Slachtofferanalyse en Trends van Week 27-2024

Gepubliceerd op 8 juli 2024 om 15:00

CYBERAANVALLEN, DATALEKKEN, TRENDS EN DREIGINGEN

Impact van cyberaanvallen op lokale en internationale schaal

De afgelopen week zijn verschillende instellingen getroffen door cyberaanvallen, variërend van lokale overheden tot internationale bedrijven. In de Belgische stad Ans zorgde een cyberaanval voor aanzienlijke verstoring van de dienstverlening aan burgers. Ook Ticketmaster werd opnieuw getroffen, dit keer met een dreiging waarbij hackers gevoelige informatie van concerttickets lekten en losgeld eisten.

Datalekken en hun brede impact

Datalekken blijven een persistente dreiging met ernstige privacy- en beveiligingsimplicaties. Het Indiase digitale marketingbedrijf True Line Solution werd het slachtoffer van een uitgebreid datalek dat persoonlijke en bedrijfsgevoelige informatie van miljoenen klanten en gebruikers blootlegde. Eveneens zagen we hoe gegevens van een aardgasbedrijf in China op het darkweb werden aangeboden, wat de kwetsbaarheid van kritieke infrastructuursectoren benadrukt.

De voortdurende dreiging van ransomware

Ransomware blijft zich ontwikkelen met nieuwe varianten die elke maand worden ontdekt. De introductie van Eldorado ransomware, die zich specifiek richt op Windows- en VMware ESXi-systemen, onderstreept de noodzaak voor bedrijven om hun cybersecurity-strategieën voortdurend te evalueren en te versterken om zich tegen dergelijke geavanceerde dreigingen te beschermen.

De cruciale rol van overheid en bedrijfsleven

De incidenten van de afgelopen week tonen aan dat er een dringende behoefte is aan verbeterde samenwerking tussen de publieke en private sector. Overheden moeten proactieve cyberbeveiligingsbeleidsmaatregelen implementeren en bedrijven moeten investeren in robuuste beveiligingssystemen en bewustmakingsprogramma's om de cyberresilience te verhogen.

Menselijke factor en veiligheidscultuur

Het grootste deel van de cyberaanvallen begint nog steeds bij de menselijke factor – of het nu gaat om een phishing-aanval of een simpele misstap die leidt tot een datalek. Het is essentieel dat organisaties een sterke veiligheidscultuur ontwikkelen waarin regelmatige training en bewustwording centraal staan om zowel individuele als collectieve cyberhygiëne te bevorderen.

Hieronder vind je een compleet dag-tot-dag overzicht.

Begrippenlijst: Sleutelwoorden uitgelegd

  • Ransomware - Een type malware dat de gegevens van een slachtoffer versleutelt, waardoor de toegang tot bestanden of systemen wordt geblokkeerd. De aanvallers eisen dan losgeld (vaak in cryptocurrency) voor de sleutel die nodig is om de gegevens te ontsleutelen.

  • Datalek - Een beveiligingsincident waarbij vertrouwelijke, gevoelige of beschermde informatie wordt vrijgegeven, blootgesteld, gestolen of gebruikt door een entiteit die niet bevoegd is om die informatie te zien of te hebben.

  • Credential stuffing - Een cyberaanval waarbij gestolen accountgegevens worden gebruikt om grote aantallen automatische inlogpogingen uit te voeren tegen een website. Deze aanval maakt gebruik van lijsten met bekende gebruikersnamen en wachtwoorden die eerder zijn gelekt.

  • Phishing - Een soort fraude waarbij aanvallers zich voordoen als een betrouwbare entiteit om gebruikers te lokken persoonlijke informatie, zoals wachtwoorden en creditcardnummers, prijs te geven.

  • Endpoint Detection and Response (EDR) - Beveiligingssystemen die op eindpunten (zoals laptops, desktops en mobiele apparaten) worden geïnstalleerd om verdachte activiteiten te detecteren, te onderzoeken en daarop te reageren.

  • Multi-Factor Authentication (MFA) - Een beveiligingssysteem dat meer dan één methode van authenticatie vereist van onafhankelijke categorieën van inloggegevens om de identiteit van de gebruiker te verifiëren.

  • BGP-hijacking - Een aanval waarbij de routeringstafels van het Border Gateway Protocol (BGP) worden gemanipuleerd om verkeer om te leiden naar een kwaadaardige router.

  • IoC (Indicator of Compromise) - Activiteiten of artefacten in een netwerk of op een computer die met hoge waarschijnlijkheid wijzen op een inbreuk op de beveiliging.

  • Threat Intelligence - Informatie die een organisatie helpt begrijpen welke bedreigingen actueel zijn of kunnen worden, zodat ze beter voorbereid kunnen zijn op het afweren van cyberaanvallen.



Cyberaanvallen, datalekken, trends en dreigingen nieuws


Bedreigende actoren beweren veel ongeautoriseerde VPN- en SOCKS-toegang te verkopen

Threat actors bieden naar verluidt ongeautoriseerde VPN- en SOCKS-toegang aan verschillende bedrijven in verschillende landen en industrieën. De toegang varieert van domeingebruiker tot domeinbeheerdersrechten, met aanzienlijke potentiële gevolgen voor elke getroffen organisatie. De bedreigende actoren verkopen toegang tot bedrijven in verschillende landen, waaronder Spanje, het Verenigd Koninkrijk, India, Indonesië, Canada, Thailand, Puerto Rico, de Verenigde Staten en Japan. Deze vermeende verkopen benadrukken aanzienlijke cybersecurity kwetsbaarheden in verschillende sectoren en regio's en onderstrepen de noodzaak van verbeterde beveiligingsmaatregelen en constante waakzaamheid om gevoelige informatie en infrastructuur te beschermen.


Hackers gebruiken kwetsbaarheden in oude HTTP-file servers voor Monero-mining

Cybercriminelen maken misbruik van kwetsbaarheden in verouderde versies van Rejetto's HTTP File Server (HFS) om kwaadaardige software, zoals Monero mining-malware, te installeren. Hierdoor kunnen ze op afstand willekeurige opdrachten uitvoeren zonder authenticatie. AhnLab waarschuwt voor het installeren van versies 2.3m tot en met 2.4 vanwege de mogelijkheid tot controle over servers door aanvallers. XMRig wordt gebruikt voor Monero-mining vanwege de privacyfuncties van de cryptocurrency. Rejetto raadt aan om de kwetsbare versies niet meer te gebruiken. Cybercriminelen hebben ook andere kwaadaardige software geïnstalleerd, zoals remote access trojans. 1


πŸ‡§πŸ‡ͺ Stad Ans (B) slachtoffer van cyberaanval, diensten voor burgers getroffen

De burgemeester van Ans, Grégory Philippin, heeft aangekondigd dat de stad sinds 4 juli getroffen is door een cyberaanval. Dit heeft gevolgen gehad voor de diensten die aan burgers worden verleend. De bibliotheek blijft toegankelijk, maar sommige online diensten zoals het aanvragen van parkeervergunningen zijn tijdelijk niet beschikbaar. De afdeling Burgerzaken blijft open voor het publiek en verstrekt nog steeds documenten zoals paspoorten en rijbewijzen. De stad doet er alles aan om de situatie snel op te lossen en de continuïteit van de dienstverlening aan het publiek te waarborgen. Meer informatie over de impact van de cyberaanval is te vinden op de website van de stad Ans. 1


Chinese gasreus doelwit van grootschalige datalek

Een cybercrimineel beweert toegang te hebben tot 2,2 miljoen klantengegevens van China's grootste aardgasbedrijf. De gelekte database zou uitgebreide informatie bevatten over gasgebruikers en hun verzekeringen, met de meest recente gegevens daterend van mei 2024. De aangeboden data omvat persoonlijke details zoals geslacht, geboortedatum, woonplaats, mobiel nummer en identiteitsnummer. Daarnaast zijn er specifieke gegevens over gasgebruik, klantnummers en bedrijfsinformatie beschikbaar. De hacker probeert deze gevoelige informatie te verkopen via ondergrondse kanalen. Dit incident onderstreept de toenemende kwetsbaarheid van grote bedrijven voor cyberdreigingen, vooral in kritieke sectoren zoals energie. Het toont ook aan hoe waardevolle persoonlijke gegevens een lucratief doelwit zijn geworden voor criminelen in de digitale onderwereld. De impact van dit datalek kan verstrekkende gevolgen hebben voor zowel het getroffen bedrijf als zijn miljoenen klanten.


Grootschalig datalek bij Indiaas digitaal marketingbedrijf

Een Indiaas digitaal marketingbedrijf, True Line Solution, is getroffen door een ernstig datalek. Volgens berichten op een darkweb forum zijn gegevens van ongeveer 1,235 miljoen klanten en 5.500 systeemgebruikers gelekt. De gestolen data omvat uitgebreide bedrijfsinformatie van 6.000 entiteiten en 134 zakelijke SMTP-gegevens. Ook zijn volledige API-sleutels vrijgegeven. De gelekte klantgegevens bevatten onder meer bedrijfsnamen, e-mailadressen en adressen. De gebruikersdata bevat gevoelige informatie zoals bankgegevens, persoonlijke gegevens en technische details. De aanvaller heeft ook voorbeeldgegevens gedeeld om de echtheid van de data aan te tonen. Dit incident onderstreept de toenemende dreiging van cyberaanvallen op bedrijven en het belang van robuuste databeveiligingsmaatregelen. Het lekt kan verstrekkende gevolgen hebben voor de getroffen klanten en gebruikers, waaronder identiteitsdiefstal en financiële fraude.


