishing-e-mails naar MetaMask-gebruikers, wat aangeeft hoe cybercriminelen gebruik maken van gehackte ondersteuningssystemen om doelgerichte phishing-aanvallen uit te voeren en gevoelige gegevens te stelen. Bij de bank Bunq is een potentieel datalek gemeld bij de Autoriteit Persoonsgegevens. Dit incident roept vragen op over de bescherming van privacy onder PSD2 en het delen van betaalgegevens, waarbij de bank grondig onderzoek moet doen naar de beschuldigingen van ongeautoriseerde toegang door medewerkers.
Nieuwe Malware en Kwetsbaarheden
Een nieuwe Android-malware genaamd Snowblind maakt misbruik van beveiligingsfuncties om bescherming te omzeilen en gevoelige gebruikersgegevens te stelen. Deze geavanceerde malware illustreert de voortdurende dreiging van mobiele aanvallen en de noodzaak voor gebruikers om hun apparaten up-to-date te houden en alleen apps van betrouwbare bronnen te downloaden. Het aantal ransomware-aanvallen wereldwijd blijft toenemen, met LockBit 3.0 die een opmerkelijke comeback maakt en verantwoordelijk is voor een aanzienlijk deel van de recente aanvallen. Deze trend toont aan dat ransomware-groepen blijven evolueren en nieuwe strategieën gebruiken om hun activiteiten voort te zetten. Het is essentieel voor organisaties om waakzaam te blijven en robuuste beveiligingsmaatregelen te implementeren om zichzelf te beschermen tegen deze voortdurende dreiging.
Een andere opvallende gebeurtenis deze week is de hack van het interne IT-systeem van TeamViewer. Hoewel het bedrijf benadrukt dat de productieomgeving niet is aangetast en er geen klantgegevens zijn gecompromitteerd, toont dit incident aan hoe zelfs bedrijven die gespecialiseerd zijn in beveiligingsoplossingen niet immuun zijn voor cyberaanvallen. Het onderstreept het belang van continue monitoring en het hebben van robuuste incidentresponse-plannen.
Waakzaamheid en Proactieve Beveiliging
In conclusie, de cyberdreigingen blijven zich ontwikkelen en diversifiëren, met aanvallen die steeds complexer en geavanceerder worden. Organisaties moeten een proactieve benadering van cyberbeveiliging hanteren, investeren in de nieuwste technologieën en hun medewerkers regelmatig trainen en bewustmaken van de nieuwste dreigingen. Alleen door gezamenlijk en gecoördineerd te handelen kunnen we de impact van cyberaanvallen minimaliseren en een veiligere digitale toekomst verzekeren. De gebeurtenissen van deze week benadrukken de voortdurende en evoluerende aard van cyberdreigingen. Van supply chain-aanvallen en ransomware tot datalekken en kwetsbaarheden in IoT-apparaten, de impact is groot en divers. Organisaties moeten voortdurend hun beveiligingsstrategieën evalueren en updaten, investeren in geavanceerde beveiligingstechnologieën, en hun personeel trainen om zich te wapenen tegen de nieuwste dreigingen. Door een proactieve en gecoördineerde aanpak kunnen we de veerkracht van onze digitale infrastructuren vergroten en een veiligere digitale toekomst creëren voor iedereen.
Hieronder vind je een compleet dag-tot-dag overzicht.
Begrippenlijst: Sleutelwoorden uitgelegd
1. Supply Chain-aanval:
• Een supply chain-aanval is een type cyberaanval waarbij hackers zich richten op een zwakke schakel binnen de toeleveringsketen van een organisatie. Dit kan bijvoorbeeld een softwareleverancier of een externe dienstverlener zijn. Door een aanval op deze derde partijen kunnen aanvallers toegang krijgen tot de systemen van de hoofdorganisatie.
2. Ransomware:
• Ransomware is een type malware dat bestanden of systemen van een slachtoffer versleutelt, waardoor deze onbruikbaar worden. De aanvallers eisen vervolgens losgeld om de versleuteling op te heffen en de toegang te herstellen. Bekende ransomware-groepen zoals LockBit zijn gespecialiseerd in deze vorm van cybercriminaliteit.
3. CVE (Common Vulnerabilities and Exposures):
• CVE staat voor Common Vulnerabilities and Exposures en is een systeem voor het identificeren en catalogiseren van bekende kwetsbaarheden in software en hardware. Elke CVE heeft een unieke identifier, zoals CVE-2024-5806, die gebruikt wordt om specifieke kwetsbaarheden te beschrijven.
4. SFTP (Secure File Transfer Protocol):
• SFTP is een protocol dat wordt gebruikt om bestanden veilig over een netwerk te verzenden. Het maakt gebruik van SSH (Secure Shell) om de gegevensoverdracht te beveiligen en te versleutelen, waardoor het een veilige manier is om bestanden te verzenden en te ontvangen.
5. Phishing:
• Phishing is een vorm van fraude waarbij aanvallers zich voordoen als een betrouwbare entiteit om gevoelige informatie, zoals inloggegevens of creditcardnummers, van slachtoffers te verkrijgen. Dit gebeurt meestal via e-mails of nepwebsites die legitiem lijken.
6. API-sleutels:
• API-sleutels (Application Programming Interface-sleutels) zijn unieke codes die worden gebruikt om toegang te verlenen tot een API. Deze sleutels worden gebruikt om de identiteit van de gebruiker of applicatie te verifiëren en toegang te geven tot bepaalde functies en gegevens van de API.
7. Cloud-infrastructuur:
• Cloud-infrastructuur verwijst naar de hardware- en softwarecomponenten die nodig zijn om cloud computing te ondersteunen. Dit omvat servers, opslag, netwerkapparatuur, virtualisatie-software en andere middelen die via het internet worden geleverd.
8. MFA (Multi-Factor Authentication):
• MFA is een beveiligingsmaatregel die meerdere vormen van identificatie vereist om toegang te krijgen tot een systeem. Dit kan een combinatie zijn van iets wat de gebruiker weet (wachtwoord), iets wat de gebruiker heeft (authenticator-app) en iets wat de gebruiker is (biometrie).
9. Backdoor:
• Een backdoor is een methode waarmee ongeautoriseerde toegang tot een computer of systeem kan worden verkregen. Backdoors worden vaak door aanvallers geïnstalleerd om toegang te behouden tot een gecompromitteerd systeem zonder gedetecteerd te worden.
10. Malware:
• Malware, kort voor malicious software, is een verzamelnaam voor allerlei soorten schadelijke software, zoals virussen, wormen, trojans en spyware, die zijn ontworpen om schade toe te brengen aan computersystemen of toegang te krijgen tot gevoelige informatie.
11. Darkweb:
• Het darkweb is een deel van het internet dat niet door conventionele zoekmachines kan worden geïndexeerd en waar anonieme communicatie mogelijk is. Het wordt vaak gebruikt voor illegale activiteiten, zoals de verkoop van gestolen gegevens en verboden goederen.
12. IoT (Internet of Things):
• IoT verwijst naar de verbinding van apparaten via het internet, waardoor ze gegevens kunnen verzenden en ontvangen. Voorbeelden van IoT-apparaten zijn slimme thermostaten, beveiligingscamera’s en wearables. Deze apparaten zijn vaak doelwitten van cyberaanvallen vanwege hun kwetsbaarheden.
13. Identiteitsverificatie:
• Identiteitsverificatie is het proces van het controleren van de identiteit van een persoon, vaak door middel van documenten zoals paspoorten of rijbewijzen, en kan ook biometrische gegevens omvatten. Bedrijven zoals AU10TIX bieden diensten aan om deze verificaties digitaal uit te voeren.
14. Patch:
• Een patch is een update die wordt uitgegeven door softwareleveranciers om bekende kwetsbaarheden te verhelpen, bugs te fixen of de functionaliteit te verbeteren. Het toepassen van patches is essentieel voor het onderhouden van de beveiliging van systemen en software.
15. Incidentresponse-plannen:
• Een incidentresponse-plan is een gestructureerde aanpak voor het omgaan met en herstellen van een cyberincident, zoals een datalek of een ransomware-aanval. Het omvat procedures voor detectie, analyse, containment, uitroeiing en herstel.
Cyberaanvallen, datalekken, trends en dreigingen nieuws
π§πͺ Gegevens van 293.000 klanten Limburg.net gestolen bij ransomware-aanval
Bij een ransomware-aanval op de Belgische afvalverwerker Limburg.net zijn de gegevens van zo'n 293.000 klanten gestolen, waaronder rijksregisternummers. Oorspronkelijk werd gesproken over 279.000 slachtoffers, maar verder onderzoek onthulde dat er ook data uit voorgaande jaren was buitgemaakt. De aanvallers kregen toegang tot een server met persoonsgegevens, waaronder bankrekeningnummers. Limburg.net heeft besloten geen losgeld te betalen en zal alle betrokkenen persoonlijk op de hoogte stellen. Het bedrijf heeft ook nagelaten om de getroffen klanten tijdig te informeren, wat heeft geleid tot klachten bij de Gegevensbeschermingsautoriteit. De aanval wist zich ongeveer een maand lang onder de radar te houden, ondanks initieel gebruik van multifactorauthenticatie. 1
Supportportal van routerfabrikant gehackt voor MetaMask phishing
Het helpdeskportaal van een routerfabrikant blijkt gehackt te zijn, waarbij er phishing-e-mails naar MetaMask worden verstuurd als reactie op nieuwe ondersteuningstickets. De Canadese routerfabrikant, Mercku, levert apparatuur aan Canadese en Europese internetproviders en netwerkbedrijven. Onder andere Start.ca, FibreStream, Innsys, RealNett, Orion Telekom en Kelcom maken gebruik van Mercku's apparatuur. Ondersteuningsverzoeken die bij Mercku worden ingediend, worden automatisch beantwoord met phishing-e-mails, waarin gebruikers worden gevraagd om binnen 24 uur hun Metamask-account bij te werken, anders riskeren ze mogelijk tijdelijk geen toegang te hebben. Het is belangrijk om niet op de links in deze e-mails te klikken en niet te reageren. De phishinglink die gebruikt wordt, maakt gebruik van 'userinfo' in de URL om er legitiem uit te zien, zelfs al leidt het naar een kwaadwillende website. BleepingComputer heeft Mercku op de hoogte gebracht van de hack. 1
π³π± Storingen bij Odido: Gebruikers Onbereikbaar
Telecomprovider Odido heeft sinds vanochtend te kampen met een storing, waardoor gebruikers in delen van Utrecht, Noord-Holland, Gelderland en Flevoland onbereikbaar zijn. Naast mobiele telefonie is ook het mobiele internet getroffen. Klanten van Ben en Simpel, die gebruikmaken van het Odido-netwerk, ondervinden dezelfde problemen. Op een storingswebsite zijn al meer dan drieduizend meldingen binnengekomen. Odido heeft via sociale media laten weten dat de oorzaak van de storing nog onbekend is en het niet duidelijk is wanneer deze verholpen zal zijn. Odido, ontstaan uit een fusie van T-Mobile Nederland en Tele2 Mobiel, was zelf niet bereikbaar voor commentaar. 1
Het mobiele netwerk van Odido is in storing. Geen signaal. Ben en Simpel maken ook gebruik van dit netwerk.
β Arnold van de Worp (@ArnoldvandeWorp) June 30, 2024
Glasvezel van Odido werkt overigens wel!
