Overzicht van slachtoffers cyberaanvallen week 04-2023

Gepubliceerd op 30 januari 2023 om 15:00

Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


Nieuw: Nu met nog meer dreigingsinformatie in cyberspace


Zorginstelling Curando in Belgie slachtoffer van cyberaanval, ziekenhuis technologiegigant NextGen Healthcare reageert op cyberaanval door beruchte ransomware groep en meer dan 350 meldingen van ransomware-aanvallen in Nederland, gegevens gestolen bij 51 slachtoffers. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Laatste wijziging op 30-januari-2023


Cybercriminelen hebben interne gegevens van meer dan 7.000 organisaties gelekt op het darkweb. In de onderstaande lijst staan de organisaties die geweigerd hebben het losgeld te betalen. Als het losgeld wordt betaald, worden er geen gegevens gelekt op het darkweb.

Opmerking: ‘Zo'n 80% van de organisaties betaalt losgeld’. Kun je dan zeggen dat onderstaande lijst slecht 20% is van het totale aantal slachtoffers van ransomware bendes? 🤔

Meetmoment Aantal organisaties waar data van gelekt is op het darkweb
01-05-2019 (eerste slachtoffer) 1
01-05-2020 85
01-05-2021 2.167
01-05-2022 5.565
Nu 7.214


Week overzicht

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum
fujikura.co.jp LockBit In progress In progress In progress 30-jan.-23
wealthwise.com.au LockBit wealthwise.com.au Australia Security And Commodity Brokers, Dealers, Exchanges, And Services 30-jan.-23
fritsche.eu.com LockBit fritsche.eu.com Austria Wholesale Trade-durable Goods 30-jan.-23
luacesasesores.es LockBit luacesasesores.es Spain Accounting Services 30-jan.-23
perenitysoftware.com LockBit perenitysoftware.com Morocco IT Services 30-jan.-23
thermal.com LockBit thermal.com USA Electronic, Electrical Equipment, Components 30-jan.-23
cm-vimioso.pt LockBit cm-vimioso.pt Portugal General Government 30-jan.-23
cplindustries.co.uk LockBit cplindustries.co.uk UK Oil, Gas 30-jan.-23
bulldoggroupinc.com LockBit bulldoggroupinc.com USA Construction 30-jan.-23
airalbania.com.al LockBit airalbania.com.al Albania Transportation By Air 30-jan.-23
dsavocats.com LockBit dsavocats.com France Legal Services 30-jan.-23
itsservicios.com.mx LockBit itsservicios.com.mx Mexico Transportation Services 30-jan.-23
juvaskin.com LockBit juvaskin.com USA Health Services 30-jan.-23
kvie.org LockBit kvie.org USA Communications 30-jan.-23
NPTC Group of Colleges Vice Society www.nptcgroup.ac.uk UK Educational Services 29-jan.-23
azliver.com LockBit azliver.com USA Health Services 29-jan.-23
Seguros Equinoccial Vice Society www.segurosequinoccial.com Ecuador Insurance Carriers 28-jan.-23
ylresin.com LockBit ylresin.com Taiwan Oil, Gas 28-jan.-23
Portnoff Law Associates BlackCat (ALPHV) www.portnoffonline.com USA Legal Services 28-jan.-23
Helicar PLAY www.helicar.cz Czech Republic Railroad Transportation 28-jan.-23
EGR Vice Society www.egr.at Austria Miscellaneous Retail 28-jan.-23
Westmont Hospitality Group BlackCat (ALPHV) www.whg.com USA Lodging Places 27-jan.-23
Ultrabulk BlackCat (ALPHV) ultrabulk.com Denmark Water Transportation 27-jan.-23
sdfsdf.dfg LockBit sdfsdf.dfg Unknown Unknown 27-jan.-23
Wesco Turf AvosLocker www.wescoturf.com USA Miscellaneous Retail 27-jan.-23
Bristol Community College Vice Society www.bristolcc.edu USA Educational Services 26-jan.-23
********* ******** ***** *** BianLian Unknown Unknown Construction 26-jan.-23
******* BianLian Unknown Australia Unknown 26-jan.-23
Travis County Sheriffs Officers Association Royal www.traviscountytx.gov USA Justice, Public Order, And Safety 26-jan.-23
ServiceMaster Royal www.servicemasterclr.com USA Engineering Services 26-jan.-23
CHARLES P VONDERHAAR CPA BlackCat (ALPHV) www.cpvcpa.com USA Accounting Services 26-jan.-23
IOC Royal www.ioccompany.com USA Construction 26-jan.-23
SOLAR INDUSTRIES INDIA BlackCat (ALPHV) solargroup.com India Chemical Producers 26-jan.-23
Somacis BlackCat (ALPHV) www.somacis.com Italy Electronic, Electrical Equipment, Components 26-jan.-23
Crescent Crown Distributing BlackCat (ALPHV) www.crescentcrown.com USA Wholesale Trade-non-durable Goods 26-jan.-23
ADMIRAL Sportwetten PLAY www.admiral.at Austria Miscellaneous Services 26-jan.-23
Navnit Group Mallox navnitgroup.com India Automotive Dealers 25-jan.-23
merlinpcbgroup.com LockBit merlinpcbgroup.com UK Electronic, Electrical Equipment, Components 25-jan.-23
Copper Mountain BlackCat (ALPHV) cumtn.com Canada Mining 25-jan.-23
BOMCALCADO Mallox www.bomcalcado.pt Portugal Apparel And Accessory Stores 25-jan.-23
IFPA BlackCat (ALPHV) ifpa.edu.br Brazil Educational Services 25-jan.-23
First International Food co Ltd Mallox www.fifood.sa Saudi Arabia Wholesale Trade-non-durable Goods 25-jan.-23
flatironssolutions.com LockBit flatironssolutions.com USA IT Services 24-jan.-23
xlntinc.com LockBit xlntinc.com USA IT Services 24-jan.-23
elsan.care LockBit elsan.care France Health Services 24-jan.-23
A?????L S?????????? ???? PLAY Unknown Austria Unknown 23-jan.-23
CloudCall &emoney Home Loans Vice Society www.cloudcall.com.au Australia IT Services 23-jan.-23

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum

In samenwerking met DarkTracer

Top 3 cybercrime groepen met de meeste slachtoffers

Groepering Aantal slachtoffers
1 LockBit 1.348 Actief
2 Conti 674 Niet meer actief
3 BlackCat (ALPHV) 262 Actief

Websites van UMCG liggen plat na cyberaanval

Het ziekenhuis zeg zijn best te doen om alles zo snel mogelijk weer in de lucht te krijgen. Het patiëntenportaal MijnUMCG is wel bereikbaar. Ddos staat voor Distributed Denial of Service. Dit is een cyberaanval waarbij veel verkeer naar computers, computernetwerken of servers worden verstuurd. Deze worden daardoor onbruikbaar.


The Godfather Banking Trojan breidt targeting van toepassingen uit naar meer slachtoffers in Europa

Godfather-malware omvat banktrojanen die door verschillende bedreigingsactoren worden gebruikt om mobiele Android-apparaten aan te vallen. De eerste varianten werden begin maart 2021 gemeld. Een primaire opzet van Godfather-malware is het verzamelen van aanmeldingsgegevens voor verschillende financiële toepassingen, waaronder cryptocurrency wallets en exchanges. De meest opvallende kenmerken van Godfather-malware zijn het omzeilen van twee-factor authenticatie (2FA) door sms-berichten of meldingen van Android-apparaten op te vangen en zichzelf uit te voeren als een Android-service door misbruik te maken van AccessibilityService om aanhoudende en bevoorrechte toegang te houden op geïnfecteerde Android-apparaten. Volgens een rapport van GroupIB is Godfather-malware afgeleid van Anubis-malware op basis van overeenkomstige code. Meer info.


