S02E10
De afgelopen dagen stonden in het teken van ernstige verstoringen bij vitale voorzieningen en de industrie, waarbij de nasleep van eerdere aanvallen nog altijd diepe sporen nalaat. Terwijl ziekenhuizen en zorgcentra in de regio worstelen met papieren noodprocedures, worden toonaangevende bedrijven afgeperst met gestolen bedrijfsgeheimen. Tegelijkertijd luiden veiligheidsdiensten de noodklok over pas ontdekte kwetsbaarheden in veelgebruikte communicatieplatformen en netwerkapparatuur, die door criminelen actief worden misbruikt om systemen binnen te dringen.
Impact op ziekenhuizen en de maakindustrie
De operationele impact van cyberaanvallen is momenteel pijnlijk zichtbaar bij verschillende organisaties in België en Nederland. Het Antwerpse ziekenhuis AZ Monica kampt ruim een week na een cyberaanval nog steeds met ernstige problemen; het herstel van de servers blijkt complex en tijdrovend, waardoor artsen noodgedwongen terugvallen op pen en papier en niet dringende ingrepen moeten worden uitgesteld. Ook de zorginstelling Blijdorp in het Belgische Buggenhout werd getroffen, waardoor cloudtoepassingen onbereikbaar werden en het personeel offline moest werken, al bleef de directe zorgverlening gewaarborgd. In de industriële sector heeft de ransomwaregroep Akira de aanval geopend op het Belgische metaalbedrijf Van Eycken; de criminelen dreigen 69 gigabyte aan interne data te publiceren als er niet wordt betaald. Ook internationaal zijn er grote slachtoffers, Apple leverancier Luxshare zag gevoelige productiegegevens en blauwdrukken gestolen worden bij een ransomware aanval, en kledingmerk Under Armour werd geconfronteerd met een datalek van 72 miljoen klanten via de groep Everest. Daarnaast bleek uit een ethische hack dat bezoekers van een evenement van de Carlsberg Group risico liepen doordat hun persoonsgegevens via onbeveiligde QR codes op polsbandjes eenvoudig uit te lezen waren.
Ernstige beveiligingslekken in enterprise software en hardware
Beveiligingsexperts en nationale waakhonden hebben dringende waarschuwingen afgegeven voor lekken in software die de ruggengraat vormt van veel bedrijfsnetwerken. Het Nationaal Cyber Security Centrum waarschuwde voor een kritieke kwetsbaarheid in Citrix ADC en Gateway, waarmee aanvallers sessiecookies kunnen stelen en multifactorauthenticatie kunnen omzeilen. Cisco bracht een noodupdate uit voor Unified Communications Manager om een zeroday lek te dichten dat aanvallers in staat stelde op afstand code uit te voeren en volledige controle over het systeem te krijgen. Gebruikers van WordPress liepen gevaar door een achterdeur in de populaire plugin LA-Studio Elementor Kit, die op duizenden websites aanwezig was voordat een update beschikbaar kwam. Ook Fortinet systemen liggen onder vuur; onderzoekers zien een golf van geautomatiseerde aanvallen die misbruik maken van een lek in de SSL-VPN functionaliteit van Fortigate firewalls. Verder werd een ernstig lek in GitLab gedicht dat het omzeilen van tweefactorauthenticatie mogelijk maakte, en bleken beveiligingscamera’s van Vivotek kwetsbaar voor code injectie op afstand.
Geavanceerde misleiding via helpdesks en videoplatforms
Cybercriminelen zetten steeds verfijndere technieken in om detectiesystemen te omzeilen en gebruikers te misleiden. Een opvallende nieuwe methode is het misbruiken van legitieme helpdesksystemen van Zendesk; aanvallers versturen massale hoeveelheden spam uit naam van bedrijven als Live Nation en Tinder, waardoor de berichten langs spamfilters glippen. Daarnaast is de techniek PixelCode ontdekt, waarbij malware wordt verborgen in de videoframes van YouTube video's om zo ongemerkt systemen te infecteren. Op sociale media is de ClickFix campagne actief, die gebruikers via valse inlogpagina's verleidt om hun Facebook gegevens af te staan onder het voorwendsel van een beveiligingsupdate. Ook de ontwikkelgemeenschap is doelwit, in de VS Code marketplace werden kwaadaardige extensies gevonden die zich voordeden als AI assistenten maar in werkelijkheid data stalen. Verder waarschuwen experts voor de nieuwe ransomware variant Osiris en het gebruik van legitieme tools zoals Notepad++ om computers ongemerkt om te bouwen tot proxy servers voor illegale activiteiten.