Nep-IT-supportsites verspreiden schadelijke PowerShell-scripts als Windows-oplossingen
Nep-IT-supportsites verspreiden schadelijke PowerShell-scripts die zich voordoen als oplossingen voor veelvoorkomende Windows-fouten, zoals de 0x80070643-error. Deze sites, ontdekt door eSentire's Threat Response Unit (TRU), promoten hun inhoud via gekaapte YouTube-kanalen. De foutmelding 0x80070643, die sinds januari 2024 veel Windows-gebruikers treft, wordt misbruikt om gebruikers te verleiden malware te downloaden. De fout wordt veroorzaakt door een gebrek aan vrije ruimte in de Windows Recovery Environment (WinRE) partitie na een beveiligingsupdate van Microsoft. De nepsites bieden scripts aan die, wanneer uitgevoerd, de Vidar-informatie-steelmalware installeren. Dit gebeurt door gebruikers te laten geloven dat ze een oplossing voor hun probleem implementeren. De malware steelt vervolgens inloggegevens, creditcardinformatie en andere gevoelige data. Om zich te beschermen, wordt gebruikers geadviseerd om alleen oplossingen van vertrouwde bronnen te downloaden en geen onbekende websites of video's te vertrouwen. 1
ShinyHunters claimt datalek bij TruistBank en Neiman Marcus
Een dreigende actor genaamd ShinyHunters beweert gevoelige gegevens van TruistBank en Neiman Marcus te hebben gelekt op een darkweb forum. Volgens de berichten zou het lek bij Neiman Marcus bestaan uit klantgegevens zoals accountsaldo's, creditcardgegevens, geboortedatums, e-mailadressen, namen en betalingsgeschiedenissen. De modewinkelketen zou hebben geweigerd losgeld te betalen. Daarnaast claimt ShinyHunters personeelsgegevens van 65.000 TruistBank-medewerkers te hebben gelekt, waaronder accountsaldo's, geboortedatums, e-mailadressen, functietitels en gedeeltelijke creditcardgegevens. Als bewijs zijn screenshots van de vermeende aanval gedeeld. In de berichten worden geen contactgegevens of prijzen voor de data vermeld. De claims zijn nog niet onafhankelijk geverifieerd. Als de beweringen waar blijken te zijn, zou dit een ernstige inbreuk op de privacy van klanten en medewerkers van beide bedrijven betekenen.
Vermeende datalek bij Indonesische luchtvaartautoriteit
Een hacker beweert toegang te hebben verkregen tot een omvangrijke database van het Indonesische Directoraat-Generaal voor de Burgerluchtvaart. De gelekte gegevens zouden meer dan 3 GB beslaan en bevatten naar verluidt gevoelige informatie over medewerkers, applicaties, websitegebruikers en luchtvaartactiviteiten. Onder de gelekte data bevinden zich naar verluidt wachtwoorden, ID-kaartfoto's van medewerkers, gegevens van dronepiloten, vluchtgegevens en persoonlijke informatie van piloten. Ook zouden alle activiteiten in het Indonesische luchtruim en op luchthavens zijn vastgelegd. De hacker heeft voorbeeldgegevens uit de vermeende hack gedeeld, maar heeft geen prijs genoemd voor de volledige dataset. Er is ook geen informatie verstrekt over hoe potentiële kopers contact kunnen opnemen. Deze vermeende hack roept ernstige zorgen op over de beveiliging van gevoelige luchtvaartgegevens en de privacy van betrokken personen.
Bedreigingsactor USDoD beweert ongeautoriseerde toegang tot Chinese/Taiwanese bedrijfswebportaal te verkopen
Een bedreigingsactor genaamd USDoD beweert ongeautoriseerde toegang te verkopen tot het webportaal van een bedrijf gevestigd in China/Taiwan, met een geschatte omzet van $7 miljard. De toegang is op het werknemersniveau en lijkt toe te behoren aan een voormalige werknemer. De bedreigingsactor stelt dat deze toegang al meer dan twee maanden zonder onderbreking is behouden. Kopers zouden certificaten kunnen bewerken en verkrijgen, en mogelijk toegang hebben tot e-mails van andere werknemers. Dit roept aanzienlijke zorgen op over de beveiligingsmaatregelen bij het getroffen bedrijf en de mogelijke datalekken of andere schadelijke activiteiten die hieruit kunnen voortvloeien.
Datalek treft medische kledingwinkel in Saoedi-Arabië
Een bedreigingsacteur heeft op een donker webforum gegevens gedeeld die naar verluidt toebehoren aan Scrubser Shop, een medische kledingwinkel uit Saoedi-Arabië. De gecompromitteerde gegevens omvatten klantinformatie zoals e-mailadressen, wachtwoorden, namen, factuur- en verzendadressen, telefoonnummers en een vorige back-up. De aanval vond plaats in 2024 en de gelekte data bevat ongeveer 5.000 regels en is 1 GB groot. De bedreigingsacteur deelde ook voorbeelden van het vermeende lek. Er is geen contactinformatie of prijs vermeld in het bericht op het donkere webforum. Dit incident benadrukt de voortdurende bedreiging van databeveiliging voor bedrijven wereldwijd.
Dreigingsacteur lekt vermoedelijk 70 GB aan KYC-gegevens van CredRight
Een dreigingsacteur beweert gegevens te hebben gelekt van CredRight, een platform dat krediet verstrekt aan kleine en middelgrote bedrijven via NBFC's en banken. Het lek omvat naar verluidt 70 GB aan KYC (Know Your Customer) documenten, waaronder foto's, video's en spraakopnames. Dit lek zou gevoelige persoonlijke en financiële informatie van talloze gebruikers van CredRight in gevaar kunnen brengen, met ernstige privacy- en beveiligingszorgen tot gevolg. Bedrijven die gevoelige gebruikersgegevens verwerken, moeten strenge beveiligingsmaatregelen implementeren om ongeoorloofde toegang te voorkomen en de privacy en veiligheid van hun gebruikers te waarborgen.
Gelekte e-mail login gegevens van Indonesische Ministerie van Wet en Mensenrechten (Kemenkumham) veroorzaken ernstige zorgen
Een bedreigende actor beweert verantwoordelijk te zijn voor het lekken van de e-mail login gegevens van het Ministerie van Wet en Mensenrechten in Indonesië, wat mogelijk gevoelige overheidsinformatie blootlegt. De gelekte data omvat toegang tot officiële e-mailaccounts die door medewerkers worden gebruikt, wat potentieel gevoelige overheidsinformatie in gevaar kan brengen. De bedreigende actor heeft specifieke details verstrekt over het vermeende lek, waaronder de entiteit die betrokken is, de gegevens die zijn blootgesteld (gebruikersnaam en wachtwoord) en mogelijke risico's zoals ongeautoriseerde toegang tot gevoelige communicatie, datamanipulatie, identiteitsdiefstal en meer. Dit incident benadrukt de dringende noodzaak van verbeterde cybersecurity maatregelen en onmiddellijke actie om mogelijke schade te beperken.
17 GB aan gebruikersgegevens van Lake Medical Group zijn naar verluidt gelekt
Een bedreigingsacteur zou gebruikersgegevens van Lake Medical Group verkopen op een darkweb forum. De gelekte data omvat medische verzekeringen, ID-kaarten, rijbewijzen, paspoorten en andere gebruikersgegevens in PDF- en afbeeldingsbestanden. De bedreigingsacteur beweert dat de totale lek ongeveer 17 GB beslaat en ongeveer 10.000 documenten bevat. Er zijn ook monsters en bewijsstukken toegevoegd in verschillende links in het bericht. De prijs voor het vermeende lek is niet bekendgemaakt en zou onderhandelbaar zijn. De bedreigingsacteur accepteert ook escrows en heeft een Telegram-handle verstrekt voor potentiële kopers om contact op te nemen. De samenvatting geeft een overzicht van het lek van gebruikersgegevens van Lake Medical Group door een bedreigingsacteur op het dark web. Het bevat informatie over de gelekte gegevens, formaten, prijzen en hoe potentiële kopers contact kunnen opnemen met de bedreigingsacteur.
Bedreigingen van Vanguard Bypass opgedoken op een Darkweb Forum
Een bedreigingsacteur verkoopt naar verluidt een Vanguard bypass op een webforum. Volgens de dader kan deze bypass Vanguard emuleren en elke vorm van valsspeeldetectie, detectie van externe software enzovoort uitschakelen. De tool kan ook HWID-verboden voorkomen, waardoor gebruikers een nieuw account kunnen aanmaken en het op dezelfde apparaat kunnen gebruiken zonder hardware spoofing als hun account wordt verbannen. De bedreigingsacteur verkoopt deze vermeende bypass voor $ 200 voor levenslange toegang en er is verklaard dat er slechts 5 te koop zijn. Voor kopers om contact op te nemen met de bedreigingsacteur, is een Telegram-handle opgenomen in de post.
Black Suit Ransomware richt zich vermoedelijk op Kadokawa Corporation
Dreiging van Black Suit Ransomware beweerde Kadokawa Corporation te hebben aangevallen en hun bestanden te hebben versleuteld. Volgens het bericht werd als gevolg van de vermeende aanval 1,5 TB aan gegevens gedownload van de netwerken van Kadokawa Corporation. De ransomwaregroep beweerde in het bericht op hun website dat ze contracten, DocuSigned-papieren, verschillende juridische documenten, gegevens van platformgebruikers zoals e-mailadressen, gegevensgebruik en geopende links, en bedrijfsplanningsdocumenten zoals presentaties, e-mails, offertes, projectgerelateerde gegevens en financiële gegevens hadden gedownload. Ze beweerden dat Kadokawa Corporation de dreiging had gedetecteerd maar hen niet kon stoppen. De ransomwaregroep beweerde dat er onderhandelingen gaande zijn, maar dat het aangeboden bedrag door de Corporation te laag was volgens de ransomwaregroep.
DragonForce RaaS op zoek naar nieuwe partners
Een bedreigingsacteur onder de naam DragonForce zoekt nieuwe partners om mee samen te werken in hun RaaS-operatie. Ze zijn op zoek naar specialisten in verschillende vakgebieden, zoals toegangsspecialisten, pentesters of teams van pentesters. In ruil daarvoor bieden ze hun eigen infrastructuur en tools, evenals 80% van de inkomsten uit hun aanvallen. DragonForce heeft een controlepaneel waarmee ze klantacties kunnen volgen, bestanden automatisch kunnen uitgeven, scripts kunnen testen en andere mogelijkheden hebben. Volgens de post heeft de bedreigingsacteur een organisatiestructuur binnen het team en opereren ze volgens die hiërarchie. Dit is een van de recente ontwikkelingen in de cyberonderwereld die bedrijven en organisaties wereldwijd treft.
Verkoop van 13,6 miljoen gebruikersgegevens van Indiase banken gedeeld op Telegram
Een bedreigingsacteur deelde een bericht van hun Telegram-kanaal waarin ze beweerden 13,6 miljoen rijen gebruikersgegevens van Indiase banken te verkopen. De data zou afkomstig zijn van verschillende banken uit India en bestaat uit rijen met onder andere rekeningnummer, rekeningnaam, Indian Financial System Code (IFSC), telefoonnummers en e-mailadressen. Er zijn een afbeelding en een CSV-bestand van de vermeende inbreuk op het Telegram-kanaal gepubliceerd als voorbeelden. De bedreigingsacteur geeft aan dat de data uit 2024 is en voegde nog een ander Telegram-handle toe in hun bericht voor kopers om contact op te nemen. Dit incident benadrukt het belang van data beveiliging en het beschermen van persoonlijke informatie, vooral in de bank- en financiële sector.
