Overzicht van slachtoffers cyberaanvallen week 30-2023

Gepubliceerd op 31 juli 2023 om 15:00

Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


De afgelopen week zijn er diverse cyberaanvallen gemeld die verschillende sectoren wereldwijd hebben getroffen. Van IT-dienstverleners in Nederland tot ministeries in Noorwegen, de reeks incidenten onderstreept de aanhoudende uitdagingen op het gebied van cybersecurity.

De ransomwaregroep Clop heeft gegevens op het web gezet die zijn gestolen van de Nederlandse IT-dienstverlener Softtech.nl, IT-Dienst DATAENGINE.EU, de Nederlandse olie- en gasgigant SBM Offshore, en de Belgische tak van Toyota Boshoku. Deze organisaties zijn allemaal getroffen door de CL0P Ransomware.

Daarnaast zijn twaalf Noorse ministeries het doelwit geworden van een aanval door een nog onbekende actor via een zerodaylek. De Android Stalkerware Spyhide heeft invloed gehad op 60.000 telefoons wereldwijd. De ALPHV ransomware heeft een nieuwe dimensie toegevoegd aan zijn afpersingsstrategie door een datalek-API te implementeren. Een nieuwe 'Stikstof' malware maakt misbruik van Google en Bing advertenties om ransomware-aanvallen uit te voeren. Bovendien blijken gekaapte accounts de meest succesvolle aanvalsmethode te zijn in de vitale sector.

Hieronder presenteren we een gedetailleerd overzicht van deze cyberaanvallen van de afgelopen week.



