Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
In deze editie van de weekoverzichten van cyberaanvallen hebben we een scala aan cyberdreigingen en -incidenten te rapporteren. Gekloonde CapCut-websites verspreiden malware, terwijl cybercriminelen onvermoeibaar blijven in hun pogingen om gebruikers te bedreigen. In een recente aanval hebben cybercriminelen bijna $3 miljoen buitgemaakt in een Rug Pull op Arbitrum DEX.
In andere gevallen maken cybercriminelen gebruik van .zip-domeinnamen voor phishingaanvallen en hebben kwetsbare WordPress Elementor-plugins geviseerd na de vrijgave van een PoC. Het niveau van verfijning neemt toe, zoals blijkt uit een geval waarin cybercriminelen €37.200 hebben buitgemaakt via CEO-fraude bij Gemeente Meierijstad.
Ondertussen blijven cybercriminelen innovatieve aanvalsmethoden hanteren, zoals het inzetten van een open-source Cobalt Strike-poort 'Geacon' voor aanvallen op macOS. Stealthy MerDoor-malware bleef gedurende vijf jaar ongedetecteerd terwijl het aanvallen uitvoerde op overheids-, luchtvaart- en telecomorganisaties.
Het hoogtepunt van de week was echter een cyberaanval die The Philadelphia Inquirer platlegde, waardoor er voor het eerst in 27 jaar geen papieren uitgave was.
Hieronder vindt u een volledig overzicht van de cyberaanvallen van de afgelopen week. Lees verder om meer te weten te komen over elk van deze incidenten en blijf op de hoogte van de nieuwste ontwikkelingen in het cyberlandschap.
Week overzicht slachtoffers
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb ↑ |
|---|---|---|---|---|---|
| Atlas Commodities | Royal | In progress | In progress | In progress | 22-mei-23 |
| Technology and Telecommunications Consultants Inc | Trigona | ttcin.com | In progress | In progress | 22-mei-23 |
| Loreto Normanhurst | Medusa | In progress | In progress | In progress | 22-mei-23 |
| SIGMA | Medusa | In progress | In progress | In progress | 22-mei-23 |
| Utah-Yamas Controls | Royal | In progress | In progress | In progress | 22-mei-23 |
| wenntownsend | BlackCat (ALPHV) | In progress | In progress | In progress | 22-mei-23 |
| Confidential and High Sensitive Data | BlackCat (ALPHV) | In progress | In progress | In progress | 22-mei-23 |
| hadefpartners.com | LockBit | In progress | In progress | In progress | 22-mei-23 |
| vdbassocies.fr | LockBit | In progress | In progress | In progress | 22-mei-23 |
| softland.cl | LockBit | In progress | In progress | In progress | 22-mei-23 |
| rapidmoldsolutions.com | LockBit | In progress | In progress | In progress | 22-mei-23 |
| siren-japan.com | LockBit | In progress | In progress | In progress | 22-mei-23 |
| Comoli Ferrari | Snatch | comoliferrari.it | Italy | Wholesale Trade-non-durable Goods | 22-mei-23 |
| Canadian Nurses Association | Snatch | cna-aiic.ca | Canada | Membership Organizations | 22-mei-23 |
| FRESCA | Snatch | fresca.com | USA | Food Products | 22-mei-23 |
| MSSNY | Snatch | mssny.org | USA | Membership Organizations | 22-mei-23 |
| LiveAction | Snatch | liveaction.com | USA | Membership Organizations | 22-mei-23 |
| Asia Vital Components | Snatch | avc.co | Taiwan | Electronic, Electrical Equipment, Components | 22-mei-23 |
| diasporacs.org | LockBit | diasporacs.org | USA | Membership Organizations | 22-mei-23 |
| FajarPaper | BlackCat (ALPHV) | www.fajarpaper.com | Indonesia | Paper Products | 21-mei-23 |
| abe-brands.de | LockBit | abe-brands.de | Germany | Miscellaneous Retail | 21-mei-23 |
| Reach Cooling Group | BlackCat (ALPHV) | www.reachcooling.com | USA | Transportation Equipment | 21-mei-23 |
| ebdlab.com | LockBit | ebdlab.com | USA | Miscellaneous Manufacturing Industries | 21-mei-23 |
| Rheinmetall AG | Black Basta | www.rheinmetall.com | Germany | Defense industry | 21-mei-23 |
| Kannangara Thomson | Qilin | www.ktlaw.co.nz | New Zealand | Legal Services | 20-mei-23 |
| Maier Sanitär-Technik GmbH | Qilin | www.maier-sanitaer.de | Germany | Engineering Services | 19-mei-23 |
| Al Tamimi Law Firm | Medusa | www.tamimi.com | United Arab Emirates | Legal Services | 19-mei-23 |
| csagh.org | LockBit | csagh.org | USA | Educational Services | 19-mei-23 |
| Rolser | Trigona | rolser.com | Spain | Miscellaneous Retail | 19-mei-23 |
| City of Dallas | Royal | www.dallascityhall.com | USA | General Government | 19-mei-23 |
| HECTOR MARTINEZ SOSA Y CIA SA | Qilin | hmsosa.com | Argentina | Insurance Carriers | 19-mei-23 |
| It Works Global | BlackCat (ALPHV) | www.itworks.com | USA | Miscellaneous Retail | 19-mei-23 |
| Harita Group | MalasLocker | In progress | In progress | In progress | 19-mei-23 |
| Fort Rolins Collection Agency | MalasLocker | In progress | In progress | In progress | 19-mei-23 |
| Compañía Agricola San Felipe | MalasLocker | In progress | In progress | In progress | 19-mei-23 |
| Defaulters | MalasLocker | In progress | In progress | In progress | 19-mei-23 |
| Anstel | MalasLocker | anstel.it | Italy | Wholesale Trade-non-durable Goods | 19-mei-23 |
| BeeVoip | MalasLocker | beevoip.it | Italy | IT Services | 19-mei-23 |
| AViSTO | MalasLocker | avisto.com | France | IT Services | 19-mei-23 |
| IPG Automotive GmbH | MalasLocker | ipg-automotive.com | In progress | In progress | 19-mei-23 |
| еКредит | MalasLocker | e-credit.one | In progress | In progress | 19-mei-23 |
| ISG Software Group | MalasLocker | isgsoftware.net | In progress | In progress | 19-mei-23 |
| MetaContratas | MalasLocker | metacontratas.com | In progress | In progress | 19-mei-23 |
| Propac S.r.l. | MalasLocker | propac.it | In progress | In progress | 19-mei-23 |
| Dalim Software GmbH | MalasLocker | dalim.com | Germany | IT Services | 19-mei-23 |
| Chernoff Thompson Architects | MalasLocker | cta.bc.ca | Canada | Construction | 19-mei-23 |
| Livitek | MalasLocker | livitek.com | In progress | In progress | 19-mei-23 |
| Км Профиль | MalasLocker | km-profil.ru | In progress | In progress | 19-mei-23 |
| Preference Portugal | MalasLocker | preferencebss.com | In progress | In progress | 19-mei-23 |
| AMET | MalasLocker | amet.it | Italy | Engineering Services | 19-mei-23 |
| Mangum Construction | MalasLocker | mangum-construction.com | In progress | In progress | 19-mei-23 |
| Orcutt Winslow | MalasLocker | orcuttwinslow.com | In progress | In progress | 19-mei-23 |
| Мебельснаб | MalasLocker | mebelsnab.com | In progress | In progress | 19-mei-23 |
| Spectris Business Systems | MalasLocker | gospectris.com | In progress | In progress | 19-mei-23 |
| Wpat | MalasLocker | wpat.com | In progress | In progress | 19-mei-23 |
| radiosvet | MalasLocker | radiosvet.org | In progress | In progress | 19-mei-23 |
| Chiltern Networks | MalasLocker | chiltern-networks.co.uk | UK | Unknown | 19-mei-23 |
| Hotel Smeraldo | MalasLocker | smeraldoroma.com | In progress | In progress | 19-mei-23 |
| reg22 | MalasLocker | reg22.ru | In progress | In progress | 19-mei-23 |
| Studio Papa | MalasLocker | studiopapa.net | In progress | In progress | 19-mei-23 |
| Etanova | MalasLocker | etanova.com | Canada | IT Services | 19-mei-23 |
| Гудвин-Нева | MalasLocker | goodwin-neva.ru | In progress | In progress | 19-mei-23 |
| Business Travel Solutions | MalasLocker | btsolutions.ru | Russia | Business Services | 19-mei-23 |
| Wishmaster | MalasLocker | wishmaster.me | In progress | In progress | 19-mei-23 |
| Next Generation Srl | MalasLocker | nextgenerationsrl.it | In progress | In progress | 19-mei-23 |
| RusExport Ltd | MalasLocker | rus-export.biz | In progress | In progress | 19-mei-23 |
| FinRe Consulting | MalasLocker | finreconsulting.it | Italy | Real Estate | 19-mei-23 |
| JvG Consulting | MalasLocker | jvg.be | In progress | In progress | 19-mei-23 |
| TBIT Services | MalasLocker | tbitservices.com | In progress | In progress | 19-mei-23 |
| Confindustria Energia | MalasLocker | confindustriaenergia.org | Italy | Membership Organizations | 19-mei-23 |
| Altarix | MalasLocker | altarix.ru | Russia | IT Services | 19-mei-23 |
| NTA srl | MalasLocker | ntanet.it | In progress | In progress | 19-mei-23 |
| International Cargo Equipment | MalasLocker | icedepot.com | In progress | In progress | 19-mei-23 |
| NEXT OS | MalasLocker | nextos.it | In progress | In progress | 19-mei-23 |
| Boarding Concept | MalasLocker | easybc.be | Belgium | Publishing, printing | 19-mei-23 |