Vitale kwetsbaarheid in D-Link DIR-859 router uitgebuit door hackers
Kritieke kwetsbaarheid in alle D-Link DIR-859 WiFi routers exploiteren om accountinformatie van het apparaat te stelen, inclusief wachtwoorden. De kwetsbaarheid, bekend als CVE-2024-0769, maakt gebruik van een padverschuiving die leidt tot informatie openbaarmaking. Ondanks dat het model van de D-Link router het einde van zijn levensduur heeft bereikt en geen updates meer ontvangt, heeft de leverancier een beveiligingsadvies uitgebracht waarin wordt uitgelegd dat het lek aanwezig is in het "fatlady.php" bestand van het apparaat. De aanval maakt het mogelijk om sessiedata te lekken, privilege escalatie te bereiken en volledige controle over het apparaat via het adminpaneel te verkrijgen. Gebruikers van het apparaat wordt aangeraden over te stappen naar een ondersteund apparaat, aangezien D-Link niet van plan is om een patch uit te brengen voor CVE-2024-0769.
Nieuwe ransomware Brain Cipher achter aanval op Indonesisch datacenter
De nieuwe ransomware-operatie Brain Cipher richt zich op organisaties wereldwijd en heeft recentelijk de aandacht getrokken door een aanval op het tijdelijke Nationale Data Center van Indonesië. De regering van Indonesië bouwt Nationale Data Centers om servers veilig op te slaan voor online diensten en datahosting. Op 20 juni werd een van de tijdelijke Nationale Data Centers getroffen door een cyberaanval die de servers van de overheid versleutelde en online diensten zoals immigratie, pascontrole en het verstrekken van evenementenvergunningen verstoorde. De aanval werd toegeschreven aan de nieuwe ransomware-operatie Brain Cipher, die meer dan 200 overheidsinstanties verstoorde en $8 miljoen aan losgeld eiste in Monero-cryptocurrency. Brain Cipher heeft een datalek site gelanceerd en dreigt gestolen data openbaar te maken als het losgeld niet wordt betaald. 1
Microsoft waarschuwt klanten voor diefstal van e-mails
Microsoft heeft klanten gewaarschuwd voor de diefstal van e-mails nadat aanvallers waren ingebroken op systemen van het techbedrijf. Deze inbraak vond plaats nadat aanvallers via een password spraying-aanval toegang kregen tot een account en zo toegang kregen tot zakelijke e-mailaccounts. De aanvallers hebben e-mails en bijlagen van medewerkers van het hoger management, cybersecurity team, juridische afdeling en andere functies gestolen. Microsoft is begonnen met het informeren van klanten over welke e-mails zijn gestolen en biedt de mogelijkheid om deze via een beveiligde omgeving te bekijken. Sommige klanten twijfelen echter aan de authenticiteit van de waarschuwing van Microsoft. Volgens Microsoft was de aanval uitgevoerd door een vanuit Rusland opererende staatshackerbekend als Cozy Bear of APT29. 1, 2, 3
Aanvallers creëren backdoor in WordPressplug-ins door hergebruik van wachtwoorden
Aanvallers zijn erin geslaagd om meerdere WordPressplug-ins van een backdoor te voorzien door het hergebruik van wachtwoorden door de betreffende ontwikkelaars. De gecompromitteerde plug-ins zijn op 116.000 websites actief. De aanvallers wisten de inloggegevens van ontwikkelaars te vinden in bekende datalekken en konden zo toegang krijgen tot het ontwikkelaarsaccount op WordPress.org. Malafide code werd aan de plug-ins toegevoegd, waaronder Blaze Widget, Wrapper Link Element, Contact Form 7 Multi-Step Addon en meer. Webmasters wordt geadviseerd om te veronderstellen dat hun website is gecompromitteerd als ze deze plug-ins gebruiken. WordPress.org heeft besloten om ontwikkelaarsaccounts met vermoedelijke compromissen geen updates meer te laten uitrollen en adviseert ontwikkelaars om sterke, unieke wachtwoorden en tweefactorauthenticatie te gebruiken. 1
Gevoelige gegevens van 6 miljoen mensen gestolen door LockBit bij Infosys McCamish
Infosys McCamish Systems heeft onthuld dat de LockBit-ransomware-aanval die ze eerder dit jaar hebben meegemaakt gevoelige informatie van meer dan zes miljoen personen heeft beïnvloed. Het bedrijf, dat zakelijke IT- en adviesdiensten aanbiedt, heeft een significante aanwezigheid in de VS en bedient grote financiële instellingen. De aanval vond plaats in november 2023 en leidde tot het compromitteren van persoonlijke gegevens van ongeveer 57.000 Bank of America-klanten. Het totale aantal getroffen mensen door deze ransomware-aanval is nu iets meer dan 6 miljoen. De gestolen gegevens omvatten onder meer burgerservicenummers, geboortedata, medische informatie, e-mailadressen, wachtwoorden en financiële gegevens. IMS biedt getroffenen twee jaar gratis identiteitsbescherming en credit monitoring aan om het risico van blootstelling te verminderen. 1
Grote zuivelproducent Agropur meldt datalek dat klantgegevens heeft blootgesteld
Agropur, een van de grootste zuivelcoöperaties in Noord-Amerika, informeert klanten over een datalek nadat enkele gedeelde online mappen waren blootgesteld. Het bedrijf heeft aangegeven dat het lek geen invloed heeft op de transactiesystemen en de kernactiviteiten niet verstoord heeft, maar ze zijn toch een onderzoek gestart. Dit onderzoek wordt uitgevoerd door externe cybersecurity experts en wetshandhavingsinstanties. Agropur verwerkt jaarlijks 6,7 miljard liter melk en heeft bekende merken zoals Natrel, Lucerne en Oka. Het bedrijf heeft bevestigd dat er momenteel geen bewijs is dat de blootgestelde gegevens misbruikt zijn. Klanten worden geadviseerd alert te blijven voor mogelijke phishingpogingen, aangezien de blootgestelde gegevens gebruikt kunnen worden voor gerichte aanvallen. 1
Ticketmaster waarschuwt klanten voor datalek van afgelopen mei
Ticketmaster heeft klanten gewaarschuwd voor een datalek waarbij persoonlijke gegevens zijn gestolen. Criminelen beweerden dat ze de gegevens van 560 miljoen Ticketmaster-klanten hadden buitgemaakt. Het bedrijf meldde aan de Amerikaanse beurswaakhond SEC dat er was ingebroken in een 'third-party cloudomgeving' en dat daarbij bedrijfsgegevens en persoonlijke informatie waren gestolen. Na bijna een maand heeft Ticketmaster de procureurs-generaal van Amerikaanse staten ingelicht en gaat het klanten informeren. Er zijn maatregelen genomen om de veiligheid van systemen te versterken, zoals het wijzigen van wachtwoorden en controleren van toegangspermissies. Er wordt echter niet bekendgemaakt om welke informatie het precies gaat. 1
Cyberaanval dwingt tot sluiting van tankstations in Canada
Federated Co-operatives Limited heeft bevestigd dat een cybersecurity-incident heeft geleid tot de sluiting van zijn retail Co-op en cardlock brandstoflocaties. Het incident heeft invloed gehad op interne en klantgerichte systemen. Het bedrijf heeft maatregelen genomen en externe experts ingeschakeld voor een onderzoek. Dit incident is het meest recente in een reeks van cyberaanvallen die B.C. en West-Canada-gebaseerde bedrijven en overheidsorganisaties hebben getroffen. Andere recente doelen van cyberaanvallen zijn onder meer de Cowichan Valley School District, de B.C. regering, de First Nations Health Authority en London Drugs. Deze incidenten benadrukken de groeiende dreiging van ransomware-aanvallen en het belang van cybersecurity-maatregelen. 1
π³π± Bunq meldt potentieel datalek bij Autoriteit Persoonsgegevens
Bunq heeft bij de Autoriteit Persoonsgegevens een potentieel datalek gemeld. De privacytoezichthouder maakt zich zorgen over berichten waarin wordt gemeld dat medewerkers van bunq stiekem in rekeningen van klanten keken. Het Tuchtrecht Banken heeft bunq om opheldering gevraagd, maar heeft nog geen meldingen ontvangen van bunq. Demissionair minister Van Weyenberg van Financiën noemt de berichten zorgelijk en verwacht dat bunq de beschuldigingen grondig zal onderzoeken. Bunq-topman Ali Niknam geeft aan dat er geen stelselmatig misbruik is ontdekt en dat medewerkers die in een grijs gebied opereerden een waarschuwend gesprek hebben gehad. Dit incident roept vragen op over de bescherming van privacy onder PSD2 en het delen van betaalgegevens. 1
BlackSuit ransomware groep claimt aanval op KADOKAWA-bedrijf
De BlackSuit ransomware groep heeft onlangs een cyberaanval op het KADOKAWA-bedrijf geclaimd en dreigt nu gestolen gegevens te publiceren als er geen losgeld wordt betaald. KADOKAWA is een Japanse mediagroep die actief is in film, uitgeverij en gaming, met bedrijven als FromSoftware. De aanval heeft de meeste activiteiten van het bedrijf en zijn dochterondernemingen geraakt, waaronder de populaire Japanse videostreamingplatform Niconico. Sinds de aanval is KADOKAWA bezig met het herstellen van de systemen en het normaliseren van de getroffen diensten. De BlackSuit ransomware groep, die eerder bekend stond als Royal ransomware, heeft gedreigd alle gestolen gegevens op 1 juli te publiceren als er geen losgeld wordt betaald. 1, 2
Nieuwe bedreiging van Unfurling Hemlock overweldigt systemen met malware
Een bedreigingsacteur die wordt gevolgd als Unfurling Hemlock heeft doelsystemen geïnfecteerd met wel tien stukken malware tegelijk in campagnes die honderdduizenden kwaadaardige bestanden distribueren. Volgens beveiligingsonderzoekers wordt de infectiemethode beschreven als een "malware clusterbom" die de bedreigingsacteur in staat stelt om één malware-sample te gebruiken die extra exemplaren verspreidt op het compromisapparaat. De malware die op deze manier wordt afgeleverd, omvat informatie-stelers, botnets en backdoors. De activiteit werd ontdekt door het Cyber Threat Intelligence-team van Outpost24's KrakenLabs, die zeggen dat de activiteit dateert uit ten minste februari 2023 en een kenmerkende distributiemethode gebruikt. Het rapport van KrakenLabs onthult ook een lijst van malware, loaders en hulpprogramma's die op de systemen van slachtoffers werden gedropt, en de onderzoekers geloven met "een redelijke mate van zekerheid" dat Unfurling Hemlock is gevestigd in een Oost-Europees land. Gebruikers wordt geadviseerd om gedownloade bestanden te scannen met bijgewerkte antivirusgereedschappen voordat ze ze uitvoeren. 1
TeamViewer meldt inbraak op interne zakelijke IT-omgeving
Aanvallers zijn erin geslaagd in te breken op de interne zakelijke IT-omgeving van TeamViewer, zo heeft het bedrijf zelf bekendgemaakt. Het eigen securityteam ontdekte 'onregelmatigheden' in het netwerk en startte een onderzoek. TeamViewer benadrukt dat de interne zakelijke omgeving losstaat van de productieomgeving en dat er geen bewijs is dat klantgegevens zijn aangetast. Het bedrijf heeft noodzakelijke herstelmaatregelen genomen en het onderzoek naar de inbraak loopt nog. Er zijn nog geen details vrijgegeven over de aanval, maar TeamViewer belooft meer informatie te delen zodra die beschikbaar is. Het bedrijf claimt 640.000 klanten te hebben en dat de software wereldwijd op meer dan 2,5 miljard apparaten is geïnstalleerd. Berichten gaan rond dat een spionagegroep genaamd APT29 misbruik maakt van TeamViewer, maar daar zijn nog geen concrete details over bekendgemaakt. 1, 2, 3
Polyfill.io keert terug na domein shutdown vanwege kwaadaardige code
De eigenaren van Polyfill.io hebben de JavaScript CDN-service op een nieuw domein opnieuw gelanceerd nadat polyfill.io was afgesloten omdat onderzoekers ontdekten dat het kwaadaardige code leverde op meer dan 100.000 websites. Polyfill beweert dat ze kwaadaardig zijn belasterd en beweert dat er geen risico's zijn bij het gebruik van hun service. Hoewel ze hun service hebben verplaatst naar een nieuw domein, waarschuwen beveiligingsdeskundigen tegen het gebruik ervan vanwege het risico op supply chain-aanvallen. De oorspronkelijke maker van Polyfill had geen associatie met het domein dat kwaadaardige code bevatte. Cloudflare heeft ook gereageerd op het gebruik van hun naam en logo door Polyfill.io zonder toestemming. Het advies aan websites en ontwikkelaars is om geen gebruik te maken van Polyfill.io en over te stappen op veiligere alternatieven.