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
All States Ag Parts Black Basta www.tractorpartsasap.com USA Building Materials, Hardware, Garden Supply, And Mobile Home Dealers 30-jul.-23
twv-staderland.de LockBit twv-staderland.de Germany Miscellaneous Services 30-jul.-23
Alinabal Snatch alinabal.com USA Fabricated Metal Products 29-jul.-23
One Health Solutions Nokoyawa www.onehealthsolutions.com USA Health Services 29-jul.-23
Village Church of Barrington Nokoyawa www.vcbweb.org USA Membership Organizations 29-jul.-23
Modern Eyez Nokoyawa www.visionsource-moderneyez.com USA Health Services 29-jul.-23
AT&S Nokoyawa www.atssh.com Singapore Oil, Gas 29-jul.-23
Muncy Homes Nokoyawa www.muncyhomes.com USA Construction 29-jul.-23
N** ******* ****** BianLian Unknown USA Real Estate 29-jul.-23
Axity Rhysida www.axity.com Mexico IT Services 29-jul.-23
ESMOD Rhysida www.esmod.com France Educational Services 28-jul.-23
Frost & Sullivan Akira www.frost.com USA Business Services 28-jul.-23
Chu De Rennes BianLian chu-rennes.fr France Health Services 28-jul.-23
CMC Marine BianLian cmcmarine.com Italy Transportation Equipment 28-jul.-23
Dekko Window Systems BianLian dekkowindows.com UK Wholesale Trade-durable Goods 28-jul.-23
Regional Family Medicine Karakurt www.rfmmh.com USA Health Services 28-jul.-23
Rouzbeh Educational Complex Rhysida www.rouzbeh.info Iran Educational Services 28-jul.-23
McAlester Regional Health Center Karakurt www.mrhcok.com USA Health Services 28-jul.-23
INSULCANA CONTRACTING LTD Medusa Locker www.insulcana.com Canada Construction 27-jul.-23
Handi Quilter Akira handiquilter.com USA Machinery, Computer Equipment 27-jul.-23
Morehead State University (MSU) Akira moreheadstate.edu USA Educational Services 27-jul.-23
Offutt Nord Akira Unknown Unknown Legal Services 27-jul.-23
MACOM.COM CL0P macom.com USA Electronic, Electrical Equipment, Components 27-jul.-23
KALEPW.COM CL0P kalepw.com Turkey Transportation Equipment 27-jul.-23
DATAENGINE.EU CL0P dataengine.eu Netherlands IT Services 27-jul.-23
SAUL.ORG.UK CL0P saul.org.uk UK Insurance Carriers 27-jul.-23
CCED.COM.OM CL0P cced.com.om Oman Oil, Gas 27-jul.-23
VIRGINPULSE.COM CL0P virginpulse.com USA IT Services 27-jul.-23
ACLARA.COM CL0P aclara.com USA Electric, Gas, And Sanitary Services 27-jul.-23
QUARK.COM CL0P quark.com USA IT Services 27-jul.-23
INFINIGATE.CH (INFINIGATE.CO.UK) CL0P infinigate.ch Switzerland IT Services 27-jul.-23
INFORMATICA.COM CL0P informatica.com USA IT Services 27-jul.-23
ALOHACARE.ORG CL0P alohacare.org USA Insurance Carriers 27-jul.-23
SOFTTECH.NL CL0P softtech.nl Netherlands IT Services 27-jul.-23
ALOGENT.COM CL0P alogent.com USA IT Services 27-jul.-23
CONVERGEONE.COM CL0P convergeone.com USA IT Services 27-jul.-23
AMERISAVE.COM CL0P amerisave.com USA Non-depository Institutions 27-jul.-23
KELLYSERVICES.COM CL0P kellyservices.com USA Business Services 27-jul.-23
HUBBELL.COM CL0P hubbell.com USA Electronic, Electrical Equipment, Components 27-jul.-23
ALEKTUM.COM CL0P alektum.com Sweden Security And Commodity Brokers, Dealers, Exchanges, And Services 27-jul.-23
HOERMANN-GRUPPE.COM CL0P hoermann-gruppe.com Germany Transportation Equipment 27-jul.-23
SALELYTICS.COM CL0P salelytics.com USA Business Services 27-jul.-23
FLUTTER.COM CL0P flutter.com Ireland Miscellaneous Services 27-jul.-23
ENTERPRISEBANKING.COM CL0P enterprisebanking.com USA Depository Institutions 27-jul.-23
MECHANICSBANK.COM CL0P mechanicsbank.com USA Depository Institutions 27-jul.-23
TRICOPRODUCTS.COM CL0P tricoproducts.com USA Miscellaneous Manufacturing Industries 27-jul.-23
JONESLANGLASALLE.COM CL0P joneslanglasalle.com USA Real Estate 27-jul.-23
ARISTOCRAT.COM CL0P aristocrat.com Australia Miscellaneous Services 27-jul.-23
ADARESEC.COM CL0P adaresec.com UK Business Services 27-jul.-23
TTIGROUP.COM CL0P ttigroup.com Hong Kong Electronic, Electrical Equipment, Components 27-jul.-23
CHUCKECHEESE.COM CL0P chuckecheese.com USA Eating And Drinking Places 27-jul.-23
DELOITTE.COM CL0P deloitte.com UK Accounting Services 27-jul.-23
SIU.EDU CL0P siu.edu USA Educational Services 27-jul.-23
WSP.COM CL0P wsp.com Canada Construction 27-jul.-23
SAFILOGROUP.COM CL0P safilogroup.com Italy Apparel And Other Finished Products 27-jul.-23
SLEEPCOUNTRY.CA CL0P sleepcountry.ca Canada Home Furniture, Furnishings, And Equipment Stores 27-jul.-23
PLANETHOMELENDING.COM CL0P planethomelending.com USA Non-depository Institutions 27-jul.-23
TOYOTA-BOSHOKU.BE CL0P toyota-boshoku.be Belgium Miscellaneous Manufacturing Industries 27-jul.-23
DDCOS.COM CL0P ddcos.com UK Business Services 27-jul.-23
THEVITALITYGROUP.COM CL0P thevitalitygroup.com USA IT Services 27-jul.-23
METROBANK.COM.PH CL0P metrobank.com.ph Philippines Depository Institutions 27-jul.-23
GENESISENERGY.COM CL0P genesisenergy.com USA Oil, Gas 27-jul.-23
GNC.COM CL0P gnc.com USA Chemical Producers 27-jul.-23
INFORMA.COM CL0P informa.com UK Publishing, printing 27-jul.-23
EMSBILLING.COM CL0P emsbilling.com USA Miscellaneous Services 27-jul.-23
AWAZE.COM CL0P awaze.com UK Lodging Places 27-jul.-23
PAYBACK.GROUP CL0P payback.group Germany Security And Commodity Brokers, Dealers, Exchanges, And Services 27-jul.-23
scmh.org.tw LockBit scmh.org.tw Taiwan Health Services 26-jul.-23
CF Assicurazioni BlackCat (ALPHV) www.cfassicurazioni.com Italy Legal Services 26-jul.-23
www.beijer.es NoEscape www.beijer.es Spain Machinery, Computer Equipment 26-jul.-23
www.ville-chevilly-larue.fr NoEscape www.ville-chevilly-larue.fr France General Government 26-jul.-23
www.addison-electronique.com NoEscape www.addison-electronique.com Canada Building Materials, Hardware, Garden Supply, And Mobile Home Dealers 26-jul.-23
Globacom Limited BlackCat (ALPHV) www.gloworld.com Nigeria Communications 26-jul.-23
Lumberton Independent School District Rhysida www.lumbertonisd.org USA Educational Services 26-jul.-23
Kovair Software Everest kovair.com USA IT Services 26-jul.-23
GARRETTMOTION.COM CL0P garrettmotion.com Switzerland Transportation Equipment 26-jul.-23
SMURFITKAPPA.COM CL0P smurfitkappa.com Ireland Paper Products 26-jul.-23
MCW.EDU CL0P mcw.edu USA Educational Services 26-jul.-23
GOALSOLUTIONS.COM CL0P goalsolutions.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 26-jul.-23
GENSLER.COM CL0P gensler.com USA Construction 26-jul.-23
HINDUJAGROUP.COM CL0P hindujagroup.com India Transportation Equipment 26-jul.-23
FANUCAMERICA.COM CL0P fanucamerica.com Japan Machinery, Computer Equipment 26-jul.-23
CHEVRONFCU.ORG CL0P chevronfcu.org USA Depository Institutions 26-jul.-23
FERRING.COM CL0P ferring.com Switzerland Publishing, printing 26-jul.-23
SBMOFFSHORE.COM CL0P sbmoffshore.com Netherlands Oil, Gas 26-jul.-23
CAP.ORG CL0P cap.org USA Educational Services 26-jul.-23
QBITS.CH CL0P qbits.ch Switzerland IT Services 26-jul.-23
MESVISION.COM CL0P mesvision.com USA Health Services 26-jul.-23
PBINFO.COM CL0P pbinfo.com USA IT Services 26-jul.-23
HALLMARKCHANNEL.COM CL0P hallmarkchannel.com USA Communications 26-jul.-23
MAXIMUS.COM CL0P maximus.com USA Health Services 26-jul.-23
ARROW.COM CL0P arrow.com USA Home Furniture, Furnishings, And Equipment Stores 26-jul.-23
AJOOMAL.COM CL0P ajoomal.com Spain IT Services 26-jul.-23
DRYDOCKS.GOV.AE CL0P drydocks.gov.ae United Arab Emirates Nonclassifiable Establishments 26-jul.-23
HILLROM.COM CL0P hillrom.com USA Miscellaneous Manufacturing Industries 26-jul.-23
PRO2COL.COM CL0P pro2col.com UK IT Services 26-jul.-23
ENCOREANYWHERE.COM CL0P encoreanywhere.com Unknown IT Services 26-jul.-23
AMF.SE CL0P amf.se Sweden Insurance Carriers 26-jul.-23
ORAU.ORG CL0P orau.org USA Membership Organizations 26-jul.-23
AGILYSYSAP.COM CL0P agilysysap.com USA IT Services 26-jul.-23
Decimal Point Analytics Pvt RA GROUP www.decimalpointanalytics.com India Security And Commodity Brokers, Dealers, Exchanges, And Services 25-jul.-23
Spectra Industrial 8BASE www.spectra.com.pg Papua New Guinea Building Materials, Hardware, Garden Supply, And Mobile Home Dealers 25-jul.-23
Miranda Brokerage 8BASE www.mirandacustomsbrokerage.com USA Transportation Services 25-jul.-23
Institut Mensalus S.L. 8BASE www.mensalus.es Spain Health Services 25-jul.-23
Kersey & Co 8BASE www.kerseygov.com USA General Government 25-jul.-23
FANSIPAN CONSTRUCTION CONSULTANTS CO.,LTD 8BASE www.fansipan.com.vn Vietnam Construction 25-jul.-23
DV8 Technology Group 8BASE www.dv8techgroup.com South Africa IT Services 25-jul.-23
CROWD 8BASE www.crowd.pt Portugal Miscellaneous Services 25-jul.-23
BoomData 8BASE www.boomdata.com.au Australia IT Services 25-jul.-23
EDVMS Black Basta bsb-steuerberatung.de Germany Accounting Services 25-jul.-23
rampi.com NoEscape rampi.com Italy Chemical Producers 25-jul.-23
Becht Engineering Akira www.bechtbt.com USA Engineering Services 25-jul.-23
The Sinbad Club Medusa www.sindbadclub.com Egypt Lodging Places 25-jul.-23
ridgeviewindustries.com LockBit ridgeviewindustries.com USA Transportation Equipment 25-jul.-23
NEBRASKALAND BlackCat (ALPHV) www.nebraskaland.com USA Wholesale Trade-non-durable Goods 25-jul.-23
Republic Steel BlackCat (ALPHV) www.republicsteel.com USA Metal Industries 25-jul.-23
IT Luggage BLACK SUIT www.itluggage.co.uk UK Merchandise Stores 24-jul.-23
John Mulder Heating & Air Conditioning PLAY www.johnmulderheating.ca Canada Engineering Services 24-jul.-23
Scharco Elektronik PLAY www.scharco.eu Germany Electronic, Electrical Equipment, Components 24-jul.-23
Primoteq PLAY www.primoteq.com Netherlands Machinery, Computer Equipment 24-jul.-23
Grupo MH PLAY www.grupmh.com Spain Engineering Services 24-jul.-23
FERRE BARNIEDO PLAY www.ferrebarniedo.com.mx Mexico Metal Industries 24-jul.-23
BionPharma Black Basta www.bionpharma.com USA Chemical Producers 24-jul.-23
El Milagro Akira el-milagro.com USA Food Products 24-jul.-23
SBM Akira sbmmanagement.com Singapore Management Services 24-jul.-23
DYNAMITE STORMOUS www.dynamite.com USA Publishing, printing 24-jul.-23
Charles & Colvard Ltd. Akira www.charlesandcolvard.com USA Apparel And Accessory Stores 24-jul.-23
IRIS Informatique Rhysida www.iris-info.com Unknown IT Services 24-jul.-23
ebpsupply.com LockBit ebpsupply.com USA Transportation Services 24-jul.-23
ICT-College Rhysida www.ict-college.net Unknown Educational Services 24-jul.-23
EJM Engineered Systems 8BASE ejmrefrigeration.co.uk UK Engineering Services 24-jul.-23
Bluelinea RA GROUP bluelinea.com France IT Services 24-jul.-23
The Big Life group Rhysida www.thebiglifegroup.com UK Membership Organizations 24-jul.-23