Nederlandse hacker steelt gegevens van vrijwel gehele bevolking van Oostenrijk

Een Nederlandse hacker is gearresteerd nadat hij naar verluidt gegevens van 9 miljoen Oostenrijkse burgers had gestolen via een verkeerd geconfigureerde clouddatabase. De aanval werd aanvankelijk ontdekt in mei 2020 en betrof de Fees Info Service (GIS) - de organisatie die verantwoordelijk is voor het innen van tv- en radiolicenties in het land. Destijds werd bekend dat er sprake was van een datalek, waarbij gegevens die eerder door de GIS waren opgeslagen en die toebehoorden aan Oostenrijkers, werden ontdekt op een darkweb marktplaats. De hacker, wiens identiteit nog niet bekend is gemaakt, werd in november 2022 in Nederland gearresteerd, onthulde het Oostenrijkse Bundeskriminalamt/BK op 25 januari, zoals gemeld door Die Presse. Het BK zei dat het GIS een naamloos IT-bedrijf uit Wenen had ingehuurd om zijn interne databanken te herstructureren. De databanken bevatten informatie over locaties van burgers om iedereen op te sporen die probeert te ontsnappen aan het betalen van een omroepbijdrage. Een werknemer van het bedrijf zou de GIS-gegevens tijdens een test hebben gebruikt en een database online hebben gelaten zonder deze te beveiligen. Onderzoekers zeiden dat de hacker de gegevens vond via een zoekmachine "die geen Google was".


Belgische banken waarschuwen voor opmars van zoekmachinefraude

Er is een toename van fraude via zoekmachines, waarbij internetgebruikers die naar de website van hun bank zoeken worden doorgestuurd naar phishingsites, zo waarschuwen de Belgische banken. "Naast het typische phishingbericht in je mailbox of via sms, proberen fraudeurs ook zoekmachines op het internet als bondgenoot te gebruiken, om je naar een valse website te leiden", aldus Febelfin, de koepelorganisatie van Belgische banken. Febelfin stelt dat Belgische banken en het Centrum voor Cybersecurity België (CCB) verwijzingen naar frauduleuze telefoonnummers of websites in de zoekmachines zo snel mogelijk proberen te laten weghalen. "Maar vrij snel kan er natuurlijk een nieuw frauduleus telefoonnummer of een nieuwe frauduleuze website online staan." Bankklanten wordt dan ook geadviseerd om nooit via een zoekmachine naar de banksite te navigeren. "Typ altijd zélf het adres van je bankwebsite in je browser, of voeg dit toe aan jouw favorieten."


Britse overheid adviseert uitschakelen mail-fowarding wegens phishing

De Britse overheid waarschuwt voor gerichte phishingaanvallen en adviseert organisaties en eindgebruikers om onder andere mail-forwarding uit te schakelen, aangezien aanvallers hier geregeld misbruik van maken zodra ze een account hebben gecompromitteerd. De waarschuwing van het Britse National Cyber Security Centre (NCSC) gaat over spearphishing-aanvallen gericht tegen academici, defensiebedrijven, overheidsorganisaties, ngo's, denktanks, politici, journalisten en activisten. De aanvallen zijn volgens het NCSC het werk van groepen die vanuit Iran en Rusland opereren. De aanvallers verzamelen eerst informatie via social media en netwerken als LinkedIn. Met deze kennis, onder andere over interesses en professionele contacten, benaderen ze doelwitten. Zodra er een vertrouwensrelatie is opgebouwd sturen de aanvallers een link die naar een bestand zou wijzen. In sommige gevallen hebben de aanvallers ook tijdens Zoom-gesprekken links naar hun slachtoffers gestuurd. De links wijzen in werkelijkheid naar een phishingsite die zich voordoet als de inlogpagina van een legitieme dienst. Om de aanvallen te voorkomen adviseert het NCSC onder andere het gebruik van sterke wachtwoorden en multifactorauthenticatie. Verder wordt ook het uitschakelen van mail-forwarding aangeraden. Zodra de aanvallers toegang tot een account hebben maken ze vaak een doorstuurregel aan, die alle inkomende mail automatisch doorstuurt naar de aanvallers. Zelfs wanneer de aanvallers geen directe toegang meer tot het account hebben, bijvoorbeeld omdat het doelwit zijn wachtwoord heeft aangepast, blijven ze zo e-mail bedoeld voor het doelwit ontvangen. Wanneer het niet mogelijk is om mail-forwarding uit te schakelen wordt aangeraden om geregeld de instelling te controleren.


VS looft 10 miljoen dollar uit voor link tussen Hive-ransomware en buitenlandse regering

Het Amerikaanse ministerie van Buitenlandse Zaken heeft een beloning van 10 miljoen dollar uitgeloofd voor informatie over een relatie tussen de Hive-ransomware en een buitenlandse regering. Gisteren werd bekend dat de servers van de criminelen achter de Hive-ransomware tijdens een internationale politieoperatie, waar ook de Nederlandse politie aan deelnam, offline zijn gehaald. Volgens de Amerikaanse autoriteiten wist de FBI eind juli vorig jaar toegang tot de systemen van de Hive-groep te krijgen en kreeg zo controle over de decryptiesleutels voor het ontsleutelen van data en deelde die met slachtoffers. In totaal verstrekte de Amerikaanse opsporingsdienst meer dan driehonderd decryptiesleutels aan actief aangevallen slachtoffers van de Hive-ransomware. Daarnaast werden er nog eens meer dan duizend decryptiesleutels gedeeld met eerdere slachtoffers van de ransomware. De FBI stelt dat de Hive-ransomware verantwoordelijk is voor aanvallen op meer dan vijftienhonderd organisaties. Slachtoffers zouden de criminelen meer dan honderd miljoen dollar losgeld hebben betaald. Net als bij andere ransomwaregroepen heeft het Amerikaanse ministerie van Buitenlandse Zaken een beloning uitgeloofd voor informatie over de Hive-groep. Het gaat dan specifiek om informatie waaruit blijkt dat er een relatie tussen de Hive-groep en een buitenlandse regering is, of dat de Hive-groep in opdracht van een buitenlandse regering aanvallen tegen de Amerikaanse vitale infrastructuur heeft uitgevoerd.


Bitwarden-gebruikers doelwit van phishingaanval via Google-advertenties

Gebruikers van wachtwoordmanager Bitwarden zijn het doelwit geworden van een phishingaanval die via malafide Google-advertenties begint. Bij het zoeken via Google naar "bitwarden password manager" en "bitwarden password generator" verscheen er een gesponsord resultaat dat zich voordoet als de officiële website van Bitwarden. Daarbij wordt de naam "appbitwarden" gebruikt. Dit domein stuurt gebruikers weer door naar een ander domein met de naam "bitwardenlogin". Het gaat om een phishingsite die identiek is aan de officiële inlogpagina van Bitwarden, vault.bitwarden.com, zo blijkt uit meldingen op Reddit. Met gegevens die gebruikers daar in vullen kan een aanvaller op het Bitwarden-account van de gebruiker inloggen en zo toegang tot diens wachtwoorden en andere opgeslagen gegevens krijgen. Na te zijn ingelicht over de malafide advertenties en phishingsite heeft Bitwarden naar eigen zeggen maatregelen genomen. Beide domeinnamen zijn inmiddels offline gehaald. De afgelopen maanden waarschuwden onderzoekers geregeld voor malware die via Google-advertenties wordt verspreid. Een aantal weken geleden adviseerde de FBI vanwege de malafide advertenties in de zoekmachine van Google nog het gebruik van een adblocker.