Massale Datalek: Bijna 10 Miljard Wachtwoorden Gelekt in RockYou2024

Een cybercrimineel beweert een nieuwe versie van de beruchte RockYou-wachtwoordlijst te hebben gelekt, genaamd RockYou2024. Deze lijst zou meer dan 9,9 miljard wachtwoorden bevatten, waarmee het een van de grootste verzamelingen gecompromitteerde inloggegevens tot nu toe is. RockYou2024 is naar verluidt een update van de RockYou21-lijst, samengesteld uit recent gelekte databases van verschillende forums over de afgelopen jaren. Deze enorme compilatie vormt een aanzienlijk veiligheidsrisico, omdat het cybercriminelen voorziet van een uitgebreide verzameling wachtwoorden die kunnen worden gebruikt voor credential stuffing en andere kwaadaardige activiteiten. De originele RockYou-lijst, die in 2009 opdook na een datalek bij de sociale applicatiesite RockYou.com, bevatte 32 miljoen wachtwoorden. Sindsdien is deze lijst veelvuldig gebruikt door hackers om wachtwoorden te kraken en heeft het geleid tot verschillende bijgewerkte versies naarmate er meer datalekken plaatsvonden.


Datalek bij Omni Hotels & Resorts: Miljoenen klantgegevens te koop aangeboden

Een cybercrimineel beweert toegang te hebben tot een database van Omni Hotels & Resorts met meer dan 5 miljoen klantgegevens. Deze informatie wordt nu te koop aangeboden op een forum op het dark web. Het datalek zou in 2024 hebben plaatsgevonden en treft klanten van de hotelketen in de Verenigde Staten en Canada. Volgens een gedeeld voorbeeld van de gestolen data gaat het om persoonlijke informatie zoals namen, e-mailadressen, verblijfsdata, postcodes, staten en landen. De hacker heeft een Telegram-contactadres geplaatst voor geïnteresseerde kopers. 


Vermeende Datalek bij Amerikaans Vastgoedbedrijf Assurified

Een hacker claimt de database van Assurified, een Amerikaans bedrijf gespecialiseerd in risicobeheer voor commercieel vastgoed, te hebben gelekt. Volgens een bericht op een darkweb-forum zijn de gegevens van 102.000 gebruikers blootgesteld. De gelekte informatie zou onder meer bestaan uit namen, bedrijfsgegevens, functies, LinkedIn-accounts, contactgegevens en personeels-ID's. De hacker heeft een voorbeeldset van de vermeende gelekte data gedeeld, maar heeft geen prijsinformatie of contactgegevens vermeld. Assurified staat bekend om het gebruik van geavanceerde technologieën in hun vastgoedbeheer. Dit vermeende datalek zou een aanzienlijke inbreuk kunnen betekenen op de privacy van hun klanten en medewerkers. Het incident onderstreept het groeiende risico van cyberaanvallen gericht op bedrijven die gevoelige gegevens beheren, vooral in sectoren zoals vastgoed waar grote financiële belangen spelen.


❗️Hackers lekken Taylor Swift ticketdata en eisen losgeld van Ticketmaster

Hackers hebben naar verluidt barcodegegevens van 166.000 tickets voor Taylor Swift's Eras Tour gelekt. Ze dreigen meer evenementgegevens vrij te geven als Ticketmaster niet $2 miljoen betaalt. De gelekte data bevat informatie over stoelnummers en ticketprijzen voor aankomende concerten in Miami, New Orleans en Indianapolis. Dit incident volgt op een eerdere datalek bij Ticketmaster in mei, waarbij gegevens van 560 miljoen klanten werden gestolen uit hun Snowflake-clouddatabase. De hackersgroep ShinyHunters, bekend van eerdere grote datalekken, lijkt verantwoordelijk. Ticketmaster stelt dat de gelekte barcodes niet bruikbaar zijn vanwege hun SafeTix-technologie, die unieke barcodes elke paar seconden ververst. Het bedrijf bevestigt dat ze niet onderhandeld hebben over losgeld, in tegenstelling tot beweringen van de hackers.


Nieuwe Eldorado ransomware bedreigt Windows en VMware ESXi

Eldorado, een nieuwe ransomware-as-a-service (RaaS), is in maart 2024 opgedoken en richt zich op zowel Windows- als VMware ESXi-systemen. De malware, geschreven in Go, heeft al 16 slachtoffers gemaakt, voornamelijk in de VS, in sectoren als vastgoed, onderwijs, gezondheidszorg en productie. Eldorado gebruikt het ChaCha20-algoritme voor versleuteling en RSA voor sleutelencryptie. Het versleutelt netwerkshares via SMB en verwijdert schaduwkopieën op Windows-machines. De ransomware kan zichzelf verwijderen om detectie te voorkomen. Affiliates kunnen hun aanvallen aanpassen, zoals het specificeren van te versleutelen mappen en het overslaan van lokale bestanden. Group-IB, het cyberbeveiligingsbedrijf dat Eldorado onderzocht, benadrukt dat dit een nieuwe, op zichzelf staande operatie is en geen herbranding van een bestaande groep. Ze adviseren verschillende beveiligingsmaatregelen, waaronder multifactorauthenticatie, regelmatige back-ups en het niet betalen van losgeld. 1


πŸ‡³πŸ‡± Opnieuw Datalek bij Schoolboekenleverancier Iddink

De Gelderse schoolboekenleverancier Iddink is opnieuw het slachtoffer van een datalek geworden, zo meldt de ict-coöperatie SIVON. Bij het inleverproces van schoolboeken, waarbij een link via e-mail naar leerlingen werd gestuurd, bleek deze link eenvoudig aan te passen. Hierdoor konden onbevoegden toegang krijgen tot gegevens van andere leerlingen in heel Nederland. Het lek betrof namen, adressen, schoolinformatie en de geleverde schoolboeken van het schooljaar 2023-2024. Dit is de tweede keer dit jaar dat Iddink door een datalek getroffen is, na een eerdere ransomware-aanval. Hoewel er misbruik van de kwetsbaarheid is gemaakt, zijn er volgens Iddink geen gegevens geautomatiseerd gedownload. SIVON meldt dat het risico op misbruik laag is en scholen volgens de AVG niet verplicht zijn om betrokkenen te informeren. Iddink heeft inmiddels maatregelen genomen om de kwetsbaarheid te verhelpen en komt later met meer informatie over het incident. 1


BGP-Hijacking en Route Leak Leiden Tot Onbereikbaarheid Cloudflare's DNS-Dienst

Op 27 juni 2024 werd Cloudflare’s DNS-dienst 1.1.1.1 tijdelijk onbereikbaar voor sommige gebruikers door een incident met BGP-hijacking en een route leak. BGP, essentieel voor internetverkeer, werd door het Braziliaanse Eletronet misbruikt om verkeer naar hun netwerk te leiden, wat resulteerde in de onbereikbaarheid van de dienst voor meer dan driehonderd netwerken in zeventig landen. Tegelijkertijd zorgde de Braziliaanse telecomprovider Nova Rede voor een route leak, waarbij verkeer niet efficiënt werd gerouteerd. Dit incident duurde ongeveer acht uur voordat het opgelost werd. Cloudflare benadrukt dat, hoewel dergelijke route leaks moeilijk te voorkomen zijn vanwege de afhankelijkheid van vertrouwen op het internet, er stappen worden ondernomen om de impact van dergelijke incidenten te beperken. Het bedrijf zal zowel intern als binnen de internetgemeenschap maatregelen nemen om toekomstige incidenten sneller te identificeren en de gevolgen voor gebruikers te minimaliseren. 1


Gegevensdiefstal van 38TB bij SkyPostal en SkyPartsUSA

Een significante datalek is aangekondigd waarbij SkyPostal, een van de grootste verzendbedrijven uit Miami, Florida, getroffen zou zijn. De hacker beweert SkyPostal volledig te hebben gecompromitteerd, samen met de gelieerde websites SkyPostalBR, SkyPostalExpress, Postrac en het vliegtuigonderdelenbedrijf SkyPartsUSA. De omvang van de datalek bedraagt naar verluidt 38TB, met gestolen informatie zoals e-maillogs, verzendgegevens, gebruikersreferenties en communicatie met de Amerikaanse douane. Bewijs van de inbreuk, inclusief screenshots en logs, is verstrekt door de hacker. De aanvaller zoekt naar biedingen van meer dan $2.000 USD voor toegang tot de serversleutels en de gegevens, en belooft persoonlijke begeleiding bij het downloaden van de informatie.


Gevoelige Data van Colombiaanse Overheidsinstantie Te Koop op Darkweb

Op een forum op het darkweb wordt een database aangeboden die zou behoren tot een Colombiaanse overheidsinstantie. De dreigingsactor beweert dat de database gebruikersdata, zoals gebruikers-ID's, telefoonnummers, e-mailadressen, PDF-facturen en andere documenten bevat. In totaal zou de database 1.500.000 regels bevatten, met een totale omvang van meer dan 4.655.380 gegevensregels. De verkoopprijs voor alleen de database is vastgesteld op $1100, terwijl de prijs voor zowel de database als de toegang tot het systeem $2200 bedraagt. De verkoper heeft tevens aangegeven de betrokken overheidsinstantie bekend te maken zodra de transactie via een forum-escrow is voltooid. Er is ook een voorbeeld van de data beschikbaar gesteld.