We found media messages slandering polyfill. We want to explain that all our services are cached in Cloudflare and there is no supply chain risk.
β Polyfill (@Polyfill_Global) June 25, 2024
Someone has maliciously defamed us. We have no supply chain risks because all content is statically cached. Any involvement of third parties could introduce potential risks to your website,
β Polyfill (@Polyfill_Global) June 26, 2024
but no one would do this as it would be jeopardize our own reputation.
We have alreadyβ¦
βοΈCloudflare waarschuwt voor ongeautoriseerd gebruik naam door Polyfill.io
Cloudflare, een toonaangevende aanbieder van CDN-diensten en cloudbeveiliging, heeft gewaarschuwd dat het nooit toestemming heeft gegeven voor het gebruik van zijn naam of logo op de Polyfill.io-website. Polyfill.io werd onlangs betrapt op het injecteren van malware op meer dan 100.000 websites in een grote supply chain-aanval. Cloudflare benadrukt dat dit nog een reden is om Polyfill.io niet te vertrouwen. Om het internet veiliger te maken, vervangt Cloudflare automatisch Polyfill.io-links door een veilige mirror op websites die Cloudflare-bescherming gebruiken. Dit geldt ook voor gratis accounts. Klanten met betaalde accounts kunnen deze functie met één klik activeren. Cloudflare adviseert alle websitebeheerders, ook degenen die geen Cloudflare gebruiken, om Polyfill.io-links te verwijderen en te vervangen door een veilig alternatief zoals de Cloudflare-mirror. Dit kan gedaan worden zonder de functionaliteit van websites te verstoren. 1
Cloudflare-gebruikers kunnen deze nieuwe instelling vinden onder Beveiliging ⇒ Instellingen op elke zone die Cloudflare gebruikt.
Update: 28-6-2024
Grote aanval op meerdere websites teruggevoerd naar één operator
Een recente grootschalige aanval via meerdere CDNs, zoals Polyfill.io, BootCDN, Bootcss en Staticfile die tientallen miljoenen websites heeft getroffen, is teruggevoerd naar een gemeenschappelijke operator. Onderzoekers vonden een openbare GitHub-repository met gelekte API-sleutels die hen hielpen deze conclusie te trekken. Door het gebruik van deze gelekte API-sleutels konden onderzoekers vaststellen dat een enkele entiteit verantwoordelijk was voor alle vier domeinen en de bredere aanval op de bevoorradingsketen. De ontdekking werd mogelijk gemaakt door een samenwerking tussen onderzoeker Ze-Zheng Wu, een anonieme gebruiker mdmck10 en de beveiligingsonderzoeksgroep MalwareHunterTeam. De impact van de aanval wordt nog steeds geëvalueerd en mogelijk zijn er nog meer domeinen bij betrokken.
KQL to hunt in MDE
β mRr3b00t (@UK_Daniel_Card) June 28, 2024
###############
DeviceNetworkEvents
| where TimeGenerated > ago(30d)
| where RemoteUrl has_any("polyfill[.]io','cdn.bootcdn[.]net","cdn.bootcss[.]com","cdn.staticfile[.]net","cdn.staticfile[.]org")
| sort by Timestamp desc
###############
re-fang to execute! https://t.co/bj674ZKQ3r
LockBit's Valse Claim over Aanval op Federal Reserve
De recent verstoorde ransomwaregroep LockBit beweerde deze week de Federal Reserve, de centrale bank van de Verenigde Staten, te hebben gehackt. Ze claimden 33 terabyte aan gevoelige bankinformatie van Amerikanen te hebben gestolen. Deze bewering bleek echter onjuist. In werkelijkheid had de groep een individuele bank aangevallen, namelijk Evolve Bank & Trust. De bank bevestigde dat er illegaal gegevens waren verkregen uit hun systemen en dat ze de situatie serieus nemen. Ze werken samen met wetshandhavers en bieden getroffen klanten gratis kredietbewaking aan.LockBit's valse claim wordt gezien als een wanhopige poging om relevant te blijven. De groep, voorheen berucht om aanvallen op grote doelwitten, kreeg eerder dit jaar te maken met een takedown van hun infrastructuur door wetshandhavers. Deze misleidende actie lijkt een poging om in de schijnwerpers te blijven na een periode van tegenslag.
Cyberbeveiligingsincident bij Evolve Bank & Trust: Persoonlijke gegevens gelekt
Evolve Bank & Trust heeft op 26 juni 2024 een ernstig cyberbeveiligingsincident gemeld. Een criminele organisatie heeft illegaal toegang gekregen tot persoonlijke gegevens van klanten en deze op het dark web gepubliceerd. De gelekte informatie kan namen, burgerservicenummers, geboortedata en rekeninginformatie bevatten. De bank verzekert dat het incident onder controle is en er geen aanhoudende dreiging is. Debetkaarten en online bankgegevens van particuliere klanten lijken niet getroffen. Evolve werkt samen met wetshandhavers en zal getroffen klanten direct informeren over de situatie en aangeboden beschermingsmaatregelen. Klanten worden aangeraden waakzaam te blijven, hun rekeningen en kredietrapporten nauwlettend in de gaten te houden en verdachte activiteiten onmiddellijk te melden. De bank biedt gratis kredietbewaking en identiteitsdiefstaldetectie aan getroffen klanten. Voor meer informatie kunnen klanten contact opnemen met de speciale hulplijn van de bank.
The Sensationalism of LockBitSupp: A Desperate Bid for Relevance
β AzAl Security (@azalsecurity) June 26, 2024
LockBitSupp has resorted back to sensationalism to maintain relevance (remember the Mandiant claim?) This is a clear sign of his continued fall from grace within the Russian ransomware scene. By claiming to haveβ¦
βοΈKritieke kwetsbaarheid in MOVEit Transfer doelwit van hackers ook in Nederland
Hackers proberen een kritieke authenticatie bypass-kwetsbaarheid in Progress MOVEit Transfer uit te buiten, kort nadat de leverancier deze onthulde. De kwetsbaarheid (CVE-2024-5806) stelt aanvallers in staat de authenticatie in de SFTP-module te omzeilen, waardoor ze toegang kunnen krijgen tot gevoelige gegevens op de server en bestanden kunnen manipuleren. Er zijn al exploitatiepogingen waargenomen en technische details over de kwetsbaarheid zijn openbaar gemaakt. Ongeveer 2700 MOVEit Transfer-instanties zijn blootgesteld aan het internet, voornamelijk in de VS, het VK, Duitsland, Canada en Nederland. Progress heeft beveiligingsupdates uitgebracht voor de getroffen versies. Klanten zonder actueel onderhoudscontract moeten onmiddellijk contact opnemen met Progress. MOVEit Cloud-klanten hoeven geen actie te ondernemen. Gezien het wijdverbreide gebruik van MOVEit in bedrijfsomgevingen en eerdere aanvallen, is het cruciaal dat organisaties de updates en mitigaties zo snel mogelijk toepassen om zich te beschermen tegen deze nieuwe dreiging. 1, 2
CISA Waarschuwt voor Actief Misbruik van Roundcube Webmail Kwetsbaarheid
Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) meldt dat er actief misbruik plaatsvindt van een cross-site scripting (XSS) kwetsbaarheid in Roundcube Webmail. Deze opensource-webmailsoftware wordt door veel organisaties gebruikt. De kwetsbaarheid (CVE-2020-13965) maakt het mogelijk om via een kwaadaardige XML-bijlage XSS-aanvallen uit te voeren. Hoewel het probleem vier jaar geleden al werd opgelost, waarschuwt CISA nu dat aanvallers de kwetsbaarheid actief gebruiken of hebben gebruikt. Details over de aanvallen zijn niet bekendgemaakt. In oktober 2023 meldde antivirusbedrijf ESET dat een spionagegroep genaamd Winter Vivern een andere Roundcube XSS-kwetsbaarheid misbruikte om e-mails te stelen. Organisaties die Roundcube Webmail gebruiken, worden geadviseerd hun systemen te updaten naar de nieuwste versie om zich tegen deze en andere bekende kwetsbaarheden te beschermen. 1
Datalek bij identiteitsverificatiebedrijf AU10TIX treft gebruikers van grote platforms TikTok, Uber en X
AU10TIX, een bedrijf dat identiteits- en leeftijdsverificatie verzorgt voor onder andere TikTok, Uber en X (voorheen Twitter), heeft gevoelige gebruikersgegevens gelekt. Inloggegevens voor een loggingplatform van AU10TIX stonden meer dan een jaar online, waardoor onbevoegden toegang konden krijgen tot persoonlijke informatie en kopieën van identiteitsdocumenten van gebruikers. De gelekte gegevens omvatten namen, geboortedata, nationaliteiten, identificatienummers en afbeeldingen van paspoorten, rijbewijzen en identiteitsbewijzen. Ook resultaten van verificatieprocessen waren zichtbaar. AU10TIX beweert dat het incident anderhalf jaar geleden plaatsvond en snel werd opgelost, maar een onderzoeker ontdekte dat de inloggegevens vorige maand nog werkten. Het bedrijf erkent dat persoonlijke gegevens toegankelijk waren, maar stelt geen aanwijzingen te hebben dat er daadwerkelijk gegevens zijn gestolen. Dit incident onderstreept de risico's van het delen van persoonlijke informatie met derde partijen voor identiteitsverificatie. 1, 2
Veiligheidsdiensten waarschuwen voor risico's 'memory unsafe' talen in open source
Verschillende veiligheidsdiensten, waaronder de FBI en NSA, hebben een rapport uitgebracht over het gebruik van 'memory unsafe' programmeertalen in belangrijke open source projecten. Uit hun onderzoek onder 172 projecten blijkt dat 52% code bevat geschreven in talen als C en C++, die kunnen leiden tot kwetsbaarheden zoals buffer overflows. De diensten stellen dat zelfs projecten geschreven in veilige talen vaak afhankelijk zijn van onveilige componenten. Ze benadrukken het belang van het begrijpen van deze risico's en moedigen verder onderzoek aan. Hoewel memory-safety problemen de meest voorkomende kwetsbaarheden zijn, wijzen ze erop dat ook andere systemische zwakheden aandacht verdienen. Dit rapport volgt op een eerdere oproep van het Witte Huis aan ontwikkelaars om veiligere programmeertalen te gebruiken. De bevindingen onderstrepen de wijdverbreide impact van dit probleem in de open source wereld.