| Legato | MalasLocker | legato.ru | In progress | In progress | 19-mei-23 |
| Loeje Trust SA | MalasLocker | loejetrust.lu | In progress | In progress | 19-mei-23 |
| happy-snack.ru | MalasLocker | happy-snack.ru | In progress | In progress | 19-mei-23 |
| Omniglobe Business Solutions | MalasLocker | omniglobebusiness.com | In progress | In progress | 19-mei-23 |
| Evology Manufacturing | MalasLocker | evologymfg.com | USA | Electronic, Electrical Equipment, Components | 19-mei-23 |
| INFINREAL Immobilien GmbH | MalasLocker | infinreal.com | In progress | In progress | 19-mei-23 |
| Accurate Section Benders | MalasLocker | www.accuratesectionbenders.co.uk | UK | Machinery, Computer Equipment | 19-mei-23 |
| Villa Grazioli | MalasLocker | villa-grazioli.it | In progress | In progress | 19-mei-23 |
| Qball Technologies | MalasLocker | qballtech.net | In progress | In progress | 19-mei-23 |
| TitanPower | MalasLocker | titanpower.ca | In progress | In progress | 19-mei-23 |
| Rivas Boquete SL | MalasLocker | rivasboquete.com | In progress | In progress | 19-mei-23 |
| SA.FI | MalasLocker | sa-fi.net | In progress | In progress | 19-mei-23 |
| Winner Italia | MalasLocker | winneritalia.it | In progress | In progress | 19-mei-23 |
| SBG Global | MalasLocker | sbgglobal.com | In progress | In progress | 19-mei-23 |
| ВК Логистик | MalasLocker | linia-logistic.ru | In progress | In progress | 19-mei-23 |
| BMW Алдис | MalasLocker | bmw-aldis.ru | Russia | Automotive Dealers | 19-mei-23 |
| Froese & Partner | MalasLocker | rafroese.de | Germany | Legal Services | 19-mei-23 |
| KomGarant | MalasLocker | komgarant.ru | In progress | In progress | 19-mei-23 |
| Commerciale Ferramenta | MalasLocker | commercialeferramenta.it | Italy | Fabricated Metal Products | 19-mei-23 |
| Гис Нефтесервис | MalasLocker | gisnk.ru | In progress | In progress | 19-mei-23 |
| Onubo s.r.l. | MalasLocker | onubo.com | In progress | In progress | 19-mei-23 |
| Answerpro | MalasLocker | answerpro.ru | Russia | Business Services | 19-mei-23 |
| ATE Elettronica | MalasLocker | atesistemi.it | Italy | Electronic, Electrical Equipment, Components | 19-mei-23 |
| NTD SA | MalasLocker | ntd.ch | In progress | In progress | 19-mei-23 |
| Невский Альянс | MalasLocker | nev-al.ru | In progress | In progress | 19-mei-23 |
| Iris Key Solutions | MalasLocker | iriskeysolutions.com | In progress | In progress | 19-mei-23 |
| Asanger Modellbau | MalasLocker | asanger-modellbau.at | Austria | Fabricated Metal Products | 19-mei-23 |
| BenarIT | MalasLocker | benarit.ru | Russia | IT Services | 19-mei-23 |
| Азимут НТ | MalasLocker | azimuth-nt.ru | In progress | In progress | 19-mei-23 |
| Терра-Минора | MalasLocker | terra-minora.ru | In progress | In progress | 19-mei-23 |
| ISONA GmbH | MalasLocker | isona.de | In progress | In progress | 19-mei-23 |
| OPIT Solutions | MalasLocker | opit.ch | In progress | In progress | 19-mei-23 |
| Axon | MalasLocker | axoncs.net | USA | IT Services | 19-mei-23 |
| PMP Meccanica | MalasLocker | pmp-meccanica.it | In progress | In progress | 19-mei-23 |
| TCG | MalasLocker | tcg.com | In progress | In progress | 19-mei-23 |
| Универсалресурс | MalasLocker | tcpetrovskiy.ru | In progress | In progress | 19-mei-23 |
| Астра | MalasLocker | astra66.ru | In progress | In progress | 19-mei-23 |
| СК БлагоДать | MalasLocker | sk-blagodat.ru | In progress | In progress | 19-mei-23 |
| Totality Solutions | MalasLocker | totalitysolutions.net | In progress | In progress | 19-mei-23 |
| Specialinsert | MalasLocker | In progress | In progress | In progress | 19-mei-23 |
| ТрансКом-Авиа | MalasLocker | transcomavia.ru | In progress | In progress | 19-mei-23 |
| AVM Software & Technology | MalasLocker | avm-it.com | USA | IT Services | 19-mei-23 |
| Vegliolux | MalasLocker | veglio.com | In progress | In progress | 19-mei-23 |
| Fresh-Heads IT | MalasLocker | f-heads.ru | Russia | IT Services | 19-mei-23 |
| Tycoon Group | MalasLocker | tycoongroup.it | In progress | In progress | 19-mei-23 |
| Grassi srl | MalasLocker | grassionline.com | Italy | IT Services | 19-mei-23 |
| FEA srl | MalasLocker | feasrl.it | Italy | Wholesale Trade-non-durable Goods | 19-mei-23 |
| Mobalpa Biarritz | MalasLocker | mobalpa-biarritz.fr | In progress | In progress | 19-mei-23 |
| ICT-LabS | MalasLocker | ict-labs.it | In progress | In progress | 19-mei-23 |
| Cosmos Hotel Group | MalasLocker | cosmos-hotels.ru | Russia | Lodging Places | 19-mei-23 |
| Псковпассажиравтотранс | MalasLocker | pskovbus.ru | In progress | In progress | 19-mei-23 |
| Evropoly | MalasLocker | evropoly.com | Russia | Wholesale Trade-durable Goods | 19-mei-23 |
| Gallagher & Co Consultants | MalasLocker | c-justice.com | USA | Legal Services | 19-mei-23 |
| 3Punto6 | MalasLocker | 3punto6.com | Italy | IT Services | 19-mei-23 |
| Studio Consulenza | MalasLocker | studioconsulenza.it | In progress | In progress | 19-mei-23 |
| meta-spb | MalasLocker | meta-spb.com | In progress | In progress | 19-mei-23 |
| Riboli srl | MalasLocker | riboli.it | In progress | In progress | 19-mei-23 |
| Studio Rossetti e Partners | MalasLocker | rossettidallagata.it | In progress | In progress | 19-mei-23 |
| Axon Certified Auditors | MalasLocker | axonaudit.gr | Greece | Security And Commodity Brokers, Dealers, Exchanges, And Services | 19-mei-23 |
| Studio Eco Perucca | MalasLocker | ecosas.it | In progress | In progress | 19-mei-23 |
| Nu-Pro Group | MalasLocker | nupro.co.za | In progress | In progress | 19-mei-23 |
| paulmitchell.ru | MalasLocker | paulmitchell.ru | In progress | In progress | 19-mei-23 |
| Herold Druck | MalasLocker | herold.cc | In progress | In progress | 19-mei-23 |
| Pasquetti Sarti & Partners | MalasLocker | pspartners.it | In progress | In progress | 19-mei-23 |
| Формекс | MalasLocker | formeks-opt.ru | In progress | In progress | 19-mei-23 |
| Трансбалт | MalasLocker | tblt.ru | In progress | In progress | 19-mei-23 |
| Zite Media | MalasLocker | zite.nl | In progress | In progress | 19-mei-23 |
| Horseman Sim | MalasLocker | horsemansim.com.au | In progress | In progress | 19-mei-23 |
| BE.iT SA | MalasLocker | beitsa.ch | Switzerland | IT Services | 19-mei-23 |
| Johnston Technical Services | MalasLocker | jts.net | In progress | In progress | 19-mei-23 |
| Kouros | MalasLocker | kourossa.gr | In progress | In progress | 19-mei-23 |
| DSSL | MalasLocker | dssl.ru | Russia | IT Services | 19-mei-23 |
| СКППК | MalasLocker | skppk.ru | In progress | In progress | 19-mei-23 |
| Steelgroup | MalasLocker | steelgroup.com | In progress | In progress | 19-mei-23 |
| Balbi Srl | MalasLocker | viteriebalbi.com | Italy | Wholesale Trade-durable Goods | 19-mei-23 |
| SkyFORS | MalasLocker | skyfors.ru | In progress | In progress | 19-mei-23 |
| InfinCE | MalasLocker | infince.com | In progress | In progress | 19-mei-23 |
| Grupo Fatecsa | MalasLocker | fatecsa.com | Spain | Paper Products | 19-mei-23 |
| Baur Hausverwaltung | MalasLocker | baur-verwaltung.de | Germany | Real Estate | 19-mei-23 |
| Ямалтелеком | MalasLocker | ytc.ru | In progress | In progress | 19-mei-23 |
| Hardman's | MalasLocker | hardmans.com | In progress | In progress | 19-mei-23 |
| KriaaNet Inc | MalasLocker | kriaanet.com | In progress | In progress | 19-mei-23 |
| Bleu Blanc | MalasLocker | bleublanc.fr | France | Miscellaneous Retail | 19-mei-23 |
| cashbackAPP | MalasLocker | cashbackapp.com | Kenya | Security And Commodity Brokers, Dealers, Exchanges, And Services | 19-mei-23 |
| Mappy Italia | MalasLocker | mappyitalia.com | In progress | In progress | 19-mei-23 |
| spw.ru | MalasLocker | spw.ru | In progress | In progress | 19-mei-23 |
| Transitus Group | MalasLocker | transitus-group.com | In progress | In progress | 19-mei-23 |
| Bicom | MalasLocker | bicom.ru | Russia | Miscellaneous Manufacturing Industries | 19-mei-23 |
| BEI Srl | MalasLocker | beisrl.it | Italy | Engineering Services | 19-mei-23 |
| Sallemi Carburanti | MalasLocker | sallemicarburanti.it | In progress | In progress | 19-mei-23 |
| RepcoLite | MalasLocker | repcolite.com | In progress | In progress | 19-mei-23 |
| D&G impianti elettrici | MalasLocker | degimpiantielettrici.it | Italy | Engineering Services | 19-mei-23 |