Kwetsbaarheid in Docker-container op Darkweb Forum Verkocht

Een dreigingsactor biedt een exploit aan op een dark web forum waarmee aanvallers kunnen ontsnappen uit een Docker-container naar het hostsysteem. Deze kwetsbaarheid, getest op Docker-versies 20.10.20-25 en kernelversie 6.8.11, zou kunnen worden gecombineerd met een eerder ontdekte kwetsbaarheid van dezelfde actor. De exploit wordt verkocht voor $69.000. Deze ontwikkeling onderstreept de noodzaak voor organisaties om hun beveiligingsmaatregelen continu te evalueren en bij te werken, vooral met betrekking tot containeromgevingen. Het is belangrijk om op de hoogte te blijven van dergelijke dreigingen om adequate bescherming te waarborgen.


Toegang tot Indonesische Cloud Service Provider te Koop op Dark Web

Een dreigingsactor biedt op een darkweb-forum administratieve toegang aan tot een Indonesische cloud service provider. Deze provider levert diensten zoals multi-datacenter services, cloudoplossingen, cyberbeveiliging, en meer. De aangeboden toegang omvat volledige controle over 11.903 apparaten, waaronder 550 servers, 10 hypervisors, 7 werkstations, 3 netwerkapparaten, 6 firewalls en 11.325 virtuele machines, met een totale opslag van meer dan 600 TB. De verkoper stelt de startprijs vast en verkoopt de toegang via een veiling, waarbij elke biedstap 1000 USD bedraagt.


Besmette Softwareversies van Conceptworld Verspreid via Website

Conceptworld heeft via hun website besmette versies van Notezilla, RecentX en Copywhiz verspreid. Deze softwareversies bevatten malware die wachtwoorden en andere inloggegevens stal, evenals informatie van cryptowallets, inhoud van het klembord en toetsaanslagen. Bovendien kon de malware extra schadelijke software installeren. Onderzoekers van Rapid7 ontdekten op 18 juni verdachte activiteit bij een installatie van Notezilla. Verdere analyse toonde aan dat de installer van Notezilla, samen met die van RecentX en Copywhiz, besmet was. Rapid7 waarschuwde Conceptworld op 24 juni, waarna de besmette installers binnen twaalf uur werden verwijderd. Het is onbekend hoe de aanvallers toegang tot de website hebben verkregen. De besmette software was mogelijk sinds begin juni beschikbaar. 1


πŸ‡³πŸ‡± Cyberdreiging: Een Steeds Groeiende Zorg in Nederland

Volgens de laatste Risico- en Crisisbarometer van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) maakt 44 procent van de Nederlanders zich zorgen over cyberdreigingen, met driekwart van de bevolking die verwacht dat een dergelijke dreiging zich zal voordoen. Deze bevindingen komen uit een halfjaarlijks publieksonderzoek naar hoe Nederlanders risico's en bedreigingen voor de nationale veiligheid ervaren. Cyberdreigingen staan op de tweede plaats van grootste zorgen, na spanningen tussen bevolkingsgroepen. Ondanks de zorgen over cyberdreigingen, heeft een meerderheid van de respondenten weinig tot geen kennis over deze gevaren. Terwijl 55 procent denkt dat de impact van een cyberdreiging zeer ernstig tot catastrofaal zal zijn, worden andere bedreigingen zoals het stoppen van vitale processen, geopolitieke en militaire dreigingen, stralingsongevallen en terrorisme als nog ernstiger beschouwd. Verder vindt 37 procent van de respondenten dat de overheid onvoldoende doet om cyberdreigingen te voorkomen. Om zichzelf te beschermen, nemen mensen maatregelen zoals het beveiligen van hun computers, regelmatig back-ups maken, wachtwoorden veranderen en hun socialmedia-accounts afschermen.

Ipsos I O Rapport RCB Voorjaar 2024 Pdf
PDF – 2,9 MB 12 downloads

Hackers Misbruiken HFS-Servers voor Malware en Cryptomining

Hackers richten zich op oudere versies van de HTTP File Server (HFS) van Rejetto om malware en cryptocurrency mining software te installeren. Dit gebeurt door het exploiteren van de kwetsbaarheid CVE-2024-23692, waarmee willekeurige commando's zonder authenticatie kunnen worden uitgevoerd. Deze kwetsbaarheid treft versies tot en met 2.3m. Rejetto heeft gebruikers gewaarschuwd dat deze versies gevaarlijk zijn en niet meer gebruikt moeten worden, omdat ze hackers in staat stellen de computer over te nemen. Onderzoek door het AhnLab Security Intelligence Center (ASEC) toont aan dat aanvallers gebruik maken van deze kwetsbaarheid om informatie over het systeem te verzamelen, achterdeurtjes te installeren en verschillende soorten malware te plaatsen. Een veelvoorkomende actie van de hackers is het installeren van de XMRig-tool voor het minen van Monero-cryptocurrency. Andere geïnstalleerde malware omvat XenoRAT, Gh0stRAT, PlugX en GoThief, die allemaal verschillende vormen van controle en gegevensdiefstal mogelijk maken. De aanbevolen veilige variant van HFS is versie 0.52.x, die webgebaseerd is en ondersteuning biedt voor HTTPS, dynamische DNS en authenticatie voor het beheerpaneel. 1, 2, 3


De Ongeheime Netwerktoegangsmakelaar x999xx

De Russische hacker x999xx, ook bekend als Maxim Kirtsov, is een beruchte toegangsmakelaar die toegang verkoopt tot gehackte bedrijfsnetwerken. Sinds 2009 is hij actief op diverse Russische cybercrimeforums onder verschillende aliassen zoals Maxnm. Zijn activiteiten omvatten de verkoop van gestolen databases en netwerktoegangsgegevens, waaronder de gegevens van een hele Amerikaanse staat en de grootste detailhandelaar van Australië. Hij gebruikte de handle Maxnm op forums als Zloy, Spamdot en Exploit. Kirtsov heeft zich niet veel moeite getroost om zijn identiteit te verbergen, wat hem traceerbaar maakte via verschillende e-mailadressen en accounts op sociale netwerken. Naast zijn cybercriminele activiteiten beweert Kirtsov zich ook bezig te houden met ethisch hacken en onderzoek. Zijn nonchalante houding ten aanzien van persoonlijke beveiliging doet denken aan andere Russische hackers zoals Wazawaka, die ook ongehinderd door lokale autoriteiten opereren. Kirtsov blijft gericht op buitenlandse doelwitten om zo onder de radar van Russische wetshandhavers te blijven. 1


Gegevenslek bij Rappi: 5TB aan Gebruikersdata te Koop op het Darkweb

Een cybercrimineel beweert een database van 5TB te verkopen die gegevens bevat van de gebruikers van Rappi, RappiCarga en RappiPay. Deze bedrijven opereren in Colombia, Peru, Mexico, Brazilië en Chili. De crimineel vraagt $10.000 voor de dataset en accepteert betalingen via een tussenpersoon om de veiligheid van de koper te waarborgen. De aangeboden gegevens omvatten 32 miljoen lijnen van Rappi, 20 miljoen lijnen van RappiCarga en 46.000 lijnen van RappiPay. De verkoper geeft aan dat de database recentelijk is verkregen en biedt de koper toegang om zelf gegevens te dumpen. Deze cyberaanval onderstreept het voortdurende risico van datalekken voor bedrijven in meerdere landen.


Grote Databreach bij Shopify: Gegevens van 180.000 Gebruikers te Koop Aangeboden

Een cybercrimineel beweert een enorme hoeveelheid gegevens te verkopen die gestolen zouden zijn van Shopify, een wereldwijd bekend e-commerce platform. De gestolen gegevens bevatten persoonlijke en transactie-informatie van bijna 180.000 gebruikers, waaronder voor- en achternamen, e-mailadressen, mobiele nummers, bestelgeschiedenis, en abonnementen op e-mail en SMS. De verkoper heeft een voorbeeld van de dataset verstrekt, die uit 179.873 rijen met gebruikersinformatie bestaat. Hoewel er geen openbare prijs is vermeld, worden geïnteresseerde partijen verzocht om direct contact op te nemen om de verkoop te regelen. Als de datalek bevestigd wordt, vormt dit een aanzienlijke bedreiging voor de privacy en veiligheid van de Shopify-gebruikers. Shopify, dat ondernemers helpt bij het starten en beheren van hun bedrijven, had een omzet van 7,4 miljard dollar in het afgelopen fiscale jaar.


❗️ Alarmerende toename in aantal nieuwe ransomware-varianten in juni

In juni hebben cybersecurity-experts maar liefst 28 nieuwe varianten van ransomware geïdentificeerd. Deze kwaadaardige programma's vormen een significante bedreiging voor zowel individuen als bedrijven. Met elke nieuwe variant verfijnen cybercriminelen hun tactieken, waardoor detectie en bestrijding steeds moeilijker worden. Ransomware werkt door waardevolle gegevens op geïnfecteerde systemen te versleutelen, waardoor ze ontoegankelijk worden voor gebruikers. Vervolgens eisen de daders exorbitante losgelden voor de decryptiesleutels, waarbij ze kritieke informatie effectief gijzelen. Deze kwaadaardige praktijk brengt niet alleen de integriteit van persoonlijke en gevoelige gegevens in gevaar, maar legt ook aanzienlijke financiële lasten op bij slachtoffers.