Toename van bankfraude en illegale handel in toegangsgegevens
De opsporingsdiensten zien een verschuiving in de werkwijze van fraudeurs en de ondergrondse economie. De politie in Noord-Holland verwacht dit jaar een sterke piek in bankhelpdeskfraude, waarbij criminelen steeds vaker inbellen om toegang te krijgen tot rekeningen. De Belgische toezichthouder FSMA waarschuwt voor een explosie aan beleggingsfraude via WhatsApp en frauduleuze handelsplatformen, die slachtoffers voor miljoenen euro's benadelen. Onderzoekers boekten echter ook succes door de werkwijze van een zogenaamde Initial Access Broker, r1z, bloot te leggen dankzij fouten in diens eigen operationele beveiliging. Daarnaast werd een campagne ontmanteld die zich richtte op klanten van verzekeraar PNB MetLife via een nagemaakte betalingsgateway. In Frankrijk deelde toezichthouder CNIL een boete van 3,5 miljoen euro uit aan een niet nader genoemd bedrijf voor het schenden van privacyregels rondom trackingcookies en het onveilig opslaan van wachtwoorden.
Statelijke actoren viseren toeleveringsketens en virtualisatie
Spionagegroepen die gelieerd zijn aan overheden blijven hun tactieken vernieuwen om vitale infrastructuren binnen te dringen. De Noord-Koreaanse groep PurpleBravo richt zijn pijlen op de IT toeleveringsketen door via LinkedIn nepsollicitaties uit te zetten, in de hoop zo bedrijfsnetwerken te infiltreren. Een andere aan Noord-Korea gelinkte groep, Konni, gebruikt inmiddels door kunstmatige intelligentie gegenereerde scripts om hun malware moeilijker detecteerbaar te maken in de regio Azië Pacific. Vanuit China komt de dreiging van Brickstorm, geavanceerde malware die zich specifiek nestelt in VMware vSphere omgevingen om langdurig en onopgemerkt toegang te behouden tot gevirtualiseerde servers. Daarnaast brachten onderzoekers van Cyber Centaurs naar buiten dat de groep achter de INC ransomware steeds vaker legitieme beheertools zoals Restic misbruikt om data te stelen, wat detectie door beveiligingssoftware aanzienlijk bemoeilijkt.
Debat over digitale soevereiniteit en veiligheid van voertuigen
Naast de directe dreigingen woedt er een fundamentele discussie over de digitale autonomie en de veiligheid van moderne technologie. In Nederland is ophef ontstaan over de mogelijke overname van cloudbedrijf Solvinity door een Amerikaanse partij; beveiligingsexpert Bert Hubert pleit in een position paper voor het oprichten van een Rijkscloudbedrijf om de afhankelijkheid van buitenlandse mogendheden te verkleinen. Tijdens de Pwn2Own hackwedstrijd in Tokio werd pijnlijk duidelijk hoe kwetsbaar de auto industrie is, onderzoekers wisten met succes in te breken in laadpalen voor elektrische voertuigen en het infotainmentsysteem van Tesla. Tot slot waarschuwde de topvrouw van Signal, Meredith Whittaker, voor de gevaren van massale dataverzameling door overheden en de druk om encryptie te verzwakken, wat volgens haar de privacy van burgers wereldwijd ondermijnt.
Dit was het voor vandaag! Tot morgen! En als je het interessant vond, stuur het dan door naar je vrienden en collega’s.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Cybercrimeinfo, ondezoeksteam
Altijd op de hoogte
Ontvang het Cyber Journaal meerdere keren per week, doorgaans tussen 12:00 en 14:00 uur. Schrijf je in en ontvang het automatisch in je mailbox.
Door de drukte kan het soms iets langer duren voordat het inschrijfformulier wordt geladen.
Recente journalen
Belgische Staatsveiligheid gehackt, SRA op leaksite
In deze aflevering van het Cyber Journaal kijken we naar het nieuws van zaterdag 20 tot en met maandag 22 juni. De Belgische inlichtingendienst bleek via een lek bij een toeleverancier te zijn getroffen, de Nederlandse accountantskoepel SRA verscheen op de leaksite van LockBit 5, en Fortinet gaf nu ook zelf een dringende waarschuwing uit over de FortiBleed campagne. Daarnaast legde ESET de werkwijze van de ransomwaregroep Gentlemen bloot, doken nieuwe kwetsbaarheden op die directe actie vragen, en speelden oplichters in op de zomervakantie, de belastingaangifte en de Wereldbeker. We lopen het thema voor thema langs.