| Fraport Skyliners | MalasLocker | fraport-skyliners.de | Germany | Amusement And Recreation Services | 19-mei-23 |
| Exset | MalasLocker | exset.com | UK | Communications | 19-mei-23 |
| Sita Software | MalasLocker | sitasoftware.lu | In progress | In progress | 19-mei-23 |
| HostingPerTe | MalasLocker | hostingperte.it | In progress | In progress | 19-mei-23 |
| Hoteles Globales | MalasLocker | hotelesglobales.com | In progress | In progress | 19-mei-23 |
| Studio Negri e Associati | MalasLocker | negriassociati.com | In progress | In progress | 19-mei-23 |
| Amersport | MalasLocker | amersport.ru | Russia | Apparel And Accessory Stores | 19-mei-23 |
| Сервиста | MalasLocker | mailsta.ru | In progress | In progress | 19-mei-23 |
| ConnectTo | MalasLocker | connectto.com | USA | Communications | 19-mei-23 |
| Azzurra Group | MalasLocker | azzurra-group.com | Italy | Furniture | 19-mei-23 |
| Oasis Ads Media | MalasLocker | oasisads.com | In progress | In progress | 19-mei-23 |
| LunarWeb | MalasLocker | lunarweb.io | In progress | In progress | 19-mei-23 |
| Гласс Фурнитура | MalasLocker | glassfurnitura.ru | In progress | In progress | 19-mei-23 |
| ArCloud | MalasLocker | ar-cloud.ru | Russia | IT Services | 19-mei-23 |
| Копчёнов | MalasLocker | kopchenow.ru | In progress | In progress | 19-mei-23 |
| Custom Manufacturing & Engineering, Inc | MalasLocker | custom-mfg-eng.com | USA | Electronic, Electrical Equipment, Components | 19-mei-23 |
| ФГУП "ЦНИИХМ" | MalasLocker | cniihm.ru | In progress | In progress | 19-mei-23 |
| KondorCS | MalasLocker | kondorcs.com | In progress | In progress | 19-mei-23 |
| Aster Cucine | MalasLocker | astercucine.it | Italy | Furniture | 19-mei-23 |
| Евроэкспо | MalasLocker | euroexpo.ru | In progress | In progress | 19-mei-23 |
| Altia | MalasLocker | altia.es | Spain | IT Services | 19-mei-23 |
| Имеди | MalasLocker | imedi-group.ru | In progress | In progress | 19-mei-23 |
| Pergler | MalasLocker | pergler-it.com | In progress | In progress | 19-mei-23 |
| MHWEB | MalasLocker | mhweb.it | In progress | In progress | 19-mei-23 |
| Fitser | MalasLocker | fitser.com | India | IT Services | 19-mei-23 |
| Diete-Siepmann | MalasLocker | diete-siepmann.de | Germany | Construction | 19-mei-23 |
| Город Кафе | MalasLocker | gorodcafe.com | In progress | In progress | 19-mei-23 |
| ЖБИ2-Инвест | MalasLocker | zbi2.ru | In progress | In progress | 19-mei-23 |
| Baggio | MalasLocker | baggio.com.ar | Argentina | Food Products | 19-mei-23 |
| nanoCAD | MalasLocker | nanocad.ru | In progress | In progress | 19-mei-23 |
| Petromiralles | MalasLocker | petromiralles.com | In progress | In progress | 19-mei-23 |
| Красный Восток Агро | MalasLocker | krvostok.ru | In progress | In progress | 19-mei-23 |
| Angle Metal Mfg. | MalasLocker | controlledpower.com | USA | Fabricated Metal Products | 19-mei-23 |
| The Sound Organisation | MalasLocker | soundorg.com | In progress | In progress | 19-mei-23 |
| Utair | MalasLocker | In progress | In progress | In progress | 19-mei-23 |
| Ларина | MalasLocker | larina-k.ru | In progress | In progress | 19-mei-23 |
| Banco Azzoaglio | MalasLocker | azzoaglio.it | Italy | Depository Institutions | 19-mei-23 |
| antea.es | LockBit | antea.es | Spain | IT Services | 19-mei-23 |
| Autlan Metallorum | Ragnar_Locker | www.autlan.com.mx | Mexico | Mining | 18-mei-23 |
| enovationcontrols.com | LockBit | enovationcontrols.com | USA | Electronic, Electrical Equipment, Components | 18-mei-23 |
| shoreregional.org | LockBit | shoreregional.org | USA | Educational Services | 18-mei-23 |
| metalnet.nl | LockBit | metalnet.nl | Netherlands | Machinery, Computer Equipment | 18-mei-23 |
| E4NET | BlackCat (ALPHV) | www.e4net.net | South Korea | IT Services | 18-mei-23 |
| NASHUA SCHOOL DISTRICT | Royal | www.nashua.edu | USA | Educational Services | 18-mei-23 |
| Lolaico Impianti | Trigona | lolaico.info | Italy | Construction | 18-mei-23 |
| *a***** ***** | BianLian | Unknown | Canada | Unknown | 18-mei-23 |
| ENSA - Seguros de Angola | BianLian | ensa.co.ao | Angola | Insurance Carriers | 18-mei-23 |
| Z*** ******** ******s | BianLian | Unknown | USA | Educational Services | 18-mei-23 |
| TaslyUS | BlackCat (ALPHV) | www.taslyus.com | USA | Chemical Producers | 18-mei-23 |
| AVIAREPS | Black Basta | www.aviareps.com | Germany | Business Services | 18-mei-23 |
| Aneka Tambang | Vice Society | www.antam.com | Indonesia | Metal Industries | 17-mei-23 |
| Magic-Aire | BlackByte | www.magicaire.com | USA | Machinery, Computer Equipment | 17-mei-23 |
| plastictecnic.com | LockBit | plastictecnic.com | Malaysia | Rubber, Plastics Products | 17-mei-23 |
| PM Medical Billing | BlackCat (ALPHV) | www.pmbiller.com | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 17-mei-23 |
| Electrostim Medical Services | BlackCat (ALPHV) | www.wecontrolpain.com | USA | Miscellaneous Manufacturing Industries | 17-mei-23 |
| BAMSI | Medusa | www.bamsi.org | USA | Personal Services | 17-mei-23 |
| Accudo Investments LTD | Trigona | accudo.co.uk | UK | Security And Commodity Brokers, Dealers, Exchanges, And Services | 17-mei-23 |
| Feit Electric | Trigona | feit.com | USA | Electronic, Electrical Equipment, Components | 17-mei-23 |
| ance.org.mx | LockBit | ance.org.mx | Mexico | Membership Organizations | 17-mei-23 |
| wings.travel | LockBit | wings.travel | UK | Miscellaneous Services | 16-mei-23 |
| SOWITEC | PLAY | www.sowitec.com | Germany | Electrical | 16-mei-23 |
| ORION | BlackCat (ALPHV) | www.orionworld.com | South Korea | Food Products | 16-mei-23 |
| airtac.com | LockBit | airtac.com | Taiwan | Machinery, Computer Equipment | 16-mei-23 |
| chinadailyhk.com | LockBit | chinadailyhk.com | China | Publishing, printing | 16-mei-23 |
| IXPERTA | Snatch | www.ixperta.com | Czech Republic | IT Services | 16-mei-23 |
| PCS Wireless | BlackCat (ALPHV) | pcsww.com | USA | Miscellaneous Services | 15-mei-23 |
| Parker Drilling | Royal | www.parkerwellbore.com | USA | Oil, Gas | 15-mei-23 |
| norcorp.com | LockBit | norcorp.com | USA | Fabricated Metal Products | 15-mei-23 |
| Group DIS (Direct Info Services) | BlackCat (ALPHV) | www.group-dis.com | Russia | IT Services | 15-mei-23 |
| QUORUMIS | BlackCat (ALPHV) | quoruminformationsystems.com | Canada | IT Services | 15-mei-23 |
| York County School of Technology | Karakurt | www.ytech.edu | USA | Educational Services | 15-mei-23 |
| euskaltel.com | LockBit | euskaltel.com | Spain | Communications | 15-mei-23 |
| mundo-r.com | LockBit | mundo-r.com | Spain | Communications | 15-mei-23 |
| Bluefield University | AvosLocker | www.bluefield.edu | USA | Educational Services | 15-mei-23 |
| RIC Electronics | Rancoz | ricelectronics.com | Canada | Electronic, Electrical Equipment, Components | 15-mei-23 |
| TrueLogic | Rancoz | truelogiccompany.com | USA | IT Services | 15-mei-23 |
Slachtoffers Belgie en Nederland
| Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum |
|---|---|---|---|---|---|
| Boarding Concept | MalasLocker | easybc.be | Belgium | Publishing, printing | 19-mei-23 |
| metalnet.nl | LockBit | metalnet.nl | Netherlands | Machinery, Computer Equipment | 18-mei-23 |
In samenwerking met DarkTracer
Cyberaanvallen nieuws
22-mei-2023 om 13:54
Digitale inbraak bij gemeente Asten: Cybercriminelen krijgen toegang tot tienduizenden gegevens
De gemeente Asten is eind vorig jaar slachtoffer geworden van een digitale inbraak, waarbij aanvankelijk gedacht werd aan factuurfraude. Later is gebleken dat ongeveer 23.000 persoonlijke gegevens en andere bestanden ongeoorloofd zijn benaderd. De daders achter de hack zijn nog onbekend. Het lot van de persoonsgegevens blijft onduidelijk, inclusief of ze openbaar zijn gemaakt of op het darkweb zijn beland. De gemeente heeft aangifte gedaan en het gegevenslek gemeld bij de Autoriteit Persoonsgegevens. Veiligheidsmaatregelen zijn aangescherpt om herhaling te voorkomen. Criminelen hebben mogelijk namen, adressen, financiële gegevens en kopieën van identiteitsdocumenten kunnen inzien. Een gespecialiseerd bureau onderzoekt welke gegevens precies zijn gecompromitteerd. De gemeente roept inwoners, bedrijven en medewerkers op om waakzaam te zijn. Het incident is recentelijk naar buiten gebracht, nadat vermoedens van factuurfraude waren gerezen.