  • Lexus
    • SHA-256: 4dddfd8d5d0a097700ec211ed5ff49ae6dc0426f1dcb0c97b13da0acffe09216
    • Extensions: .Lexus
  • Chaddad
    • SHA-256: ae2d15ad55b08ea8f3f3b3f2bf16ac28d12fb3f9fb20399afaaf918f1a34f29f
    • Extensions: .chaddad
  • Waqa
    • SHA-256: 9f7bdfe15f900f4f2f8da79dc35a05832cfcc4bbb07854780df338113f3d5336
    • Extensions: .waqa,
  • PartiZAN32
    • SHA-256: d0a91ad881db15a90e65cb9674978287dc41d895f6fff1d3459280334f831638
    • Extensions: .xqwertzuioplkjhgfyxcvbnmD
  • Watz
    • SHA-256: e832aad5a403e60642fc27593363ebc3b9dc7f81
    • Extensions: .watz
  • Anonymous Encryptor
    • SHA-256: 69d118fb4175ca4c144fd29b8c9c8a0218cb03da947e0136d36b08b2bd2b652c
    • Extensions: .Anonymous
  • Xam
    • SHA-256: 225e299bca1514858a1c31e85c05a2e7375f9f8d7095f5775dffe4d048e78892
    • Extensions: .xam
  • Orbit
    • SHA-256: babcf21571854dc02d7881ba125c3ba0cadf8ef1edc204573bbd73ab918cd8eb
    • Extensions: .orbit
  • RansomHubV2
    • SHA-256: 7539bd88d9bb42d280673b573fc0f5783f32db559c564b95ae33d720d9034f5a
    • Extensions: .[random characters]
  • DORRA
    • SHA-256: 18ba97ec9c00b85d27d9d20c62ef7bd9484ad68a33e2a2121a1bcbed19f2eacd
    • Extensions: .DORRA
  • Fog
    • SHA-256: e67260804526323484f564eebeb6c99ed021b960b899ff788aed85bb7a9d75c3
    • Extensions: ..FOG – .FLOCKED
  • Malware Mage
    • SHA-256: 599c48ddf6f8b7fa4564c26977db3ed931c4b14093674d071a4b77523fb56969
    • Extensions: .malwaremage
  • Run
    • SHA-256: cdc509cd5807b2fadafc1628a9cd4cfc93f0120d60c1b0446327bf65de68b9d9
    • Extensions: .run10
  • Trinity
    • SHA-256: 36696ba25bdc8df0612b638430a70e5ff6c5f9e75517ad401727be03b26d8ec4
    • Extensions: .trinitylock
  • El Dorado
    • SHA-256: 8badf1274da7c2bd1416e2ff8c384348fc42e7d1600bf826c9ad695fb5192c74
    • Extensions: .00000001
  • L3MON
    • SHA-256: 85772b8ab400e26de47ca174d6b85dc9bc8cd936ae5b2a4ba3cc4c1a855fe6de
    • Extensions: .[random characters]
  • Dkq
    • SHA-256: f7b9599f6c3793b43300909e1589654002eb96d0799d731f2507475e48862352
    • Extensions: .dkq
  • Lord Bomani
    • SHA-256: 4252fbc2706e9f8bbcb19be38dd0db73dda870411add5477717b2865fd484242
    • Extensions: .[Bomani@Email.CoM]
  • Rapax
    • SHA-256: 4c0fec496abf0c29ef8358d913781b9d0c00e3e53487b72cfbf42753f0aa5176
    • Extensions: .rapax
  • Cebrc
    • SHA-256: bed22d3be408109f34810e724299d9579f6991345f773ff7b4674827bc4fbc01
    • Extensions: .cebrc
  • AzzaSec
    • SHA-256: 58b45bfd8430d8b24f9142278ff206261ab3d1100b3c98b0fdfcefdddf2fd05d
    • Extensions: .AzzaSec
  • GhostHacker
    • SHA-256: bfad1fc041e176f9335d91cc4480e2c373d29354a33f5039212afe9e6d879978
    • Extensions: .GhostHacker
  • Jinwooks
    • SHA-256: 635adb7c70d41a43be40469bd0a517e8feb8a9ddb3e68f0ead3c2a4b82875213
    • Extensions: .jinwooksjinwooks
  • Geometrical
    • SHA-256: 4e359ae286505974c77f25cd4862138af31ad5fc63b29fc1682a59d996bddc85
    • Extensions: .geometrical
  • COBRA
    • SHA-256: bf0c353bf4f59db1d33b62589cca64d29c915d3073c86cd04e78f1d28bb65d74
    • Extensions: .COBRA
  • XFUN
    • SHA-256: 3c42e4eb06ef1211579d89dd651dafe541a3faf9b9a2bd8273cc61d101f30f5c
    • Extensions: .XFUN
  • Anonymous Arabs
    • SHA-256: 390db2712380d32479d8f0b61397e9cfba7eb084677cd46fc1e72555f5166420
    • Extensions: .encrypt
  • ShrinkLocker
    • SHA-256: e5471fb4827cb570e65c2ebdff5da38e64b6a9fe47a81d11dab2f0937315be30
    • Extensions: .ShrinkLock

IOC's hoe ga je hier mee om?

Als CISO van een bedrijf kun je verschillende stappen ondernemen om je organisatie te beschermen tegen de alarmerende toename van nieuwe ransomware-varianten zoals gemeld in juni. Hier zijn enkele specifieke maatregelen:

  1. Bewustwording en Training:

    • Train medewerkers regelmatig over de gevaren van ransomware en de beste praktijken om phishing-aanvallen te herkennen en te vermijden.
    • Simuleer phishing-aanvallen om medewerkers alert te houden en hun bewustzijn te vergroten.
  2. Up-to-date Beveiliging:

    • Zorg ervoor dat alle systemen en software up-to-date zijn met de nieuwste beveiligingspatches en updates.
    • Gebruik Endpoint Detection and Response (EDR)-oplossingen om verdachte activiteiten op endpoints snel te detecteren en te reageren.
  3. Geavanceerde Back-up Strategieën:

    • Implementeer een robuust back-upbeleid waarbij regelmatig back-ups worden gemaakt en opgeslagen op offline locaties.
    • Test regelmatig de back-ups om ervoor te zorgen dat ze correct kunnen worden hersteld in geval van een aanval.
  4. Netwerksegmentatie:

    • Segmenteer het netwerk om de verspreiding van ransomware te beperken. Zorg ervoor dat kritieke systemen geïsoleerd zijn van minder beveiligde netwerken.
  5. Incident Response Plan:

    • Ontwikkel en oefen een incident response plan specifiek gericht op ransomware-aanvallen.
    • Stel een incident response team samen en zorg ervoor dat iedereen zijn rol en verantwoordelijkheid kent in geval van een aanval.
  6. Toegangsbeheer:

    • Beperk toegangsrechten tot het minimum dat nodig is voor elke medewerker. Gebruik het principe van de minste privileges.
    • Implementeer Multi-Factor Authentication (MFA) voor toegang tot kritieke systemen en gegevens.
  7. Monitoring en Detectie:

    • Implementeer een Security Information and Event Management (SIEM)-systeem om verdachte activiteiten te monitoren en snel te reageren op incidenten.
    • Houd de nieuwste ransomware-varianten en hun kenmerken bij, zoals de hierboven vermelde SHA-256 hashes en extensies, en gebruik deze informatie om je detectiesystemen te verfijnen.
  8. Threat Intelligence:

    • Maak gebruik van threat intelligence diensten om op de hoogte te blijven van de nieuwste dreigingen en kwetsbaarheden.
    • Deel informatie over dreigingen en incidenten met andere organisaties en cybersecurity-gemeenschappen.
  9. Voer Penetratietests Uit:

    • Regelmatig uitvoeren van penetratietests om zwakke plekken in je beveiliging te identificeren en te verhelpen.

Door deze maatregelen te implementeren, kun je de kans verkleinen dat je organisatie slachtoffer wordt van ransomware en beter voorbereid zijn om een aanval effectief aan te pakken.

Gebruik van IoC's voor Bescherming

  1. Update Beveiligingssystemen:

    • Intrusion Detection Systems (IDS) en Intrusion Prevention Systems (IPS) kunnen worden geconfigureerd om te scannen op de gegeven SHA-256 hashes en bestandsextensies.
    • Endpoint Protection Software moet worden bijgewerkt om deze specifieke IoC's te detecteren.
  2. Threat Intelligence Feeds:

    • Voeg de IoC's toe aan je Threat Intelligence Platform om je detectiecapaciteit te verbeteren.
    • Deel deze IoC's met je threat intelligence-community of gebruik externe feeds die deze IoC's integreren.
  3. Monitoring en Logging:

    • Configureer je Security Information and Event Management (SIEM)-systeem om te zoeken naar deze specifieke SHA-256 hashes en bestandsextensies in logbestanden.
    • Monitor regelmatig je logs voor tekenen van deze ransomware-varianten.
  4. Netwerkbeveiliging:

    • Blokkeer bekende kwaadaardige domeinen en IP-adressen die verband houden met de IoC's.
    • Configureer je netwerkfirewalls en proxies om verkeer met deze extensies te blokkeren.
  5. Bestandsintegriteit:

    • Gebruik File Integrity Monitoring (FIM) om veranderingen aan bestanden met de genoemde extensies te detecteren.
    • Stel meldingen in voor ongeautoriseerde veranderingen aan deze bestanden.
  6. Proactieve Scans:

    • Voer regelmatig scans uit op je netwerk en endpoints om te controleren op aanwezigheid van bestanden met de genoemde hashes en extensies.