Vermeende datalek bij Credit Suisse op darkweb forum aangeboden
Een cybercrimineel onder de alias '888' beweert gegevens van Credit Suisse te verkopen op een darkweb forum. Het zou gaan om een datalek uit 2024 met informatie van 19.000 medewerkers, waaronder 6.623 unieke e-mailadressen. De gestolen data omvat onder meer namen, e-mailadressen, personeelscodes, geboortedata en beleidsinformatie. De aanbieder heeft een datavoorbeeld gedeeld en stelt dat dit een eenmalige verkoop betreft. Er is geen vaste prijs genoemd; geïnteresseerden kunnen via privéberichten een bod uitbrengen. Betaling wordt alleen geaccepteerd in de cryptomunt Monero (XMR). Credit Suisse, een toonaangevende instelling in private banking en vermogensbeheer met een jaaromzet van ongeveer $15,21 miljard, is het doelwit van deze vermeende cyberaanval. Het incident onderstreept de aanhoudende cyberdreigingen waarmee grote financiële instellingen worden geconfronteerd.
Grootschalige datalek bij Australische bestel-app Hey You
Een cybercrimineel claimt een omvangrijke database van de Australische bestel-app Hey You te koop aan te bieden. De database zou 202.488 records bevatten met gevoelige persoonlijke gegevens van gebruikers, waaronder volledige namen, e-mailadressen, telefoonnummers, adressen, gebruikersnamen en wachtwoorden. Hey You is een populaire app waarmee Australiërs eten en drinken kunnen bestellen bij cafés en fastfoodketens in het hele land. De aangeboden informatie omvat gedetailleerde klantgegevens zoals klant-ID's, gebruikers-ID's, betalingsmethoden, geboortedatums, IP-adressen en locatiegegevens. Ook zijn er gebruikersgegevens beschikbaar zoals registratietijdstippen, Facebook-, Google- en Apple-ID's. Deze vermeende datalek vormt een ernstige bedreiging voor de privacy en veiligheid van de getroffen gebruikers. De verkoop van dergelijke gevoelige informatie kan leiden tot identiteitsdiefstal en andere vormen van cybercriminaliteit.
Gevaarlijke Chrome-exploit te koop aangeboden op darkweb
Een cybercrimineel beweert een ernstige kwetsbaarheid in de Chrome-browser te verkopen voor 1 miljoen dollar. Het gaat om een zogenaamde '0-day sandbox escape remote code execution' (RCE) exploit die werkt op Chrome-versies 126.0.6478.126 en 126.0.6478.127 voor Windows 21H1 en 21H2. Deze exploit zou in staat zijn om de beveiligingsmechanismen van Chrome te omzeilen, waardoor aanvallers op afstand code kunnen uitvoeren op getroffen systemen. Dit vormt een aanzienlijke bedreiging voor de veiligheid van Chrome-gebruikers. De verkoper eist betaling in cryptovaluta (Monero of Bitcoin) en stelt voor een tussenpersoon te gebruiken om de transactie veilig te laten verlopen. Hoewel de claim niet geverifieerd is, onderstreept dit bericht het belang van cyberveiligheid en het up-to-date houden van browsers. Google zal ongetwijfeld onderzoek doen naar deze mogelijke kwetsbaarheid om Chrome-gebruikers te beschermen.
Massive datalek bij Frans ticketbedrijf Forum Sirius
Een cybercrimineel beweert de database van Forum Sirius, een Frans ticketsysteem voor theaters, te hebben gehackt. De gestolen gegevens zouden persoonlijke informatie bevatten van bijna 6 miljoen klanten, waaronder namen, adressen, telefoonnummers en e-mailadressen. De hacker claimt op 23 juni 2024 toegang te hebben verkregen tot de volledige klantendata van Forum Sirius. Ondanks pogingen om contact op te nemen met het bedrijf, is er nog geen reactie ontvangen. De dataset bevat naar verluidt bijna 6 miljoen records, waaronder 3,9 miljoen unieke e-mailadressen en 3 miljoen unieke telefoonnummers. De cybercrimineel biedt de gestolen gegevens te koop aan voor $2.000, maar zegt deze slechts aan één koper te willen verkopen. Forum Sirius wordt aangespoord contact op te nemen om verspreiding van de data te voorkomen. Het incident onderstreept de blijvende dreiging van datalekken en het belang van robuuste cybersecurity voor bedrijven die gevoelige klantgegevens beheren.
Nieuwe Malware "xehook Stealer" te Koop op Darkweb Forum
Een cybercrimineel heeft op een darkweb forum een nieuwe malware genaamd "xehook Stealer" te koop aangeboden. Deze malware wordt geleverd met een gebruiksvriendelijk webpaneel waarmee abonnementen aan anderen kunnen worden verstrekt. De verkoper beweert dat de stealer uitvoerig getest is en nog nooit heeft gefaald. Het aanbod omvat een link naar meer informatie over de functionaliteit van de malware. Volgens de verkoper krijgt de koper het product inclusief bestaande klanten. De gemiddelde maandelijkse winst zou rond de $2300 liggen. De vraagprijs voor het complete pakket bedraagt $2500. Dit type malware, bekend als een "stealer", is ontworpen om gevoelige informatie zoals inloggegevens en financiële data van geïnfecteerde systemen te stelen. De verschijning van deze nieuwe malware onderstreept de voortdurende dreiging van cybercriminaliteit en de noodzaak van waakzaamheid op het gebied van digitale beveiliging.
Vermeende Linux 0-Day Kwetsbaarheid te Koop op Darkweb Forum
Een cybercrimineel biedt naar verluidt een 0-day kwetsbaarheid voor de Linux kernel te koop aan op een darkweb forum. De kwetsbaarheid betreft een use-after-free (UAF) probleem in versie 6.6.15-amd64 van de Linux kernel, dat mogelijk kan worden misbruikt voor het uitvoeren van code met verhoogde rechten. De aanbieder vraagt 150.000 dollar voor de exploit, te betalen in Monero of Bitcoin. Geïnteresseerde kopers moeten kunnen aantonen dat ze over voldoende fondsen beschikken voordat ze contact opnemen. Een andere actor met de alias IntelBroker wordt genoemd als bemiddelaar voor de transactie. Er worden geen verdere contactgegevens verstrekt. Deze vermeende 0-day kwetsbaarheid vormt een potentieel ernstige bedreiging voor Linux-systemen. Gebruikers en systeembeheerders worden geadviseerd alert te blijven op mogelijke updates en beveiligingsmaatregelen van Linux-distributeurs.
Mogelijke Datalek bij Neiman Marcus: Klantengegevens te Koop Aangeboden
Een cybercrimineel beweert een omvangrijke database van de luxe warenhuisketen Neiman Marcus in bezit te hebben en biedt deze te koop aan voor $150.000. De database zou gevoelige klantinformatie bevatten, waaronder persoonlijke gegevens, transactiehistorie en cadeaubongegevens. In totaal gaat het om miljarden rijen aan klant- en bedrijfsinformatie. Volgens de aanbieder heeft Neiman Marcus geen interesse getoond in het beveiligen van de data na een eerdere waarschuwing. Als gevolg hiervan wordt de informatie nu openlijk te koop aangeboden. De cybercrimineel stelt zich wel open voor directe onderhandelingen met Neiman Marcus voor een exclusieve verkoop. Dit voorval onderstreept het groeiende gevaar van datalekken en cyberaanvallen op grote bedrijven. Het benadrukt de noodzaak van robuuste cyberbeveiligingsmaatregelen om klantgegevens te beschermen en het vertrouwen in het digitale tijdperk te behouden.
Snowblind-malware misbruikt Android-beveiligingsfunctie om bescherming te omzeilen
Snowblind, een nieuwe vorm van Android-malware, maakt misbruik van de 'seccomp'-beveiligingsfunctie om bestaande anti-tamperingbescherming in apps met gevoelige gebruikersgegevens te omzeilen. Deze malware herpackt doelwit-apps zodat misbruik van toegankelijkheidsdiensten niet gedetecteerd kan worden. Hierdoor kan het gebruikersinvoer zoals inloggegevens verkrijgen of op afstand kwaadaardige acties uitvoeren. Snowblind installeert een seccomp-filter die systeemaanroepen onderschept en manipuleert, waardoor anti-tamperingcontroles omzeild worden. De impact op prestaties is minimaal, waardoor gebruikers niets merken. Deze techniek lijkt nog niet wijdverbreid bekend en de meeste apps zijn er niet tegen beschermd. Snowblind kan verschillende beveiligingsfuncties in apps uitschakelen, zoals tweefactorauthenticatie of biometrische verificatie. Hoewel tot nu toe slechts één app in Zuidoost-Azië als doelwit is waargenomen, zou deze methode door andere aanvallers overgenomen kunnen worden om Android-bescherming te omzeilen. 1
WordPress-plugins getroffen door aanval op toeleveringsketen
Een kwaadwillende actor heeft de broncode van minstens vijf plugins op WordPress.org gewijzigd om schadelijke PHP-scripts toe te voegen. Deze scripts creëren nieuwe accounts met beheerdersrechten op websites die de getroffen plugins gebruiken. Het Wordfence Threat Intelligence-team ontdekte de aanval, die plaatsvond tussen 21 en 22 juni 2024. De aangetaste plugins, waaronder Social Warfare en Blaze Widget, zijn op meer dan 35.000 websites geïnstalleerd. De malware probeert nieuwe beheerdersaccounts aan te maken en SEO-spam in te voegen op gecompromitteerde websites. Gegevens worden verzonden naar een IP-adres onder controle van de aanvaller. Websitebeheerders worden geadviseerd om onmiddellijk actie te ondernemen als ze een van deze plugins gebruiken, waaronder het uitvoeren van een volledige malwarescan. Voor de meeste getroffen plugins zijn inmiddels patches uitgebracht. Het is nog onduidelijk hoe de aanvaller toegang heeft gekregen tot de broncode van de plugins. 1, 2
βοΈGrootschalige aanval op websites via gecompromitteerde JavaScript-dienst
Een Chinese onderneming heeft onlangs de populaire JavaScript-dienst Polyfill.io overgenomen, wat heeft geleid tot een grootschalige aanval op meer dan 100.000 websites. De nieuwe eigenaar heeft kwaadaardige code in de scripts geïnjecteerd, waardoor bezoekers ongemerkt worden doorgestuurd naar malafide en oplichtingswebsites. De aanval is moeilijk te detecteren omdat de code alleen onder specifieke omstandigheden wordt geactiveerd, zoals op bepaalde mobiele apparaten en tijdstippen. Bovendien wordt de uitvoering vertraagd wanneer webanalytics worden gedetecteerd. Google heeft adverteerders gewaarschuwd voor deze toeleveringsketen-aanval en geeft aan dat ook andere diensten zoals Bootcss, Bootcdn en Staticfile betrokken zijn bij ongewenste doorverwijzingen. Dit kan duizenden of zelfs honderdduizenden extra websites treffen. Experts adviseren webontwikkelaars om onmiddellijk te stoppen met het gebruik van de gecompromitteerde dienst en over te stappen op betrouwbare alternatieven. 1, 2
If your website uses https://t.co/3xHecLPXkB, remove it IMMEDIATELY.