Cybercriminelen Vallen Duitse Werkplaatsketen ATU Aan, Resulterend in Langere Wachttijden
ATU, één van de grootste werkplaatsketens van Duitsland en Oostenrijk, is onlangs het slachtoffer geworden van een cyberaanval, gepleegd door cybercriminelen. De aanval had een brede impact, met de website van het bedrijf dat onder andere getroffen werd. Het bedrijf is momenteel bezig met het analyseren van de aanval en werkt aan tegenmaatregelen. Hoewel de duur van de IT-systeemstoringen momenteel onbekend is, blijft ATU operationeel in heel Duitsland. Desondanks worden klanten verzocht om geduld te hebben vanwege verschillende beperkingen die hebben geleid tot langere wachttijden in de filialen. Klanten die al een afspraak hebben, worden aangeraden telefonisch contact op te nemen met het betreffende filiaal om een soepele voortgang te waarborgen. ATU, dat deel uitmaakt van de Franse Mobivia Groupe - de grootste exploitant van autowerkplaatsen in Europa, heeft verschillende servers die door de cyberaanval zijn getroffen. Hierdoor werken sommige systemen niet of slechts in beperkte mate, terwijl andere systemen preventief zijn uitgeschakeld. Het bedrijf heeft beloofd om updates te geven zodra er nieuwe informatie beschikbaar is over de aanval en de getroffen maatregelen.
Android-telefoons kwetsbaar voor brute-force-aanvallen met vingerafdrukken, waardoor cybercriminelen de controle kunnen overnemen
Onderzoekers hebben een nieuwe aanval genaamd 'BrutePrint' ontdekt, waarmee cybercriminelen vingerafdrukken op moderne Android-telefoons kunnen omzeilen en de controle over het apparaat kunnen overnemen. De aanval maakt gebruik van zero-day kwetsbaarheden en manipuleert beveiligingsmechanismen, waardoor ze oneindige pogingen kunnen doen zonder dat mislukte pogingen worden geregistreerd. Hoewel iOS-apparaten minder kwetsbaar zijn, roept dit de vraag op naar privacyrechten en ethiek bij het omzeilen van apparaatbeveiliging. Deze aanvalstechniek vormt een potentieel risico, aangezien cybercriminelen gestolen apparaten kunnen ontgrendelen en waardevolle privégegevens kunnen extraheren.
Cyberaanvallen via webshells stijgen in Q1 2023, cybercriminelen experimenteren met nieuwe aanvalsvector
Uit het Cisco Talos-rapport blijkt dat het aantal cyberaanvallen via webshells in het eerste kwartaal van 2023 aanzienlijk is gestegen. Webshells waren verantwoordelijk voor 25% van alle onderzochte incidenten, terwijl het aandeel gedetecteerde ransomware-aanvallen daalde van 20% naar 10%. De rapportresultaten benadrukken het belang van multifactorauthenticatie en sterke wachtwoorden bij de beveiliging van webapplicaties. Daarnaast blijft de dreiging van ransomware hoog, waarbij "pre-ransomware" activiteiten ongeveer 20% van alle aanvallen uitmaken. Cybercriminelen experimenteren ook met nieuwe aanvalsvector, zoals het gebruik van kwaadaardige OneNote-documenten. Het rapport benadrukt dat de cyberweerbaarheid versterkt moet worden om succesvolle aanvallen te voorkomen.
Gekloonde CapCut-websites verspreiden malware; cybercriminelen bedreigen gebruikers
Een nieuwe malwaredistributiecampagne doet zich voor als de populaire CapCut-videoverwerkingstool en stuurt verschillende malwarevarianten naar nietsvermoedende slachtoffers. CapCut is een officiële video-editor van ByteDance, bekend van TikTok, en heeft meer dan 500 miljoen downloads op Google Play. Omzeiling van verboden in bepaalde landen heeft gebruikers aangespoord om alternatieve manieren te zoeken om de app te downloaden. Cybercriminelen hebben hier misbruik van gemaakt door kwaadaardige websites te maken die zich voordoen als CapCut-installatieprogramma's. De malwarecampagnes hebben verschillende malwaresoorten verspreid. Slachtoffers werden waarschijnlijk bereikt via zwarte hoed SEO, zoekadvertenties en sociale media. In de eerste campagne gebruikten ze een nep CapCut-website om de Offx Stealer te verspreiden, terwijl in de tweede campagne een bestand met de naam 'CapCut_Pro_Edit_Video.rar' werd gedropt, dat de Redline Stealer en een .NET executable bevatte. De gestolen gegevens werden naar de aanvallers verzonden via een privé Telegram-kanaal en AnonFiles-bestandshosting werd gebruikt voor redundantie. Gebruikers moeten voorzichtig zijn en software alleen downloaden van officiële bronnen om zichzelf te beschermen tegen dergelijke malwarecampagnes van cybercriminelen.
Beruchte FIN7-cybercriminelen keren terug met Clop ransomware-aanvallen
Een financieel gemotiveerde cybercriminele groep genaamd FIN7 is recentelijk opnieuw opgedoken. Microsoft-analisten hebben deze groep gekoppeld aan aanvallen waarbij Clop ransomware-payloads werden ingezet op de netwerken van slachtoffers. De criminelen maakten gebruik van verschillende tools, waaronder de op PowerShell gebaseerde POWERTRASH malware-druppelaar en de Lizar-post-exploitatietool. Deze aanvallen markeren de eerste ransomwarecampagne van FIN7 sinds eind 2021. Hoewel enkele leden van de groep in de afgelopen jaren zijn gearresteerd, blijft de hackgroep actief en krachtig.
Clop is the latest ransomware strain that Sangria Tempest has been observed deploying over the years. The group previously deployed REvil and Maze before managing the now-retired DarkSide and BlackMatter ransomware operations.
— Microsoft Threat Intelligence (@MsftSecIntel) May 18, 2023
Luxottica bevestigt datalek in 2021 met gegevens van 70 miljoen klanten
Luxottica, 's werelds grootste brillenbedrijf en eigenaar van populaire merken zoals Ray-Ban en Oakley, heeft bevestigd dat een van zijn partners in 2021 slachtoffer is geworden van een datalek. Het lek heeft de persoonlijke informatie van maar liefst 70 miljoen klanten blootgelegd. Een database met deze gegevens werd deze maand gratis op hackforums geplaatst. Het betreft onder andere namen, e-mailadressen, telefoonnummers, adressen en geboortedata. Het bedrijf onderzoekt het incident en heeft de autoriteiten ingeschakeld. Hoewel Luxottica stelt dat hun systemen niet zijn gehackt en het netwerk veilig blijft, blijven klanten bezorgd over de beveiliging van hun gegevens. Cybercriminelen maken steeds vaker gebruik van dergelijke gegevenslekken om identiteitsdiefstal en andere vormen van fraude te plegen.
🚨 A threat actor released a probable new #Luxottica #dataleak updated to 2023!
— Andrea Draghetti 👨🏻💻 🎣 (@AndreaDraghetti) May 12, 2023
⚠️ The database of more than 140Gb is expected to contain more than 300million records!
ℹ️ In 2020 Luxottica had been hit by the Netfilm #ransomware criminal team, re-sharing of the same data?!? pic.twitter.com/HpIkKCV8sA
Cybercriminelen maken bijna $3 miljoen buit bij Rug Pull op Arbitrum DEX
Cybercriminelen hebben onlangs bijna $3 miljoen aan cryptocurrency gestolen in een "rug pull" oplichting op de gedecentraliseerde beurs (DEX) Swaprun op Arbitrum. Een rug pull is een beruchte oplichtingsmethode waarbij ontwikkelaars de liquiditeit van een project intrekken en ermee weglopen, waardoor investeerders achterblijven met waardeloze tokens. Het Swaprun-team verwijderde de liquiditeit die was toegekend tegen hun eigen munt, SAPR, en verkocht vervolgens de tokens voor ETH, wat leidde tot een instorting van de SAPR koers. Het beveiligingsbedrijf PeckShield ontdekte de fraude en onthulde dat het gestolen bedrag in totaal 1.628 ETH bedroeg, dat via het Ethereum-netwerk was verzonden en witgewassen via Tornado Cash, een cryptomixer. Beveiligingsanalisten van Beosin ontdekten later dat het door Swaprun gebruikte slimme contract een verborgen achterdeurmechanisme bevatte. Veel kritiek werd geuit op het op blockchain gerichte beveiligingsbedrijf CertiK, dat op 5 mei een audit van het platform had uitgevoerd. Ondanks hun audit heeft CertiK niet kunnen voorkomen dat de frauduleuze actie plaatsvond, wat de discussie over de effectiviteit van dergelijke controles binnen de cryptowereld verder aanwakkert.
#PeckShieldAler #rugpull @Swaprum on #Arbitrum rugged ~$3M, $SAPR has dropped -100%. @Swaprum already deleted its social accounts/groups.
— PeckShieldAlert (@PeckShieldAlert) May 19, 2023
The scammers have bridged ~1,628 $ETH to #Ethereum and laundered 1,620 $ETH to Tornado Cashhttps://t.co/tUNgbwGQCd pic.twitter.com/UH8V9RyFHy
Cybercriminelen maken gebruik van .zip-domeinnamen voor phishingaanvallen
In de afgelopen maand zijn er meldingen geweest van de eerste phishingaanvallen vanuit .zip-domeinnamen. Deze nieuwe top-level domains (TLD's) werden onlangs door Google geïntroduceerd, waaronder ook de .zip TLD. Volgens internetbedrijf Netcraft maken cybercriminelen nu misbruik van deze .zip-domeinen om phishingaanvallen uit te voeren. De aanvallen zijn inmiddels ook bevestigd door beveiligingsexpert Silent Push. Als reactie hierop adviseren zij organisaties om .zip-domeinen op hun netwerk te blokkeren. Beveiligingsexperts hebben al eerder gewaarschuwd voor het risico van phishing en andere aanvallen via de .zip-TLD. Google heeft in een reactie aan The Register gezegd dat ze de ontwikkelingen rondom het .zip domein nauwlettend in de gaten zullen houden.