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
DATAENGINE.EU CL0P dataengine.eu Netherlands IT Services 27-jul.-23
SOFTTECH.NL CL0P softtech.nl Netherlands IT Services 27-jul.-23
TOYOTA-BOSHOKU.BE CL0P toyota-boshoku.be Belgium Miscellaneous Manufacturing Industries 27-jul.-23
SBMOFFSHORE.COM CL0P sbmoffshore.com Netherlands Oil, Gas 26-jul.-23
Primoteq PLAY www.primoteq.com Netherlands Machinery, Computer Equipment 24-jul.-23

In samenwerking met StealthMol


Cyberaanvallen nieuws


31-juli-2023


Ransomware-aanval haalt kankerbehandelcentrum offline, potentieel levensbedreigend

FBI-directeur Christopher Wray heeft gemeld dat een kankerbehandelcentrum in Puerto Rico onlangs offline is gegaan door een ransomware-aanval. Deze aanval had tot de dood van patiënten kunnen leiden. Tijdens een evenement van de Atlanta Press Club sprak Wray over de toenemende cyberdreiging en hoe cybercriminelen bij ransomware-aanvallen gebruik kunnen maken van kunstmatige intelligentie (AI). Eerdere gevallen van ransomware-aanvallen op kankercentra in de Verenigde Staten werden ook genoemd, waarbij de behandeling van patiënten werd verstoord, naaktfoto's online werden gepubliceerd, en instellingen werden afgeperst. De FBI heeft hulp geboden bij het herstel na de recente aanval in Puerto Rico. Het Amerikaanse Ministerie van Volksgezondheid waarschuwde in juni zorginstellingen naar aanleiding van deze cyberdreigingen. (bron)


Israëlische olieraffinaderij BAZAN Group getroffen door DDoS-aanval

De website van de BAZAN Group, de grootste olieraffinaderij-exploitant in Israël, is ontoegankelijk gemaakt voor het grootste deel van de wereld na een vermeende hack van de cyber-systemen van de groep. De Iraanse hacktivistengroep 'Cyber Avengers', ook bekend als 'CyberAv3ngers', heeft de verantwoordelijkheid opgeëist voor het hacken van het netwerk van BAZAN in het weekend. De groep beweerde screenshots te hebben gelekt van BAZAN's SCADA-systemen, softwaretoepassingen die worden gebruikt om industriële controlesystemen te monitoren en te bedienen. Deze omvatten diagrammen van de "Flare Gas Recovery Unit", het "Amine Regeneration"-systeem, een petrochemische "Splitter Section" en PLC-code. Een woordvoerder van BAZAN ontkende echter dat het gelekte materiaal authentiek was, noemde het "volledig verzonnen", en stelde dat het bedrijf zijn cyberbeveiligingsmaatregelen heeft aangescherpt in samenwerking met de Israëlische Nationale Cyber Directie en andere partners. Het vermeende gebruik van een exploit gericht op een Check Point firewall van het bedrijf door de hacktivistengroep werd ook tegengesproken door een woordvoerder van Check Point, die benadrukte dat er geen eerdere kwetsbaarheid was die zo'n aanval mogelijk maakte. Het is belangrijk op te merken dat de beweringen van de Cyber Avengers niet onafhankelijk zijn geverifieerd. (bron, bron2, bron3)


Abyss Locker Ransomware Richt Zich op VMware ESXi Servers

De Abyss Locker operatie, een relatief nieuwe ransomware-operatie die in maart 2023 van start ging, heeft een Linux encryptor ontwikkeld om VMware's ESXi virtuele machineplatform te treffen. Naarmate bedrijven overstappen van individuele servers naar virtuele machines, creëren ransomwarebendes encryptors die zich specifiek richten op dergelijke platforms. Bijna elke ransomwarebende heeft inmiddels Linux encryptors uitgebracht om alle virtuele servers op een apparaat te versleutelen, met VMware ESXi als een van de meest populaire virtuele machineplatforms. Andere ransomware operaties die Linux ransomware encryptors gebruiken zijn onder andere Akira, Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX, en Hive. De dreigingsactoren van Abyss Locker zullen bedrijfsnetwerken binnendringen, data stelen voor dubbele afpersing, en apparaten op het netwerk versleutelen. De gestolen data wordt vervolgens gebruikt als hefboom door te dreigen met het lekken van bestanden als er geen losgeld wordt betaald. Om de gestolen bestanden te lekken, hebben de dreigingsactoren een Tor datalek-site genaamd 'Abyss-data' gecreëerd die momenteel veertien slachtoffers vermeldt. Deze week ontdekte beveiligingsonderzoeker MalwareHunterTeam een Linux ELF encryptor voor de Abyss Locker-operatie. Uit analyse blijkt dat de encryptor specifiek VMware ESXi servers target. Daarnaast wordt elke VM afgesloten en worden de bijbehorende virtuele schijven, snapshots en metadata correct versleuteld. Naast het richten op virtuele machines, zal de ransomware ook alle andere bestanden op het apparaat versleutelen en de .crypt extensie aan hun bestandsnamen toevoegen. Voor elk bestand wordt ook een bestand met een .README_TO_RESTORE extensie gecreëerd, dat fungeert als losgeldbriefje. Het losgeldbriefje bevat informatie over wat er met de bestanden is gebeurd en een unieke link naar de Tor-onderhandelingssite van de dreigingsactoren. Volgens ransomware-expert Michael Gillespie is de Abyss Locker Linux encryptor gebaseerd op Hello Kitty, maar gebruikt het ChaCha-encryptie. Helaas is HelloKitty historisch gezien een veilige ransomware, wat het gratis herstellen van bestanden voorkomt. (bron)

Abyss Locker website met gelekte gegevens


Nieuwe Submarine Malware Ontdekt op Gehackte Barracuda ESG-apparaten, volgens CISA

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) meldt dat nieuwe malware, genaamd Submarine, is gebruikt om de ESG-apparaten (Email Security Gateway) van Barracuda te infiltreren op de netwerken van federale agentschappen. Deze aanval maakte gebruik van een nu gepatchte zero-day kwetsbaarheid. Een vermoedelijke pro-Chinese hackergroep, UNC4841, wordt verdacht van deze aanval die dataroof betrokken was en sinds oktober 2022 actief is. De aanvallers gebruikten de CVE-2023-2868 zero-day kwetsbaarheid voor remote injectie, samen met eerder onbekende malware, Saltwater en SeaSpy, en een kwaadaardig hulpmiddel genaamd SeaSide voor het maken van omgekeerde schelpen voor gemakkelijke toegang op afstand. Barracuda nam een onconventionele stap door vervangende apparaten gratis aan te bieden aan alle betrokken klanten. Dit kwam na de aanbeveling om alle gecompromitteerde ESG-apparaten direct te vervangen, aangezien volledige verwijdering van malware niet kon worden gegarandeerd. CISA onthulde dat Submarine, ook gevolgd door Mandiant als DepthCharge, een meercomponenten achterdeur werd gevonden op de gecompromitteerde apparaten, gebruikt voor detectieontduiking, persistentie en dataverzameling. In reactie op de aanvallen, adviseerde Barracuda haar getroffen klanten hun netwerken grondig te controleren op mogelijke compromitteringen. CISA waarschuwde dat deze malware een ernstige bedreiging vormt voor laterale beweging. Mensen die verdachte activiteiten opmerken gerelateerd aan de Submarine malware en de Barracuda ESG-aanvallen worden aangemoedigd om contact op te nemen met CISA's 24/7 Operations Center. (bron, bron2)