Concreet Voorbeeld van Implementatie

Neem bijvoorbeeld de IoC voor "AzzaSec":

  • SHA-256 Hash: 58b45bfd8430d8b24f9142278ff206261ab3d1100b3c98b0fdfcefdddf2fd05d
  • Bestandsextensie: .AzzaSec

Implementatie Stappen:

  • IDS/IPS:

    • Voeg een regel toe om te scannen naar bestanden met de extensie .AzzaSec en naar bestanden die overeenkomen met de SHA-256 hash 58b45bfd8430d8b24f9142278ff206261ab3d1100b3c98b0fdfcefdddf2fd05d.
  • SIEM:

    • Configureer een zoekopdracht of alert in je SIEM-systeem voor deze specifieke hash en extensie. Bijvoorbeeld:hash: 58b45bfd8430d8b24f9142278ff206261ab3d1100b3c98b0fdfcefdddf2fd05d OR file_extension:AzzaSec
  • Endpoint Protection:

    • Update je antivirus- en endpointbeschermingssoftware met deze IoC's om te zorgen dat ze gedetecteerd en geblokkeerd worden.

Door deze IoC's te integreren in je beveiligingsstrategieën, kun je de kans op detectie en snelle respons bij een ransomware-aanval aanzienlijk verbeteren.


Massale gegevensdiefstal treft Airtel India: 375 miljoen klanten getroffen

Een recent cyberincident heeft geleid tot een enorme gegevensdiefstal bij Airtel India, een van de grootste telecomproviders van het land. Bij deze inbreuk zijn de persoonlijke gegevens van meer dan 375 miljoen klanten buitgemaakt. De gestolen gegevens, die te koop worden aangeboden op het dark web, bevatten onder andere telefoonnummers, e-mailadressen, fysieke adressen, namen van ouders en overheidsidentificaties, inclusief Aadhaar-nummers. De data is bijgewerkt tot juni 2024. De dader achter deze verkoop claimt eerder gegevens van diplomatieke paspoorthouders van het Indiase Ministerie van Buitenlandse Zaken te hebben gelekt. Airtel, dat zowel mobiele telefonie als vaste lijnen, breedband en tv-diensten aanbiedt, wordt geconfronteerd met ernstige gevolgen voor de privacy van miljoenen mensen als deze inbreuk wordt bevestigd. De hacker biedt een monster van de gegevens aan om de echtheid te bewijzen en vraagt $50,000 in Monero (XMR) voor de volledige database.


Kwetsbaarheid in npm Gepubliceerd op Darkweb Forum

Een dreigingsactor heeft een bericht geplaatst op een dark web forum waarin een accountovername kwetsbaarheid voor npm, een package manager voor JavaScript, wordt aangeboden. Deze vermeende kwetsbaarheid stelt de aanvaller in staat om specifieke npm-accounts van organisaties of ontwikkelaars te targeten en achterdeuren te injecteren. Dit kan leiden tot de compromittering van alle apparaten die gerelateerd zijn aan de organisatie of de pakketten van de ontwikkelaars. Bovendien biedt de kwetsbaarheid toegang tot organisaties, wat kan resulteren in losgeldonderhandelingen of publieke onthullingen. De dreigingsactor vermeldt dat er geen bewijs van concept (PoC) wordt verstrekt om de integriteit van de exploit te beschermen. Transacties worden afgehandeld via een escrow-dienst voor betrouwbaarheid, waarbij IntelBroker wordt aanbevolen. Er wordt geen prijs genoemd in de post.


Data Lek bij Avonturenpark in Frankrijk

Op een darkweb-forum is een database gepubliceerd die naar verluidt toebehoort aan een Frans avonturenpark. De gelekte gegevens bevatten gevoelige informatie zoals volledige namen, e-mailadressen, postadressen, telefoonnummers, geboortedata en betaalgegevens. Ook de gebruikersactiviteit, contractnummers en betalingsstatussen zijn blootgesteld. Deze datalek heeft betrekking op de persoonlijke informatie van 70.000 gebruikers en zou in 2024 hebben plaatsgevonden. Er werd geen contactinformatie of prijs vermeld, maar de dreigingsacteur bood wel voorbeelddata en een link om het materiaal te downloaden.


Datalek bij HealthEquity leidt tot blootstelling van beschermde gezondheidsinformatie

Healthcare fintech-bedrijf HealthEquity heeft gewaarschuwd dat het slachtoffer is geworden van een datalek nadat het account van een partner werd gehackt en gebruikt om toegang te krijgen tot de systemen van het bedrijf om beschermde gezondheidsinformatie te stelen. Het bedrijf ontdekte de inbreuk door 'abnormaal gedrag' van een persoonlijk apparaat van een partner en startte een onderzoek. Hieruit bleek dat hackers het gehackte account gebruikten om ongeautoriseerd toegang te krijgen tot de systemen van HealthEquity en gevoelige gezondheidsgegevens te stelen. Hoewel het exacte aantal getroffen personen nog niet is onthuld, belooft HealthEquity getroffen individuen op de hoogte te stellen en biedt het gratis kredietbewaking en identiteitshersteldiensten aan om het risico voor blootgestelde mensen te verminderen. De interne onderzoeken hebben geen bewijs opgeleverd van malware op de systemen en alle bedrijfsactiviteiten blijven normaal functioneren. Het bedrijf verwacht geen materiële impact op zijn bedrijf als gevolg van het incident. 1


OVHcloud Mitigeert Recordbrekende DDoS-aanval van 840 Mpps

OVHcloud, een grote Europese cloudprovider, heeft eerder dit jaar een recordbrekende Distributed Denial of Service (DDoS)-aanval afgeweerd met een ongekende pakketverzendingssnelheid van 840 miljoen pakketten per seconde (Mpps). De aanval, die zijn oorsprong vond in ongeveer 5.000 IP-adressen, maakte gebruik van gecompromitteerde MikroTik Cloud Core Router-apparaten. Deze apparaten waren kwetsbaar vanwege verouderde firmware en blootgestelde interfaces. Ondanks waarschuwingen van MikroTik om RouterOS bij te werken, blijven veel apparaten vatbaar voor dergelijke aanvallen. De aanval, waarbij tweederde van de pakketten via slechts vier Amerikaanse knooppunten werd gerouteerd, onderstreept de groeiende dreiging van krachtige botnets. OVHcloud meldde ook een toename van aanvallen die 1 Tbps overschrijden sinds 2023, met pieken tot 2,5 Tbps in mei 2024. De cloudprovider benadrukte de noodzaak van verbeterde beveiligingsmaatregelen om dergelijke geavanceerde aanvallen te voorkomen. 1


Onbeveiligde API van Authy blootgesteld aan misbruik door hackers

Twilio heeft bevestigd dat een onbeveiligd API-eindpunt het mogelijk maakte voor kwaadwillenden om miljoenen telefoonnummers van Authy-gebruikers te verifiëren. Authy is een app voor multi-factor authenticatie. Eind juni lekte een groep genaamd ShinyHunters een CSV-bestand met 33 miljoen telefoonnummers van Authy-gebruikers op een hackforum. Dit bestand bevat account-ID's, telefoonnummers, accountstatus en het aantal apparaten per account. Twilio heeft het probleem inmiddels verholpen door het API-eindpunt te beveiligen. Er is geen bewijs gevonden dat hackers toegang hebben gekregen tot andere gevoelige gegevens van Twilio. Gebruikers van Authy wordt geadviseerd hun apps bij te werken en alert te blijven op phishing- en smishing-aanvallen. In 2022 heeft Twilio al te maken gehad met soortgelijke beveiligingsincidenten waarbij systemen werden gekraakt en klantgegevens werden gecompromitteerd. Nu benadrukt Twilio het belang van extra beveiligingsmaatregelen, zoals het blokkeren van nummeroverdrachten zonder passcode, om gebruikers te beschermen tegen misbruik van de gelekte gegevens.