Groot-Brittannië slaat alarm op de in Rusland gevestigde hackgroep Cold River

Een in Rusland gevestigde hackgroep genaamd Cold River zit achter een uitgebreide en voortdurende campagne voor het verzamelen van informatie die verschillende doelen heeft geraakt in de regering, politiek, academische wereld, defensie, journalistiek en activisme, zei Groot-Brittannië donderdag (26 januari).


Brits cyberagentschap waarschuwt voor Russische en Iraanse spionagecampagnes

Twee afzonderlijke maar vergelijkbare spionagecampagnes van aan Rusland en Iran gelieerde groepen hebben geleid tot een waarschuwing van het Britse National Cyber Security Centre. In een op donderdag plaatselijke tijd gepubliceerd document waarschuwt het NCSC dat de hackersgroepen - geïdentificeerd als het "Russische" SEABORGIUM en het "Iraanse" APT42, of Charming Kitten - in plaats van verrassende phishing-e-mails te versturen, op een vriendelijke manier contact opnemen met hun doelwitten en proberen een band en een gevoel van vertrouwen op te bouwen. Pas nadat dit is vastgesteld, proberen de groepen hun slachtoffers ertoe te verleiden een website te bezoeken die eruitziet als de echte aanmeldingspagina van een legitieme dienst, zoals Gmail of Office 365, maar in werkelijkheid is ontworpen om de aanmeldingsgegevens van het doelwit te verzamelen. Personen die werkzaam zijn in "de academische wereld, defensie, overheidsorganisaties, NGO's, denktanks, politici, journalisten en activisten" zijn het doelwit van de twee groepen. De aanvallers gebruiken "open bronnen om verkenningen uit te voeren, waaronder sociale media en professionele netwerkplatforms" voordat ze contact opnemen. Nadat ze de tijd hebben genomen om de interesses en contacten van hun doelwitten te onderzoeken om een geloofwaardige benadering te creëren, beginnen de hackers een band op te bouwen met hun doelwitten, vaak "door een goedaardig contact te leggen over een onderwerp waarvan ze hopen dat het hun doelwitten zal aanspreken", aldus het NCSC.


Nieuwe Mimic Ransomware misbruikt alles API's voor zijn encryptieproces

Trend Micro onderzoekers hebben een nieuwe ransomware ontdekt die misbruik maakt van de API's van een legitieme tool genaamd Everything, een door Voidtools ontwikkelde Windows zoekmachine voor bestandsnamen die snel zoeken en real-time updates biedt voor minimaal gebruik van resources. Deze ransomware (die we Mimic hebben genoemd op basis van een string die we in de binaire bestanden vonden), werd voor het eerst in het wild waargenomen in juni 2022 en richt zich op Russisch- en Engelstalige gebruikers. Het is uitgerust met meerdere mogelijkheden zoals het verwijderen van schaduwkopieën, het beëindigen van meerdere toepassingen en diensten en het misbruiken van Everything32.dll functies om doelbestanden te bevragen die moeten worden versleuteld. In dit blogartikel zullen we de Mimic ransomware, zijn componenten en functies en zijn verband met de Conti builder die begin 2022 werd gelekt, nader bekijken.


Amerikaanse overheid waarschuwt voor misbruik van remote beheersoftware zoals AnyDesk en ScreenConnect

De Amerikaanse overheid waarschuwt organisaties voor misbruik van remote beheersoftware zoals AnyDesk en ScreenConnect (ConnectWise Control). Via dergelijke software is het mogelijk om systemen op afstand over te nemen. Aanleiding voor de waarschuwing zijn twee Amerikaanse overheidsinstanties die slachtoffer werden van een aanval waarbij de software werd ingezet. De aanval begon met een phishingmail waarin over een zogenaamde abonnementsverlening werd bericht. Om de verlenging "stop te zetten" moet een opgegeven telefoonnummer worden gebeld. Het gaat hier om een nummer van de aanvaller, die het slachtoffer instructies geeft om een bepaalde website te bezoeken. Deze website bevat een uitvoerbaar bestand dat wanneer uitgevoerd de remote beheersoftware downloadt. Het gaat hier om een portable executable die zonder installatie is te gebruiken en zo geconfigureerd is waardoor de aanvaller meteen verbinding met het systeem van het slachtoffer te maken. Vervolgens krijgt het slachtoffer, dat nog steeds met de aanvaller aan de lijn is, instructies om op internetbankieren in te loggen. De aanvaller wijzigt dan het rekeningoverzicht, waardoor het lijkt alsof het slachtoffer ten onrechte een bedrag bijgeschreven heeft gekregen. De aanvaller vraagt vervolgens dit bedrag naar een opgegeven rekening over te maken. Zeker twee niet nader genoemde Amerikaanse overheidsinstanties zijn hier slachtoffer van geworden. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) en de Amerikaanse geheime dienst NSA hadden de aanvallers een financieel motief, maar bestaat het risico dat ze hun toegang aan andere partijen verkopen, zoals buitenlandse spionagegroepen. Het CISA en de NSA willen met de waarschuwing organisaties wijzen op het malafide gebruik van legitieme remote beheersoftware. Ook moeten beheerders beseffen dat door het gebruik van portable executables zaken als beheerdersrechten en software management control policies zijn te omzeilen. Daarnaast wordt remote beheersoftware niet opgemerkt door antivirussoftware. Om dergelijke aanvallen te voorkomen geven de NSA en het CISA meerdere adviezen, waaronder het blokkeren van inkomende en uitgaande verbindingen naar bekende poorten gebruikt door remote beheersoftware.


"Golf" van aanvallen op WordPress-sites via hergebruikte wachtwoorden: malafide plug-ins worden geïnstalleerd

Er is een "golf" van aanvallen gaande waarbij WordPress-sites via hergebruikte wachtwoorden worden besmet met malafide plug-ins. Dat claimt Jetpack, onderdeel van Automattic, het bedrijf achter WordPress.com. Zodra aanvallers toegang hebben verkregen installeren ze als eerste de "core-stab" plug-in. gevolgd door andere plug-ins waarmee er controle over de website wordt verkregen. Jetpack geeft geen aantal van het getroffen WordPress-sites, maar stelt dat alle gecompromitteerde sites tenminste één e-mailadres hadden dat sinds 2019 in publieke datalekken voorkomt. De aanvallers gebruikten dan ook hergebruikte inloggegevens om de malware te installeren. WordPress-beheerders worden dan ook opgeroepen om te controleren of er geen onbekende plug-ins, themes of gebruikers binnen hun WordPress-site actief zijn. Gisteren meldde securitybedrijf Wordfence dat credential stuffing, waarbij aanvallers via hergebruikte wachtwoorden inloggen, vorig jaar de meestgebruikte aanvalsvector was tegen WordPress-sites.


Twitteraccount beleggingsapp Robinhood gehackt en gebruikt voor cryptoscam

Een aanvaller is erin geslaagd de officiele Twitter-, Facebook- en Instagram-accounts van beleggingsapp Robinhood over te nemen en vervolgens te gebruiken voor een cryptoscam. Via het Twitteraccount @Robinhood, dat meer dan 1 miljoen volgers heeft, werd een tweet verstuurd waarin werd geclaimd dat het beleggingsplatform een nieuwe cryptomunt zou lanceren. De directeuren van cryptobeurzen Binance en Coinbase lieten beide weten dat het Twitteraccount van Robinhood vermoedelijk gekaapt was. Kort nadat de malafide berichten waren geplaatst werd de gebruikte link en berichten offline gehaald. Volgens CoinDesk zou er zo'n 16.000 dollar naar de geadverteerde cryptovaluta zijn gegaan. In een reactie bevestigt Robinhood dat via de eigen socialmediakanalen op Twitter, Instagram en Facebook "ongeautoriseerde berichten" zijn geplaatst. Het onderzoek naar de aanval is nog gaande, maar Robinhood denkt dat de oorzaak bij een externe leverancier ligt. Verdere details zijn niet gegeven.