Nieuwe Android-malware 'CherryBlos' en 'FakeTrade' steelt crypto-inloggegevens via OCR

Twee nieuwe malware families, genaamd 'CherryBlos' en 'FakeTrade', zijn ontdekt op Google Play. Deze malware is specifiek ontworpen om cryptocurrency-gegevens en fondsen te stelen of scams uit te voeren. CherryBlos, dat voor het eerst werd verspreid in april 2023, gebruikt valse gebruikersinterfaces die officiële apps nabootsen om inloggegevens te stelen. Interessant genoeg kan CherryBlos ook gebruik maken van OCR (optische tekenherkenning) om tekst uit afbeeldingen en foto's op het apparaat te extraheren. Dit is met name zorgwekkend voor cryptocurrency-gebruikers, die vaak herstelzinnen van 12 of meer woorden krijgen om hun portemonnee op een computer te herstellen. Hoewel het niet aanbevolen is om foto's te maken van deze herstelzin, doen mensen dit toch en slaan ze de foto's op op hun apparaten. Als deze malware-functie is ingeschakeld, kan het potentieel de herstelzin uit de afbeelding halen en de portemonnee stelen. De andere malware, FakeTrade, werd gevonden in 31 scam-apps op Google Play. Deze apps misleiden gebruikers om te kijken naar advertenties, gaan akkoord met premium abonnementen, of vullen hun in-app portemonnees bij en staan nooit toe dat ze de virtuele beloningen verzilveren. Beide malwares zijn voornamelijk gericht op gebruikers in Maleisië, Vietnam, Indonesië, de Filipijnen, Oeganda en Mexico. Ondanks dat Google de gemelde malware-apps heeft verwijderd van Google Play, kunnen handmatige opruimingen nodig zijn op geïnfecteerde apparaten, aangezien duizenden gebruikers deze al hebben gedownload. (bron)


University of Hawaii betaalt losgeld aan ransomwaregroep om verwijdering van gestolen data te waarborgen

De University of Hawaii heeft losgeld betaald aan een ransomwaregroep om de gegevens van ongeveer 28.000 personen, die tijdens een aanval op 13 juni werden gestolen, te laten verwijderen. De aanval trof systemen van het Hawaii Community College, dat daarna offline ging. De universiteit besloot tot betaling om te voorkomen dat de gestolen gegevens openbaar zouden worden gemaakt, aangezien de betrokken ransomwaregroep dreigde dit te doen bij het niet ontvangen van losgeld. De universiteit heeft verklaard dat het een overeenkomst heeft gesloten met de criminelen om alle gestolen data te vernietigen. Alle betrokken personen zullen per brief worden geïnformeerd over de situatie. De ransomwaregroep die verantwoordelijk is voor de aanval noemt zichzelf NoEscape. (bron, bron2)


CoinsPaid legt verantwoordelijkheid voor $ 37,3 miljoen cryptodiefstal bij Lazarus-hackers

Op 22 juli 2023 werd de Estse crypto-betalingsdienst CoinsPaid getroffen door een cyberaanval die resulteerde in de diefstal van $ 37,2 miljoen aan cryptocurrency. Ondanks de aanzienlijke economische schade en de impact op de beschikbaarheid van het betalingsplatform, verzekert het bedrijf dat de klantfondsen veilig zijn en geen materiële invloed hebben op hun bedrijfsvoering. CoinsPaid beweert dat de Noord-Koreaanse hackgroep Lazarus achter de aanval zit, en dat deze geavanceerde, financieel gemotiveerde, door de staat gesteunde speler op zoek was naar een hogere uitbetaling. CoinsPaid heeft echter geen bewijs geleverd hoe ze de aanval hebben gelinkt aan Lazarus en deze claims zijn nog niet onafhankelijk bevestigd. Het bedrijf is bezig met herstel en verwacht volledig te compenseren voor de omzetdaling in de komende periode. Chainalysis, Binance, Crystal, Match Systems, Staped.us, OKCoinJapan en Valkyrieinvest assisteren bij het onderzoek en Estse wetshandhavingsinstanties zijn ook op de hoogte gebracht. In het verleden heeft de Lazarus groep vergelijkbare diefstallen uitgevoerd, waaronder een diefstal van $ 35 miljoen van Atomic Wallet, $ 100 miljoen van Harmony Horizon, en een recordbrekende $ 617 miljoen van het op blockchain gebaseerde spel Axie Infinity. Deze recente aanval kan wijzen op een focus van de Lazarus Groep op cryptocurrency betaalprocessors. (bron)


BreachForums Hacker Forum Gegevenslek: Database Te Koop

De database van het beruchte hacker forum, BreachForums, is te koop aangeboden na een data-inbreuk, waardoor het nu de beurt is aan de hackers om zich zorgen te maken over hun blootgestelde informatie. De gegevenslek heeft 212.000 records blootgelegd, waaronder gebruikersnamen, IP- en e-mailadressen, privéberichten tussen leden en wachtwoorden die zijn opgeslagen als argon2-hashes. De informatie is gedeeld met de service 'Have I Been Pwned', zodat gebruikers kunnen controleren of hun informatie is blootgesteld. De database wordt verkocht door een dreigingsactor met de naam 'breached_db_person', die beweert dat de database waardevolle informatie bevat voor zowel cybersecurity-onderzoekers als mogelijk andere dreigingsactoren. (bron)


Spelers Call of Duty: Modern Warfare 2 besmet door computerworm

Aanvallers hebben een manier gevonden om spelers van het populaire spel Call of Duty: Modern Warfare 2 automatisch te infecteren met een computerworm. Dit nieuws werd bekendgemaakt door TechCrunch. De aanval maakt gebruik van "gehackte lobbies" op het gameplatform Steam om de malware te verspreiden en vervangt daarbij een dll-bestand van het spel. De precieze verspreidingsmethode is nog onbekend. Op het spelforum zijn instructies geplaatst voor spelers die mogelijk een "gehackte lobby" hebben bezocht. Als gevolg van meldingen van het probleem heeft de speluitgever Activision de servers van het spel, dat stamt uit 2009, offline gehaald. Verdere details zijn op dit moment nog niet bekend. (bron, bron2, bron3, bron4)


Swiss Visumafspraken geannuleerd in het VK vanwege 'IT-incident'