FIA onthult datalek na phishing-aanvallen

De FIA (Fédération Internationale de l'Automobile), de organisatie die sinds de jaren vijftig verantwoordelijk is voor autoraces zoals de Formule 1, heeft een datalek bekendgemaakt. Hackers kregen toegang tot persoonlijke gegevens door het compromitteren van meerdere e-mailaccounts via phishing-aanvallen. De aanvallers konden ongeautoriseerd toegang krijgen tot twee e-mailaccounts van de FIA, wat leidde tot de blootstelling van persoonlijke gegevens. Zodra de inbreuk werd ontdekt, nam de FIA snelle maatregelen om de illegitieme toegang te beëindigen. De organisatie heeft ook de betreffende gegevensbeschermingsautoriteiten in Zwitserland en Frankrijk geïnformeerd over het incident. Extra beveiligingsmaatregelen zijn genomen om toekomstige aanvallen te voorkomen. Hoewel de exacte omvang van de inbreuk en de specifieke gegevens die zijn gecompromitteerd nog niet zijn onthuld, benadrukt de FIA dat zij hun verplichtingen op het gebied van gegevensbescherming zeer serieus nemen en hun systemen voortdurend evalueren om de robuustheid tegen cybercriminaliteit te waarborgen. 1


Malwaresporen helpen bij identificatie van misbruikers

Een recente doorbraak in het gebruik van gestolen gegevens heeft geleid tot de identificatie van duizenden personen die betrokken zijn bij de handel in kindermisbruikmateriaal (CSAM). Deze ontwikkeling kwam tot stand door het analyseren van logs van informatie-stelende malware, die op het darkweb waren gelekt. Onderzoekers van de Insikt Group van Recorded Future identificeerden 3.324 unieke accounts die toegang hadden tot illegale CSAM-portalen. Deze gegevens, verzameld tussen februari 2021 en februari 2024, werden gekoppeld aan diverse legitieme online accounts zoals e-mail en bankrekeningen. Door deze informatie te combineren met open-source inlichtingen, konden de onderzoekers fysieke adressen, volledige namen en andere persoonlijke gegevens achterhalen. Deze bevindingen zijn gedeeld met de autoriteiten, wat heeft geleid tot meerdere arrestaties. De gebruikte malware, zoals Redline en Raccoon, verzamelt uitgebreide gegevens van besmette systemen, waaronder inloggegevens en browsergeschiedenis. Deze methode toont aan hoe cybercriminelen onbedoeld bijdragen aan de opsporing van misdadigers door het lekken van hun gestolen gegevens. 1


385.000 hosts blijven JS-script van gehackt domein Polyfill.io gebruiken

Volgens een onderzoek van het beveiligingsbedrijf Censys verwijzen nog steeds ongeveer 385.000 hosts naar een JavaScript-script op het malafide domein Polyfill.io. Dit domein werd eerder dit jaar overgenomen door een Chinees bedrijf en sinds begin juni verspreidt het schadelijke code via een supplychain-aanval. Bezoekers van websites die dit script gebruiken, kunnen worden doorgestuurd naar kwaadaardige sites. Registrar Namecheap schorste het domein op 27 juni om verdere schade te beperken, maar veel websites hebben hun verwijzingen nog niet aangepast. Onder deze sites bevinden zich grote namen zoals Warner Bros, Hulu, en Mercedes-Benz. Cloudflare werkt inmiddels aan het aanpassen van verwijzingen voor hun klanten, en Google blokkeert advertenties van webshops die nog naar Polyfill.io linken. Ondanks de genomen maatregelen blijft het aantal getroffen hosts hoog, vooral bij Duitse hostingprovider Hetzner. 1


Phishingaanval treft Ethereum Foundation: 36.000 e-mailadressen blootgesteld

Op 23 juni is de officiële mailinglijst van de Ethereum Foundation misbruikt voor een phishingaanval, waarbij bijna 36.000 mensen een frauduleuze e-mail ontvingen. De Ethereum Foundation, een non-profitorganisatie die cryptovaluta en gerelateerde technologieën ondersteunt, gaf aanvankelijk een waarschuwing en heeft nu meer details vrijgegeven. De aanval werd mogelijk gemaakt door een kwetsbaarheid in SendPulse, het mailplatform dat de stichting gebruikt. Door dit beveiligingslek konden aanvallers phishingmails versturen die leken te komen van updates@ethereum.org. Deze mails verwezen naar een nepwebsite met een cryptodrainer, die wallets van gebruikers kon leegtrekken als zij een transactie bevestigden. De aanvaller importeerde ook een eigen lijst met e-mailadressen voor de phishingcampagne. Gelukkig zijn er geen slachtoffers gevallen. De Ethereum Foundation heeft inmiddels maatregelen genomen om toekomstige incidenten te voorkomen door over te stappen naar andere mailproviders. 1, 2


D&D-tool Roll20 getroffen door datalek

Roll20, een populaire online tool voor tabletopgames zoals Dungeons & Dragons, heeft een datalek gemeld waarbij namen, e-mail- en IP-adressen en de laatste vier cijfers van creditcardnummers zijn gestolen. De aanval vond plaats via een adminaccount op 29 juni, waarna alle ongeautoriseerde toegang werd geblokkeerd. Hackers kregen hierdoor toegang tot persoonlijke informatie van gebruikers. Wachtwoorden, adressen en volledige creditcardnummers bleven echter veilig. Roll20 heeft aangegeven dat er op dit moment geen aanwijzingen zijn dat de gestolen data wordt misbruikt. Het platform biedt zijn excuses aan voor het incident en werkt aan een actieplan om de beveiliging van hun admintools te verbeteren. 1


Gegevenslek bij Central Tickets: 800.000 Klantgegevens Te Koop

Een cybercrimineel beweert toegang te verkopen tot de database van Central Tickets, een bedrijf dat sinds 2017 een gratis stoelvullingsdienst aanbiedt. Deze database bevat gevoelige informatie van 800.000 klanten, waaronder voor- en achternamen, e-mailadressen, wachtwoorden en telefoonnummers. Dit datalek vormt een groot risico voor de privacy en veiligheid van de betrokken klanten. Central Tickets staat bekend om zijn sociale en milieubewuste benadering om producties te verbinden met nieuwe doelgroepen. De diefstal van dergelijke uitgebreide persoonlijke gegevens kan leiden tot ernstige gevolgen als deze in verkeerde handen terechtkomen. De prijs voor de toegang tot deze database is vastgesteld op $3.000. De openbaar gemaakte voorbeeldgegevens omvatten onder andere ID's, e-mailadressen, mobiele nummers en IP-adressen. Dit incident onderstreept de groeiende dreiging van cybercriminaliteit en de noodzaak voor bedrijven om hun gegevensbeveiliging te versterken.


Grootschalige Cyberaanval op Bedrijven in de VAE door SN_Blackmeta

Het hackerscollectief SN_Blackmeta heeft onlangs grootschalige DDoS-aanvallen uitgevoerd op diverse bedrijven in de Verenigde Arabische Emiraten (VAE). De groep heeft via sociale media en andere platforms verklaard verantwoordelijk te zijn voor deze aanvallen, waarbij onder meer zes grote domeinen en een dienstencentrum van Etisalat werden verstoord. De aanvallen hebben geleid tot het offline halen van de belangrijkste websites en API's van deze telecomgigant. Naast Etisalat richtte SN_Blackmeta zich ook op andere prominente organisaties zoals UAE PASS, Dubai Islamic Bank, First Abu Dhabi Bank, WAM, Zayed International Airport en de Dubai Electric & Water Authority. De leider van de groep, bekend als "Darkmeta", beweerde dat deze aanvallen slechts het begin zijn van hun missie om onrecht te bestrijden. De getroffen bedrijven zijn momenteel bezig de schade te beoordelen en te beperken. De claims van SN_Blackmeta benadrukken een aanzienlijke dreiging op het gebied van cybersecurity.


Data-inbreuk bij het Ministerie van Onderwijs in Jordanië: Gevoelige Informatie Blootgesteld

Een recente datalek heeft geleid tot de blootstelling van persoonlijke informatie van ongeveer 155.000 individuen verbonden aan het Ministerie van Onderwijs in Jordanië. Deze informatie is georganiseerd in acht CSV-bestanden en wordt momenteel te koop aangeboden op het dark web. De eerste CSV bevat details zoals medewerkers-ID, nationale ID, namen, en tussenvoegsels. De tweede CSV bevat nationale ID-nummers, telefoonnummers, accounttypes, accountstatus, aanmaakdata, goedkeurders, accountnamen en wachtwoorden. De derde CSV biedt uitgebreide profielen met ID-nummers, geboortedata, werkdetails, geslacht, volledige namen, adresgegevens, paspoortnummers, en meer. De overige CSV-bestanden bevatten onder andere gegevens over directories, nationaliteit, geslacht, school- en sectie-ID's, geboorteljaren, en verschillende andere persoonlijke en institutionele informatie. Deze gegevens kunnen ernstige gevolgen hebben voor de privacy en veiligheid van de betrokken personen.


Cybercrimineel Verkoopt Toegang tot Rechtbanksysteem in Afrikaans Land

Een cybercrimineel beweert volledige toegang en controle over het rechtbanksysteem van een Afrikaans land te verkopen voor 85 Monero (XMR). De toegang omvat de mogelijkheid om zaken te creëren, bewerken en verwijderen in zowel de hoogste als lagere rechtbanken. Daarnaast kunnen gebruikersaccounts van bijna 2.000 werknemers worden gemanipuleerd, inclusief e-mails, gebruikersnamen en slecht versleutelde wachtwoorden. De crimineel biedt ook toegang tot duizenden actieve en afgesloten rechtszaken. Hoewel het betrokken land niet openbaar wordt gemaakt, is de verkoper bereid om deze informatie privé te delen met serieuze kopers. Deze inbreuk vertegenwoordigt een ernstige bedreiging voor het juridische systeem en de governance van het land.


Brain Cipher Groep Openbaart Decryptiesleutels voor Indonesië Terkoneksi

De Brain Cipher ransomwaregroep heeft aangekondigd dat zij de decryptiesleutels voor Indonesië Terkoneksi zullen vrijgeven. De groep benadrukte dat hun aanval bedoeld was om het belang van financiering en het inhuren van gekwalificeerde specialisten in de industrie te onderstrepen. Ze benadrukten dat de aanval niet politiek gemotiveerd was, maar eerder een penetratietest met nabetaling. De groep bood excuses aan aan de Indonesische burgers voor de verstrekkende gevolgen van hun acties en vroeg om publieke erkenning van hun beslissing om de sleutels vrij te geven. Ze gaven aan dat als de overheid niet publiekelijk wil bedanken, een privé dankbetuiging via e-mail ook acceptabel zou zijn. Bovendien vermeldden ze een Monero-portemonnee voor donaties, hoewel ze herhaalden dat de sleutels gratis en op eigen initiatief worden verstrekt. Ondertussen beweerde een andere dreigingsacteur gegevens van het Indonesische Ministerie van Communicatie en Informatietechnologie te verkopen, wat verdere zorgen oproept over de cyberveiligheid in het land.