Financiën gehackt via zeroday, politie rolt SocGholish op
In deze aflevering van het Cyber Journaal kijken we naar het nieuws van donderdag 18 en vrijdag 19 juni. Het Ministerie van Financiën maakte bekend dat het in maart via een onbekend lek werd gehackt, de Nederlandse politie haalde samen met internationale partners het beruchte SocGholish netwerk offline, en de inloggegevens van bijna 74.000 Fortinet firewalls bleken op straat te liggen. Daarnaast bracht F5 twee kritieke noodpatches uit voor de webserver NGINX, liep kunstmatige intelligentie als wapen, zwakke plek en geopolitiek drukmiddel door het hele dreigingsbeeld, en kreeg een fraudeur met deepfakes een stevige celstraf. We lopen het thema voor thema langs.
The Gentlemen treft NL en BE, banktrojan belaagt 217 apps
In deze aflevering van het Cyber Journaal kijken we naar het nieuws van dinsdag 16 tot en met woensdag 17 juni. De ransomwaregroep The Gentlemen claimde in twee dagen een Nederlands en een Belgisch bedrijf, het Amsterdamse modemerk Patta dook op de afpersingssite van LockBit op, en de financiële geschillencommissie Kifid legde de bewijslast bij bankhelpdeskfraude nadrukkelijk bij de bank. Verder werden twee kwetsbaarheden in veelgebruikte webhosting actief misbruikt, liep kunstmatige intelligentie als rode draad door het dreigingsbeeld, en verstopten spionnen en ransomwaregroepen hun verkeer in vertrouwde infrastructuur. We lopen het thema voor thema langs.
Velvet Ant tien jaar in inlogsoftware, Consultic gehackt
In deze aflevering van het Cyber Journaal kijken we naar het nieuws van zaterdag 13 tot en met maandag 15 juni. Een Chinese spionagegroep bleek bijna tien jaar onzichtbaar in de inlogsoftware van een geïsoleerd netwerk te zitten, het Belgische bedrijf Consultic werd getroffen door ransomware en een vermeende dataset van Colruyt dook op het darkweb op. Verder dwong de Amerikaanse overheid Anthropic om twee van zijn krachtigste AI modellen voor buitenlanders af te sluiten, doken er twee software lekken op die jarenlang onopgemerkt bleven, en boekte de opsporing een sterke week met een schuldbekentenis in de Conti zaak en de ontmanteling van het phishingplatform Sniper Dz. We lopen het thema voor thema langs.
Phishing van eigen kredietbank, Ivanti Sentry misbruikt
In deze aflevering van het Cyber Journaal kijken we naar het nieuws van donderdag 11 en vrijdag 12 juni. Cliënten van Kredietbank Limburg kregen phishingmails die werkelijk van hun eigen kredietbank kwamen, het kritieke lek in Ivanti Sentry ging in één dag van een waarschuwing van het NCSC naar bevestigd misbruik met een spoeddeadline van CISA, en een internationale politieactie ontmantelde de witwasdienst AudiA6 die ruim 380 miljoen dollar aan criminele opbrengsten verwerkte. Daarnaast bevestigt een universiteit 454.600 getroffen studenten in de PeopleSoft campagne van ShinyHunters, en toont onderzoek van Anthropic dat AI de tijd tussen patch en werkende exploit terugbrengt van weken naar uren. We lopen het thema voor thema langs.
Check Point VPN met Qilin, phishing bij Vlaamse hotels
In deze aflevering van het Cyber Journaal kijken we naar het nieuws van dinsdag 9 en woensdag 10 juni. Een kritiek lek in de VPN van Check Point wordt actief misbruikt en mondt in minstens één geval uit in Qilin ransomware, bijna honderd Vlaamse hotels worden getroffen door phishing met betaalverzoeken die tot in detail kloppen, en een internationale politieactie haalt de criminele dienst First VPN offline. Daarnaast zien we een recordronde patches van Microsoft, een autonome agent die eigenhandig kwetsbaarheden vindt, en aanvallers die zich steeds vaker richten op de mensen die software bouwen. We lopen het thema voor thema langs.