Cybercriminelen Infecteren Miljoenen Androidtoestellen Met Malware Vooraf, Waarschuwt Trend Micro
Volgens het antivirusbedrijf Trend Micro hebben cybercriminelen miljoenen Androidtelefoons en andere apparaten vooraf geïnfecteerd met malware. Deze malware maakt het mogelijk om sms-berichten te onderscheppen en te lezen, toegang te krijgen tot WhatsApp en Facebook-apps van de gebruiker om ongewenste berichten te sturen, en het apparaat als proxy te gebruiken. Bovendien worden besmette toestellen ook ingezet voor advertentiefraude. Trend Micro meldt dat de malware aanwezig is in een aangepaste bibliotheek die deel uitmaakt van de Android-image en extra malware kan downloaden en uitvoeren. Het bedrijf heeft meer dan vijftig verschillende Android-images van verschillende leveranciers gevonden die de "Guerrilla" malware bevatten. Hoewel het antivirusbedrijf beweert dat miljoenen apparaten zijn besmet, inclusief telefoons, smartwatches en tv's, blijft de vraag onbeantwoord hoe de cybercriminelen erin slagen de Androidtoestellen te infecteren voordat ze bij de gebruiker terechtkomen. Trend Micro heeft ook geen specifieke namen van besmette telefoons, fabrikanten of modellen vrijgegeven. Reacties op de site variëren van bezorgdheid over de veiligheid van smartphones als banktools tot scepticisme over het ontbreken van specifieke informatie. De algehele consensus lijkt echter te zijn dat gebruikers zich bewust moeten zijn van de risico's en fabrikanten hun beveiliging moeten verbeteren.
Cybercriminelen viseren kwetsbare WordPress Elementor-plugin na vrijgave PoC
Cybercriminelen zijn momenteel actief op zoek naar kwetsbare versies van de Essential Addons for Elementor-plugin op duizenden WordPress-websites via grootschalige internet scans. Ze proberen een kritisch beveiligingslek voor het opnieuw instellen van accountwachtwoorden te misbruiken, dat eerder deze maand bekend werd gemaakt. Het beveiligingslek, bekend als CVE-2023-32243, heeft betrekking op Essential Addons for Elementor-versies 5.4.0 tot 5.7.1. Het stelt niet-geverifieerde aanvallers in staat om willekeurig wachtwoorden van beheerdersaccounts opnieuw in te stellen en de controle over de websites over te nemen. Het beveiligingslek werd ontdekt op 8 mei 2023 en op 11 mei 2023 gepatcht met de release van versie 5.7.2 van de plugin. Op 14 mei 2023 werd een proof-of-concept (PoC) exploit op GitHub gepubliceerd, waardoor de tool breed beschikbaar werd voor aanvallers. Er zijn miljoenen pogingen waargenomen om te zoeken naar de aanwezigheid van de plugin op websites, waarbij minstens 6.900 misbruikpogingen zijn geblokkeerd. Website-eigenaren wordt dringend aangeraden om de beschikbare beveiligingsupdate onmiddellijk te installeren door versie 5.7.2 of later te gebruiken. Het is ook raadzaam om de indicatoren van compromis in het rapport van Wordfence te gebruiken en de betrokken IP-adressen toe te voegen aan een blokkeerlijst om deze en toekomstige aanvallen te stoppen. Gebruikers van het gratis beveiligingspakket van Wordfence zullen op 20 juni 2023 beschermd zijn tegen CVE-2023-32243, dus op dit moment zijn ze kwetsbaar.
Unieke MalasLocker Ransomware Eist Goede Doelen Donaties in Plaats van Losegeld
Zie voor overzicht slachtoffers hierboven
Een nieuwe ransomware-operatie, genaamd MalasLocker, hackt Zimbra-servers, steelt e-mails en versleutelt bestanden. Opmerkelijk is dat de cybercriminelen geen traditioneel losgeld eisen, maar in plaats daarvan een donatie aan een door hen goedgekeurde liefdadigheidsinstelling vragen. De groep beweert tegen bedrijven en economische ongelijkheid te zijn en stelt dat hun acties win-win zijn, omdat slachtoffers waarschijnlijk belastingaftrek en positieve PR kunnen krijgen van hun donatie. De ransomware begon eind maart 2023 met het versleutelen van Zimbra-servers. Bij het coderen van e-mails wordt geen extra bestandsextensie toegevoegd aan de bestandsnaam. De bedreigingsactoren laten een losgeldbericht achter met de instructie om een donatie te doen en het bevestigingsmailtje van de donatie naar hen te sturen. Ze controleren de DKIM-handtekening van het email om te verifiëren dat de donatie echt is. Deze ongewone eis wordt beschouwd als hacktivisme. De encryptie-methode die MalasLocker gebruikt, is de Age encryptie-tool, ontwikkeld door Filippo Valsorda van Google. Dit is ongebruikelijk en wordt enkel door enkele andere ransomware-operaties gebruikt die geen Windows-apparaten targeten. Ondanks zwakke linken, zou het kunnen wijzen op een mogelijke relatie tussen deze operaties. Er is nog niet bevestigd of de groep echt decryptors verstrekt na een liefdadigheidsdonatie.
"Unfortunately a malware has infected your QNAP and a large number of your files has been encrypted using a
— MalwareHunterTeam (@malwrhunterteam) August 30, 2022
hybrid encryption scheme. File names were also encrypted."
"AGE" ransomware?
Note name: HOW_TO_RESTORE_FILES.txt
🤔 pic.twitter.com/EVolJdxeyp
Kwaadaardige Microsoft VSCode-extensies Stelen Wachtwoorden en Openen Externe Shells
Cybercriminelen beginnen de VSCode Marketplace van Microsoft aan te vallen, waarbij drie kwaadaardige Visual Studio-extensies zijn geüpload die al 46.600 keer door Windows-ontwikkelaars zijn gedownload. De ontdekte extensies waren onder andere 'Thema Darcula donker', dat basisinformatie over het systeem van de ontwikkelaar stal en 'python-vscode', een C# shell injector. Een andere gevaarlijke extensie, 'prettiest java', bootste een populaire codeformatting tool na, maar stal in werkelijkheid opgeslagen inloggegevens of authenticatietokens van Discord, Google Chrome, Opera, Brave Browser en Yandex Browser. Check Point ontdekte ook meerdere verdachte extensies die mogelijk onveilig gedrag vertoonden, zoals het ophalen van code uit privérepositories of het downloaden van bestanden. Dit illustreert het inherente risico van software repositories, zoals NPM en PyPi, die bijdragen van gebruikers toestaan en vaak het doelwit zijn van bedreigingsactoren. Deze incidenten tonen aan dat kwaadwillenden actief proberen om Windows-ontwikkelaars te besmetten met kwaadaardige bijdragen, vergelijkbaar met andere software repositories. Gebruikers van de VSCode Marketplace, en alle door gebruikers ondersteunde repositories, wordt aangeraden alleen extensies te installeren van vertrouwde uitgevers met veel downloads en community ratings. Ze moeten ook gebruikersreviews lezen en altijd de broncode van de extensie inspecteren voordat ze deze installeren.
Ransomware-aanval treft technologiebedrijf ScanSource: dienstverlening mogelijk vertraagd
ScanSource, een in de VS gevestigde technologieprovider, heeft aangekondigd slachtoffer te zijn van een omvangrijke ransomware-aanval. De cyberaanval, die plaatsvond op 14 mei 2023, heeft een impact gehad op verschillende systemen, bedrijfsactiviteiten en klantenportalen van het bedrijf. ScanSource biedt cloud- en SaaS-connectiviteits- en netwerkcommunicatiediensten, naast speciale Point-of-Sale (PoS) en beveiligingsoplossingen en oplossingen voor automatische identificatie en gegevensverzameling (AIDC). De aanval veroorzaakte een meerdaagse uitval, waardoor klanten geen toegang hadden tot de klantenportalen en websites van het bedrijf. Na de aanval heeft het bedrijf onmiddellijk zijn incidentresponsplan geïmplementeerd, inclusief het waarschuwen van wetshandhavers en het inroepen van hulp van forensische en cybersecurityprofessionals. Deze experts helpen bij het lopende onderzoek en bij het implementeren van strategieën om de operationele verstoringen als gevolg van het incident te minimaliseren. ScanSource waarschuwt dat er de komende periode vertragingen kunnen optreden in de dienstverlening aan klanten, met mogelijke impact op de activiteiten in Noord-Amerika en Brazilië. Het bedrijf werkt actief aan het herstellen van de getroffen systemen en minimaliseren van de impact op de bedrijfsvoering. Op het moment van publicatie is nog niet bekend welke ransomware-operatie verantwoordelijk is voor de aanval, noch of er gegevens zijn gestolen. ScanSource is benaderd voor meer details over de aanval en verdere updates zullen volgen zodra meer informatie beschikbaar is.