NCSC waarschuwt voor beveiligingslek in wachtwoordmanager KeePass

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid waarschuwt voor een kwetsbaarheid in wachtwoordmanager KeePass waardoor een aanvaller die al toegang tot een systeem heeft gegevens in de KeePass-database, zoals wachtwoorden, kan bemachtigen. De ontwikkelaar stelt dat het hier niet om een kwetsbaarheid gaat en de wachtwoorddatabase van KeePass niet ontworpen is om tegen een aanvaller met dergelijke toegang tot het systeem bescherming te bieden. Er zal dan ook geen beveiligingsupdate verschijnen. Een proof-of-concept exploit waarmee een lokale aanvaller de inhoud van de KeePass-database kan bemachtigen is online verschijnen. Het beveiligingslek wordt veroorzaakt doordat de configuratie van KeePass onversleuteld wordt opgeslagen. Een lokale aanvaller kan deze configuratie aanpassen en een malafide exportregel toevoegen. Wanneer een gebruiker een KeePass-database opent, zorgt de exportregel ervoor dat opgeslagen gegevens ongemerkt naar de aanvaller worden geëxporteerd. Volgens het NCSC kunnen systeembeheerders door middel van een Enforced Configuration misbruik toch voorkomen. "Door de parameter "ExportNoKey" op "false" te zetten wordt ervoor gezorgd dat een masterwachtwoord is vereist voor het exporteren van opgeslagen gegevens. Op die manier wordt voorkomen dat een kwaadwillende heimelijk gevoelige gegevens exporteert", aldus het NCSC. De overheidsinstantie adviseert organisaties om van een Enforced Configuration gebruik te maken en ten minste bovenstaande configuratie te implementeren. Daarnaast wordt organisaties geadviseerd om een risicoafweging te maken voor het gebruik van KeePass. De kwetsbaarheid in KeePass wordt aangeduid als CVE-2023-24055, maar is door de ontwikkelaar betwist.


Politie haalt servers van Hive-ransomware offline en verkrijgt decryptiesleutels voor slachtoffers: Gegevens kosteloos ontsleuteld

De Nederlandse politie heeft samen met de Duitse en Amerikaanse autoriteiten de servers van de Hive-ransomware offline gehaald en meerdere decryptiesleutels bemachtigd waarmee slachtoffers hun data kosteloos kunnen ontsleutelen. Dat laat Europol vandaag weten. Vorig jaar november meldde de FBI nog dat de criminelen achter de Hive-ransomware 100 miljoen dollar losgeld van getroffen organisaties hadden ontvangen. Onder andere elektronicaketen MediaMarkt werd slachtoffer van de Hive-ransomware alsmede een grote Amerikaanse zorgverlener. De Hive-ransomware hanteert een Ransomware-as-a-Service (RaaS)-model. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Voor de verspreiding van de Hive-ransomware worden verschillende methodes gebruikt. Voordat de ransomware overgaat tot het versleutelen van data maakten partners van de ransomwaregroep eerst allerlei gegevens van het getroffen netwerk buit. Als slachtoffers het gevraagde losgeld niet betaalden werd gedreigd de gestolen data via de website van de Hive-ontwikkelaars openbaar te maken. Wanneer slachtoffers betaalden ging tachtig procent van het losgeld naar de partner die voor de infectie verantwoordelijk was en twintig procent naar de Hive-ontwikkelaars. De website van de Hive-ontwikkelaars draaide op het Tor-netwerk, waardoor het ip-adres van de servers onbekend is. Autoriteiten zijn er echter toch in geslaagd de locatie van de servers te achterhalen en die vervolgens uit te schakelen. Bij de operatie werden ook meerdere decryptiesleutels gevonden. De Hive-website laat nu onderstaande melding zien dat die in beslag is genomen.


Royal Mail hervat internationale pakketbezorging na grote ransomware-aanval

Zestien dagen na een grote ransomware-aanval kan de Royal Mail weer postpakketten naar het buitenland sturen, zo heeft het Britse postbedrijf vandaag bekendgemaakt. Toch worden Britten opgeroepen om vooralsnog geen nieuwe pakketten op de post te doen, aangezien honderdduizenden pakketten al ruim twee weken lang op bezorging wachten. De systemen van de postdienst raakten op 10 januari besmet met de Lockbit-ransomware. Bij de aanval werden de machines versleuteld die worden gebruikt voor het printen van de verzendlabels voor het versturen van pakketten en post naar internationale bestemmingen. Daardoor was het niet meer mogelijk om post naar het buitenland te sturen. Britten werden dan ook opgeroepen om geen brieven of pakketten met een buitenlandse bestemming op de post te doen. Vorige week maakte het postbedrijf bekend dat het weer briefpost kon versturen, nu is ook de internationale pakketbezorging hervat. Door de aanval konden naar schatting een half miljoen pakketten niet worden verstuurd. Royal Mail wil eerst deze pakketten verwerken voordat het nieuwe pakketten aankan. Het postbedrijf roept Britten dan ook op om vooralsnog geen nieuwe pakketten op de post te doen. De komende dagen zal Royal Mail meer informatie over de internationale postbezorging geven.


Hackers veilen vermeende broncode van League of Legends

Cybercriminelen veilen de vermeende broncode van League of Legends en de Packman anti-cheatsoftware van Riot Game, waarvan is bevestigd dat deze is gestolen bij een recente hack van de ontwikkelomgeving van het spelbedrijf. Afgelopen vrijdag maakte Riot Games bekend dat zijn ontwikkelomgeving was gehackt, waardoor cybercriminelen broncode konden stelen van League of Legends (LoL), Teamfight Tactics (TFT) en het bestaande Packman anti-cheat platform van het bedrijf. Gisteren bevestigde het bedrijf dat ze een losgeldbrief hadden ontvangen van de cybercriminelen en dat ze geen losgeld zouden betalen. Vice.com kreeg deze losgeldbrief in handen, waarin 10 miljoen dollar werd geëist om te voorkomen dat de gestolen gegevens openbaar zouden worden.

Dear Riot Games,

We have obtained your valuable data, including the precious anti-cheat source code and the entire game code for League of Legends and its tools, as well as Packman, your usermode anti-cheat. We understand the significance of these artifacts and the impact their release to the public would have on your major titles, Valorant and League of Legends. In light of this, we are making a small request for an exchange of $10,000,000.

We uploaded a tree list pdf file, which you can view the tree of Packman and League of Legends source. If you require any files for proof, message us and we will provide you the raw file.

In return, we will immediately remove all source code from our servers and guarantee that the files will never be released to the public. We will also provide insight into how the breach occurred and offer advice on preventing future breaches. We suggest communicating through Telegram, you can join us here:

[Telegram link]


Kronos Malware duikt opnieuw op met verhoogde functionaliteit - IOC's

De Kronos-malware zou zijn ontstaan uit de gelekte broncode van de Zeus-malware, die in 2011 in de Russische onderwereld werd verkocht. Kronos bleef zich ontwikkelen en een nieuwe variant van Kronos dook op in 2014 en werd naar verluidt verkocht op het darkweb voor ongeveer 7.000 dollar. Kronos wordt gewoonlijk gebruikt om andere malware te downloaden en is in het verleden door dreigingsactoren gebruikt om verschillende soorten malware bij slachtoffers af te leveren. Nadat de Kronos banking trojan een paar jaar slapend was gebleven, dook hij in 2018 opnieuw op onder de naam Osiris en werd hij gebruikt in een banking trojan campagne. Hoewel er enkele verschillen waren tussen de twee stammen, deelden zowel Osiris als Kronos dezelfde techniek voor het stelen van informatie. Kronos maakte opnieuw een opleving door - ditmaal in combinatie met ransomware - en eind 2022 zag IBM Security Trusteer een toename van Kronos-malwareactiviteit in Mexico. Bij deze aanvallen werd het gebruikt om JavaScript-webinjecties op financiële instellingen uit te voeren met een kwaadaardige Chrome-extensie. Meer info.