Alle afspraken voor toeristische en transitvisa voor Zwitserland (Schengen) zijn in het hele VK geannuleerd. TLSContact, de door de Zwitserse regering gekozen IT-provider voor het faciliteren van visumaanvragers voor burgers van derde landen, heeft een 'IT-incident' bij zijn centra in Londen, Manchester en Edinburgh de schuld gegeven voor de annulering van afspraken. TLSContact, dat visa verwerkt en IT-diensten levert aan verschillende regeringen, beweert miljoenen visumaanvragen te hebben afgehandeld. Het bedrijf is verantwoordelijk voor het verwerken van visumaanvragen voor burgers van landen die een visum nodig hebben om naar Europa te reizen, met inbegrip van Zwitserland, Frankrijk, België en Duitsland, allemaal onderdeel van het Schengengebied. Het incident heeft geleid tot een blanco scherm bij het boeken van afspraken op de website. Dit is een groot probleem, vooral gezien het feit dat het boeken van Schengen-visa-afspraken al moeilijk is, vooral in drukke reisperiodes naar populaire bestemmingen in Europa. TLSContact bezit zeer gevoelige informatie van aanvragers, zoals persoonlijke gegevens, biometrische gegevens en reisplannen. Daarom is het van groot belang dat de IT-systemen van externe visumverwerkingsbureaus goed functioneren en beveiligd zijn tegen cyberaanvallen. BleepingComputer heeft contact opgenomen met TLSContact om de oorzaak van het incident te begrijpen en wanneer de afspraken worden hervat. De Zwitserse ambassade in Londen heeft geautomatiseerde e-mails verstuurd waarin wordt vermeld dat de afspraken wegens technische redenen zijn geannuleerd en zo snel mogelijk opnieuw zullen worden ingepland. Dit heeft echter tot grote verstoringen geleid voor Zwitserse visumaanvragers, die nu afhankelijk zijn van de externe dienstverlener en mogelijk hun reisplannen moeten wijzigen. Het incident onderstreept de afhankelijkheid van derde partijen bij het verwerken van visumaanvragen, waardoor extra zorg en beveiliging nodig zijn om ervoor te zorgen dat gevoelige gegevens veilig blijven. (bron, bron2, bron3, bron4)


Gekaapte accounts de meest succesvolle aanvalsmethode in vitale sector, volgens CISA-rapport

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft een onderzoeksrapport gepubliceerd waaruit blijkt dat gekaapte accounts vorig jaar de meest succesvolle methode waren om organisaties in de vitale sector aan te vallen. Uit het rapport blijkt dat 54,3% van de succesvolle aanvallen werd uitgevoerd met behulp van een gekaapt, geldig account, gevolgd door spearphishing met 33,8%. Aanvallers verkrijgen toegang tot accounts door wachtwoorden te raden of via phishing. Als preventieve maatregel adviseert het CISA vitale organisaties om een sterk wachtwoordbeleid te implementeren en phishingbestendige multifactorauthenticatie (MFA) toe te passen. Tevens dienen ze logs te monitoren op afwijkend gedrag, zodat cyberaanvallen tijdig kunnen worden geïdentificeerd en de schade kan worden beperkt. Deze bevindingen zijn van cruciaal belang om de digitale veiligheid van de vitale sector te waarborgen.

FY 22 RVA Analysis Final 508 C
PDF – 910,4 KB 199 downloads

Gegevens van 8 tot 11 miljoen personen gestolen bij MOVEit-aanval op Maximus

Bij een zeroday-aanval op de MOVEit Transfer-server van de Amerikaanse dienstverlener Maximus zijn de persoonlijke gegevens van 8 tot 11 miljoen personen gestolen. De aanval heeft plaatsgevonden via een zerodaylek in de software, waarbij criminelen achter de Clop-ransomware toegang kregen tot de MOVEit-servers van honderden organisaties. Het totaal aantal organisaties dat slachtoffer werd van de wereldwijde MOVEit-aanval is gestegen naar 513, met bijna 35 miljoen personen waarvan gegevens zijn buitgemaakt. Maximus, een Amerikaanse dienstverlener die diverse overheidsprogramma's beheert, werd eind mei getroffen door de aanval. De gestolen informatie omvat onder andere social-securitynummers, gezondheidsgegevens en andere persoonlijke informatie. Het bedrijf verwacht dat de kosten van de aanval uitkomen op 15 miljoen dollar.In totaal heeft de Clop-groep gegevens van 34,6 miljoen individuen in handen gekregen bij de verschillende getroffen organisaties. MOVEit Transfer is een applicatie voor het uitwisselen van bestanden, en veel organisaties gebruiken het om vertrouwelijke informatie binnen de organisatie te delen. Als de gevraagde losgeldbetaling niet wordt voldaan, dreigt de Clop-groep de gestolen data te publiceren. Gedupeerden krijgen gratis kredietmonitoring aangeboden om verdere schade te beperken. De aanval heeft grote gevolgen gehad, aangezien Maximus wereldwijd actief is in meerdere landen en meer dan 39.000 medewerkers heeft. Het incident benadrukt de urgentie van cybersecuritymaatregelen om dergelijke datalekken en aanvallen in de toekomst te voorkomen. (bron, bron2)


Toename aanvallen via HTML- en OneNote-bestanden, waarschuwt VirusTotal

Cyberbeveiligingsdienst VirusTotal meldt een opvallende toename van aanvallen via HTML- en OneNote-bestanden, terwijl het gebruik van Word- en Excel-bestanden juist afneemt. De aanvallers maken gebruik van HTML-bestanden, die JavaScript laden, om phishingaanvallen uit te voeren en inloggegevens van slachtoffers te bemachtigen. Daarnaast is er ook een stijging in het gebruik van OneNote-bestanden voor aanvallen. Ondanks het ontbreken van macro's in OneNote-bestanden, weten de aanvallers nog steeds via verschillende trucs malware te verspreiden. Gebruikers worden gewaarschuwd voor de opkomst van deze nieuwe aanvalstechnieken. (bron)


Belgische tak van Toyota Boshoku slachtoffer van CL0P Ransomware

Op 27 juli 2023 is op het darkweb onthuld dat de Belgische website van Toyota Boshoku, een bedrijf uit de diverse productie-industrieën, is getroffen door de CL0P ransomware. De cybercriminelen hebben hun actie publiekelijk aangekondigd, waardoor de ernst van de situatie duidelijk werd. Verdere details zijn momenteel onbekend.


Nederlandse IT-dienstverlener Softtech.nl getroffen door ransomware

Het Nederlandse IT-bedrijf Softtech.nl is het nieuwste slachtoffer van de beruchte ransomwarebende CL0P. De cybercriminelen hebben hun aanval op 27 juli 2023 openbaar gemaakt op het darkweb. Experts raden aan om altijd up-to-date beveiligingsmaatregelen te treffen tegen dergelijke cyberaanvallen.


Lazarus-hackers gelinkt aan $60 miljoen Alphapo-cryptocurrency-overval

Blockchain-analisten geven de Noord-Koreaanse Lazarus-hackgroep de schuld van een recente aanval op het betalingsverwerkingsplatform Alphapo, waarbij de aanvallers bijna $60 miljoen aan crypto hebben gestolen. Alphapo is een gecentraliseerde crypto-betaalleverancier voor goksites, e-commerce abonnementsdiensten en andere online platforms. De aanval vond plaats op zondag 23 juli en het aanvankelijk gestolen bedrag werd geschat op $23 miljoen. De gestolen crypto omvatte meer dan 6 miljoen USDT, 108k USDC, 100,2 miljoen FTN, 430k TFL, 2,5k ETH en 1.700 DAI, allemaal afkomstig uit hete portemonnees, vermoedelijk door een lek van privésleutels. Crypto-ketenonderzoeker "ZackXBT" waarschuwde dat de aanvallers ook nog eens $37 miljoen aan TRON en BTC hebben buitgemaakt, waardoor het totale gestolen bedrag uit Alphapo op $60 miljoen komt. Analisten vermoeden dat de aanval kenmerken vertoont van een Lazarus-overval, en dit wordt ondersteund door het feit dat de Lazarus Group eerder betrokken was bij andere grootschalige crypto-diefstallen. De groep staat bekend om het gebruik van valse vacature-aanbiedingen om werknemers van crypto-bedrijven te lokken, waarna ze geïnfecteerde bestanden openen en toegang krijgen tot accountreferenties. Hoewel er nog geen onafhankelijke bevestiging is van de betrokkenheid van de Noord-Koreaanse groep, volgen blockchain-analyses de gestolen fondsen naar cryptocurrency-beurzen waarbij pogingen tot witwassen zijn waargenomen. Het onderzoek naar de zaak is nog steeds gaande. (bron, bron2)