Cybercriminelen Verschuiven Focus: FBI Bevestigt BianLian-ransomware Overschakelt naar Afpersing
Het Amerikaanse FBI, de Cybersecurity and Infrastructure Security Agency (CISA) en het Australische Cyber Security Centre (ACSC) hebben gezamenlijk gewaarschuwd voor de nieuwe tactieken en procedures die door de cybercriminele groep BianLian worden gebruikt. Om detectie te voorkomen, gebruikt BianLian PowerShell en de Windows Command Shell om processen die gerelateerd zijn aan antivirusprogramma's uit te schakelen. Ze manipuleren ook het Windows-register om de fraudebeveiliging van Sophos-beveiligingsproducten te neutraliseren. Als verdediging adviseren deze organisaties om het gebruik van externe desktopdiensten zoals RDP te beperken en strikte beveiligingsmaatregelen te handhaven. Het gebruik van PowerShell moet worden beperkt en er moet worden bijgewerkt naar de nieuwste versie. Regelmatige audits van administratieve accounts en het toepassen van het principe van minimale bevoegdheden zijn ook aangeraden. Een herstelplan met meerdere kopieën van gegevens, veilig en offline opgeslagen, is essentieel. Ze benadrukken het belang van het naleven van NIST-normen voor wachtwoordbeheer en het regelmatig updaten van software en firmware. Het segmenteren van netwerken voor verbeterde beveiliging en het actief monitoren van netwerkactiviteiten is ook cruciaal. Het FBI, CISA en ACSC moedigen kritieke infrastructuurorganisaties en kleine en middelgrote organisaties aan om deze aanbevelingen te implementeren om de waarschijnlijkheid en impact van BianLian en andere ransomware-incidenten te verminderen.
Cybercriminelen maken €37.200 buit via CEO-fraude bij Gemeente Meierijstad
De Gemeente Meierijstad is het slachtoffer geworden van een aanzienlijke CEO-fraude, uitgevoerd door cybercriminelen. Via deze fraude hebben de oplichters een bedrag van €37.200 weten te ontvreemden. CEO-fraude is een vorm van oplichting waarbij cybercriminelen zich voordoen als een topfunctionaris van een organisatie, in dit geval, de CEO of CFO, om zo medewerkers te manipuleren en geld over te laten maken. De fraudeurs deden meerdere pogingen om het geld van de gemeente afhandig te maken. Echter, toen een alerte medewerker een telefonische verificatie aanvroeg, werd de fraude ontdekt. De criminelen hadden zich voorgedaan als hooggeplaatste personen binnen de financiële afdeling van de gemeente en stuurden e-mails met betaalverzoeken. Deze e-mails leken afkomstig te zijn van de directie, terwijl ze in werkelijkheid van de cybercriminelen kwamen. Burgemeester Kees van Rooij reageerde op het incident en zei: "Criminaliteit is van alle tijden. Iedereen weet dat criminelen op allerlei manieren actief zijn, maar je hoopt dat het je niet persoonlijk zal treffen." Hij voegde eraan toe dat er bij CEO-fraude vaak sprake is van tijdsdruk, omdat het gevraagde bedrag snel overgemaakt moet worden en dat er nadruk wordt gelegd op het vertrouwelijke karakter van de betaling. De gemeente betreurt het incident ten zeerste en heeft aangegeven nazorg te bieden aan de medewerkers die het slachtoffer zijn geworden van deze cybercriminaliteit.
Cybercriminelen richten zich op Autoriteit Persoonsgegevens in social engineering-aanval
De Autoriteit Persoonsgegevens (AP) was vorig jaar doelwit van een social engineering-aanval uitgevoerd door cybercriminelen. Deze aanval werd uitgevoerd via een ogenschijnlijk legitiem pdf-bestand dat naar de AP was verzonden. Het openen van de link naar het pdf-bestand resulteerde in een poortscan van de systemen van de AP. De AP heeft in 2022 te maken gehad met in totaal vijftig beveiligingsincidenten, volgens hun jaarverslag. Van deze incidenten betrof het in 26 gevallen een datalek, aangezien persoonsgegevens waren betrokken. Vier van deze datalekken zijn zelf door de toezichthouder gemeld. De meeste datalekken ontstonden door foutief geadresseerde brieven en e-mails.
Er is een specifiek datalek dat ontstond op de Dag van de FG-website, waar derden plug-ins op de pagina hadden die gegevens naar Google stuurden. Op verzoek van de AP zijn deze plug-ins verwijderd en Google heeft bevestigd dat de persoonsgegevens bij Google Fonts en reCaptcha zijn verwijderd. Na de social engineering-aanval heeft de AP extra aandacht besteed aan de ‘security awareness’ van hun medewerkers. Ondanks dat de poortscan specifieke netwerkpoorten scande die niet in gebruik zijn bij de AP, geeft dit incident de noodzaak weer om constant alert te blijven op mogelijke cyberaanvallen. Het vergroten van de 'security awareness' is een essentieel onderdeel om de digitale weerbaarheid van organisaties te versterken tegen cybercriminelen.
Cybercriminelen leggen productie Lacroix stil met ransomware-aanval
De elektronicafabrikant Lacroix heeft drie van haar fabrieken in Duitsland, Frankrijk en Tunesië voor een week gesloten na een gerichte ransomware-aanval, die werd ontdekt in de nacht van 12 op 13 mei. Lacroix, dat apparatuur produceert voor onder andere de automobiel-, domotica-, luchtvaart-, industriële- en gezondheidssector, is momenteel bezig met onderzoek naar de aanval, het herstellen van systemen via beschikbare back-ups en het controleren of de aanval volledig onder controle is. Het is op dit moment nog onbekend wanneer de productie precies zal worden hervat, maar Lacroix hoopt in de week van 22 mei de activiteiten te kunnen hervatten. De drie getroffen fabrieken vertegenwoordigden vorig jaar 19 procent van de totale omzet van het bedrijf. Ondanks de aanval en de tijdelijke sluiting van de fabrieken, verwacht Lacroix niet dat deze gebeurtenis een grote impact zal hebben op de eerder aangekondigde verwachtingen voor dit jaar, mede vanwege de feestdagen in deze periode.
Chinese staatshackers infecteren TP-Link-routerfirmware om EU-entiteiten aan te vallen
Een Chinese staatshackergroep genaamd "Camaro Dragon" heeft residentiële TP-Link-routers geïnfecteerd met aangepaste malware genaamd "Horse Shell". Deze malware wordt gebruikt om Europese organisaties voor buitenlandse zaken aan te vallen. De hackers maken gebruik van een kwaadaardige firmware die specifiek is ontworpen voor TP-Link-routers en stellen hen in staat om aanvallen uit te voeren die lijken te komen van residentiële netwerken. De malware geeft de hackers volledige toegang tot de geïnfecteerde apparaten en stelt hen in staat om shell-opdrachten uit te voeren, bestanden te uploaden en te downloaden, en communicatie tussen apparaten door te geven. Het is belangrijk voor gebruikers om de nieuwste firmware-updates te installeren, het standaardwachtwoord van hun router te wijzigen en externe toegang tot het beheerpaneel uit te schakelen om zichzelf te beschermen tegen deze aanvallen van cybercriminelen.
Russische ransomware-partner aangeklaagd voor aanvallen op kritieke infrastructuur in de VS
Samenvatting: Het Amerikaanse ministerie van Justitie heeft aanklachten ingediend tegen een Russische burger genaamd Mikhail Pavlovich Matveev, ook bekend als Wazawaka of Boriselcin. Hij wordt beschuldigd van betrokkenheid bij drie ransomware-operaties die gericht waren op slachtoffers in de Verenigde Staten. Matveev wordt geassocieerd met ransomwarevarianten zoals Hive, LockBit en Babuk, die wereldwijd aanzienlijke financiële verliezen hebben veroorzaakt. Hij heeft zich actief gericht op Amerikaanse bedrijven en kritieke infrastructuur. Matveev is ook gesanctioneerd door het Department of the Treasury's Office of Foreign Assets Control (OFAC). Het Amerikaanse ministerie van Buitenlandse Zaken heeft een beloning van $10 miljoen uitgeloofd voor informatie die kan leiden tot zijn arrestatie of veroordeling. De VS benadrukken de ernstige gevolgen van ransomware-aanvallen en noemen Rusland een veilige haven voor cybercriminelen.
Cybercriminelen gebruiken Azure Serial Console voor heimelijke toegang tot virtuele machines
Een financieel gemotiveerde cybergang, bekend als 'UNC3944' en gevolgd door Mandiant, gebruikt phishing en SIM-swapping aanvallen om Microsoft Azure-beheerdersaccounts te kapen en toegang te krijgen tot virtuele machines. De aanvallers maken misbruik van de Azure Serial Console om op afstand beheersoftware te installeren en maken gebruik van Azure Extensions voor heimelijke surveillance. Mandiant meldt dat UNC3944 actief is sinds minstens mei 2022 en dat hun campagne gericht is op het stelen van gegevens van slachtofferorganisaties via de cloudcomputingdienst van Microsoft. De criminelen tonen diepgaande kennis van de Azure-omgeving en weten ingebouwde tools te gebruiken om detectie te ontlopen. Door hun technische kennis te combineren met geavanceerde sociale technieken zoals SIM-swapping, vergroten ze het risico. Organisaties die ontoereikende beveiligingsmaatregelen, zoals op SMS gebaseerde tweefactorauthenticatie, implementeren, bieden mogelijkheden voor deze geavanceerde dreigingsactoren.