β Andrew Betts (@triblondon) February 25, 2024
I created the polyfill service project but I have never owned the domain name and I have had no influence over its sale. https://t.co/GYt3dhr5fI
Medusa malware bedreigt Android-gebruikers in zeven landen
De Medusa banking trojan voor Android is opnieuw opgedoken in campagnes gericht op Frankrijk, Italië, de Verenigde Staten, Canada, Spanje, het Verenigd Koninkrijk en Turkije. Deze nieuwe activiteit is sinds mei waargenomen en maakt gebruik van compactere varianten die minder machtigingen vereisen en nieuwe functies bevatten. Het malware-as-a-service (MaaS) biedt keylogging, schermcontroles en SMS-manipulatie. Recente campagnes gebruiken SMS-phishing om de malware via dropper-applicaties te verspreiden, waaronder een nep Chrome-browser en een nepstreamingapp genaamd 4K Sports. De nieuwe Medusa-variant heeft een kleinere voetafdruk op geïnfecteerde apparaten en behoudt de mogelijkheid om de contactenlijst te openen en sms'jes te versturen. Nieuwe functies omvatten het maken van screenshots en het instellen van een zwart schermoverlay. Hoewel de dropper-apps nog niet op Google Play zijn aangetroffen, waarschuwen onderzoekers dat de distributiestrategieën zich waarschijnlijk zullen diversifiëren naarmate meer cybercriminelen zich bij de MaaS-operatie aansluiten. 1
Gemeente Fleury-les-Aubrais (FRA) Verlamd door Grote Cyberaanval
De gemeente Fleury-les-Aubrais is volledig verlamd door een grootschalige cyberaanval. Sinds 24 juni zijn alle digitale diensten, waaronder telefoon en internet, onbereikbaar. De IT-afdeling van de gemeente ontdekte meerdere storingen op hun servers, wat leidde tot een onmiddellijke afsluiting van alle netwerktoegang. Deze maatregel, aanbevolen door de nationale cyberbeveiligingsorganisatie ANSSI, moest verdere schade voorkomen. Het gevolg is dat inwoners geen gebruik kunnen maken van gemeentelijke diensten, waardoor de ambtenaren technisch werkloos zijn. Momenteel is het nog onduidelijk of persoonlijke gegevens zijn gelekt. De IT-afdeling, samen met een externe cybercriminaliteit expert, onderzoekt de bron van de aanval. Voorlopig blijven de systemen mogelijk nog enkele dagen uitgeschakeld. De gemeente werkt aan het opzetten van een nood-e-mailadres en telefoonnummer om toch enige dienstverlening te kunnen bieden. 1
Grootschalige cyberaanval treft Indonesische overheidsdiensten
Indonesië wordt al dagen geteisterd door een omvangrijke gijzelsoftware-aanval op overheidsdiensten. Twee nationale datacentra zijn gehackt, waardoor ongeveer tweehonderd digitale overheidsdiensten ontoegankelijk zijn geworden. Miljoenen Indonesiërs ondervinden hiervan de gevolgen, zoals het niet kunnen aanvragen van vergunningen of inschrijven bij universiteiten. De hackers, die gebruik maken van een vernieuwde versie van LockBit-gijzelsoftware genaamd Brain Cipher, eisen acht miljoen dollar losgeld. De Indonesische overheid weigert echter te betalen en zoekt naar alternatieve manieren om de versleutelde data te herstellen. Deze aanval wordt beschouwd als een van de grootste cyberincidenten in Indonesië van de afgelopen jaren. Hoewel sommige problemen, zoals visumverstrekking op luchthavens, inmiddels zijn opgelost, blijven veel diensten nog steeds onbereikbaar. 1
Luxeretailer Neiman Marcus getroffen door datalek na hack Snowflake-account
Neiman Marcus, een luxe retailbedrijf, heeft bevestigd dat het slachtoffer is geworden van een datalek na een hack van hun Snowflake-databaseaccount. Het lek trof 64.472 mensen en omvatte persoonlijke gegevens zoals namen, contactinformatie, geboortedata en cadeaubonnummers. De hack maakt deel uit van een grotere reeks aanvallen op Snowflake-accounts, waarbij minstens 165 organisaties zijn getroffen. Een hackersgroep genaamd UNC5537 gebruikte gestolen inloggegevens om toegang te krijgen tot accounts zonder multifactorauthenticatie. De aanvallers probeerden de gestolen gegevens van Neiman Marcus te verkopen voor $150.000 op een hackersforum. Het incident onderstreept het belang van sterke beveiliging voor cloudgebaseerde databases. Neiman Marcus heeft de toegang tot het getroffen platform uitgeschakeld, een onderzoek ingesteld en de wetshandhaving op de hoogte gebracht. Het bedrijf adviseert getroffen klanten waakzaam te blijven voor mogelijke frauduleuze activiteiten.
Securitybedrijf Any.Run getroffen door phishingaanval via gecompromitteerd e-mailaccount
Securitybedrijf Any.Run, bekend om zijn online sandbox-omgeving voor malware-analyse, is slachtoffer geworden van een phishingaanval. Een salesmedewerker trapte in een phishingmail van een gecompromitteerde klant en voerde zijn inloggegevens in op een nagemaakt Microsoft-inlogvenster. De aanvaller kreeg zo toegang tot het e-mailaccount van de medewerker en wist zelfs multifactorauthenticatie te omzeilen. Over een periode van 23 dagen logde de aanvaller herhaaldelijk in op het account en maakte een volledige back-up van de mailbox. Twee weken later werden phishingmails verstuurd naar alle contacten van de medewerker. Naast het stelen van inloggegevens was het doel van de aanvaller ook business email compromise (BEC), waarbij criminelen zich voordoen als legitieme partijen om frauduleuze betalingen te verkrijgen. Dit incident onderstreept het belang van waakzaamheid, zelfs bij securitybedrijven, tegen geavanceerde phishingaanvallen en het risico van gecompromitteerde e-mailaccounts. 1
P2PInfect botnet evolueert tot gevaarlijke ransomware-bedreiging voor Redis-servers
De P2PInfect botnet, oorspronkelijk een slapend peer-to-peer malwarenetwerk, is geëvolueerd tot een actieve bedreiging die zich richt op Redis-servers. Sinds mei 2024 verspreidt P2PInfect een nieuwe ransomwaremodule en een cryptominer. De ransomware versleutelt bestanden met specifieke extensies en laat een losgeldbrief achter. De schade blijft beperkt tot bestanden toegankelijk voor de gecompromitteerde Redis-gebruiker. Daarnaast activeert P2PInfect een Monero-miner die al ongeveer $10.000 heeft opgebracht. Een nieuwe gebruikersmodus rootkit verbergt malafide processen en bestanden. Het is onduidelijk of P2PInfect wordt verhuurd aan cybercriminelen of door één team wordt beheerd. Hoewel P2PInfect aanvankelijk inactief leek, vormt het nu een reële bedreiging voor Redis-servers. Het kan data vernietigen en computerbronnen kapen voor financieel gewin. Organisaties worden aangeraden hun Redis-servers adequaat te beveiligen tegen deze evoluerende malware. 1
Backdoor ontdekt in populaire WordPress-plug-ins
Vijf WordPress-plug-ins, waaronder de veelgebruikte Social Warfare, zijn getroffen door een supplychain-aanval waarbij een backdoor is geïnstalleerd. De aanval treft in totaal ongeveer 35.000 websites. De malware, die op 21 juni voor het eerst werd opgemerkt, creëert een nieuw beheerdersaccount en stuurt de inloggegevens naar de aanvaller. Daarnaast voegt de malware code toe aan getroffen websites voor SEO-spam doeleinden. De aangetaste plug-ins zijn inmiddels verwijderd uit de officiële WordPress.org repository en er is een onderzoek gaande. Websites die gebruik maken van deze plug-ins wordt dringend aangeraden om onmiddellijk actie te ondernemen en hun site als gecompromitteerd te beschouwen. Deze aanval onderstreept het belang van waakzaamheid bij het gebruik van third-party software, zelfs wanneer deze afkomstig is uit officiële bronnen. Het incident roept vragen op over de beveiliging van de WordPress-ecosysteem en de noodzaak van strengere controles op plug-ins. 1
Cybercrimineel beweert kritieke kwetsbaarheden in inlogpagina's Interpol en FBI te verkopen
Een cybercrimineel claimt kritieke kwetsbaarheden te bezitten en te koop aan te bieden die de inlogpagina's van Interpol en de FBI treffen. Het zou gaan om XSS-DOM en prototype pollution exploits die volgens de aanbieder gemakkelijk tot account-overnames kunnen leiden als ze worden uitgebuit. De kwetsbaarheid voor Interpol wordt aangeboden voor $3.000, die voor de FBI voor $4.000. De cybercrimineel zegt zich te richten op het verkopen van bugs in plaats van exploits en is bereid transacties via een escrow-dienst te laten verlopen als kopers dat wensen. Deze onthulling onderstreept de aanhoudende cyberdreigingen waarmee grote wetshandhavingsinstanties worden geconfronteerd. Het benadrukt het cruciale belang van robuuste cyberbeveiligingsmaatregelen, aangezien de mogelijke uitbuiting van deze kwetsbaarheden ernstige gevolgen zou kunnen hebben.
Nieuw Ransomware-abonnement Gelanceerd op Telegram
Een cybercrimineel onder de naam AzzaSec heeft een nieuwe vorm van ransomware gepresenteerd via zijn Telegram-kanaal. De malware wordt aangeboden via een abonnementsmodel, waarbij klanten tegen betaling toegang krijgen tot de software. AzzaSec claimt dat de code volledig door hemzelf is ontwikkeld. In zijn bericht beschrijft de aanvaller de kenmerken van de ransomware en toont een video die de werking ervan demonstreert. Er wordt een prijslijst getoond voor verschillende abonnementsopties, waarbij de duurste optie toegang geeft tot de broncode van de zogenaamd ondetecteerbare malware. Deze ontwikkeling illustreert een zorgwekkende trend in de cybercriminaliteit, waarbij geavanceerde aanvalssoftware steeds toegankelijker wordt voor een breder publiek van kwaadwillenden. Het abonnementsmodel maakt het voor potentiële aanvallers eenvoudiger om aan schadelijke tools te komen, wat de dreiging van ransomware-aanvallen verder vergroot.
Lindex Group getroffen door datalek: broncode gestolen
Een cybercrimineel claimt de broncode van de Lindex Group, een internationale modeketen, in handen te hebben. Volgens een bericht op een darkweb forum vond de hack plaats in juni 2024. De aanvaller zegt toegang te hebben gekregen tot de interne GitLab-omgeving van het bedrijf nadat ontwikkelaars hun inloggegevens hadden opgeslagen in hun Jira-werkruimte. De gestolen broncode is nu beschikbaar op het darkweb. In het forumbericht wordt geen prijs of contactmethode vermeld, maar er is wel een link naar de database geplaatst. Het is onduidelijk of de Lindex Group op de hoogte is van dit vermeende datalek. Dit incident onderstreept het belang van veilige opslag van inloggegevens en toegangscontrole voor bedrijfskritische systemen. Het laat ook zien hoe kwetsbaar bedrijven kunnen zijn voor datalekken via hun ontwikkelomgevingen.
Los Angeles County getroffen door datalekken na MFA-omzeiling en phishing
De volksgezondheidsdienst van Los Angeles County heeft begin 2024 twee datalekken gemeld. Het eerste incident vond plaats op 6 februari, toen een aanvaller toegang kreeg tot een Microsoft 365-account door 'MFA fatigue' toe te passen. Hierbij werd de multifactorauthenticatie omzeild door herhaaldelijk inlogpogingen te doen totdat de medewerker een poging goedkeurde. Het tweede datalek gebeurde op 19 en 20 februari, toen 53 medewerkers slachtoffer werden van phishingmails en hun inloggegevens prijsgaven. Dit gaf de aanvaller toegang tot persoonlijke informatie van meer dan 200.000 personen. In beide gevallen werd gevoelige informatie gecompromitteerd, waaronder namen, geboortedata, medische gegevens en social-securitynummers. Als reactie hierop heeft de gezondheidsdienst wachtwoorden gereset en systemen opnieuw geïnstalleerd. Deze incidenten benadrukken het belang van waakzaamheid tegen geavanceerde aanvalstechnieken en phishing in grote organisaties.