Xbox Live Wereldwijd Plat Door Grote Storing

Op 2 juli 2024 ondervond de Xbox Live-service een grote storing die wereldwijd gebruikers trof. Gedurende minstens drie uur konden spelers zich niet aanmelden bij hun Xbox-accounts of games spelen, zowel cloud- als offline-games. Xbox Support bevestigde de problemen en gaf aan een onderzoek te hebben gestart. De storing beïnvloedde verschillende platforms, waaronder Xbox-consoles, Windows, Android, Apple-apparaten en webservices. Xbox-gebruikers werden uitgesloten van functies die inloggen vereisen, zoals games, apps en sociale activiteiten. Rond 21:50 EDT meldde het Xbox-team dat alle diensten weer operationeel waren na meer dan zeven uur aan het probleem te hebben gewerkt. Eerdere soortgelijke storingen deden zich voor in mei 2022.


Databreach bij Evolve Bank treft klanten van Affirm

Fintech-bedrijf Affirm heeft zijn kaarthouders gewaarschuwd dat hun persoonlijke informatie is blootgesteld door een datalek bij hun derde partij, Evolve Bank & Trust. Evolve biedt retail- en commerciële bankdiensten en werkt samen met meerdere fintech-bedrijven, waaronder Affirm. Door een cyberaanval, vermoedelijk uitgevoerd door de LockBit ransomware groep, zijn gegevens zoals namen, sofinummers, bankrekeningnummers en contactinformatie gestolen. Evolve heeft direct actie ondernomen door wachtwoorden te resetten en netwerkbeveiliging te versterken. Affirm bevestigt dat gebruikers van hun betaalkaarten mogelijk zijn getroffen, omdat zij klantinformatie delen met Evolve voor het uitgeven van kaarten. Andere fintech bedrijven zoals Wise en Bilt zijn eveneens getroffen. Beide bedrijven hebben hun klanten opgeroepen waakzaam te zijn voor phishing-aanvallen. Evolve heeft aangekondigd de betrokken personen per e-mail te informeren over de datalek. 1


TeamViewer getroffen door datadiefstal na netwerk inbraak

Bij een recente aanval op TeamViewer zijn wachtwoordhashes en andere gegevens van medewerkers gestolen. De aanval, toegeschreven aan de spionagegroep APT29, gebeurde via de inloggegevens van een medewerker. Gestolen gegevens omvatten namen, zakelijke contactgegevens en wachtwoordhashes. TeamViewer heeft maatregelen genomen door authenticatieprocedures aan te scherpen en extra beveiligingslagen toe te voegen. Het bedrijf werkt samen met Microsoft om risico's te beperken en de interne IT-omgeving opnieuw op te bouwen naar een betrouwbare staat. Het incident benadrukt de noodzaak van sterke beveiligingsmaatregelen. 1


Cyberverzekeringen schieten tekort bij dekken van herstelkosten na aanvallen

Uit het onderzoek “Cyber Insurance and Cyber Defenses 2024” van Sophos blijkt dat veel organisaties met een cyberbeleid investeren in hun verdediging om in aanmerking te komen voor verzekering. Hoewel 76% hierdoor dekking krijgt en 67% betere prijzen, vergoedt slechts 1% van de verzekeraars volledig de herstelkosten van cyberaanvallen. De gemiddelde kosten van herstel na een ransomware-incident zijn gestegen tot $2,73 miljoen, wat vaak de polislimieten overschrijdt. Veel cyberincidenten ontstaan door het niet naleven van basispraktijken, zoals het niet implementeren van multi-factor authenticatie. Investeringen in cyberverdediging blijken echter bredere voordelen te bieden, zoals betere bescherming en minder waarschuwingen. Ondanks de positieve invloed van cyberverzekeringen op de beveiliging van organisaties, blijft een uitgebreide verdedigingsstrategie noodzakelijk om risico's te beperken en de impact van cyberaanvallen te verminderen. 1


❗️Enorme Verliezen door Crypto Hacks en Fraude in Q2 2024

In het tweede kwartaal van 2024 zijn er voor meer dan $572,7 miljoen aan digitale activa verloren gegaan door hacks en fraude, volgens een recent rapport van Immunefi. Deze verliezen, die meer dan het dubbele zijn van dezelfde periode in 2023, brengen het totale verlies door cyberaanvallen in 2024 op $920,9 miljoen. Decentrale financiële (DeFi) platforms verloren ongeveer $172,1 miljoen verspreid over 63 incidenten, een daling van 25% ten opzichte van het tweede kwartaal van 2023. Fraude, inclusief oplichting en 'rug pulls', was verantwoordelijk voor slechts $8,45 miljoen van de verliezen, wat 1,5% van het totaal vertegenwoordigt. De grootste schade kwam van gecentraliseerde financiële (CeFi) platforms, die $401,4 miljoen aan verliezen leden. Twee grote incidenten waren de hacks op de Japanse beurs DMM Bitcoin en Btcturk, die samen goed waren voor 62,8% van de totale verliezen in het kwartaal. Mitchell Amador, CEO van Immunefi, benadrukte de noodzaak van betere beveiligingsmaatregelen om het gehele ecosysteem te beschermen.

Immunefi Crypto Losses In Q 2 2024 Pdf
PDF – 12,5 MB 11 downloads

CyberVolk Introduceert Nieuwe Ransomware met Unieke Encryptie

De CyberVolk-groep heeft officieel hun nieuwe ransomware, genaamd "CyberVolk", gelanceerd. Deze ransomware maakt gebruik van een uniek encryptie-algoritme dat volledig door de groep zelf is ontwikkeld. Belangrijke kenmerken van de ransomware zijn:

  • Ontwikkeling: Geschreven in C/C++
  • Encryptie: Maakt gebruik van SHA-512 en AES voor encryptie, waarbij sleutelstrings verder worden versleuteld met het RSA-4096-algoritme
  • Onzichtbaar voor Antivirus: De ransomware beweert ondetecteerbaar te zijn door antivirussoftware
  • Onafhankelijke Operatie: Kan bestanden versleutelen en ontsleutelen zonder externe servers, geheel op de pc van het slachtoffer
  • Betaling Vereist: Slachtoffers moeten betalen om de ontsleutelsleutel te ontvangen; verkeerde sleutels maken bestanden onbruikbaar (0KB)
  • Voortdurende Encryptie: De ransomware blijft bestanden versleutelen totdat de juiste ontsleutelsleutel wordt verstrekt

De groep waarschuwt dat zonder de juiste ontsleutelsleutel, slachtoffers hun bestanden niet kunnen herstellen.


Gegevenslek bij Cognizant: 40.000 Gebruikersdata Blootgesteld

IntelBroker, een bekende dreigingsactor, heeft naar eigen zeggen een database gelekt van Cognizant’s Open Insurance Policy Administration (OIPA) systeem. Cognizant is een wereldwijde leverancier van IT-diensten, operationeel en technologisch advies, infrastructuur en zakelijke processen. De gelekte database zou gegevens bevatten van ongeveer 40.000 gebruikers, inclusief een document van 12 miljoen regels dat de interne site beschrijft die door deze gebruikers wordt gebruikt. De gecompromitteerde data omvat onder andere polisdelen zoals polisnummer, klantnaam, bedrijfsnaam, status, start- en einddatum, bedrag van de premie en betalingsdata. Dit lek brengt gevoelige informatie van duizenden gebruikers aan het licht, wat serieuze risico’s voor de beveiliging en privacy met zich meebrengt. Het incident benadrukt het cruciale belang van sterke cyberbeveiligingsmaatregelen om waardevolle en gevoelige data te beschermen in het steeds veranderende landschap van cyberdreigingen.


 Grote Datadiefstal Treft Opaxe: 16.000 Gebruikers en 5,5 Miljoen Records Blootgesteld

Op 1 juli 2024 heeft een cybercrimineel geclaimd de database van Opaxe te hebben gelekt. Opaxe is een slim softwareplatform dat bedrijfsinzichten biedt aan mijnwerkers en investeerders. De gelekte database bevat gegevens van 16.006 gebruikers en in totaal 5,5 miljoen rijen aan data, gedateerd op 26 juni 2024. Het bestand is in .SQL-formaat en bevat mogelijk gevoelige informatie, zoals gebruikersactiviteiten en interacties op het platform. Indien de claims juist zijn, kan dit ernstige gevolgen hebben voor Opaxe en haar gebruikers. Er is een groot risico op ongeautoriseerde toegang tot bedrijfsinzichten en persoonlijke gebruikersinformatie, wat kan leiden tot identiteitsdiefstal, datamanipulatie en verlies van vertrouwen bij de gebruikers. Opaxe moet snel handelen om hun systemen te beveiligen, de inbraak te onderzoeken en mogelijke schade te beperken.