Cybercriminelen zetten open-source Cobalt Strike-poort 'Geacon' in voor aanvallen op macOS
Open-source Cobalt Strike-port 'Geacon' wordt in toenemende mate gebruikt bij aanvallen op macOS-apparaten. Geacon en Cobalt Strike zijn tools die legitieme organisaties gebruiken om aanvallen op hun netwerken te simuleren en hun verdediging te verbeteren, maar ze worden ook gebruikt voor aanvallen door bedreigingsactoren. Cobalt Strike is al jaren misbruikt door bedreigingsactoren om Windows-systemen te compromitteren. Beveiligingsonderzoekers bij SentinelOne hebben de activiteit van Geacon in het wild gemonitord en hebben onlangs een verhoogd aantal payloads opgemerkt op VirusTotal. Wanneer Geacon voor het eerst op GitHub verscheen als een beloftevolle port voor Cobalt Strike voor macOS, leek het weinig aandacht van hackers te trekken. In april veranderde dit echter toen anonieme Chinese ontwikkelaars op GitHub twee Geacon-forks publiceerden: Geacon Plus, die gratis en openbaar beschikbaar is, en de privé, betaalde versie, Geacon Pro. Deze ontwikkeling heeft de populariteit van de Geacon-fork vergroot en lijkt de aandacht van kwaadwillige gebruikers te hebben getrokken. Er zijn twee gevallen van kwaadaardige Geacon-implementatie gevonden in twee VirusTotal-inzendingen. SentinelOne waarschuwt dat er een goede kans is dat echte tegenstanders de openbare en mogelijk zelfs de privé-versies van Geacon zullen gebruiken. Ter ondersteuning van deze conclusie wordt erop gewezen dat het aantal Geacon-samples in de afgelopen maanden is toegenomen. Gezien deze toenemende dreiging, raden ze beveiligingsteams aan om adequate verdedigingsmaatregelen te implementeren. SentinelOne heeft een lijst van indicatoren van compromittering (IoC's) geleverd die bedrijven kunnen gebruiken om passende bescherming tegen de Geacon-dreiging te creëren. Beveiligingsteams kunnen deze tools gebruiken om hun netwerken te verdedigen door gesimuleerde aanvallen uit te voeren en zo zwakke punten te identificeren. Het gebruik van Geacon is recentelijk toegenomen, met een verhoogd aantal payloads gedetecteerd op VirusTotal. Hoewel sommige van deze payloads deel uitmaakten van legitieme rode teamoperaties, hadden anderen de kenmerken van kwaadaardige aanvallen. Geacon werd voor het eerst geïntroduceerd op GitHub als een beloftevolle port voor Cobalt Strike voor macOS, maar trok in eerste instantie weinig aandacht van hackers. Dit veranderde in april toen anonieme Chinese ontwikkelaars twee Geacon-vorken op GitHub publiceerden: Geacon Plus, die gratis en publiekelijk beschikbaar is, en Geacon Pro, een privé, betaalde versie. De Geacon-vork is toegevoegd aan het '404 Starlink-project', een openbare GitHub-repository die sinds 2020 wordt onderhouden door het Zhizhi Chuangyu-laboratorium en zich richt op pen-testtools voor rode teams. Een van de recente aanvallen betrof een AppleScript-appletbestand genaamd "Xu Yiqing's Resume_20230320.app," ontworpen om te bevestigen dat het op een macOS-systeem draait voordat een niet-ondertekende Geacon Plus-lading wordt opgehaald van een commando- en controleserver (C2) met een Chinees IP-adres. Het is belangrijk op te merken dat het specifieke C2-adres (47.92.123.17) eerder geassocieerd werd met Cobalt Strike-aanvallen op Windows-machines. Deze ontwikkelingen onderstrepen het belang van constante waakzaamheid en voortdurende verbetering van cyberbeveiligingsmaatregelen.
Opkomst van Nieuwe Informatiestelende Malware: Titan, LummaC2 en WhiteSnake Bieden Verhoogd Risico
De markt voor informatie-stelende malware is continu in beweging, met diverse malware-organisaties die concurreren voor cybercriminele klanten. Ze promoten betere ontwijkingstactieken en een verhoogde capaciteit om data van slachtoffers te stelen. Het cybersecurity intelligence bedrijf KELA heeft een rapport opgesteld waarin de toename van varianten en malware-as-a-service (MaaS) operaties worden belicht. Deze zijn in het eerste kwartaal van 2023 aanzienlijk gegroeid, waardoor het bijbehorende risico voor organisaties en individuen toeneemt. In dit rapport focust KELA op nieuwe informatie-dieven zoals Titan, LummaC2, WhiteSnake en anderen die recentelijk opgedoken zijn vanuit de ondergrondse cybercriminaliteit en al snel populair zijn geworden bij bedreigingsactoren. Cyber Threat Intelligence analist Yael Kishon deelde deze informatie. Titan, die voor het eerst verscheen op Russisch sprekende hackerforums in november 2022, wordt gepromoot als een op Go-gebaseerde informatie-dief die zich richt op gegevens opgeslagen in 20 webbrowsers. Het bijbehorende Telegram-kanaal heeft meer dan 600 abonnees. LummaC2 heeft een wederverkoopprogramma, waardoor agenten 20% korting krijgen op nieuwe abonnementen die ze aanbrengen op het platform. Daarnaast is er Stealc, eerst geanalyseerd door SEKOIA in februari 2023, een lichtgewicht stealer met geautomatiseerde exfiltratie die zich richt op meer dan 22 webbrowsers, 75 plugins en 25 desktop wallets. BlackGuard stealer richt zich nu op 57 crypto wallets en extensies. De informatie-dieven LummaC2, Stealc, Titan en WhiteSnake zijn momenteel actief. Bill Toulas, een technologie-schrijver en infosec-nieuwsverslaggever met meer dan een decennium aan ervaring in verschillende online publicaties, heeft dit artikel geschreven. Hij is een voorstander van open source en een Linux-enthousiast en volgt actief hacks, malware-campagnes en datalek-incidenten.
Enorme Data-inbraak bij PharMerica: Medische Gegevens van 5,8 Miljoen Patiënten in Handen van Ransomware-bende
PharMerica, een aanbieder van apotheekdiensten, heeft een enorme datalek bekendgemaakt die meer dan 5,8 miljoen patiënten heeft getroffen en hun medische gegevens heeft blootgesteld aan hackers. Volgens een melding van een datalek ingediend bij het Bureau van de Procureur-Generaal van Maine, hebben hackers op 12 maart 2023 het systeem van PharMerica geschonden. Ze hebben volledige namen, adressen, geboortedata, burgerservicenummers, medicatie en informatie over ziektekostenverzekeringen van 5.815.591 mensen gestolen. PharMerica biedt de getroffen individuen een jaar lang fraudebestrijdingsdiensten voor identiteitsbescherming via Experian aan. Het wordt hen aangeraden dit aanbod te accepteren om het risico en de impact van kwaadaardige aanvallen te minimaliseren. Hoewel PharMerica niet vermeldt wat voor soort hackincident er heeft plaatsgevonden, claimde de losgeldbende van Money Message de aanval op 28 maart 2023. Ze begonnen toen met het publiceren van de gestolen gegevens. Op 9 april 2023 liep de timer af en publiceerden de dreigingsactoren wat volgens hen alle gestolen gegevens waren op hun afpersingssite. Helaas zijn de bestanden op dit moment nog steeds beschikbaar om te downloaden. Om de situatie nog erger te maken, heeft een dreigingsactor de volledige datadump al op een clearnet-hackforum gepost, waarbij het bestand in 13 delen is gebroken om het gemakkelijker te downloaden. Money Message is een nieuwe ransomware-operatie die in maart 2023 werd gelanceerd en die media-aandacht krijgt vanwege zijn inbreuk op de Taiwanese fabrikant van pc-onderdelen, MSI (Micro-Star International).
Stealthy MerDoor-malware: Vijf Jaar van Ongedetecteerde Aanvallen op Overheids-, Luchtvaart- en Telecomorganisaties
Een nieuwe geavanceerde persistente dreiging (APT) hackgroep, Lancefly genaamd, maakt gebruik van een op maat gemaakte 'Merdoor'-achterdeurmalware om doelwitten te treffen zoals overheidsinstanties, luchtvaartmaatschappijen en telecommunicatiebedrijven in Zuid- en Zuidoost-Azië. Volgens de Symantec Threat Labs, die vandaag hun bevindingen onthulden, heeft Lancefly de onopvallende achterdeur van Merdoor sinds 2018 ingezet in zeer gerichte aanvallen. Het doel van deze aanvallen is om aanwezigheid in netwerken te vestigen, commando's uit te voeren en keylogging uit te voeren op bedrijfsnetwerken. Symantec-onderzoekers merkten op dat de malware in enkele activiteiten in 2020 en 2021 werd gebruikt, evenals in een recentere campagne die doorging in het eerste kwartaal van 2023. Beide campagnes lijken gericht te zijn op het verzamelen van inlichtingen. Lancefly richt zich voornamelijk op cyber-spionage, met het doel om gedurende lange perioden inlichtingen te verzamelen van de netwerken van de doelwitten. Symantec heeft de initiële infectieroute die door Lancefly wordt gebruikt niet kunnen identificeren. Eenmaal aanwezig op het doelsysteem, injecteren de aanvallers de Merdoor-achterdeur via DLL-zijladen in 'perfhost.exe' of 'svchost.exe'. Beide zijn legitieme Windows-processen die de malware helpen om detectie te ontwijken. Merdoor ondersteunt gegevensuitwisseling met de C2-server en kan ook opdrachten accepteren door naar lokale poorten te luisteren. Specifieke voorbeelden hiervan zijn echter niet door Symantec gegeven. De aanvallers proberen inloggegevens te stelen door het geheugen van het LSASS-proces te dumpen of door de SAM- en SYSTEM-registry hives te stelen. Tot slot versleutelt Lancefly gestolen bestanden met een vermomde versie van het WinRAR-archiveringstool en voert vervolgens de gegevens af, waarschijnlijk met behulp van Merdoor. In de aanvallen van Lancefly is ook het gebruik van een nieuwere, lichtere en meer functierijke versie van de ZXShell rootkit waargenomen.