FBI Waarschuwt voor Nepadvocaten die Cryptofraudeslachtoffers Oplichten
De FBI heeft gewaarschuwd dat nepadvocaten vorig jaar slachtoffers van cryptofraude voor 10 miljoen dollar hebben opgelicht. Deze oplichters benaderen slachtoffers via social media en andere platforms, waarbij ze zich voordoen als advocatenkantoren die beweren verloren cryptocurrency te kunnen terughalen. Ze claimen samen te werken met de FBI of informatie over de zaak te hebben ontvangen. Slachtoffers worden gevraagd bankgegevens te verstrekken en aanbetalingen of belastingen te voldoen. Tussen februari 2023 en februari 2024 hebben slachtoffers die melding deden bij de FBI op deze manier 10 miljoen dollar verloren. De FBI waarschuwt mensen alert te zijn op zogenaamde 'cryptocurrency recovery services' en geen informatie te verstrekken aan personen die beweren gestolen cryptovaluta te kunnen terugkrijgen. Tevens benadrukt de FBI dat zij geen kosten in rekening brengt voor het onderzoeken van misdrijven. 1
Geavanceerde XZ-backdoor gebruikt innovatieve verbergingstechnieken
De recent ontdekte backdoor in de datacompressietool XZ maakt gebruik van geavanceerde technieken om zichzelf te verbergen. Antivirusbedrijf Kaspersky heeft in een analyse onthuld dat de backdoor x86-gebaseerde steganografie toepast om de public key te verbergen binnen de binaire code. Deze methode verspreidt de key-informatie over specifieke geldige instructies, vergelijkbaar met de gadgetscanning-techniek gebruikt bij return-oriented programming. Daarnaast manipuleert de backdoor de loggingfunctie om ongeautoriseerde verbindingen naar de ssh-server te verbergen en implementeert het maatregelen tegen replay-aanvallen. Deze eigenschappen maken de backdoor uitzonderlijk geavanceerd en moeilijk te detecteren. De aanvallers hadden eerst het vertrouwen van de XZ-projectbeheerder gewonnen voordat ze de backdoor toevoegden. Gezien de complexiteit en verfijning concluderen de onderzoekers dat deze backdoor een zeer geavanceerde dreiging vormt, met unieke kenmerken die het onderscheiden van andere malware. 1
CISA waarschuwt chemische faciliteiten na datalek in beveiligingssysteem
Het Cybersecurity and Infrastructure Security Agency (CISA) heeft een datalek gemeld in hun Chemical Security Assessment Tool (CSAT) omgeving. Het lek vond plaats in januari 2024 toen hackers een webshell installeerden op een Ivanti-apparaat van CISA. Hierdoor kregen ze mogelijk toegang tot gevoelige veiligheidsbeoordelingen en -plannen van chemische faciliteiten. CSAT is een online portaal waar faciliteiten rapporteren over chemicaliën die voor terrorisme gebruikt kunnen worden. Hoewel alle CSAT-gegevens versleuteld zijn en er geen bewijs is van datadiefstal, waarschuwt CISA uit voorzorg alle betrokken partijen. Mogelijk blootgestelde gegevens omvatten veiligheidsbeoordelingen, beveiligingsplannen en persoonlijke informatie van CSAT-gebruikers. CISA adviseert CSAT-accounthouders om wachtwoorden te wijzigen die ook voor andere accounts gebruikt worden. Het agentschap onderzoekt de omvang van het incident en neemt maatregelen om de beveiliging te versterken. 1
"GrimResource" aanvalstechniek misbruikt Windows-kwetsbaarheid
Onderzoekers hebben een nieuwe aanvalstechniek ontdekt genaamd "GrimResource", die gebruikmaakt van speciaal geprepareerde MSC-bestanden (Microsoft Saved Console) en een ongepatcht Windows XSS-lek om code uit te voeren via de Microsoft Management Console. De techniek omzeilt beveiligingsmaatregelen door een combinatie van een oude DOM-gebaseerde XSS-kwetsbaarheid in de apds.dll-bibliotheek en de "DotNetToJScript"-methode. De aanval begint met een kwaadaardig MSC-bestand dat de XSS-kwetsbaarheid uitbuit om JavaScript uit te voeren. Vervolgens wordt een VBScript gereconstrueerd die DotNetToJScript gebruikt om een .NET-component genaamd "PASTALOADER" te laden. Deze component haalt een Cobalt Strike-payload op en injecteert deze in een nieuw dllhost.exe-proces. De techniek wordt actief misbruikt in het wild en is moeilijk te detecteren door antivirussoftware. Systeembeheerders worden geadviseerd alert te zijn op verdachte activiteiten gerelateerd aan mmc.exe en apds.dll. 1, 2, 3
Elastic Security Labs has discovered a new method for initial access and evasion in the wild, termed #GrimResource, which involves arbitrary execution in mmc.exe through a crafted MSC file.https://t.co/q4u4gTPE6Ohttps://t.co/usWJvhygIC pic.twitter.com/hQF4gKktX2
β Samir (@SBousseaden) June 21, 2024
LockBit 3.0 keert terug en domineert ransomware-aanvallen wereldwijd
Volgens een recent rapport van NCC Group is er een aanzienlijke toename van ransomware-aanvallen wereldwijd. In mei 2024 steeg het aantal aanvallen met 32% ten opzichte van april en met 8% ten opzichte van vorig jaar. LockBit 3.0, een ransomware-groep die eerder inactief was, is verrassend teruggekeerd en verantwoordelijk voor 37% van alle aanvallen - een stijging van 665% in vergelijking met vorige maand. Noord-Amerika en Europa blijven de meest getroffen regio's, maar er is ook een opvallende toename van aanvallen in Zuid-Amerika en Afrika. De industriële sector blijft het vaakst doelwit, gevolgd door de technologiesector. Experts suggereren dat LockBit mogelijk nieuwe partners heeft aangetrokken of hun aantallen opdrijft om hun ware toestand te verbergen. De komende maanden zullen uitwijzen of de groep dit hoge aantal aanvallen kan volhouden. Het rapport benadrukt een groeiend en veranderend landschap van cyberdreigingen.
Truist Bank Databases te Koop Aangeboden op Darkweb
Een cybercrimineel beweert toegang te hebben tot databases van Truist Bank en biedt deze te koop aan op een dark web forum. De vraagprijs is $75.000, aanzienlijk lager dan de oorspronkelijke $1 miljoen, om een snelle verkoop te stimuleren. De aanbieder accepteert betalingen in de cryptovaluta Monero en staat open voor onderhandelingen via Telegram of een anoniem communicatiekanaal. De vermeende databases bevatten gevoelige informatie van zowel werknemers als klanten. Werknemersgegevens omvatten ID's, namen, e-mailadressen en functies. Klantgegevens bevatten onder meer rekeningnummers, leningdetails en persoonlijke informatie zoals geboortedatum. Dit incident onderstreept de aanhoudende dreiging van cyberaanvallen op financiële instellingen en de potentiële risico's voor persoonlijke en financiële gegevens van klanten en medewerkers. Het benadrukt het belang van robuuste cyberbeveiligingsmaatregelen in de banksector.
Indonesische militaire en biometrische gegevens te koop aangeboden op darkweb
Een cybercrimineel beweert gevoelige gegevens van de Indonesische militaire inlichtingendienst Badan Intelijen Strategis en het biometrische identificatiesysteem INAFIS te verkopen. De aangeboden militaire data omvat een gebruikersdatabase met persoonlijke informatie van 2000 medewerkers en 33,7 GB aan vertrouwelijke documenten uit 2020-2022. De prijs hiervoor is respectievelijk $1000 en $7000. De INAFIS-data bevat gezichts- en vingerafdrukafbeeldingen van leden met e-mailadressen, evenals de broncode van de INAFIS-applicatie. Hiermee zou toegang mogelijk zijn tot een database met meer dan 200 miljoen Indonesische ID-nummers. De applicatie wordt aangeboden voor $1000. Deze datalek onthult ernstige beveiligingsproblemen en brengt het risico met zich mee dat gevoelige militaire en biometrische gegevens misbruikt kunnen worden. De verkoper accepteert alleen cryptocurrency als betaalmiddel en is te bereiken via Telegram.
Vermeende Cyberaanval op Zerto: 51 TB Data Gestolen om Politieke Redenen
Een cybercrimineel claimt een aanval te hebben uitgevoerd op Zerto, een dochteronderneming van Hewlett Packard Enterprise gespecialiseerd in disaster recovery en ransomware-bescherming. Volgens een bericht op een dark web forum heeft de aanvaller 51 terabyte aan gegevens gestolen en vervolgens gewist. De motivatie voor de aanval zou politiek van aard zijn, niet financieel of gericht op spionage. Zerto, dat oplossingen biedt voor disaster recovery, ransomware-weerbaarheid en workload-mobiliteit voor gevirtualiseerde infrastructuren en cloudomgevingen, is een belangrijk doelwit vanwege zijn rol in databeveiliging. De aanvaller deelde ook een Telegram-kanaal en een afbeelding gerelateerd aan de vermeende aanval. Dit incident onderstreept de toenemende dreiging van politiek gemotiveerde cyberaanvallen op bedrijven in de technologiesector, vooral die zich bezighouden met databeveiliging en disaster recovery.
Nieuwe Zero-Day Exploit voor VirtualBox te Koop op Darkweb
Een nieuwe speler op darkwebforums beweert een zero-day exploit te bezitten voor VirtualBox VME. Deze kwetsbaarheid zou alle Windows-versies treffen, inclusief recente updates zoals 21H2, 22H2, 23H2 en 24H2. De aanbieder vraagt 50.000 dollar in de cryptovaluta Monero voor deze exclusieve exploit. Gezien de potentiële impact van deze kwetsbaarheid op virtuele machine-omgevingen, adviseren forummoderatoren geïnteresseerde kopers om een vertrouwde tussenpersoon te gebruiken bij een eventuele transactie. Dit om het risico op fraude te beperken. Deze ontwikkeling onderstreept de aanhoudende uitdagingen die zero-day exploits vormen voor cybersecurity. Het benadrukt het belang van robuuste beveiligingsmaatregelen om kwetsbaarheden in virtualisatiesoftware tegen te gaan. Organisaties die VirtualBox gebruiken worden aangeraden extra waakzaam te zijn en hun systemen goed te monitoren op verdachte activiteiten.
Cybercrimineel biedt ongeautoriseerde toegang tot Ierse retailer te koop aan
Een cybercrimineel beweert ongeautoriseerde toegang tot het netwerk van een grote Ierse retailer te verkopen. Het gaat om een bedrijf met een jaaromzet van meer dan 500 miljoen dollar. De aangeboden toegang is van het type AnyConnect (AD), wat potentieel vergaande controle over de netwerkinfrastructuur van de retailer kan geven. De crimineel vraagt 800 dollar voor deze toegang en stelt dat verdere details en verificatie alleen worden verstrekt aan betrouwbare gebruikers of tegen betaling van een borg. Dit wijst op een ernstig beveiligingslek bij de getroffen retailer. Het incident onderstreept de aanhoudende cyberdreigingen waarmee bedrijven worden geconfronteerd bij het beschermen van hun digitale bezittingen. Met name in de retailsector, waar grote hoeveelheden gevoelige klant- en bedrijfsgegevens op het spel staan, blijft cybersecurity een grote uitdaging.