Chinese hackers gebruiken Golang-broncode-interpreter om detectie te omzeilen

Onderzoekers hebben een nieuwe ongebruikelijke techniek ontdekt die wordt gebruikt door Chinese bedreigingsactoren, waarbij Golang Source Code Interpreter wordt gebruikt om detectie te ontwijken in de Dragonspark-malwarecampagne. DragonSpark is de eerste kwaadaardige campagne die gebruik maakt van SparkRAT, een open-source tool, en is gericht op slachtoffers in Oost-Azië. SparkRAT is een op RAT gebaseerde malware die regelmatig door dreigingsactoren is bijgewerkt met multiplatformfuncties met veel mogelijkheden en is gemaakt door de Chinees sprekende ontwikkelaar XZB-1248. Onderzoekers begrijpen dat deze campagne een zeer vreemde en ongebruikelijke techniek is om de Golang Source Code Interpreter te gebruiken via verduisterende malware-implementaties. Ook werd opgemerkt dat de actoren achter deze aanval deze op Golang gebaseerde malware gebruikten om ingesloten Golang-broncode te interpreteren als een run-time techniek om moeilijker op statische analyse gebaseerde detectie uit te voeren. De DragonSpark-aanvallen maken gebruik van gehackte infrastructuur in China en Taiwan om SparkRAT samen met andere tools en malware op te zetten. Na succesvolle toegang tot het netwerk voerde de dader een verscheidenheid aan kwaadaardige activiteiten uit, zoals laterale beweging, privilege-escalatie en de inzet van malware en tools die werden gehost op door de aanvaller gecontroleerde infrastructuur, aldus onderzoekers van SentinelOne.


Noord-Koreaanse hackers stelen $100 miljoen aan crypto van een Amerikaans bedrijf

De bekendmaking door de FBI van de betrokkenheid van Noord-Koreaanse groepen bij de diefstal van 100 miljoen dollar van de Horizon-brug van het Amerikaanse cryptobedrijf Harmony herinnert aan de voortdurende dreiging van door de staat gesponsorde hacking en cybercriminaliteit. Deze twee groepen, "the Lazarus Group" en "APT38", zijn in het verleden in verband gebracht met verschillende opvallende cyberaanvallen. De Lazarus Group zat bijvoorbeeld achter de WannaCry ransomware-aanval in 2017, die wereldwijd honderdduizenden computersystemen lamlegde. De nationale gezondheidsdiensten van Engeland en Schotland, FedEx, de Universiteit van Montreal en Honda werden ook getroffen bij de aanval van 2017. Wat de recente aanval betreft, is gebleken dat zij een privacyprotocol genaamd Railgun gebruikten om meer dan 60 miljoen dollar aan ethereum wit te wassen die tijdens de overval in juni werd gestolen. Het geld werd vervolgens naar aanbieders van virtuele activa gestuurd en omgezet in bitcoin. Volgens de FBI ondersteunen deze diefstal en het witwassen van virtuele valuta de programma's voor ballistische raketten en massavernietigingswapens van Noord-Korea. Aangezien Noord-Korea onder zware VN-sancties staat, is de diefstal van virtuele valuta en het witwassen ervan voor het land een manier om aan geld te komen om zijn militaire ontwikkeling te ondersteunen. De bevolking van Noord-Korea heeft het nu al moeilijk door de ondraaglijke "investering" van het land in zijn leger. In 2021 bedroegen de militaire uitgaven van Noord-Korea ongeveer 24 procent van het bruto binnenlands product (BBP). De natie staat op de eerste plaats wat betreft militaire uitgaven als percentage van het BBP.


Hackers stoppen cyberaanval nadat ze “per vergissing” zorginstelling gijzelen: “In nood waren we bereid om te betalen”

Op zondag 22 januari werd zorggroep Curando in Belgie slachtoffer van een cyberaanval. De directie startte samen met gespecialiseerde beveiligingsorganisaties onderhandelingen op. Toen de hackers doorhadden dat ze een zorginstelling hadden getroffen, krabbelden ze terug. “Ze boden zelfs hun excuses aan.” “In nood waren we bereid om te betalen mochten we daardoor zeker zijn dat de gegevens niet te grabbel werden gegooid”, zegt algemeen directeur Dirk Lips. Maar uiteindelijk bleek dat niet nodig.


Google-advertenties voor populaire software leiden naar ransomware

Criminelen maken op grote schaal gebruik van Google-advertenties om ransomware en andere malware te verspreiden, zo waarschuwen beveiligingsonderzoekers. Wie via Google zoekt naar populaire software zoals WinRAR, LibreOffice, AnyDesk, VirtualBox, OBS, Blender en KMPlayer krijgt allerlei advertenties te zien die zogenaamd naar de officiële downloadsite lijken te wijzen, maar in werkelijkheid op een malafide, nagemaakte website uitkomen die malware aanbiedt. De afgelopen maanden is er geregeld gewaarschuwd voor het gebruik van Google-advertenties voor de verspreiding van malware, maar Google heeft het probleem nog altijd niet opgelost. Beveiligingsonderzoeker German Fernandez ontdekte bij één van de advertenties dat de achterliggende malware bij Bitbucket was gehost en in een paar dagen tijd duizenden keren was gedownload. Een aantal weken geleden adviseerde de FBI vanwege de malafide advertenties in de zoekmachine van Google nog het gebruik van een adblocker. Volgens onderzoeker Will Dormann zullen er ongetwijfeld mensen zijn die een adblocker gebruiken of zeggen dat ze nooit op advertenties klikken of hier in zouden trappen. "Maar sommige mensen trappen hier wel in. Het is een kwestie van aantallen."


Zendesk, leverancier van software voor klantondersteuning, getroffen door cyberaanval waarbij klantgegevens gecompromitteerd werden

Zendesk, het Amerikaanse bedrijf dat software voor klantondersteuning aanbiedt, is vorig jaar getroffen door een aanval waarbij er toegang tot een systeem met data van klanten werd verkregen. In een bericht aan klanten laat Zendesk weten dat het op 25 oktober ontdekte dat personeel het doelwit van een sms-phishingaanval was geworden. Een niet nader genoemd aantal van deze medewerkers trapte in de aanval, waardoor de aanvaller hun inloggegevens in handen kreeg. Met deze inloggegevens kreeg de aanvaller toegang "ongestructureerde data" van een loggingplatform. Zendesk zegt dat het vervolgens een onderzoek heeft ingesteld en daaruit begin dit jaar vaststelde dat er ook data van klanten is gecompromitteerd. Het gaat in ieder geval om Coinigy, een handelsplatform voor cryptovaluta. Volgens Zendesk heeft de aanvaller mogelijk toegang gekregen tot "service data" van coinigy.zendesk.com. Verdere details over de aanval en het soort gecompromitteerde gegevens zijn niet gegeven.


2,6 miljoen gebruikersgegevens van online taalplatform Duolingo gescraped en te koop aangeboden

Een aanvaller is erin geslaagd om de gegevens van 2,6 miljoen gebruikers van online taalplatform Duolingo te scrapen, maar er is geen sprake van een datalek, aldus het bedrijf. De data wordt op internet te koop aangeboden. Volgens de aanbieder van de dataset, die hier minimaal 1500 dollar voor wil hebben, zijn de gegevens door middel van een "blootgestelde API" gescrapet. Het gaat om accountgegevens, zoals naam, e-mailadres, foto en telefoonnummer. Via Duolingo is het mogelijk om allerlei talen te leren. Het platform had vorig jaar 50 miljoen actieve gebruikers per maand. "De gegevens zijn door middel van scraping van publieke profielinformatie verkregen", aldus een woordvoerder tegenover The Record. "Er heeft geen datalek of inbraak plaatsgevonden. We nemen privacy en security serieus en onderzoeken of er verdere actie is vereist om onze gebruikers te beschermen." De Ierse privacytoezichthouder DPC legde Meta vorig jaar een AVG-boete van 265 miljoen euro op wegens een groot datalek bij Facebook waardoor de data van 533 miljoen gebruikers op straat kwam te liggen. De data was door middel van scraping verzameld, waarbij er misbruik was gemaakt van een feature van het platform. Uit interne communicatie bleek dat Facebook datalekken door middel van scraping vervolgens als een industriebreed probleem wilde framen.