Nederlandse IT-Dienst DATAENGINE.EU Slachtoffer van Cyberaanval

DATAENGINE.EU, een Nederlandse IT-dienstverlener, is slachtoffer geworden van cybercriminelen genaamd CL0P. De aanval kwam op 27 juli 2023 aan het licht toen de criminelen de daad openbaar maakten op het darkweb. Verdere details zijn momenteel onbekend.


NAVO Bevestigt Onderzoek naar Mogelijke Gegevensdiefstal door Hacker Groep SiegedSec

De NAVO heeft aangekondigd dat haar IT-team onderzoek doet naar claims van een mogelijke gegevensdiefstal door de hacker groep SiegedSec. De hack zou hebben plaatsgevonden op het Communities of Interest (COI) Cooperation Portal, een niet-geclassificeerde informatie-uitwisselings- en samenwerkingsomgeving voor NAVO-organisaties en lidstaten. SiegedSec heeft op Telegram honderden documenten gepost die volgens hen afkomstig zijn van het COI-portaal. Cybersecuritybedrijf CloudSEK heeft deze gelekte gegevens geanalyseerd en ontdekt dat het om 845 MB aan bestanden gaat, met 8.000 rijen van gevoelige, gebruikersgerelateerde informatie, niet-geclassificeerde documenten en toegangsgegevens van gebruikersaccounts. Volgens de analyse van CloudSEK zou het datalek, indien bevestigd, gevolgen kunnen hebben voor 31 NAVO-lidstaten. De hackersgroep SiegedSec, die eerder dit jaar beweerde een softwarebedrijf te hebben gehackt, lijkt meer gemotiveerd door activisme dan financieel gewin. In hun bericht op Telegram geven ze aan dat de aanval op het NAVO-portaal een reactie is op schendingen van de mensenrechten door NAVO-lidstaten. (bron, Telegram)

SiegedSec post op Telegram


Nieuwe 'Stikstof' Malware Maakt Misbruik van Google en Bing Advertenties voor Ransomware Aanvallen

Een nieuwe malwarecampagne, genaamd 'Stikstof', maakt misbruik van Google- en Bing-zoekadvertenties om valse softwarewebsites te promoten die gebruikers onopgemerkt infecteren met Cobalt Strike en ransomware-payloads. Het doel van de stikstofmalware is om bedreigingsactoren initiële toegang tot bedrijfsnetwerken te bieden, waardoor ze datadiefstal en cyberspionage kunnen uitvoeren en de BlackCat / ALPHV-ransomware kunnen inzetten. De campagne richt zich voornamelijk op technologie- en non-profitorganisaties in Noord-Amerika en doet zich voor als populaire software zoals AnyDesk, Cisco AnyConnect VPN, TreeSize Free en WinSCP. Trend Micro was de eerste die deze activiteit documenteerde, waarbij WinSCP-advertenties leidden tot BlackCat / ALPHV-ransomware-infecties op het netwerk van een slachtoffer. Gebruikers worden geadviseerd om "gepromote" resultaten in zoekmachines te vermijden bij het downloaden van software en alleen te downloaden van de officiële site van de ontwikkelaar. (bron)


ALPHV ransomware voegt datalek-API toe aan nieuwe afpersingsstrategie

De ALPHV ransomware-groep, ook wel bekend als BlackCat, probeert meer druk uit te oefenen op hun slachtoffers om losgeld te betalen door een API voor hun lekwebsite beschikbaar te stellen. Hiermee willen ze de zichtbaarheid van hun aanvallen vergroten. Na een recente aanval op Estée Lauder, waarbij het schoonheidsbedrijf de dreiging om te onderhandelen over losgeld volledig negeerde, heeft de ransomware-groep deze nieuwe strategie ingezet. De nieuwe sectie op de ALPHV/BlackCat lekwebsite is ontdekt door meerdere onderzoekers. De API, of Application Programming Interface, stelt gebruikers in staat om tijdige updates over nieuwe slachtoffers te verzamelen. De groep heeft de API-oproepen gepost waarmee verschillende informatie over nieuwe slachtoffers die aan hun lekwebsite zijn toegevoegd, of updates vanaf een specifieke datum, kunnen worden opgehaald. Het lijkt erop dat het vrijgeven van de API mogelijk te maken heeft met een afname van het aantal slachtoffers dat losgeld betaalt. Uit een rapport van het incident response-bedrijf Coveware blijkt dat het aantal betalende slachtoffers dat getroffen werd door ransomware in het tweede kwartaal van dit jaar "tot een historisch laagtepunt van 34%" is gedaald. Met minder betalende slachtoffers zoeken ransomware-groepen naar nieuwe methoden om druk uit te oefenen en geld te verdienen. Het beschikbaar maken van hun lekken aan een groter publiek lijkt de nieuwste afpersingslaag te zijn, maar het is waarschijnlijk gedoemd om te mislukken.


Overheid (NL) verwijdert drieduizend DigiD-accounts aangeboden door criminelen

Overheidsinstantie Logius heeft meer dan drieduizend actieve DigiD-accounts verwijderd, die door criminelen werden aangeboden op de illegale online marktplaats Genesis Market. Deze marktplaats bood gestolen gegevens van met malware besmette computers aan, waaronder inloggegevens, cookies en andere data, waaronder gebruikersnamen en wachtwoorden van DigiD-accounts. Door het gebruik van een aparte browser en browserplug-in konden afnemers met gestolen inloggegevens op allerlei diensten inloggen. Naar schatting werden de gegevens van twee miljoen slachtoffers, waaronder vijftigduizend Nederlanders, via de marktplaats verhandeld. De Genesis Market werd offline gehaald tijdens een internationale operatie. Logius heeft de gedupeerden ingelicht en benadrukt dat dit soort gegevensdiefstal kan leiden tot identiteitsfraude, waardoor hackers het digitale leven van slachtoffers kunnen overnemen. (bron)


Nederlandse Olie- en Gasgigant SBM Offshore Getroffen door Cyberaanval

In een recente onthulling op het darkweb, is bekendgemaakt dat de Nederlandse olie- en gasgigant SBM Offshore het slachtoffer is geworden van een cyberaanval. De aanval, uitgevoerd door de beruchte cybercriminele groep CL0P, werd op 26 juli 2023 openbaar gemaakt. Verdere details over de omvang van de schade of de aard van de gestolen gegevens zijn nog niet bekend.