RA Group Ransomware: Nieuwe Cyberdreiging Richt zich op Amerikaanse en Zuid-Koreaanse Industrieën
Een nieuwe ransomwaregroep, genaamd 'RA Group', heeft Amerikaanse bedrijven in het vizier, vooral in de farmaceutische, verzekerings-, vermogensbeheer- en productiesectoren, evenals in Zuid-Korea. Deze groep begon zijn operaties in april 2023, toen ze een datalekwebsite op het darkweb lanceerden om details en gestolen gegevens van slachtoffers te publiceren. Ze maakten gebruik van de 'dubbele afpersing'-techniek die typisch is voor de meeste ransomwarebendes. De afpersingswebsite werd gelanceerd op 22 april 2023 en de eerste set gegevens van slachtofferorganisaties werd gepubliceerd op 27 april. Deze gegevens omvatten voorbeeldbestanden, een beschrijving van het soort gestolen inhoud en links naar de gestolen gegevens. Volgens een nieuw rapport van Cisco Talos gebruikt RA Group een codering gebaseerd op de gelekte broncode van de Babuk-ransomware, een operatie die in 2021 werd stopgezet. Vorige week meldde Sentinel Labs dat minstens negen verschillende ransomware-operaties de Babuk-broncode gebruiken, die in september 2021 op een Russisch sprekend hackerforum is gelekt. Dit geeft dreigingsactoren een gemakkelijke manier om hun reikwijdte uit te breiden naar Linux en VMware ESXi. RA Group onderscheidt zich door elke aanval te voorzien van een gepersonaliseerde losgeldbrief die specifiek is geschreven voor de beoogde organisatie. Bovendien is het uitvoerbare bestand ook vernoemd naar het slachtoffer. De ransomware richt zich op alle logische schijven op de machine en netwerkshares van het slachtoffer, en probeert specifieke mappen te versleutelen, behalve die gerelateerd aan het Windows-systeem, opstarten, programmabestanden, enz. De codering van RA Group maakt gebruik van intermitterende codering, wat een techniek is waarbij wordt afgewisseld tussen het versleutelen en niet-versleutelen van secties van een bestand om de codering te versnellen. Gecodeerde bestanden krijgen de extensie ".GAGUP" en alle volumeschaduwkopieën en inhoud van de prullenbak worden gewist om gemakkelijk gegevensherstel te voorkomen. Het losgeldbriefje, getiteld Hoe u uw bestanden kunt herstellen', vereist dat het slachtoffer qTox-messenger gebruikt om contact op te nemen met de dreigingsactoren en losgeld te onderhandelen. De dreigingsactoren beweren slachtoffers drie dagen de tijd te geven voordat een steekproef van gestolen gegevens op afpersingssites wordt gepubliceerd, maar dit is waarschijnlijk onderhandelbaar. Het is nog onduidelijk hoe ze systemen binnendringen en zich lateraal verspreiden op een netwerk, aangezien dit een relatief nieuwe ransomware-operatie is met slechts een paar slachtoffers.
The RA Group ransomware gang just started to add victims to their leak site.
— MalwareHunterTeam (@malwrhunterteam) April 27, 2023
Currently for all the 3 victims listed, only the samples available, none of them has a full leak link. pic.twitter.com/T7IphNg2yd
Cybercriminelen houden Dallas in hun greep: Herstel van ransomware-aanval kan weken duren
De Amerikaanse stad Dallas verwacht dat het nog weken nodig zal hebben om volledig van de ransomware-aanval te herstellen waar het begin deze maand door werd getroffen. De aanval raakte de dienstverlening aan inwoners en zorgde ervoor dat de website van het politiekorps van Dallas offline ging. Bij het herstel krijgen systemen gebruikt voor de openbare veiligheid en publieke diensten voorrang, om zo de overlast voor inwoners te beperken. De stad stelt in een verklaring dat er nog geen aanwijzingen zijn gevonden dat de aanvallers gegevens van inwoners, leveranciers of medewerkers hebben gestolen. "Gegeven de complexiteit van het controleren, opschonen en herstellen van interoperabiliteit voor de resterende systemen en applicaties, zal het waarschijnlijk weken duren om de volledige functionaliteit te herstellen." Inmiddels zijn onder andere de systemen voor het uitlezen van waterverbruik en betalen van de watervoorziening te betalen. Details over hoe de aanval kon plaatsvinden zijn niet gegeven.
Minimaal 2 tot 3 keer per week wordt er losgeld geëist van gehackte bedrijven in België
Zo'n honderd Belgische bedrijven lieten vorig jaar aan het Centrum voor Cybersecurity België (CCB) weten dat ze met ransomware te maken hadden gekregen. In de eerste drie maanden van dit jaar ontving de overheidsinstantie 27 meldingen. "Dit cijfer verbergt allicht nog een groter aantal Belgische slachtoffers. De impact van een ransomware-aanval op het slachtoffer is vaak zeer groot", aldus het CCB op de eigen website. België is sinds kort officieel vertegenwoordigd in de International Counter Ransomware Task Force (ICRTF), een samenwerkingsverband tussen 25 landen en Interpol. Ook Nederland maakt deel uit van de taskforce. "Dit is voor ons land een nieuwe stap in de bestrijding van ransomware. Dankzij de ICRTF worden over grenzen heen krachten gebundeld, kennis gedeeld en gezamenlijke acties opgezet. Geen enkel land is immers in staat om ransomware individueel doeltreffend te bestrijden", zo stelt het CCB verder. Het CCB waarschuwt al jaren voor de dreiging van ransomware en publiceert ook regelmatig waarschuwingen en beveiligingsadvies voor de bevolking, bedrijven en overheden. Dagelijks stuurt het ook gerichte waarschuwingen om potentiële slachtoffers te waarschuwen over gelekte inloggegevens en met malware besmette systemen. Volgens de overheidsinstantie zijn veel van de ransomware-aanvallen te voorkomen door bijvoorbeeld tweestapsverificatie. Het CCB start de komende weken een bewustzijnscampagne om bedrijven en organisaties hierop te wijzen, meldt VRT NWS.
Cybercriminelen treffen drie miljoen gebruikers met datalek bij saas-aanbieder Brightly Software
Een datalek bij de Amerikaanse saas-aanbieder Brightly Software raakt drie miljoen gebruikers, zo heeft het bedrijf bekendgemaakt. Brightly Software is een dochteronderneming van Siemens en levert "intelligent asset management solutions" voor het beheer van gebouwen en onderhoud. Daarnaast biedt het ook een online cloudplatform voor onderwijsinstellingen genaamd SchoolDude. Dat wordt onder andere gebruikt voor beheer, gebouwautomatisering, inventarismanagement, alarmautomatisering en andere zaken. Onlangs wist een aanvaller toegang tot de gegevens van SchoolDude-gebruikers te krijgen. Het gaat om naam, e-mailadres, accountwachtwoord, telefoonnummer en naam van schooldistrict. Uit een datalekmelding die bij de procureur-genaal van de Amerikaanse staat Maine werd gedaan blijkt dat van in totaal drie miljoen gebruikers de gegevens zijn gestolen. Hoe de aanval kon plaatsvinden laat Brightly Software niet weten. Vanwege het datalek heeft het bedrijf besloten om van alle gebruikers het wachtwoord te resetten.
Cyberaanval legt The Philadelphia Inquirer plat: geen papieren uitgave voor het eerst in 27 jaar
The Philadelphia Inquirer, één van de oudste en bekendste kranten in de Verenigde Staten, is gisteren wegens een cyberaanval niet op papier verschenen en het is op dit moment onbekend wanneer alle systemen zijn hersteld. De in 1829 opgerichte krant spreekt van de grootste verstoring in 27 jaar tijd. Om wat voor soort cyberaanval het gaat en wanneer die precies plaatsvond is onduidelijk. Het securitybedrijf dat het netwerk van de The Philadelphia Inquirer monitort meldde afgelopen donderdag verdachte activiteit. Aflopen zaterdag ontdekten medewerkers van de krant dat ze geen toegang meer tot het contentmanagementsysteem van de krant kregen. Vervolgens werd op meerdere systemen verdachte activiteit waargenomen, waarop werd besloten die systemen offline te halen. Daardoor was het niet mogelijk om de papieren versie van de zondageditie af te drukken. Vandaag zal de krant wel weer in papieren vorm verschijnen, maar zonder rubrieksadvertenties zoals overlijdensberichten. Die zullen woensdag weer in de krant zijn te vinden. Wanneer alle systemen van de krant zijn hersteld is ook nog onbekend. Vanwege de verstoringen door de aanval zal personeel vandaag niet in het kantoor worden toegelaten.
Cybercriminelen maken actief misbruik van XSS-lek in WordPress Custom Fields plug-in
Aanvallers maken actief misbruik van een kwetsbaarheid in de WordPress Advanced Custom Fields plug-in waardoor cross-site scripting (XSS) mogelijk is en aanvallers gegevens van ingelogde gebruikers kunnen stelen, zoals de beheerder, of code toevoegen die bezoekers naar andere websites doorstuurt. Dat laat internetbedrijf Akamai weten. Advanced Custom Fields is een plug-in voor WordPress die de mogelijkheden van het contentmanagementplatform verder uitbreidt, zodat gebruikers allerlei velden en andere onderdelen kunnen aanpassen. Op 5 mei berichtte securitybedrijf Patchstack dat er een XSS-kwetsbaarheid in de plug-in zit waardoor een ongeauthenticeerde aanvaller "gevoelige informatie" van ingelogde gebruikers zoals de beheerder kan stelen. Daarmee kan een aanvaller vergaande toegang tot de website krijgen. Voorwaarde is wel dat een aanvaller een ingelogde gebruiker van de website een speciaal geprepareerde url op de website laat bezoeken. Het kan dan bijvoorbeeld gaan om een reactie of een andere plek waar het mogelijk is voor een bezoeker om code in te voeren. Patchstack had het probleem op 2 mei aan de ontwikkelaars van de plug-in gemeld, die op 4 mei met een beveiligingsupdate kwamen. Vervolgens kwam Patchstack op 5 mei met een blogposting waarin het de details bekendmaakte en proof-of-concept exploitcode publiceerde. Nog geen 24 uur na het verschijnen van de details en code vonden de eerste aanvallen op kwetsbare websites plaats, aldus Akamai. Daarbij maken de aanvallers gebruik van de proof-of-concept exploit van Patchstack. Hoewel er inmiddels updates voor het probleem zijn verschenen, blijkt uit cijfers van WordPress dat een aanzienlijk aantal websites nog een kwetsbare versie van de plug-in draait.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 15-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 14-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 13-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 12-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 11-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 10-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