Databank Virginia Department of Elections Gelekt door IntelBroker

Een dreigingsactor genaamd IntelBroker claimt de databank van het Virginia Department of Elections te hebben gelekt. Deze lek werd aangekondigd op een dark web forum en bevat gedetailleerde informatie over verkiezingskandidaten en resultaten. De dataset omvat 65.000 regels met velden zoals kandidaats-ID, naam, totaal aantal stemmen, partij, schrijf-in stemmen, plaatsnamen en kiesdistrict informatie. De motivering voor het lekken van deze gegevens was om verdere misbruik en afscherming door andere kwaadwillenden te voorkomen. Tot nu toe hebben de autoriteiten en het Virginia Department of Elections geen commentaar gegeven op dit lek en de mogelijke gevolgen ervan. De gelekte data blijft toegankelijk, wat voortdurende risico's oplevert voor de betrokken individuen en het verkiezingssysteem.


Prudential Financial getroffen door datalek: Persoonlijke gegevens van 2,5 miljoen mensen gecompromitteerd

In februari 2024 heeft Prudential Financial, een wereldwijd opererend financieel dienstenbedrijf, een datalek ontdekt waarbij de persoonlijke informatie van meer dan 2,5 miljoen mensen werd gecompromitteerd. De aanval, toegeschreven aan de ALPHV/Blackcat ransomware-groep, begon op 4 februari en werd een dag later ontdekt. Aanvankelijk meldde Prudential dat 36.000 personen waren getroffen, maar dit aantal werd later bijgesteld naar 2.556.210. De gestolen gegevens omvatten onder andere namen, rijbewijsnummers en niet-rijbewijs identificatiekaarten. Prudential heeft sindsdien samengewerkt met cybersecurity-experts om de veiligheid van hun systemen te waarborgen en te bevestigen dat de aanvallers geen toegang meer hebben. Eerder, in mei 2023, werden ook gegevens van 320.000 klanten blootgesteld door een aanval op een derde partij, wat de noodzaak voor verbeterde beveiligingsmaatregelen benadrukt. Prudential blijft werken aan het herstellen van vertrouwen en het verbeteren van hun beveiligingsinfrastructuur. 1


Nieuwe Indirector-aanval treft moderne Intel CPU's

Moderne Intel-processoren, waaronder chips uit de Raptor Lake- en Alder Lake-generaties, zijn vatbaar voor een nieuwe, nauwkeurige Branch Target Injection (BTI) aanval genaamd 'Indirector'. Deze aanval kan worden gebruikt om gevoelige informatie uit de CPU te stelen. Indirector maakt gebruik van kwetsbaarheden in de Indirect Branch Predictor (IBP) en de Branch Target Buffer (BTB), twee hardwarecomponenten die speculatieve uitvoering manipuleren voor data-extractie. Onderzoekers van de Universiteit van Californië, San Diego ontdekten en presenteerden deze aanval, met details die in augustus 2024 worden gepresenteerd op het USENIX Security Symposium. Indirector voert aanvallen uit via drie mechanismen: iBranch Locator, IBP/BTB-injecties en ASLR-bypass, waardoor de aanvaller toegang krijgt tot gegevens door speculatieve code-uitvoering en cache side-channel technieken. Intel werd in februari 2024 geïnformeerd over de aanval en werkt aan mitigaties zoals het gebruik van de Indirect Branch Predictor Barrier (IBPB) en verbeteringen in de Branch Prediction Unit (BPU). 1

Indirector USENIX Security 2024 Pdf
PDF – 1.013,1 KB 10 downloads

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Week overzicht slachtoffers

Slachtoffer Cybercriminelen Land Sector Publicatie darkweb ↑
HITC.VN STORMOUS Vietnam Communications 7-jul-24
MYC Media Rhysida Canada Business Services 7-jul-24
baiminstitute.org Ransomhub USA Research Services 6-jul-24
The Wacks Law Group Qilin USA Legal Services 5-jul-24
pomalca.com.pe Qilin Peru Food Products 5-jul-24
National Health Laboratory Services BLACK SUIT South Africa Administration Of Human Resource Programs 5-jul-24
Lexibar Space Bears Canada IT Services 5-jul-24
Haylem Space Bears Canada Health Services 5-jul-24
Un Museau Space Bears Canada Health Services 5-jul-24
Elyria Foundry PLAY USA Metal Industries 4-jul-24
Texas Recycling PLAY USA Electric, Gas, And Sanitary Services 4-jul-24
INDA's PLAY USA Membership Organizations 4-jul-24
Innerspec Technologies PLAY USA Machinery, Computer Equipment 4-jul-24
Prairie Athletic Club PLAY USA Amusement And Recreation Services 4-jul-24
Fareri Associates PLAY USA Real Estate 4-jul-24
Island Transportation Corp. BianLian USA Motor Freight Transportation 4-jul-24
Legend Properties, Inc. BianLian USA Real Estate 4-jul-24
Transit Mutual Insurance Corporation BianLian USA Insurance Carriers 4-jul-24
Π‘oquitlam Concrete Hunters International Canada Miscellaneous Manufacturing Industries 4-jul-24
Multisuns Communication Hunters International Taiwan Electronic, Electrical Equipment, Components 4-jul-24
Creative Realities RansomHouse USA IT Services 4-jul-24
hcri.edu Ransomhub USA Educational Services 4-jul-24
Abileneisd.org Cloak USA Educational Services 4-jul-24
Dun*****************uk Cloak Unknown Unknown 4-jul-24
sequelglobal.com DarkVault India Motor Freight Transportation 3-jul-24
gerard-perrier.com EMBARGO France Electronic, Electrical Equipment, Components 3-jul-24
Alimac Akira Italy Machinery, Computer Equipment 3-jul-24
Explomin Akira Peru Mining 3-jul-24
badel1862.hr Blackout Croatia Food Products 3-jul-24
valleylandtitleco.com D0N#T (Donut Leaks) USA Real Estate 3-jul-24
aedifica.com Ransomhub Canada Construction 3-jul-24
ramservices.com Underground USA Construction 3-jul-24
foremedia.net DarkVault USA Business Services 3-jul-24
www.swcs-inc.com Ransomhub USA Construction 3-jul-24
RCBC.edu Pryx USA Educational Services 3-jul-24
F*****H FSOCIETY Unknown Unknown 3-jul-24
K*****S FSOCIETY Unknown Unknown 3-jul-24
Autohaus Ebert Metaencryptor Germany Automotive Dealers 3-jul-24
Elbers GmbH & Co. KG Metaencryptor Germany Wholesale Trade-non-durable Goods 3-jul-24
Jetson Specialty Marketing Services, Inc. Metaencryptor USA Business Services 3-jul-24
Vega Reederei GmbH & Co. KG Metaencryptor Germany Water Transportation 3-jul-24
Max Wild GmbH Metaencryptor Germany Construction 3-jul-24
MBE CPA Metaencryptor USA Accounting Services 3-jul-24
www.daesangamerica.com Ransomhub South Korea Food Products 2-jul-24
www.finecopneumatica.com Ransomhub Italy Machinery, Computer Equipment 2-jul-24
www.hauptmann.at Ransomhub Austria Lumber And Wood Products 2-jul-24
Salton Akira Brazil Food Products 2-jul-24
www.sfmedical.de Ransomhub Germany Wholesale Trade-durable Goods 2-jul-24
Conexus Medstaff Akira USA Business Services 2-jul-24
P1 Technologies Akira USA IT Services 2-jul-24
WheelerShip Hunters International USA Transportation Equipment 2-jul-24
Grand Rapids Gravel DragonForce USA Mining 2-jul-24
Franciscan Friars of the Atonement DragonForce USA Membership Organizations 2-jul-24
Elite Fitness DragonForce New Zealand Amusement And Recreation Services 2-jul-24
Gray & Adams DragonForce United Kingdom Transportation Equipment 2-jul-24
Vermont Panurgy DragonForce USA IT Services 2-jul-24
floridahealth.gov Ransomhub USA Administration Of Human Resource Programs 2-jul-24
www.nttdata.ro Ransomhub Japan IT Services 2-jul-24
Super Gardens DragonForce Australia Miscellaneous Services 1-jul-24
Hampden Veterinary Hospital DragonForce United Kingdom Miscellaneous Services 1-jul-24
3GL Techno PLAY Canada IT Services 1-jul-24
SYNERGY PEANUT Akira Unknown Real Estate 1-jul-24
Ethypharm Underground France Chemical Producers 1-jul-24
mcmtelecom.com Blackout Mexico Communications 1-jul-24
Bartlett & Weigle Co. LPA. Hunters International USA Legal Services 1-jul-24
maxcess-logistics.com Kill Security Tunisia Transportation Services 1-jul-24
P********.pl Cloak Poland Unknown 1-jul-24
Unit*****************.com Cloak USA Unknown 1-jul-24

Slachtoffers België en Nederland

Slachtoffer Cybercriminelen Land Sector Publicatie datum darkweb ↑
Meetmoment Aantal organisaties waar data van gelekt is op het darkweb
01-05-2019 (eerste slachtoffer) 1
01-05-2020 85
01-05-2021 2.167
01-05-2022 5.565
01-05-2023 8.292
01-05-2024 13.707
NU: 08-07-2024 14.617

Werkelijk | aantal organisaties waarvan alle gegevens gelekt zijn op het darkweb

Werkelijk Aantal Organisaties Waarvan Gegevens Gelekt Zijn Op Het Darkweb 1 Mei 2019 T M 1 Mei 2024 Png
Afbeelding – 244,1 KB 14 downloads

Prognose | volgens statista.com

Meer weekoverzichten