Informatiediefstal malware steelt meer dan 400.000 bedrijfsgegevens: Diepe infiltratie in bedrijfsomgevingen onthuld

Uit een analyse van bijna 20 miljoen logboeken van informatiediefstal malware, verkocht op het dark web en Telegram-kanalen, is gebleken dat deze malware een aanzienlijke infiltratie heeft bereikt in bedrijfsomgevingen. Deze malware steelt informatie opgeslagen in applicaties zoals webbrowsers, e-mailclients, en meer, en verpakt de gestolen informatie in 'logs'. Deze worden vervolgens naar de dreigingsactor geüpload voor gebruik bij aanvallen of verkoop op marktplaatsen voor cybercriminaliteit. Families van malware zoals Redline, Raccoon, Titan, Aurora, en Vidar zijn de meest prominente informatiedieven. Cyberbeveiligingsbedrijf Flare ontdekte bijvoorbeeld ongeveer 375.000 logs met toegang tot zakelijke applicaties zoals Salesforce en AWS. Om het risico op malware-infecties te minimaliseren, wordt bedrijven geadviseerd het gebruik van wachtwoordbeheerders op te leggen, authenticatie met meerdere factoren af te dwingen en strikte controles in te stellen op het gebruik van persoonlijke apparaten. (bron)


Android Stalkerware Spyhide Treft 60.000 Telefoons Wereldwijd, Inclusief Miljoenen Onderschepte SMS-berichten

De Android-stalkerware Spyhide is sinds 2016 op 60.000 telefoons geïnstalleerd en heeft onder meer miljoenen sms-berichten onderschept, volgens een beveiligingsonderzoeker. Via de software kunnen gebruikers diverse informatie verzamelen van hun doelwitten, waaronder gespreksgeschiedenis, sms-berichten, locatiegeschiedenis en bestandsinformatie. Een gebrek aan beveiliging in de ontwikkelomgeving van de stalkerware stelde de onderzoeker in staat om toegang te krijgen tot de broncode van het dashboard waarmee gebruikers de verzamelde telefoongegevens van hun slachtoffers kunnen bekijken. De database toonde aan dat wereldwijd 60.000 Android-telefoons zijn gecompromitteerd door de stalkerware, inclusief duizenden in Europa. De database bevatte ook 3,29 miljoen sms-berichten met persoonlijke informatie, gesprekslogs, opgenomen gesprekken, contactlijsten en informatie over foto's en afbeeldingen. (bron)


Zenbleed-aanval op AMD Zen2-CPU's maakt gevoelige data buit

Google's beveiligingsonderzoeker Tavis Ormandy heeft een nieuw beveiligingslek geïdentificeerd, bekend als Zenbleed, dat AMD Zen2-CPU's beïnvloedt. Het lek kan een kwaadwillige partij toestaan om gevoelige informatie te stelen, zoals wachtwoorden en coderingssleutels, met een snelheid van 30KB/sec van elke CPU-kern. Het lek wordt veroorzaakt door de onjuiste behandeling van een instructie, 'vzeroupper', tijdens speculatieve uitvoering. Ormandy ontdekte het lek met behulp van fuzzing en prestatietellers en valideerde zijn resultaten met een methode genaamd "Oracle Serialization". AMD heeft reeds een bijgewerkte microcode voor getroffen systemen vrijgegeven. Het is belangrijk voor gebruikers om hun systemen up-to-date te houden met de nieuwste beveiligingspatches en BIOS-updates. Hoewel de praktische impact van Zenbleed op reguliere gebruikers relatief laag is, blijft waakzaamheid belangrijk vanwege het potentieel voor gegevensdiefstal. (bron, bron2, bron3, bron4)


Lazarus-Hackers Misbruiken Microsoft IIS-Servers voor Malware Distributie

De door de Noord-Koreaanse staat gesponsorde Lazarus-hackgroep maakt misbruik van Windows Internet Information Service (IIS)-webservers om ze te kapen voor de distributie van malware. De hackers maken gebruik van slecht beveiligde IIS-diensten, die eigendom zijn van betrouwbare organisaties, om bezoekers van websites of gebruikers van diensten te infecteren. Recentelijk heeft Lazarus legitieme Zuid-Koreaanse websites gecompromitteerd om 'Watering Hole'-aanvallen uit te voeren op bezoekers door gebruik te maken van een kwetsbare versie van de INISAFE CrossWeb EX V6-software. Deze software wordt in Zuid-Korea veel gebruikt voor elektronische financiële transacties en internetbankieren. Aanbevolen wordt dat gebruikers van NISAFE CrossWeb EX V6 hun software updaten naar de nieuwste versie om zich tegen dergelijke aanvallen te beschermen. (bron, bron2, bron3, bron4)


Noord-Koreaanse hackers gelinkt aan JumpCloud inbraak na veiligheidsfout

De aanvallers achter de aanval op it-dienstverlener JumpCloud hebben door een fout met de gebruikte vpn-dienst hun eigen ip-adressen onthuld, zo stelt securitybedrijf Mandiant. JumpCloud biedt een platform waarmee organisaties hun gebruikers, hun apparaten en toegang tot it-middelen kunnen beheren. Meer dan 180.000 organisaties zouden de software van het bedrijf gebruiken. Eerder deze maand werd bekend dat aanvallers via een spearphishing-aanval toegang tot systemen van JumpCloud hadden gekregen, om daarvandaan systemen van klanten te compromitteren. Volgens JumpCloud hebben de aanvallers bij minder dan vijf bedrijven toegeslagen. Eén van deze getroffen ondernemingen is een niet nader genoemd Amerikaans softwarebedrijf dat Mandiant inschakelde. De aanvallers gebruikten JumpCloud om het softwarebedrijf met malware te infecteren. Daarbij hadden de aanvallers het onder andere voorzien op macOS keychains en data over directeuren en interne securityteams. Volgens Mandiant is de aanval het werk van een Noord-Koreaanse groep. De aanvallers maken gebruik van Operational Relay Boxes (ORBs) in combinatie met commerciële vpn-diensten om hun eigen ip-adres te verbergen. Daarbij is de vpn-dienst de laatste hop naar het slachtoffer. Volgens Mandiant maakten de aanvallers niet altijd gebruik van de vpn-oplossing of stopte die met werken, waardoor het ip-adres van de ORB zichtbaar werd. Het ging om een Noord-Koreaans ip-adres. Ook zagen de onderzoekers dat de aanvallers vanaf een Noord-Koreaans ip-adres op een box inlogden. "Ons bewijs ondersteunt dat dit een operationele securityfout was, aangezien de verbinding naar het Noord-Koreaanse netblock van korte duur was." De groep zou het vooral op cryptovaluta en cryptobedrijven hebben voorzien. Het is niet de eerste supplychain-aanval waarvoor Noord-Korea verantwoordelijk wordt gehouden. Het land zou ook achter de aanvallen op de X_TRADER-applicatie