Credential stuffing is de meestgebruikte aanvalsmethode tegen WordPress-sites

Credential stuffing was vorig jaar de meestgebruikte aanvalsmethode tegen WordPress-sites, zo stelt securitybedrijf Wordfence op basis van eigen cijfers (pdf). Verder blijkt dat een groot aantal WordPress-sites niet meer actief wordt beheerd, waardoor 210.000 websites die begin 2022 besmet raakten dat eind vorig jaar nog steeds waren. Volgens cijfers van W3Techs draait 43,2 procent van alle websites op internet op WordPress. Het platform is dan ook een geliefd doelwit van aanvallers. Die maken vooral gebruik van credential stuffing, stelt Wordfence. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Het verschil tussen credential stuffing en andere soorten aanvallen was een factor vier, aldus Wordfence. Andere aanvallen die vaak plaatsvinden is misbruik van kwetsbare plug-ins, het meeliften op al aanwezige malware of het installeren van besmette plug-ins. Het gaat dan om betaalde legitieme plug-ins die door aanvallers worden gedownload, voorzien van malware en vervolgens gratis als download op allerlei fora en websites worden aangeboden. Zodra een WordPress-site besmet is geraakt heeft een aanvaller hier vaak volledige toegang toe. Er zijn echter veel websites die niet meer actief worden beheerd, waardoor de infectie aanwezig blijft. 210.000 WordPress-sites die begin 2022 besmet raakten waren dat eind vorig jaar ook nog steeds. Een toename van zestig procent ten opzichte van 2020. Vaak gaat het om backdoors om toegang tot de site te krijgen en behouden. Andere aanvallers kunnen echter ook misbruik van deze backdoors maken, wat in de praktijk geregeld gebeurt. "De meeste aanvallen die we in 2020 zagen probeerden op een eenvoudige manier binnen te komen, via hergebruikte inloggegevens of door mee te liften op eerdere infecties, en onze cijfers laten zien dat dit een steeds reëlere optie is, aangezien niet meer onderhouden websites met infecties steeds vaker voorkomen", aldus Wordfence.

The Wordfence 2022 State Of Word Press Security Report
PDF – 562,2 KB 98 downloads

Emotet keert terug met nieuwe methoden van ontduiking - Extra IOC's

Emotet, een kwaadaardige Trojan die al meer dan tien jaar wordt gebruikt om slachtoffers te infecteren, is teruggekeerd naar de schermen van het publiek, maar met weinig tamtam, volgens beveiligingsonderzoekers.


Hackers stelen broncode League of Legends

De hackers die onlangs een cyberaanval uitvoerden op Riot Games, hebben de broncode van League of Legends en Teamfight Tactics bemachtigd. Tevens hebben ze data gestolen van een platform dat valsspelen moet tegengaan. Tot slot eisen de aanvallers een onbekend bedrag aan losgeld.


NSA waarschuwt voor beveiligingsrisico's bij netwerken met IPv4 en IPv6

Organisaties die overstappen naar IPv6 lopen extra risico tijdens de overgangsfase waarbij er ook nog van IPv4 gebruik wordt gemaakt, zo waarschuwt de Amerikaanse geheime dienst NSA. Dit komt mede door een gebrek aan ervaring bij systeembeheerders met IPv6, aldus de NSA in een nieuw document met beveiligingsadviezen voor gebruik van het IP-protocol (pdf). Het is al jaren bekend dat het aantal IPv4-adressen beperkt is en de groei van het aantal "connected devices" niet kan ondersteunen. Toch verloopt de overstap naar IPv6 moeizaam. Zo heeft Nederland volgens cijfers van Google een IPv6-adoptie van nog geen dertien procent. Volgens de NSA zijn de beveiligingsproblemen die bij IPv6 om de hoek komen kijken gelijk aan die van IPv4. "Dat wil zeggen, de beveiligingsmethodes gebruikt bij IPv4 moeten ook worden toegepast bij IPv6, met aanpassingen waar nodig voor de verschillen met IPv6", aldus de Amerikaanse geheime dienst in de nieuwe "IPv6 Security Guidance". De grootste beveiligingsproblemen gelinkt aan IPv6 zullen zich voordoen in netwerken waar nog geen gebruik van IPv6 wordt gemaakt of zich in de beginfase van de IPv6-transitie bevinden. Deze netwerken hebben nog geen volwassen IPv6-configuraties en netwerksecuritytools. Daarnaast hebben de betreffende systeembeheerders geen ervaring met het IPv6-protocol, zo laat de NSA verder weten. Een ander probleem waarvoor de geheime dienst waarschuwt zijn "dual stacked" netwerken die IPv4 en IPv6 gelijktijdig draaien, en daardoor met een groter aanvalsoppervlak te maken hebben. Daardoor zijn ook verdere maatregelen vereist om de risico's aan te pakken. "Het beheer van dual stack vergroot de operationele last en het aanvalsoppervlak. Systeemeigenaren en -beheerders zouden beveiligingsmaatregelen voor beide IP-protocollen moeten implementeren om het netwerk te beschermen", aldus de NSA. De Amerikaans geheime dienst stelt dat de kennis van de systeem- en netwerkbeheerders die een IPv6-implementatie configureren en beheren een grote impact heeft op de algehele veiligheid van het netwerk. "Als gevolg kan de daadwerkelijke veiligheid van een IPv6-implementatie verschillen." De NSA doet ook verschillende aanbevelingen om IPv6-netwerken te implementeren en beveiligen, waaronder het gebruik van split domain name system (Split DNS), automatische tunnels en configuraties, het filteren van IPv6-verkeer en het beschermen van de local link.

CSI IPV 6 SECURITY GUIDANCE PDF
PDF – 305,5 KB 79 downloads

LastPass-eigenaar GoTo meldt diefstal van back-ups klanten

Bij een aanval op GoTo, het moederbedrijf van LastPass dat eerder nog bekendstond als LogMeIn, zijn ook de back-ups van klanten gestolen en de encryptiesleutel om de data te ontsleutelen. Op 30 november meldde LastPass dat een aanvaller toegang had gekregen tot een third-party cloudopslagdienst die het deelt met moederbedrijf GoTo. De aanvaller wist met gegevens die bij een ander beveiligingsincident afgelopen augustus werden gestolen toegang tot klantgegevens te krijgen. Nu bijna twee maanden later meldt GoTo dat versleutelde back-ups van klanten van verschillende diensten zijn gestolen. Het gaat om de zakelijke communicatiettool Central, Pro, meeting-app join.me, vpn-dienst Hamachi en remote access tools RemotelyAnywhere en Pro. Bij de aanval is ook voor een "deel van de versleutelde back-ups" de encryptiesleutel buitgemaakt, waardoor de data is te ontsleutelen. Daardoor zijn gebruikersnamen, gesalte en gehashte wachtwoorden, een deel van de multifactorauthenticatie (MFA) instellingen, productinstellingen en licentiegegevens in handen van de aanvaller gekomen. GoTo zegt dat het op dit moment geen bewijs heeft dat ook andere GoTo-producten zijn getroffen. Naar aanleiding van de datadiefstal gaat GoTo van getroffen klanten de wachtwoorden resetten en hun MFA-instellingen opnieuw autoriseren.


Internationale Counter Ransomware Task Force gaat van start

Een internationale taskforce tegen ransomware, die voor het eerst werd aangekondigd tijdens een evenement in het Witte Huis in november, is maandag officieel van start gegaan, volgens de Australische regering, die de eerste voorzitter van de groep is. De activiteiten van de International Counter Ransomware Task Force (ICRTF) zijn bedoeld om de samenwerking tussen een coalitie van 36 lidstaten en de Europese Unie te stimuleren om de verspreiding en de gevolgen van ransomware tegen te gaan die, ondanks het feit dat het meestal eerder een criminele dan een staatsgeoriënteerde activiteit is, de laatste jaren een belangrijke bedreiging voor de nationale veiligheid is geworden. De ICRTF werd aangekondigd door leden van het Counter Ransomware Initiative (CRI) na afloop van een tweedaagse conferentie onder auspiciën van de regering Biden. 


Daxian ransomware vormt kritische bedreiging voor gezondheidszorg, zegt AHA cyber chief

De meest urgente ransomware-variant voor de gezondheidszorg is Daixin, volgens John Riggi, Senior Advisor for Cybersecurity and Risk van de American Hospital Association, meldt SC Media op 19 januari. Daixin is een ransomware- en gegevensafpersingsgroep die minstens sinds juni actief is. De groep richt zich op de publieke gezondheidssector met ransomware-operaties gericht op het exfiltreren van persoonlijk identificeerbare informatie en gezondheidsinformatie van patiënten. Volgens SC Media heeft de groep meerdere slachtoffers gemaakt, waaronder OakBend Medical Center in Richmond, Texas, in september. Het incident leidde tot wekenlange downtime van het netwerk en de vermeende diefstal van gezondheidsgegevens van patiënten van de computers en servers van het ziekenhuis. Gegevens van de hack zouden ook zijn uitgelekt op de dark website Daixin. De heer Riggi zei dat hij gelooft dat het risico van Daixin en andere hackersgroepen veelzijdig is. Deze groepen willen niet alleen toegang krijgen tot patiëntgegevens of activiteiten verstoren voor een snelle uitbetaling, maar ze hebben het specifiek gemunt op medisch onderzoek en innovatie, waarvan een deel verband houdt met de ontwikkeling van medische apparatuur en medische technologie. "Eerlijk gezegd, de manier waarop de slechteriken binnenkomen is door gebruik te maken van bekende en gepubliceerde kwetsbaarheden: Ze zijn ons gewoon voor met de patch," zei de heer Riggi.


Meer dan 350 meldingen van ransomware-aanvallen in Nederland, gegevens gestolen bij 51 slachtoffers

De Nederlandse politie heeft de afgelopen 3,5 jaar iets meer dan 350 meldingen van ransomware-aanvallen ontvangen. Bij 51 slachtoffers kon worden vastgesteld dat er gegevens waren gestolen. In 73 gevallen bleek dat er zeer waarschijnlijk geen data was buitgemaakt en voor de overige bekende aanvallen is geen informatie over datadiefstal bekend. Dat blijkt uit een nieuw whitepaper van het Nationaal Cyber Security Centrum (NCSC), de politie, het Openbaar Ministerie en verschillende leden van vereniging Cyberveilig Nederland (pdf). Verder laten de gegevens van de politie zien dat 22 procent van de slachtoffers betaalde wanneer er data was buitgemaakt, terwijl bijna 28 procent van de slachtoffers het losgeld overmaakte wanneer er geen datadiefstal had plaatsgevonden. Volgens de onderzoekers lijkt dit tegenstrijdig, maar kunnen er meerdere verklaringen zijn. Slachtoffers waarvan gegevens zijn gestolen en hebben betaald zijn mogelijk minder geneigd om naar de politie te gaan, dus ontbreken ze in de gebruikte dataset. Een andere mogelijke verklaring is dat slachtoffers die het losgeld overmaakten de politie niet willen laten weten dat ze betaald hebben. En een laatste mogelijkheid die de onderzoekers noemen is dat de steekproefomvang te klein is, waardoor de analyse minder betrouwbaar is. Wanneer er sprake was van een ransomware-aanval met datadiefstal bedroeg het gemiddelde gevraagde losgeld 2,9 miljoen euro. Bij een ransomware-aanval zonder vroegen de aanvallers gemiddeld een ruime 750.000 euro. "Met andere woorden: data-exfiltratie lijkt samen te hangen met meer gevraagd losgeld dan bij een ransomware-aanval dan wanneer (waarschijnlijk) geen data was geëxfiltreerd", concluderen de onderzoekers. De bandbreedte van gestolen gegevens lag tussen de 60 en 730 gigabyte. Voor het stelen van gegevens is rclone de meestgebruikte tool (60 procent). In de helft van de gevallen gaat de gestolen data naar opslagdienst Mega. Om datadiefstal bij een ransomware-aanval tegen te gaan krijgen organisaties verschillende adviezen, waaronder het gebruik van kanarie-bestanden, het blokkeren van internettoegang voor servers, het back-uppen van logbestanden en monitoring van het eigen netwerk.

VCNL Whitepaper Data Exfiltratie V 3 0
PDF – 836,1 KB 88 downloads

Ziekenhuis technologiegigant NextGen Healthcare reageert op cyberaanval door beruchte ransomware groep

Ziekenhuis technologie gigant NextGen Healthcare zegt dat het reageert op een cyberaanval nadat een beruchte ransomware groep het bedrijf heeft toegevoegd aan zijn lijst van slachtoffers. Het miljardenbedrijf in de gezondheidszorg produceert software voor elektronische patiëntendossiers en praktijkbeheersystemen voor honderden van de grootste ziekenhuizen en klinieken in de VS, het Verenigd Koninkrijk, India en Canada. Op dinsdag voegden hackers verbonden aan de AlphV/BlackCat ransomware het bedrijf toe aan de lijst van slachtoffers naast verschillende andere bedrijven. Een woordvoerder van NextGen Healthcare zei dat het op de hoogte is van de claim en legde uit dat ze met cybersecurity experts hebben samengewerkt om "het probleem te onderzoeken en te herstellen". "We hebben de dreiging onmiddellijk ingedamd, ons netwerk beveiligd en de normale werkzaamheden hervat", aldus de woordvoerder. "Ons forensisch onderzoek is nog gaande en tot op heden hebben we geen bewijs gevonden van toegang tot of exfiltratie van klantgegevens. De privacy en veiligheid van onze klanteninformatie is voor ons van het grootste belang."


Management cryptobeurs Bitzlato aangehouden voor witwassen geld cybercrime

Bij een internationale operatie, waar ook de Nederlandse politie en de FIOD aan deelnamen, is het management van cryptobeurs Bitzlato aangehouden en de infrastructuur van het platform ontmanteld. Vorige week werd de aanhouding van de oprichter al gemeld. Vandaag meldt Europol ook de aanhouding van vijf andere personen. De verdachten werden aangehouden in Spanje, Cyprus en de Verenigde Staten. Het gaat onder andere om de ceo, financieel directeur en marketingdirecteur. Volgens Europol is bijna de helft van alle transacties die Bitzlato verwerkte te linken aan criminele activiteiten. Zo zou er onder andere geld zijn witgewassen dat slachtoffers van ransomware betaalden. Daarnaast zou de cryptobeurs allerlei transacties hebben gefaciliteerd van gebruikers van online marktplaats Hydramarket, die vorig jaar april door de autoriteiten offline werd gehaald. Bij de operatie werden meerdere woningen doorzicht en zijn cryptowallets met een waarde van 18 miljoen euro in beslag genomen, alsmede voertuigen en elektronische apparatuur. Verder meldt Europol dat er meer dan honderd accounts bij andere cryptobeurzen zijn bevroren, die bij elkaar meer dan 50 miljoen euro waard zijn.


Datalek WooCommerce en andere bedrijven door hack bij Mailchimp

Het bekende e-commerceplatform WooCommerce, alsmede allerlei andere bedrijven en organisaties, hebben, hebben hun gebruikers en klanten gewaarschuwd voor een datalek nadat een aanvaller wist in te breken bij e-mailmarketeer Mailchimp. Via MailChimp kunnen bedrijven en organisaties nieuwsbrieven en marketingmails versturen, maar ook andere e-mailcommunicatie. De afgelopen jaren kreeg Mailchimp met meerdere datalekken te maken. Zo waarschuwde het bedrijf vorig jaar april en augustus ook al voor een inbraak op de systemen. Vorige week bleek dat het weer raak was en dat er voor de derde keer binnen een jaar tijd sprake is van een datalek. Op 11 januari ontdekte Mailchimp dat het een aanvaller was gelekt om toegang tot interne systemen te krijgen. Het gaat om de tools gebruikt voor klantbeheer en klantondersteuning. Daarbij zijn de gegevens van 133 Mailchimp-klanten gecompromitteerd, alsmede de gegevens die deze klanten bij Mailchimp hadden opgeslagen. In veel gevallen gaat het om namen, gebruikersnamen en e-mailadressen. In het geval van WooCommerce gaat het ook om adresgegevens. Naast WooCommerce hebben inmiddels ook de Solana Foundation, Yuga Labs, gokbedrijf FanDuel en online dataplatform Statista melding van een datalek gemaakt. Daarin waarschuwen ze gebruikers om alert te zijn op phishingmails, aangezien die met de gestolen gegevens kunnen worden uitgevoerd. Mailchimp claimt dertien miljoen klanten wereldwijd te hebben.


Cybercriminelen maken gebruik van Microsoft OneNote-bestanden om malware te verspreiden, organisaties en gebruikers worden opgeroepen om voorzorgsmaatregelen te nemen

Cybercriminelen maken gebruik van Microsoft OneNote-bestanden om malware te verspreiden, zo waarschuwen verschillende securitybedrijven. Volgens een onderzoeker wordt deze methode steeds vaker toegepast. Jarenlang werden macro's in Microsoft Office-documenten gebruikt voor het verspreiden van malware. Vorig jaar besloot Microsoft om het uitvoeren van macro's in Microsoft 365 standaard te blokkeren, waardoor het veel lastiger wordt om macro's weer in te schakelen. In een reactie op de macro-blokkade van Microsoft daalde de hoeveelheid macro-malware, zo stelden securitybedrijven en onderzoekers. In plaats daarvan werden er andere soorten bestanden als bijlage meegestuurd, zoals RAR-, ISO- en LNK-bestanden. Inmiddels worden ook .one-bestanden als aanvalsmethode gebruikt. Het gaat hier om bestanden voor Microsoft OneNote, software voor het maken en synchroniseren van notities. Het programma is standaard op Windows geïnstalleerd en onderdeel van Office 2019 en Microsoft 365. Vorige maand waarschuwde securitybedrijf TrustWave dat aanvallers malafide .one-bestanden versturen. One-bestanden ondersteunen geen macro's, maar wel toegevoegde scripts die door middel van een dubbelklik zijn te starten. Daarbij krijgen gebruikers wel eerst een waarschuwing te zien en moet er nog een keer worden geklikt om het script daadwerkelijk uit te voeren. Om gebruikers toch te laten klikken maken aanvallers gebruik van dezelfde trucs die ook bij malafide macro's werden toegepast. Zo krijgen gebruikers een "onleesbaar" document te zien. Om dat te bekijken is er een knop toegevoegd. In werkelijkheid gaat het hier om het malafide script dat vervolgens malware installeert voor het stelen van wachtwoorden en andere inloggegevens. Organisaties en gebruikers die geen gebruikmaken van OneNote wordt aangeraden om .one-bestanden zowel in hun e-mailomgeving als het besturingssystemen te blokkeren.


Hack op ontwikkelomgeving van Riot Games leidt tot vertraging in updates voor League of Legends, Valorant en Legends of Runeterra

Gameontwikkelaar Riot Games, bekend van het spel League of Legends, is getroffen door een inbraak op de ontwikkelomgeving. Daardoor kan het bedrijf tijdelijk geen nieuwe content uitbrengen, wat gevolgen heeft voor de updates voor de games van het bedrijf. Naast League of Legends, dat afgelopen december in één maand nog 150 miljoen actieve spelers telde, is Riot Games ook verantwoordelijk voor games als Valorant en Legends of Runeterra. Vorige week meldde de gameontwikkelaar via Twitter dat eerder die week de ontwikkelomgeving via social engineering was gecompromitteerd. Details over de aard van de aanval zijn niet gegeven, behalve dat hierdoor tijdelijk geen nieuwe content kan worden uitgebracht, zoals updates voor de verschillende games van Riot Games. De gameontwikkelaar zegt dat het afhankelijk van het onderzoek met meer informatie zal komen, maar heeft sinds de initiële melding op 20 januari geen nieuws verstrekt.


Zorginstelling Curando in Belgie slachtoffer van cyberaanval

Woonzorggroep Curando uit Ruiselede, met 9 centra in heel West-Vlaanderen, heeft een hacking kunnen oplossen via onderhandelingen. Onbekenden hadden ingebroken op de servers. Programma’s waren verdwenen, maar er was ook persoonsgevoelige informatie gestolen. De hacking gebeurde zondagochtend, daarna kon Curando niet meer werken met personeelsprogramma's en zorgdossiers. Omdat ook bewoners dus zo dossiers kwijt waren, zou de zorggroep onderhandelen en desnoods zelfs betalen. Maar bij het onderhandelen hebben ze de daders er wel op gewezen dat ze werken met ouderen en kwetsbaren. Met begrip van de hackers: ze hebben alle data teruggezet en de eigen kopieën vernietigd. Curando is nu bezig om alles opnieuw op te starten.


Kritieke kwetsbaarheid in Zoho ManageEngine-producten actief misbruikt

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in verschillende Zoho ManageEngine-producten, waaronder Access Manager Plus, PAM 360, Password Manager Pro en ServiceDesk Plus. In totaal zijn 24 verschillende oplossingen van ManageEngine kwetsbaar. Het beveiligingslek, aangeduid als CVE-2022-47966, maakt het voor een ongeauthenticeerde aanvaller mogelijk om op afstand willekeurige code op kwetsbare systemen uit te voeren. Het beveiligingslek wordt veroorzaakt door een third-party afhankelijkheid van Apache Santuario. Eind oktober en begin november vorig jaar kwam Zoho met beveiligingsupdates voor de kwetsbaarheid. Een aantal dagen geleden werd proof-of-concept exploitcode voor het beveiligingslek openbaar gemaakt en inmiddels maken aanvallers actief misbruik van de kwetsbaarheid, zo stelt securitybedrijf Rapid7. Installaties van ManageEngine lopen alleen risico als SAML-gebaseerde single sign-on staat ingeschakeld of ooit ingeschakeld is geweest. Gezien de rol die ManageEngine-producten binnen organisaties spelen worden die opgeroepen om de update zo snel mogelijk te installeren. Volgens ManageEngine loggen elke dag meer dan 300.000 systeembeheerders en eindgebruikers op Password Manager Pro in en worden daarmee miljoenen wachtwoorden beheerd. PAM360 is een "privileged access management" oplossing, waarmee organisaties rechten en toegangsbeheer van medewerkers kunnen beheren en monitoren. Met Access Manager Plus is het mogelijk voor organisaties om de toegang tot remote systemen te beheren.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


Maart 2024
Februari 2024