Grootschalige datalek bij MyRepublic Indonesia
Op 19 juni 2024 werd MyRepublic Indonesia, een prominente telecomprovider, getroffen door een ernstig datalek. Een cybercrimineel biedt nu 902.979 gestolen klantgegevens te koop aan op het dark web. De gelekte informatie omvat gevoelige data zoals klantnummers, namen, e-mailadressen, telefoonnummers, woonadressen en details over internet- en tv-abonnementen. De hacker stelt voor de transactie via een tussenpersoon te laten verlopen en accepteert alleen betalingen in de cryptovaluta Monero. Dit incident roept grote zorgen op over de beveiliging en privacy van MyRepublic-klanten in Indonesië. Het onderstreept tevens de aanhoudende kwetsbaarheden in de telecomsector. Autoriteiten en getroffen personen worden opgeroepen voorzorgsmaatregelen te nemen tegen mogelijk misbruik van hun persoonlijke gegevens. Dit datalek benadrukt het belang van robuuste cybersecurity-maatregelen bij telecomproviders om klantgegevens te beschermen.
Nieuwe Ransomware Builder "Nevermore" Aangeboden op Darkweb Forum
Een cybercrimineel heeft op een darkweb forum een nieuwe ransomware builder genaamd "Nevermore Ransomware Builder" geadverteerd. Deze tool stelt aanvallers in staat om hun eigen aangepaste ransomware te creëren met diverse aanpasbare opties. Gebruikers kunnen kiezen tussen twee encryptiemodi: alleen bestandsnamen versleutelen of alles versleutelen. De builder biedt ook de mogelijkheid om eigen instructies, achtergronden en pictogrammen toe te voegen. Een opmerkelijke functie is de "File Stealer", waarmee aanvallers bestanden van slachtoffers kunnen downloaden voordat ze worden versleuteld. Volgens de advertentie is elke gegenereerde payload uniek en ondetecteerbaar door Windows Defender. Aanvallers kunnen hun voorkeuren voor losgeld instellen, waaronder de gewenste cryptovaluta en wallet. Hoewel de advertentie geen prijs of contactgegevens vermeldt, illustreert dit aanbod de toenemende toegankelijkheid van geavanceerde cybercrime tools op het darkweb.
Datalek van Panamese Overheidsmedewerkers via Serviceprovider Maxia
Een bericht op een darkweb-forum claimt dat er een datalek heeft plaatsgevonden bij Maxia, een serviceprovider voor de Panamese overheid en private organisaties. Het lek zou een database bevatten met persoonlijke gegevens van overheidsmedewerkers. Volgens de dreigingsactor is het lek in 2024 ontstaan en omvat het vijf bestanden met gevoelige informatie zoals volledige namen, telefoonnummers, geboortedata, e-mailadressen en wachtwoorden. Er is een voorbeeld van de gelekte gegevens gedeeld, maar er worden geen contactgegevens of prijzen vermeld voor de volledige dataset. Dit incident roept zorgen op over de beveiliging van overheidsinformatie en de potentiële risico's voor de betrokken medewerkers. Verdere details over de omvang en authenticiteit van het lek zijn nog niet bevestigd.
Brits beveiligingsplatform getroffen door datalek
Een cybercrimineel claimt toegang te hebben tot een database van Get Licensed, een Brits platform voor beveiligingstrainingen en personeelswerving. De database zou gegevens bevatten van 136.596 gebruikers uit 2024, waaronder klant-ID's, namen, e-mailadressen, adressen, telefoonnummers en boekingsaantallen. De aanvaller heeft een steekproef van de gegevens gedeeld en biedt de volledige database te koop aan via een darkweb-forum. De verkoop zal eenmalig plaatsvinden via een tussenpersoon, waarbij de koper de prijs mag voorstellen. Betaling wordt alleen geaccepteerd in de cryptomunt Monero (XMR). Geïnteresseerden dienen de aanvaller via privébericht op het forum te benaderen. Dit incident onderstreept de aanhoudende dreiging van datalekken, zelfs voor bedrijven in de beveiligingssector. Het benadrukt het belang van robuuste gegevensbescherming en waakzaamheid tegen cyberdreigingen voor alle organisaties die gevoelige klantinformatie beheren.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Week overzicht slachtoffers
Slachtoffer | Cybercriminelen | Land | Sector | Publicatie darkweb β |
---|---|---|---|---|
Wayne Memorial Hospital | MONTI | USA | Health Services | 30-jun-24 |
lambertz.de | Black Basta | Germany | Food Products | 30-jun-24 |
life.vet.br | DarkVault | Brazil | Miscellaneous Services | 29-jun-24 |
jla.com | EMBARGO | United Kingdom | Engineering Services | 29-jun-24 |
pandacare.ae | DarkVault | United Arab Emirates | Miscellaneous Services | 29-jun-24 |
DRM Resources | Rhysida | USA | Business Services | 29-jun-24 |
Clima Lodi | Arcus Media | Italy | Engineering Services | 29-jun-24 |
DatAnalΓtica | Arcus Media | Dominican Republic | IT Services | 29-jun-24 |
Freightliner of Grand Rapids & Kalamazoo | Arcus Media | USA | Motor Freight Transportation | 29-jun-24 |
Spandex.com | Ransomhub | Switzerland | Miscellaneous Manufacturing Industries | 29-jun-24 |
midamea.com | Ransomhub | South Korea | Construction | 28-jun-24 |
ASI | BianLian | USA | IT Services | 28-jun-24 |
Wilmots | Akira | United Kingdom | Legal Services | 28-jun-24 |
Power Lube Industrial | Akira | USA | Machinery, Computer Equipment | 28-jun-24 |
Gestores Administrativos Reunidos | RansomHouse | Spain | Security And Commodity Brokers, Dealers, Exchanges, And Services | 28-jun-24 |
Francesco Parisi | RansomHouse | Italy | Transportation Services | 28-jun-24 |
Ruland-viersen.de | Cloak | Germany | Automotive Dealers | 28-jun-24 |
equinocioplay.com.br | Ransomhub | Brazil | Publishing, printing | 27-jun-24 |
www.cipl.org.in | Ransomhub | India | IT Services | 27-jun-24 |
www.mangimifusco.it | Ransomhub | Italy | Food Products | 27-jun-24 |
coca-cola.com - Myanmar office | Ransomhub | USA | Food Products | 27-jun-24 |
daniellegroup.com | Ransomhub | USA | Apparel And Other Finished Products | 27-jun-24 |
buyeazzy.com | DarkVault | India | Miscellaneous Retail | 27-jun-24 |
CLOUD EUROPE S.r.l | Ransomhub | Italy | IT Services | 27-jun-24 |
KADOKAWA Corporation | BLACK SUIT | Japan | Miscellaneous Services | 27-jun-24 |
H*******Y | FSOCIETY | Unknown | Unknown | 27-jun-24 |
Total Revisjon DA | Arcus Media | Norway | Accounting Services | 26-jun-24 |
Gallos Metal Solutions | Akira | USA | Metal Industries | 26-jun-24 |
Ocasa | Akira | USA | Transportation Services | 26-jun-24 |
Waterbury Newton | Akira | Canada | Legal Services | 26-jun-24 |
Longviewbridge.com | Cloak | USA | Construction | 26-jun-24 |
US Dermatology Partners | BianLian | USA | Health Services | 25-jun-24 |
Better Business Bureau | BianLian | USA | Business Services | 25-jun-24 |
competenz.co.nz | LockBit | Nieuw-Zeeland | Educational Services | 25-jun-24 |
YKS | Qilin | Turkiye | Management Services | 25-jun-24 |
PCI Developments | Akira | Canada | Real Estate | 25-jun-24 |
Beckett Thermal Solutions | Akira | USA | Fabricated Metal Products | 25-jun-24 |
Utility Datacenter | Akira | USA | IT Services | 25-jun-24 |
decreditos.com | DarkVault | Argentina | Non-depository Institutions | 25-jun-24 |
axiavg.com | BLACK SUIT | Cyprus | Security And Commodity Brokers, Dealers, Exchanges, And Services | 25-jun-24 |
catiglass.com | BLACK SUIT | USA | Miscellaneous Manufacturing Industries | 25-jun-24 |
rbbschools.net | BLACK SUIT | USA | Educational Services | 25-jun-24 |
sanglier.org.uk | BLACK SUIT | United Kingdom | Chemical Producers | 25-jun-24 |
arangobillboard.com | BLACK SUIT | USA | Construction | 25-jun-24 |
doityoungs.com | BLACK SUIT | United Kingdom | Wholesale Trade-durable Goods | 25-jun-24 |
theeyeclinicsurgicenter.com | BLACK SUIT | USA | Health Services | 25-jun-24 |
keeservices.com | BLACK SUIT | United Kingdom | Electric, Gas, And Sanitary Services | 25-jun-24 |
keybenefit.com | Black Basta | USA | Insurance Carriers | 25-jun-24 |
scrubsandbeyond.com | Black Basta | USA | Apparel And Accessory Stores | 25-jun-24 |
pkaufmann.com | Black Basta | USA | Textile Mill Products | 25-jun-24 |
ibewlocal1.org | BLACK SUIT | USA | Membership Organizations | 25-jun-24 |
Ontario West and Bill Blaney Insurance Brokers | Medusa | Canada | Insurance Carriers | 25-jun-24 |
North Coast Petroleum | Medusa | Australia | Wholesale Trade-non-durable Goods | 25-jun-24 |
www.harrisranchbeef.com | Ransomhub | USA | Food Products | 24-jun-24 |
hydmech.com | Cactus | USA | Machinery, Computer Equipment | 24-jun-24 |
westfalia-automotive.com | Cactus | Germany | Transportation Equipment | 24-jun-24 |
www.concisa.eng.br | Qiulong | Brazil | Construction | 24-jun-24 |
Agron (Five Ten) Adidas TERREX | Akira | Germany | Apparel And Other Finished Products | 24-jun-24 |
Compagnia Trasporti Integrati S.R.L | MONTI | Italy | Transportation Services | 24-jun-24 |
VTWin.ca | MONTI | Unknown | Unknown | 24-jun-24 |
federalreserve.gov | LockBit | USA | Public Finance, Taxation | 24-jun-24 |
marvell.com | LockBit | USA | Machinery, Computer Equipment | 24-jun-24 |
qftemb.com | LockBit | China | Transportation Equipment | 24-jun-24 |
at-global.com | LockBit | Japan | IT Services | 24-jun-24 |
www.sicoob.com.br | Ransomhub | Brazil | Security And Commodity Brokers, Dealers, Exchanges, And Services | 24-jun-24 |
multi-wing.com | Ransomhub | Denmark | Machinery, Computer Equipment | 24-jun-24 |
bitzsoftwares.com.br | Ransomhub | Brazil | IT Services | 24-jun-24 |
www.ugrocapital.com | Ransomhub | India | Non-depository Institutions | 24-jun-24 |
www.novabitsrl.it | Ransomhub | Italy | Miscellaneous Manufacturing Industries | 24-jun-24 |
smicusa.com | Ransomhub | USA | Educational Services | 24-jun-24 |
www.gbricambi.it | Ransomhub | Italy | Electronic, Electrical Equipment, Components | 24-jun-24 |
parlorenzo.com | Ransomhub | Spain | Legal Services | 24-jun-24 |
www.liderit.es | Ransomhub | Spain | IT Services | 24-jun-24 |
www.domainatcleveland.com | Ransomhub | USA | Personal Services | 24-jun-24 |
www.invisio.com | Ransomhub | Denmark | Electronic, Electrical Equipment, Components | 24-jun-24 |
Slachtoffers België en Nederland
Slachtoffer | Cybercriminelen | Land | Sector | Publicatie datum darkweb β |
---|
Meetmoment | Aantal organisaties waar data van gelekt is op het darkweb |
---|---|
01-05-2019 (eerste slachtoffer) | 1 |
01-05-2020 | 85 |
01-05-2021 | 2.167 |
01-05-2022 | 5.565 |
01-05-2023 | 8.292 |
01-05-2024 | 13.707 |
NU: 01-07-2024 | 14.548 |
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 43-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 38-2024
Reading in π¬π§ or another language