Noorse ministeries onder vuur door Zerodaylek in MobileIron Core

Bij de aanval op de Noorse overheid die gisteren werd gemeld is gebruikgemaakt van een kritiek zerodaylek in Ivanti Endpoint Manager Mobile (EPMM), dat eerder bekend stond als MobileIron Core. Dat heeft de Noorse veiligheidsdienst NSM laten weten. EPMM is een oplossing voor mobile device management en mobile application management waarmee organisaties de apparaten van hun medewerkers kunnen beheren. Gisteren maakte de Noorse overheid bekend dat een zerodaylek was gebruikt tegen een niet nader genoemd ict-platform waar twaalf Noorse ministeries mee werken. Nu blijkt dat het om Ivanti Endpoint Manager Mobile gaat. Het beveiligingslek in de software, aangeduid als CVE-2023-35078, betreft een "authentication bypass" waardoor een ongeautoriseerde aanvaller toegang tot het systeem kan krijgen. Vervolgens is het mogelijk om aanpassingen aan de server door te voeren of toegang tot persoonlijke informatie van gebruikers te krijgen, zo meldt de Australische overheid. De Amerikaanse overheid laat weten dat de aanvaller ook een beheerdersaccount kan aanmaken. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Volgens Ivanti is de zeroday voor zover bekend tegen een "zeer beperkt aantal" klanten ingezet. Een exact aantal wordt echter niet genoemd. De Noorse autoriteiten hebben inmiddels alle organisaties in het land die van EPMM/MobileIron Core gebruikmaken over het zerodaylek ingelicht en opgeroepen de beschikbaar gemaakte patches meteen te installeren. "De kwetsbaarheid wordt op beperkte schaal actief misbruikt. Alhoewel ten tijde van schrijven weinig inhoudelijke details publiek beschikbaar zijn, is de verwachting dat de kans op misbruik toeneemt naarmate meer informatie beschikbaar komt", zo laat het Nationaal Cyber Security Centrum (NCSC) weten. Ook het NCSC adviseert organisaties om de door Ivanti beschikbaar gestelde beveiligingsupdates zo spoedig mogelijk te installeren.


Ransomware-aanval op Amerikaans ziekenhuis leidt tot diefstal van data van 1,2 miljoen patiënten

Bij een ransomware-aanval op een Amerikaans ziekenhuis zijn de gegevens van 1,2 miljoen patiënten gestolen. De monitoringssystemen van het ziekenhuis voorkwamen dat er data werd versleuteld, maar op dat moment hadden de aanvallers al allerlei gevoelige gegevens buitgemaakt. Het gaat om namen, adresgegevens, telefoonnummers, geboortedata, social-securitynummers, zorgverzekeringsinformatie, medische dossiernummers, patiëntnummers, datum van behandeling en "beperkte" informatie over de behandeling zelf. Tegenover de Tampa Bay Times laat het Tampa General Hospital weten dat het om de data van 1,2 miljoen patiënten gaat. De aanval werd op 31 mei opgemerkt. Verder onderzoek wees uit dat de aanvallers in de drie weken daarvoor de gegevens hadden buitgemaakt. Hoe de aanval kon plaatsvinden is niet bekendgemaakt. Wel zegt het ziekenhuis aanvullende beveiligingsmaatregelen te hebben genomen en is de monitoring opgeschroefd. Het ziekenhuis zal daarnaast alle getroffen patiënten via brief informeren.


15.000 Citrix-servers riskeren cyberaanvallen door ontbrekende beveiligingsupdate

Vijftienduizend Citrix-servers missen een kritieke beveiligingsupdate voor een kwetsbaarheid die in eerste instantie als zeroday werd aangevallen, zo laat de Shadowserver Foundation weten. In Nederland gaat het nog om ruim driehonderd servers. Het beveiligingslek in NetScaler ADC (voorheen Citrix ADC) en NetScaler Gateway (voorheen Citrix Gateway) laat een aanvaller willekeurige code op de server uitvoeren. Citrix kwam op 18 juli met beveiligingsupdates voor de kwetsbaarheid, aangeduid als CVE-2023-3519. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security maken aanvallers sinds juni misbruik van de kwetsbaarheid om op Citrix-servers een webshell te installeren. Met dergelijke software is het mogelijk om toegang tot de server te behouden en verdere aanvallen uit te voeren. De Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, telde op 21 juli vijftienduizend kwetsbare Citrix-servers die geen patch voor CVE-2023-3519 geïnstalleerd hebben. Het gaat 331 machines in Nederland. De VS is met 6100 kwetsbare Citrix-servers koploper. Beheerders worden dan ook opgeroepen om de update zo snel mogelijk te installeren. Vorige week kwam securitybedrijf Mandiant met een analyse van de aanvallen op kwetsbare Citrix-servers, waarbij een webshell werd geïnstalleerd. Volgens het bedrijf zijn de aanvallen vermoedelijk het werk van "cyber espionage threat actors". Tevens geeft het bedrijf informatie waarmee organisaties kunnen kijken of ze gecompromitteerd zijn.


Nederlandse Machinefabrikant Primoteq Getroffen door Cyberaanval

Primoteq, een Nederlandse producent van machines en computerapparatuur, is het recente slachtoffer geworden van een cyberaanval. De aanval werd uitgevoerd door de cybercriminele groep PLAY. De onthulling van de aanval vond plaats op 24 juli 2023, toen PLAY de informatie op het darkweb publiceerde. Het is nog onduidelijk wat de gevolgen van deze cyberaanval zijn voor Primoteq en haar klanten.


Twaalf Noorse ministeries aangevallen door onbekende actor via zerodaylek

De Noorse overheid is het slachtoffer geworden van een aanval waarbij gebruik is gemaakt van een zerodaylek om een ict-platform aan te vallen waar twaalf ministeries gebruik van maken, zo laat het Noorse ministerie van Lokaal Bestuur en Regionale Ontwikkeling in een verklaring weten. Volgens de autoriteiten hebben de aanvallers misbruik gemaakt van een "voorheen onbekende kwetsbaarheid" in de software van een leverancier. "Deze kwetsbaarheid is misbruikt door een onbekende actor. We hebben het beveiligingslek verholpen. Het is nog te vroeg om iets te zeggen over wie erachter zit en de omvang van de aanval", aldus de verklaring. Daarin wordt ook gesteld dat het werk van de Noorse regering gewoon doorgaat en er extra beveiligingsmaatregelen zijn genomen om de gegevens op het ict-platform te beveiligen. Het gevolg van de maatregelen is dat medewerkers van de twaalf ministeries nu geen toegang hebben tot allerlei diensten, waaronder e-mail. Medewerkers kunnen op kantoor of thuis nog wel gewoon op hun computer werken. De Noorse politie heeft inmiddels een onderzoek ingesteld en de Noorse privacytoezichthouder is ingelicht.


Ransomwaregroep Clop zet gestolen gegevens op het web

De criminelen achter de Clop-ransomware hebben gegevens van organisaties die via een zerodaylek in MOVEit Transfer zouden zijn gestolen op verschillende clearnet websites gepubliceerd. Het gaat volgens de aanvallers om data die bij consultancybedrijven PwC en EY is buitgemaakt. Dat melden vx-underground en beveiligingsonderzoeker Dominic Alvieri via Twitter. MOVEit Transfer is een applicatie voor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. Via een zerodaylek konden de aanvallers toegang tot data op de servers krijgen en die stelen. De groep dreigt gestolen data via hun eigen website openbaar te maken als slachtoffers geen losgeld betalen. Op deze manier worden slachtoffers extra onder druk gezet om aan de eisen van de aanvallers tegemoet te komen. De website van de Clop-groep is alleen via Tor Browser toegankelijk. Eerder dit jaar werd al bekend dat de criminelen achter de BlackCat-ransomware, ook bekend als ALPHV, gestolen gegevens van een accountantskantoor via een nagemaakte website van het slachtoffer. Deze website was toegankelijk via het "clearnet", zoals het "normale" internet wordt genoemd. De tactiek is nu ook door de Clop-groep overgenomen. Volgens vx-underground is het de vraag hoe succesvol de websites zijn, aangezien gigabytes aan gestolen data via slechts 90 kilobyte per seconde zijn te downloaden.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten