Overzicht van slachtoffers cyberaanvallen week 33-2023

Gepubliceerd op 21 augustus 2023 om 15:00

EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑

Cybercrimeinfo.nl (ccinfo.nl) is geen onderdeel van de Nederlandse Politie. Lees hier meer over wie wij zijn.


In een verontrustende reeks gebeurtenissen hebben cybercriminelen in week 33-2023 Nederland en België getroffen met cyberaanvallen. Deze aanvallen hebben bedrijven, onderwijsinstellingen en zelfs sociale mediaplatforms getroffen, wat gevoelige gegevens in gevaar heeft gebracht en organisaties in crisis heeft gestort. Enkele opvallende incidenten zijn onder andere een cyberaanval op een Nederlands bouwbedrijf, een inbraak bij CVO Antwerpen door de Metaencryptor-malware, hackers die Discord.io aanvielen en gegevens van 760.000 gebruikers stalen, een phishingaanval die 40 miljoen e-mailadressen trof, aanvallers die een backdoor op 1800 Citrix NetScalers installeerden, LinkedIn-accounts die massaal werden gehackt en hackers die een VPN-provider-certificaat gebruikten om malware te ondertekenen. Het volledige overzicht van deze alarmerende cyberaanvallen staat hieronder. Blijf op de hoogte van deze ontwikkelingen die de digitale veiligheid in de regio onder druk zetten.



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
stockwellharris.com LockBit stockwellharris.com USA Legal Services 20-aug.-23
equip-reuse.com LockBit equip-reuse.com USA Home Furniture, Furnishings, And Equipment Stores 20-aug.-23
cochraninc.com LockBit cochraninc.com USA Construction 20-aug.-23
cloudtopoffice.com LockBit cloudtopoffice.com USA IT Services 20-aug.-23
hallbergengineering.com LockBit hallbergengineering.com USA Machinery, Computer Equipment 20-aug.-23
Novi Pazar put ad Medusa www.np-put.rs Serbia Construction 19-aug.-23
The International Civil Defense Organization Medusa icdo.org France Justice, Public Order, And Safety 19-aug.-23
Sartrouville France Medusa www.sartrouville.fr France General Government 19-aug.-23
Econocom STORMOUS www.econocom.com France IT Services 19-aug.-23
Gold Medal Bakery Cuba www.goldmedalbakery.com USA Food Products 19-aug.-23
s3groupltd.com LockBit s3groupltd.com Canada Machinery, Computer Equipment 19-aug.-23
macuspana.gob.mx LockBit macuspana.gob.mx Mexico General Government 19-aug.-23
phitoformulas.com.br LockBit phitoformulas.com.br Brazil Chemical Producers 19-aug.-23
National Institute of Social Services for Retirees and Pensioners Rhysida www.pami.org.ar Argentina Administration Of Human Resource Programs 19-aug.-23
Municipality of Ferrara Rhysida www.comune.fe.it Italy General Government 19-aug.-23
ABS Auto Auctions PLAY www.absautoauctions.com USA Automotive Dealers 18-aug.-23
DSA Law Pty Ltd PLAY www.dsalaw.com.au Australia Legal Services 18-aug.-23
Miami Management PLAY www.miamimanagement.com USA Real Estate 18-aug.-23
BTC Power PLAY www.btcpower.com USA Electronic, Electrical Equipment, Components 18-aug.-23
Stanford Transportation Inc PLAY www.driveforstanford.com USA Motor Freight Transportation 18-aug.-23
Bolton Group PLAY www.boltongroup.net Italy Food Products 18-aug.-23
Legends Limousine PLAY www.legendslimousine.com USA Motor Freight Transportation 18-aug.-23
Oneonline PLAY www.oneonline.com USA Holding And Other Investment Offices 18-aug.-23
gh2.com LockBit gh2.com USA Construction 18-aug.-23
www.auda.org.au NoEscape www.auda.org.au Australia IT Services 18-aug.-23
Dillon Supply Metaencryptor dillonsupply.com USA Wholesale Trade-durable Goods 18-aug.-23
Epicure Metaencryptor www.epicure.com Canada Food Products 18-aug.-23
Coswell Metaencryptor www.coswell.biz Italy Chemical Producers 18-aug.-23
BOB Automotive Group Metaencryptor bob-automotive.com Germany Automotive Dealers 18-aug.-23
Seoul Semiconductor Metaencryptor www.seoulsemicon.com South Korea Electronic, Electrical Equipment, Components 18-aug.-23
Kraiburg Austria GmbH Metaencryptor www.kraiburg-austria.com Austria Rubber, Plastics Products 18-aug.-23
Autohaus Ebert GmbH Metaencryptor www.autohaus-ebert.de Germany Automotive Dealers 18-aug.-23
CVO Antwerpen Metaencryptor www.cvoantwerpen.be Belgium Educational Services 18-aug.-23
ICON Creative Studio Metaencryptor www.iconcreativestudio.com Canada Miscellaneous Services 18-aug.-23
Heilmann Gruppe Metaencryptor www.heilmann-ag.de Germany Agriculture 18-aug.-23
Schwälbchen Molkerei AG Metaencryptor www.schwaelbchen-molkerei.de Germany Food Products 18-aug.-23
Münchner Verlagsgruppe GmbH Metaencryptor m-vg.de Germany Publishing, printing 18-aug.-23
www.contact121.com.au NoEscape www.contact121.com.au Australia Business Services 17-aug.-23
umchealth.com LockBit umchealth.com USA Health Services 17-aug.-23
sgl.co.th LockBit sgl.co.th Japan Transportation Services 17-aug.-23
RIMSS Akira rimss.com USA IT Services 17-aug.-23
Pemberton Fabricators, Inc Akira www.pemfab.com USA Fabricated Metal Products 17-aug.-23
ALLIANCE Black Basta www.alliancesolutionsgrp.com USA Business Services 17-aug.-23
DEUTSCHELEASING Black Basta www.deutsche-leasing.com Germany Non-depository Institutions 17-aug.-23
VDVEN Black Basta www.venauto.nl Netherlands Accounting Services 17-aug.-23
SYNQUESTLABS Black Basta www.synquestlabs.com USA Chemical Producers 17-aug.-23
TWINTOWER Black Basta www.twintowerstrading.com USA Miscellaneous Retail 17-aug.-23
The Clifton Public Schools Akira www.clifton.k12.nj.us USA Educational Services 17-aug.-23
Camino Nuevo Charter Academy Akira www.caminonuevo.org USA Educational Services 17-aug.-23
kriegerklatt.com LockBit kriegerklatt.com USA Construction 17-aug.-23
SFJAZZ.ORG LockBit sfjazz.org USA Amusement And Recreation Services 17-aug.-23
mybps.us LockBit mybps.us USA Accounting Services 17-aug.-23
Smart-swgcrc.org LockBit smart-swgcrc.org USA Membership Organizations 17-aug.-23
MBO-PPS.COM CL0P mbo-pps.com Germany Machinery, Computer Equipment 17-aug.-23
MBOAMERICA.COM CL0P mboamerica.com USA Machinery, Computer Equipment 17-aug.-23
KOMORI.COM CL0P komori.com Japan Machinery, Computer Equipment 17-aug.-23
Cequint Akira www.cequint.com USA Communications 16-aug.-23
Tally Energy Services Akira www.tallyenergy.com USA Oil, Gas 16-aug.-23
CORDELLCORDELL BlackCat (ALPHV) cordellcordell.com USA Legal Services 16-aug.-23
Optimum Health Solutions Rhysida www.opt.net.au Australia Health Services 16-aug.-23
Hemmink INC Ransom www.hanzestrohm.nl Netherlands Engineering Services 16-aug.-23
* *i*** BianLian Unknown United Kingdom Apparel And Accessory Stores 16-aug.-23
Ramtha Rhysida www.ramtha.com USA Educational Services 16-aug.-23
ToyotaLift Northeast 8BASE www.toyotaliftne.com USA Automotive Dealers 16-aug.-23
www.ftria.co.jp NoEscape www.ftria.co.jp Japan Construction 15-aug.-23
Recaro BlackCat (ALPHV) www.recaro-automotive.com Germany Transportation Equipment 15-aug.-23
Postel SpA Medusa www.postel.it Italy IT Services 15-aug.-23
ABA Research BlackCat (ALPHV) abaresearch.co.uk United Kingdom Business Services 15-aug.-23
Keystone Insurance Services 8BASE keystoneinsurance.com USA Insurance Carriers 15-aug.-23
ANS 8BASE www.ans.co.uk United Kingdom IT Services 15-aug.-23
Aspect Structural Engineers 8BASE aspectengineers.com Canada Construction 15-aug.-23
www.verdeil.ch NoEscape www.verdeil.ch Switzerland Educational Services 15-aug.-23
Freeport-McMoran BlackCat (ALPHV) fcx.com USA Mining 14-aug.-23
jhillburn.com LockBit jhillburn.com USA Apparel And Accessory Stores 14-aug.-23
qbcqatar.com.qa LockBit qbcqatar.com.qa Qatar Construction 14-aug.-23
leecorpinc.com LockBit leecorpinc.com USA Construction 14-aug.-23
www.johnllowery.com NoEscape www.johnllowery.com USA Business Services 14-aug.-23
www.brak.de NoEscape www.brak.de Germany Membership Organizations 14-aug.-23
econsult.com LockBit econsult.com USA Legal Services 14-aug.-23
Saint Xavier University BlackCat (ALPHV) www.sxu.edu USA Educational Services 14-aug.-23
Agriloja.pt Everest agriloja.pt Portugal Building Materials, Hardware, Garden Supply, And Mobile Home Dealers 14-aug.-23
CB Energy Australlia Medusa www.cb.com.au Australia Construction 14-aug.-23
Borets Medusa levare.com United Arab Emirates Oil, Gas 14-aug.-23

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
CVO Antwerpen Metaencryptor www.cvoantwerpen.be Belgium Educational Services 18-aug.-23
VDVEN Black Basta www.venauto.nl Netherlands Accounting Services 17-aug.-23
Hemmink INC Ransom www.hanzestrohm.nl Netherlands Engineering Services 16-aug.-23

In samenwerking met StealthMol


Cyberaanvallen nieuws


Noord-Koreaanse Hackers Richten Zich Op Militaire Oefeningen VS en Zuid-Korea

Noord-Koreaanse hackers hebben naar verluidt deze week hun aandacht gericht op de gezamenlijke militaire oefeningen tussen de Verenigde Staten en Zuid-Korea, volgens verklaringen van de Zuid-Koreaanse politie. Ondanks hun inspanningen hebben de hackers volgens autoriteiten geen geheime informatie kunnen bemachtigen. De oefeningen zijn bedoeld om de reactie op nucleaire en raketdreigingen van Noord-Korea te verbeteren, maar worden bekritiseerd door het regime in Pyongyang, dat beweert dat ze een voorbereiding zijn op een invasie. De aanvallers worden vermoedelijk gelinkt aan de Noord-Koreaanse hackersgroep genaamd 'Kimsuky'. Ze hebben phishing-e-mails gebruikt om Zuid-Koreaanse defensie-aannemers aan te vallen, die betrokken zijn bij het oorlogssimulatiecentrum dat de oefeningen ondersteunt. Het gebruik van dergelijke phishing-e-mails is niet nieuw voor de Kimsuky-hackers, die erom bekend staan geadresseerden te misleiden om wachtwoorden te stelen of malware te downloaden via bijlagen en links. Eerder dit jaar probeerde dezelfde groep volgens een VN-rapport de internationale atoomwaakhond IAEA te hacken. Een gezamenlijk onderzoek van de Zuid-Koreaanse politie en het Amerikaanse leger heeft onthuld dat het gebruikte IP-adres bij deze hackpoging overeenkomt met een IP-adres dat in 2014 werd geïdentificeerd bij een hack tegen de exploitant van Zuid-Koreaanse kerncentrales. Destijds beschuldigde de regering in Seoel Noord-Korea van betrokkenheid bij die cyberaanval. Dit incident werpt opnieuw licht op de activiteiten van Noord-Koreaanse hackers en de voortdurende bezorgdheid over cyberaanvallen vanuit het land.


Hackers Gebruiken Certificaat van VPN-provider om Malware te Ondertekenen

Een geavanceerde dreigingsgroep genaamd 'Bronze Starlight,' die banden heeft met China, heeft de Zuidoost-Aziatische gokindustrie aangevallen met malware die is ondertekend met een geldig certificaat van de Ivacy VPN-provider. Het gebruik van dit certificaat stelt de hackers in staat om beveiligingsmaatregelen te omzeilen, geen verdenking te wekken met systeemwaarschuwingen en zich te vermengen met legitieme software en verkeer. Het certificaat behoort toe aan PMG PTE LTD, een Singaporese leverancier van het VPN-product 'Ivacy VPN.' Volgens SentinelLabs, die de campagne heeft geanalyseerd, zijn de cyberaanvallen die in maart 2023 werden waargenomen, waarschijnlijk een latere fase van 'Operation ChattyGoblin,' die door ESET werd geïdentificeerd in een rapport voor het vierde kwartaal van 2022 tot het eerste kwartaal van 2023. De aanvallen beginnen met het neerzetten van .NET executables op het doelsysteem en gaan verder met het ophalen van met wachtwoord beveiligde ZIP-archieven van Alibaba-buckets. Deze archieven bevatten kwetsbare softwareversies zoals Adobe Creative Cloud, Microsoft Edge en McAfee VirusScan, die vatbaar zijn voor DLL-hijacking. Het opvallende aspect van deze aanvallen is het gebruik van een certificaat dat toebehoort aan PMG PTE LTD, het bedrijf achter Ivacy VPN. Dit certificaat werd ook gebruikt om de officiële Ivacy VPN-installatieprogramma's te ondertekenen. Het is waarschijnlijk dat de sleutel voor het ondertekenen van software op een bepaald moment is gestolen, een bekende techniek van Chinese dreigingsactoren om malware te ondertekenen. Dit roept vragen op over wat de hackers nog meer hebben kunnen verkrijgen bij de VPN-provider. DigiCert heeft het certificaat in juni 2023 ingetrokken en ongeldig verklaard vanwege schending van de "Baseline Requirements" richtlijnen. Ivacy heeft nog niet gereageerd op dit incident. (bron, bron2, bron3, bron4)


LockBit Ransomware Kampt met Ernstige Opslagproblemen

In het laatste nieuws over ransomware draait alles om LockBit, met de release van het derde artikel in de Ransomware Dagboekenreeks van Jon DiMaggio. Dit artikel werpt een licht op de operationele problemen waarmee LockBit momenteel kampt. LockBit, normaal gesproken een toonaangevende speler in de ransomware "industrie," lijkt nu echter te worstelen. DiMaggio onthult dat LockBit ernstige opslaginfrastructuurproblemen heeft, die de mogelijkheid om gestolen gegevens vrij te geven en slachtoffers af te persen, beïnvloeden. Net als andere ransomware-operaties richten de dreigingsactoren zich eerst op het binnendringen van een netwerk en stelen ze geruisloos gegevens voor latere afpersingsverzoeken. Pas nadat alle waardevolle gegevens zijn gestolen en back-ups zijn verwijderd, zetten ze de ransomware in om bestanden te versleutelen. Het gestolen materiaal wordt gebruikt als hefboom bij het afpersen van slachtoffers door het op een datalekwebsite te publiceren als losgeld niet wordt betaald. Echter, LockBit heeft nu te maken met serieuze opslagproblemen die ervoor zorgen dat de gestolen gegevens niet consistent kunnen worden vrijgegeven. Dit leidt tot frustratie bij partners die de datalekwebsite willen gebruiken als onderdeel van hun afpersingsstrategie. LockBit probeert dit probleem te verdoezelen met propagandaberichten en een sterke narratief op criminele fora, maar dit lijkt niet te werken. Bovendien is LockBitSupp, de publieke vertegenwoordiger van LockBit, tijdelijk verdwenen, wat bij partners de vrees heeft gewekt dat de operatie is gecompromitteerd. Hierdoor zijn sommige partners al overgestapt naar nieuwe ransomware-operaties. Deze problemen zijn niet onopgemerkt gebleven, en analisten waarschuwen voor een scherpe daling in de activiteit van LockBit. Dit nieuws komt in een week waarin ook andere interessante ransomware-ontwikkelingen hebben plaatsgevonden, waaronder onderzoek naar nieuwe encryptiemethoden en een grootschalige aanval op managed service providers. Kortom, LockBit lijkt momenteel op dun ijs te staan in de wereld van ransomware-operaties. (bron)


Ransomware treft Amerikaanse scholen bij aanvang nieuw schooljaar

Bij de start van het nieuwe schooljaar zijn meerdere Amerikaanse scholen getroffen door ransomwareaanvallen, waaronder de Cleveland City Schools. De aanvallen hebben beperkte impact gehad, waarbij minder dan vijf procent van de schoolapparaten werd aangetast. De meerderheid van de apparaten blijft operationeel, volgens een lokale woordvoerder. Hoewel de aanvallen geen toegang hebben gekregen tot studenten- of docentengegevens, wordt de impact van de ransomwareaanval nog onderzocht. Zowel de lokale politie als het Departement of Homeland Security zijn betrokken bij het onderzoek. Dit soort aanvallen op scholen vinden vaak plaats aan het begin en einde van het schooljaar, wanneer scholen geneigd zijn losgeld te betalen. Het Witte Huis heeft recentelijk samengewerkt met overheidsinstanties om scholen beter te beschermen tegen dergelijke ransomwareaanvallen. (bron)


Nieuwe Versie van BlackCat Ransomware Gebruikt Impacket en RemCom

Microsoft heeft een nieuwe versie van de BlackCat ransomware ontdekt die het Impacket netwerkframework en het RemCom hacktool integreert. Beide tools stellen de ransomware in staat om zich zijdelings te verspreiden over een gecompromitteerd netwerk. In april meldde cybersecurity-onderzoeker VX-Underground over een nieuwe versie van de BlackCat/ALPHV encryptor genaamd Sphynx. Volgens de BlackCat-operators is de code van deze versie volledig herschreven en zijn alle bestanden standaard bevroren. Het belangrijkste doel van deze update was om detectie door antivirus- en endpoint-detectie en -respons (AV/EDR) te optimaliseren. IBM Security X-Force waarschuwde dat deze encryptor is geëvolueerd naar een toolkit. Dit werd ondersteund door de aanwezigheid van Impacket-strings in het uitvoerbare bestand, wat duidt op post-exploitatie functies zoals externe uitvoering en het dumpen van geheimen uit processen. Het Threat Intelligence-team van Microsoft heeft de nieuwe Sphynx-versie geanalyseerd en ontdekt dat het de Impacket-framework gebruikt om zich zijdelings te verspreiden over gecompromitteerde netwerken. Impacket is een open-source verzameling Python-klassen voor het werken met netwerkprotocollen. Het wordt echter vaker gebruikt als een post-exploitatie toolkit door penetratietesters en dreigingsactoren om zich zijdelings over een netwerk te verspreiden, inloggegevens van processen te dumpen, NTLM relay-aanvallen uit te voeren en meer. Naast Impacket bevat de encryptor ook het RemCom hacktool, een kleine remote shell waarmee commando's op andere apparaten in een netwerk kunnen worden uitgevoerd. Microsoft heeft deze nieuwe versie geïdentificeerd als BlackCat 3.0, hoewel de ransomware-operatie het in communicatie met affiliates 'Sphynx' of 'BlackCat/ALPHV 2.0' noemt.BlackCat, ook bekend als ALPHV, begon zijn operatie in november 2021 en wordt beschouwd als een van de meest geavanceerde ransomware-operaties. Ze hebben hun werkwijze voortdurend geëvolueerd met nieuwe tactieken, waardoor het voor verdedigers moeilijker wordt om hun aanvallen te detecteren en tegen te gaan. (bron, bron2)


Hackers Vragen $120.000 voor Toegang tot Groot Veilinghuis

Hackers beweren het netwerk van een groot veilinghuis te hebben gehackt en bieden toegang aan voor wie bereid is $120.000 te betalen. Deze advertentie werd ontdekt door beveiligingsonderzoekers op een hackersforum dat bekend staat om zijn markt voor zogenaamde 'initial access brokers' (IABs). Onderzoekers van het bedrijf Flare analyseerden drie maanden aan aanbiedingen op het Russischtalige hackersforum Exploit. Tussen 1 mei en 27 juli adverteerden makelaars toegang tot meer dan 100 bedrijven in 18 sectoren, waaronder defensie, telecom, gezondheidszorg en financiële diensten. Aanvallen op bedrijven in de VS, Australië en het VK waren het meest voorkomend, vooral vanwege hun hoge bruto binnenlands product. De prijzen voor toegang varieerden sterk, beginnend bij $150, voornamelijk voor toegang via VPN of RDP. Echter, het duurste aanbod was $120.000 voor toegang tot het netwerk van een miljarden veilinghuis. De hackers gaven weinig details, maar beweerden exclusieve toegang te hebben tot high-end veilingen, zoals Stradivarius violen en verzamelauto's. Opvallend is dat IABs op het Exploit forum doelwitten in Rusland en de Gemenebest van Onafhankelijke Staten vermijden, maar verrassend weinig in China, ondanks dat het land de op één na hoogste BBP ter wereld heeft. Het is essentieel voor bedrijven om monitoringsmechanismen te implementeren tegen malware die informatie steelt, aangezien dit een gebruikelijke bron is van bedrijfsgegevens. Het monitoren van forums waar IABs hun aanbiedingen adverteren, kan organisaties ook helpen bij het detecteren van mogelijke compromissen. (bron)


Cyberaanval op CVO Antwerpen door Metaencryptor

Op 18 augustus 2023 heeft de cybercriminele groep Metaencryptor bekendgemaakt dat zij de website van CVO Antwerpen (www.cvoantwerpen.be) hebben aangevallen. CVO Antwerpen, een educatieve instelling in België, is het nieuwste slachtoffer van deze cybercriminaliteit. Het is essentieel voor gebruikers en medewerkers van de instelling om waakzaam te blijven en hun digitale veiligheid te versterken.


Cyberaanval op VDVEN door Black Basta

Op 17 augustus 2023 maakte de cybercriminele groep Black Basta bekend een aanval te hebben uitgevoerd op VDVEN, een Nederlands bedrijf dat actief is in de sector van accountancydiensten. De details van deze aanval werden onthuld op het darkweb. Het is van groot belang dat gebruikers van www.venauto.nl waakzaam blijven en eventuele veiligheidsmaatregelen in acht nemen.


Phishing-campagne richt zich op Zimbra e-mail servers wereldwijd

Sinds april 2023 is er een lopende phishing-campagne die probeert inloggegevens te stelen van Zimbra Collaboration e-mail servers over de hele wereld. Volgens een rapport van ESET worden phishing e-mails wereldwijd naar organisaties gestuurd zonder specifieke focus op bepaalde organisaties of sectoren. De identiteit van de dreigingsactor achter deze operatie is momenteel onbekend. De aanvallen beginnen met een phishing e-mail die zich voordoet als een bericht van een organisatiebeheerder. Deze informeert gebruikers over een aanstaande e-mail server update die tijdelijke accountdeactivatie tot gevolg zal hebben. Aan de ontvanger wordt gevraagd een bijgevoegd HTML-bestand te openen voor meer informatie over de serverupgrade en instructies om deactivatie te voorkomen. Bij het openen van de bijlage wordt een valse Zimbra inlogpagina getoond die er authentiek uitziet met het logo en merk van het doelbedrijf. Wachtwoorden die in het phishing-formulier worden ingevoerd, worden via een HTTPS POST-verzoek naar de server van de dreigingsactor gestuurd. ESET meldt dat de aanvallers in sommige gevallen gecompromitteerde beheerdersaccounts gebruiken om nieuwe mailboxen te maken die worden gebruikt om phishing e-mails naar andere leden van de organisatie te sturen. Ondanks het gebrek aan verfijning van deze campagne, is de verspreiding en het succes ervan opmerkelijk. Gebruikers van Zimbra Collaboration moeten zich bewust zijn van deze dreiging. Hackers richten zich vaak op Zimbra Collaboration e-mail servers voor cyber spionage of als startpunt voor verdere aanvallen binnen een organisatienetwerk. Eerdere aanvallen op Zimbra werden gelinkt aan Russische en andere dreigingsactoren die gebruik maakten van kwetsbaarheden in de software. ESET concludeert dat de populariteit van Zimbra Collaboration bij organisaties met lagere IT-budgetten het een aantrekkelijk doelwit maakt voor tegenstanders. (bron, bron2)


Nepmedewerkers van PayPal lichten mensen op

In een recente fraudepoging bellen nepmedewerkers van PayPal mensen op met de bewering dat er €900 van hun rekening is afgeschreven om bitcoins te kopen. Ze bieden vervolgens een belmenu aan waarmee mensen de vermeende aankoop kunnen annuleren. De Fraudehelpdesk waarschuwt echter dat dit een oplichtingstruc is. De Fraudehelpdesk heeft talrijke meldingen ontvangen over deze valse telefoontjes. Tijdens deze gesprekken, waarbij het slachtoffer eerst een opgenomen bericht hoort en vervolgens met een 'echte' medewerker spreekt, wordt men overgehaald om een programma te installeren op hun computer of telefoon. Dit zogenaamd zodat PayPal kan meekijken. In werkelijkheid geven slachtoffers hiermee oplichters toegang tot hun apparaat. Als reactie op deze fraude adviseert de Fraudehelpdesk mensen die denken slachtoffer te zijn geworden om onmiddellijk hun internetverbinding te verbreken, contact op te nemen met hun bank en de fraude te melden. Als het bij een telefoongesprek is gebleven, is het raadzaam om het nummer van de beller te blokkeren.


Duizenden Android APK's gebruiken compressietruc om analyse te dwarsbomen

Kwaadwillende actoren verspreiden in toenemende mate kwaadaardige Android APK's (app-installatiepakketten) die decompilatie weerstaan door gebruik te maken van niet-ondersteunde, onbekende of sterk aangepaste compressiealgoritmen. Het voornaamste doel van deze methode is om detectie door beveiligingstools die statische analyse gebruiken te ontwijken en het onderzoek door experts te bemoeilijken. Dit vertraagt het begrip van hoe een specifieke Android malware functioneert. Zimperium, een lid van de 'App Defense Alliance' die zich inzet voor het identificeren en elimineren van malware uit Google Play, heeft het landschap van decompilatieweerstand geanalyseerd. Uit een rapport van zLab blijkt dat 3.300 APK's deze ongebruikelijke anti-analysemethoden gebruiken. Veel van deze APK's kunnen crashen, maar er is een subset van 71 kwaadaardige APK's gevonden die zonder problemen werken op Android OS versie 9 (API 28) en latere versies. Zimperium benadrukt dat geen van deze apps op de Google Play Store staat, maar heeft hun hashes vermeld om mensen te helpen die apps van derden downloaden. Android APK's gebruiken het ZIP-formaat op twee manieren: één zonder compressie en één met het DEFLATE-algoritme. APK's die zijn verpakt met niet-ondersteunde of onbekende compressiemethoden kunnen niet worden geïnstalleerd op Android 8 en ouder, maar werken wel op Android 9 en latere versies. Bovendien ontdekte Zimperium dat kwaadaardige APK-auteurs bestandsnamen gebruiken die langer zijn dan 256 bytes om crashes in analysetools te veroorzaken, het AndroidManifest.xml-bestand te corrumperen voor verduistering, en beschadigde String Pools te gebruiken om tools te laten crashen. Het advies is om APK's buiten Google Play te vermijden. Als men toch een app buiten Google Play installeert, moet deze eerst gescand worden met een betrouwbaar mobiel AV-hulpmiddel. Het "rooten" van een Android-apparaat wordt ook afgeraden, omdat dit kwaadaardige APK's volledige toegang tot het systeem geeft. (bron)


Triple Extortion Ransomware: De Nieuwe Dreiging in Cybercriminaliteit

Ransomware-aanvallen worden steeds geavanceerder en frequenter. In 2023 zijn er al meer aanvallen gemeld die betrekking hebben op data-exfiltratie en afpersing dan in heel 2022. Deze trend toont aan dat cybercriminelen hun methoden voortdurend aanpassen en verbeteren. Traditioneel gebruikten ransomware-groepen encryptie om bedrijfsdata en IT-infrastructuren te vergrendelen. Recentelijk hebben deze groepen hun tactieken echter geëvolueerd. Ze versleutelen niet alleen de data, maar exfiltreren deze ook, waardoor ze een dubbel afpersingsmiddel hebben. Als de eisen voor losgeld niet worden ingewilligd, dreigen ze de gestolen informatie te lekken of te verkopen. Deze strategie is zeer winstgevend gebleken, aangezien bedrijven vaak bereid zijn grote sommen te betalen om openbaarmaking van hun gevoelige gegevens te voorkomen. Bovendien hebben sommige groepen hun afpersingstechnieken uitgebreid naar wat nu bekend staat als "triple extortion". Hierbij chanteren ze individuele werknemers, vallen ze derde partijen aan die verbonden zijn met het oorspronkelijke slachtoffer, en voeren ze DDoS-aanvallen uit op websites. Deze ransomware-groepen opereren niet alleen. Ze hebben vaak een netwerk van affiliates die hen helpen bij het uitvoeren van aanvallen en het verspreiden van de ransomware. Deze samenwerking stelt hen in staat om zich te specialiseren in verschillende aspecten van de aanval, wat leidt tot een toename van het aantal aanvallen. Het bredere cybercrime-ecosysteem speelt ook een cruciale rol als enabler voor deze ransomware-groepen. Ze bieden diensten zoals bulletproof hosting, witwassen van geld, en toegang tot bedrijfsomgevingen en werknemersgegevens. Het is duidelijk dat de dreiging van ransomware blijft groeien en evolueren. Het is daarom essentieel voor organisaties om hun beveiligingsmaatregelen voortdurend bij te werken en te verbeteren. (bron, bron2, bron3, bron4, bron5)


Cybercriminelen Richten zich op Kritieke Kwetsbaarheid in Citrix ShareFile

CISA, het Amerikaanse agentschap voor cyberbeveiliging, waarschuwt voor een kritieke kwetsbaarheid in Citrix ShareFile, een veilige bestandsoverdrachtsservice. Deze kwetsbaarheid, aangeduid als CVE-2023-24489, wordt actief uitgebuit door onbekende actoren. Citrix ShareFile, ook bekend als Citrix Content Collaboration, is een cloudopslagoplossing waarmee klanten en werknemers bestanden veilig kunnen uploaden en downloaden. De dienst biedt ook een 'Storage zones controller'-oplossing waarmee bedrijven hun privégegevensopslag kunnen configureren, zowelop locatie als op ondersteunde cloudplatforms zoals Amazon S3 en Windows Azure. Op 13 juni 2023 bracht Citrix een beveiligingsadvies uit over een nieuwe kwetsbaarheid in ShareFile met een ernstscore van 9,8/10. Deze kwetsbaarheid zou niet-geauthenticeerde aanvallers in staat kunnen stellen om klantbeheerde opslagzones te compromitteren. Het cybersecuritybedrijf AssetNote heeft de kwetsbaarheid aan Citrix gemeld. Uit hun onderzoek bleek dat de fout werd veroorzaakt door enkele kleine fouten in de implementatie van AES-encryptie door ShareFile. Door deze kwetsbaarheid kon een bedreigingsactor een webshell uploaden naar een apparaat en volledige toegang krijgen tot de opslag en alle bestanden. CISA benadrukt dat dergelijke kwetsbaarheden vaak worden uitgebuit en een aanzienlijk risico vormen voor federale ondernemingen. Ransomware-operatie Clop heeft bijzondere interesse getoond in het uitbuiten van dergelijke kwetsbaarheden en heeft ze sinds 2021 gebruikt om gegevens van bedrijven te stelen. Na de technische uiteenzetting van AssetNote over de kwetsbaarheid, hebben andere onderzoekers hun eigen exploits op GitHub geplaatst. GreyNoise, een beveiligingsbedrijf, heeft een aanzienlijke toename waargenomen in pogingen om de kwetsbaarheid uit te buiten. Hoewel er nog geen bekende exploitaties of datadiefstallen zijn gelinkt aan deze fout, adviseert CISA alle organisaties om de updates zo snel mogelijk toe te passen. (bron, bron2, bron3, bron4)


Massaal Botnet van 400.000 Proxy's Gebouwd via Heimelijke Malware Infecties

Onderzoekers hebben een grootschalige campagne ontdekt waarbij proxyserver-applicaties zijn geleverd aan minstens 400.000 Windows-systemen. Deze apparaten functioneren als residentiële uitgangspunten zonder de toestemming van de gebruikers. Een bedrijf brengt kosten in rekening voor het proxyverkeer dat via deze machines loopt. Residentiële proxy's zijn waardevol voor cybercriminelen omdat ze kunnen helpen bij het uitvoeren van grootschalige aanvallen vanuit nieuwe IP-adressen. Ze hebben echter ook legitieme doeleinden zoals advertentieverificatie, datascraping en website-testen. Sommige proxybedrijven verkopen toegang tot deze residentiële proxy's en belonen gebruikers die hun bandbreedte delen. Volgens een rapport van AT&T Alien Labs is dit netwerk van 400.000 proxy's opgebouwd met behulp van kwaadaardige payloads die deproxy-applicatie hebben geleverd. Hoewel het bedrijf achter het botnet beweert dat gebruikers hun toestemming hebben gegeven, ontdekten de onderzoekers dat de proxy stilzwijgend op de apparaten werd geïnstalleerd. AT&T Alien Labs heeft bewijs gevonden dat malware-schrijvers de proxy stilletjes installeren op geïnfecteerde systemen. De infectie begint met de uitvoering van een loader verborgen in gekraakte software en games. Deze loader downloadt en installeert de proxy-applicatie automatisch op de achtergrond zonder interactie van de gebruiker. De malware maakt gebruik van Inno Setup om de installatie te verbergen. Om bescherming te bieden, raadt AT&T aan te zoeken naar een "Digital Pulse" uitvoerbaar bestand of een vergelijkbare registervermelding. Als deze aanwezig zijn, moeten ze worden verwijderd. Het wordt ook aangeraden om het downloaden van illegale software te vermijden en geen uitvoerbare bestanden uit onbetrouwbare bronnen te draaien. Signalen van een proxyware-infectie zijn onder andere verminderde prestaties, onverwachte netwerkverkeerspatronen en frequente communicatie met onbekende IP's. (bron, bron2)


Grootschalige Phishing-aanval op Amerikaans Energiebedrijf via QR-codes

Een recente phishing-campagne heeft zich voornamelijk gericht op een vooraanstaand energiebedrijf in de VS, waarbij gebruik werd gemaakt van QR-codes om kwaadaardige e-mails in inboxen te plaatsen en beveiligingsmaatregelen te omzeilen. Uit gegevens blijkt dat ongeveer een derde (29%) van de 1.000 e-mails die aan deze campagne zijn toegeschreven, gericht was op een groot Amerikaans energiebedrijf. De overige pogingen waren gericht op bedrijven in de productiesector (15%), verzekeringen (9%), technologie (7%) en financiële diensten (6%). Volgens Cofense, het bedrijf dat deze campagne ontdekte, is dit de eerste keer dat QR-codes op deze schaal worden gebruikt. Dit suggereert dat meer phishing-actoren hun effectiviteit als aanvalsmethode mogelijk testen. De aanval begint met een phishing-e-mail die beweert dat de ontvanger actie moet ondernemen om hun Microsoft 365-accountinstellingen bij te werken. Deze e-mails bevatten bijlagen in PNG of PDF met een QR-code die de ontvanger moet scannen om hun account te verifiëren. De cybercriminelen gebruiken QR-codes in afbeeldingen om e-mailbeveiligingstools te omzeilen die berichten scannen op bekende kwaadaardige links. Om beveiliging te ontwijken, gebruiken de QR-codes in deze campagne ook omleidingen via Bing, Salesforce en Cloudflare's Web3-diensten om de doelwitten naar een Microsoft 365 phishing-pagina te leiden. Ondanks hun effectiviteit in het omzeilen van beschermingsmaatregelen, vereisen QR-codes nog steeds dat het slachtoffer actie onderneemt om gecompromitteerd te raken. De meeste moderne smartphones vragen de gebruiker echter om de bestemmings-URL te verifiëren voordat de browser wordt geopend als een beschermende stap. Cofense suggereert ook dat organisaties beeldherkenningstools gebruiken als onderdeel van hun phishing-beschermingsmaatregelen. (bron)


Ransomware-aanvallen in Duitsland vaak ingeleid door phishing

De Duitse politie heeft vastgesteld dat de meeste ransomware-aanvallen die in het afgelopen jaar plaatsvonden, hun oorsprong vonden in phishingmails. Dit werd onthuld door het Bundeskriminalamt (BKA) in hun jaarlijkse rapport over cybercriminaliteit, het Bundeslagebild Cybercrime 2022. Uit het rapport blijkt dat er in totaal 137.000 gevallen van cybercriminaliteit werden geregistreerd, wat een daling van 6,5% betekent ten opzichte van het voorgaande jaar. Echter, het aantal cyberaanvallen dat vanuit het buitenland werd uitgevoerd en schade aanrichtte, steeg met 8%. Ransomware blijft de grootste bedreiging vormen voor zowel bedrijven als publieke instellingen. Gemiddeld werd er dagelijks één Duits bedrijf getroffen door een ransomware-aanval. De meest actieve ransomware in Duitsland was Lockbit, gevolgd door Phobos en Deadbolt, waarbij de laatste specifiek NAS-apparaten infecteert. Het gemiddelde losgeld dat door slachtoffers werd betaald, bedroeg 276.000 dollar. Het BKA waarschuwt dat ransomware-aanvallen een ernstige bedreiging kunnen vormen voor het voortbestaan van bedrijven. BKA-vicevoorzitter Martina Link benadrukte de urgentie van de situatie en riep op tot meer inspanningen in de strijd tegen cybercriminaliteit. Ze benadrukte het belang van preventie en het tegengaan van aanvallen op vitale infrastructuur, openbaar bestuur en supply chains. (bron)


Cyberaanval treft Clorox: Systemen offline na ongeautoriseerde activiteit

Clorox een bekende fabrikant van bleekmiddel en andere reinigingsproducten, slachtoffer is geworden van een cyberaanval. Als reactie op deze aanval heeft het bedrijf besloten meerdere van zijn systemen offline te halen. Hoewel er geen specifieke details over de aard van de aanval zijn vrijgegeven, heeft Clorox in een officiële verklaring aan de Amerikaanse beurswaakhond SEC laten weten dat er "ongeautoriseerde activiteit" op verschillende systemen is waargenomen. De exacte aard van deze activiteit is niet nader toegelicht. Om de continuïteit van de dienstverlening aan klanten te waarborgen, heeft Clorox 'workarounds' geïmplementeerd voor diverse offline bedrijfsactiviteiten. Desondanks heeft het incident een deel van de bedrijfsvoering verstoord, en het is te verwachten dat deze ontwrichting in de nabije toekomst zal voortduren. Het bedrijf heeft niet gespecificeerd welke aspecten van de bedrijfsvoering precies zijn getroffen. Ter context: Clorox rapporteerde vorig jaar een omzet van 7,1 miljard dollar. Het artikel maakt ook melding van andere gerelateerde nieuwsitems, zoals een oproep aan opensource-ontwikkelaars om te stoppen met het gebruik van Zoom en een kritisch beveiligingslek in Ivanti Avalanche. (bron, pdf)


Cyberaanval op Nederlands Bouwbedrijf

Op 16 augustus 2023 werd bekend dat het Nederlandse bouwbedrijf Hemmink, met de website hanzestrohm.nl, het slachtoffer is geworden van een cyberaanval. De verantwoordelijke cybercriminelen, bekend als INC Ransom, hebben hun daad op het darkweb gepubliceerd. Het is nog onduidelijk wat de gevolgen zijn voor het bedrijf en haar klanten.


LinkedIn Accounts Massaal Gehackt in Grootschalige Overnamecampagne

LinkedIn wordt momenteel geteisterd door een golf van account hacks, wat resulteert in veel accounts die om veiligheidsredenen worden vergrendeld of uiteindelijk worden overgenomen door aanvallers. Volgens een rapport van Cyberint klagen veel LinkedIn-gebruikers over overnames of blokkades van hun accounts en kunnen ze de problemen niet oplossen via LinkedIn-ondersteuning. Sommige gebruikers zijn zelfs onder druk gezet om losgeld te betalen om weer controle over hun account te krijgen, terwijl anderen hun accounts permanent hebben zien verwijderen. Cybercrimeinfo heeft talloze klachten op Reddit, Twitter en Microsoft-forums opgemerkt waarin wordt aangegeven dat LinkedIn-ondersteuning niet behulpzaam is geweest bij het herstellen van de gehackte accounts. Gebruikers uiten hun frustratie over het gebrek aan reactie van het bedrijf. Een van de getroffen gebruikers schreef: "Mijn account werd 6 dagen geleden gehackt. E-mail werd midden in de nacht gewijzigd en ik kon de wijziging niet bevestigen of voorkomen." De aanvallers lijken gelekte inloggegevens te gebruiken of brute-force methoden toe te passen om controle over een groot aantal LinkedIn-accounts te krijgen. Wanneer ze succesvol zijn in het overnemen van slecht beveiligde accounts, veranderen ze snel het geassocieerde e-mailadres naar een van de "rambler.ru" service. Vervolgens wijzigen ze het wachtwoord van het account, waardoor de oorspronkelijke eigenaren geen toegang meer hebben tot hun accounts. In sommige gevallen eisten de aanvallers losgeld om de accounts terug te geven aan de oorspronkelijke eigenaren of verwijderden ze de accounts zonder iets te vragen. Gezien de waarde van LinkedIn-accounts voor social engineering, phishing en jobaanbieding scams, is het essentieel voor gebruikers om hun beveiligingsmaatregelen te herzien, 2FA in te schakelen en een uniek en lang wachtwoord te gebruiken. (bron, bron2, bron3, bron4, bron5)

https://twitter.com/search?q=linkedin%20account%20hacked

Raccoon Stealer Malware Keert Terug in Verfijndere Versie

De ontwikkelaars van de Raccoon Stealer malware, bekend om het stelen van informatie, hebben na een pauze van zes maanden een nieuwe versie 2.3.0 van de malware op hackerforums gepresenteerd. Raccoon, actief sinds 2019, is een van de meest bekende malwarefamilies die informatie steelt. Het werd verkocht via een abonnementsmodel voor $200 per maand aan cybercriminelen. Deze malware is in staat om gegevens te stelen van meer dan 60 applicaties, waaronder inloggegevens, creditcardinformatie, browsegeschiedenis, cookies en cryptocurrency wallet accounts. In oktober 2022 kwam het project in onzeker vaarwater toen de belangrijkste auteur, Mark Sokolovsky, in Nederland werd gearresteerd en de FBI de infrastructuur van de toenmalige malware-as-a-service ontmantelde. Nu is Raccoon terug, met nieuwe functies die zijn toegevoegd op basis van feedback van "klanten", verzoeken en cybercrimetrends. Het doel is om de malware aan de top van de informatiediefstalmarkt te houden. Volgens een rapport van Cyberint heeft Raccoon 2.3.0 verschillende verbeteringen doorgevoerd die het gebruiksgemak en de operationele veiligheid verhogen. Een nieuwe zoekfunctie stelt hackers in staat om specifieke gestolen gegevens gemakkelijk te vinden. Bovendien heeft de nieuwe versie een systeem dat verdachte activiteiten tegengaat die verband kunnen houden met beveiligingsbots. Informatiedieven vormen een grote bedreiging voor zowel particulieren als bedrijven. Om je te beschermen tegen Raccoon Stealer en andere informatiedieven, wordt aangeraden om wachtwoordmanagers te gebruiken en multi-factor authenticatie in te schakelen op alle accounts. Het is ook raadzaam om uitvoerbare bestanden van twijfelachtige websites te vermijden.


Aanvallers installeren backdoor op 1800 Citrix NetScalers

Aanvallers hebben meer dan 1800 Citrix NetScalers gecompromitteerd via een beveiligingslek, waardoor een backdoor is geïnstalleerd. Uit onderzoek van securitybedrijf Fox-IT en het Dutch Institute of Vulnerability Disclosure (DIVD) blijkt dat ongeveer 1250 van deze apparaten een beveiligingsupdate hebben ontvangen. Echter, deze apparaten waren al gecompromitteerd vóór de installatie van de patch en blijven dat ook. Het beveiligingslek, geïdentificeerd als CVE-2023-3519, bevindt zich in NetScaler ADC en NetScaler Gateway. Dit lek stelt aanvallers in staat om willekeurige code op de server uit te voeren. Hoewel Citrix op 18 juli beveiligingsupdates voor dit lek heeft uitgebracht, werd er toen al actief misbruik van gemaakt. Aanvallers installeerden een webshell via dit lek, waardoor ze toegang tot de server behielden en verdere aanvallen konden uitvoeren. Op het moment van de aanvallen waren er 31.000 Citrix NetScalers kwetsbaar. Recentelijk is ontdekt dat 1828 van deze NetScalers besmet zijn met een webshell. Van deze besmette apparaten hebben 1248 de beveiligingsupdate ontvangen. Dit kan organisaties een vals gevoel van veiligheid geven, aangezien aanvallers nog steeds toegang hebben tot de servers. Duitsland heeft het hoogste aantal getroffen NetScalers, terwijl in Nederland meer dan honderd machines zijn aangetast. Zowel Fox-IT als Mandiant hebben scanners uitgebracht waarmee organisaties kunnen controleren of hun NetScalers zijn gecompromitteerd. DIVD is begonnen met het informeren van getroffen organisaties sinds 10 augustus. (bron, bron2, bron3)


Datalek bij Britse politiekorpsen: Gevoelige informatie van meer dan 1200 personen blootgesteld

Twee Britse politiekorpsen, Norfolk en Suffolk, hebben door een fout de gevoelige persoonlijke gegevens gelekt van meer dan 1200 mensen. Deze mensen waren slachtoffers van een misdrijf, werden hiervan verdacht, of waren getuigen. De fout vond plaats tijdens het verwerken van een 'Freedom of Information Request', de Britse versie van de Nederlandse Wet open overheid (Woo). De korpsen ontvingen een verzoek om misdaadcijfers te verstrekken. Echter, door een technisch probleem werd er ook ruwe data aan de verstrekte bestanden toegevoegd. Hoewel deze data verborgen was voor iedereen die de bestanden opende, had het niet toegevoegd mogen worden. De gelekte informatie bevatte persoonlijke identificeerbare gegevens van slachtoffers, getuigen en verdachten, evenals beschrijvingen van de misdrijven. Deze misdrijven waren voornamelijk gerelateerd aan huiselijk geweld, zedendelicten, mishandelingen, diefstallen en haatdelicten. De politiekorpsen hebben aangekondigd alle betrokken individuen te informeren. Dit zal gebeuren via brieven, telefoontjes en in sommige gevallen persoonlijk. Het hele proces van informeren zou eind september voltooid moeten zijn. De Britse privacytoezichthouder, ICO, heeft een onderzoek aangekondigd naar het incident. Stephen Bonner van de ICO benadrukte dat de potentiële impact van zo'n datalek ons eraan herinnert dat databescherming over mensen gaat. (bron, bron2)


Ransomware-aanval treft 1,5 miljoen Canadese tandartspatiënten

Bij een grootschalige ransomware-aanval op de Alberta Dental Service Corporation (ADSC) zijn persoonlijke gegevens van ongeveer 1,5 miljoen Canadese tandartspatiënten buitgemaakt. De gestolen informatie omvat namen, geboortedata, adressen en details over zorgdeclaraties. ADSC, een organisatie die in opdracht van de Canadese overheid de vergoeding van tandartskosten voor burgers met een laag inkomen regelt, heeft de cybercriminelen betaald in de hoop dat de data verwijderd zou worden. Naast de gegevens van ADSC zijn ook data van Quickcard, een dochteronderneming van ADSC die ziektekostenregelingen voor werknemers aanbiedt, gecompromitteerd. Op 9 juli ontdekte ADSC dat diverse systemen waren versleuteld door de aanvallers. Gelukkig konden de meeste systemen door beschikbare back-ups met minimaal dataverlies worden hersteld. Uit verder onderzoek bleek dat de cybercriminelen van 7 mei tot 9 juli toegang hadden tot de systemen en in die periode de patiëntgegevens hebben ontvreemd voordat ze de ransomware activeerden. Het daadwerkelijke datalek werd pas op 31 juli bevestigd. Quickcard heeft in reactie hierop een FAQ over het incident online gezet. Hierin vermeldt het bedrijf dat er maatregelen zijn genomen om te verzekeren dat de gestolen data daadwerkelijk is verwijderd. Hoe de aanvallers toegang kregen tot de systemen is nog onderwerp van onderzoek. (bron, bron2, bron3)


Phishingaanval treft 40 miljoen e-mailadressen

Onderzoekers hebben 40 miljoen e-mailadressengedeeld met de datalekzoekmachine Have I Been Pwned (HIBP) die het doelwit waren van een phishingaanval. Dit is de eerste keer dat e-mailadressen, ontdekt tijdens een phishingonderzoek, met HIBP zijn gedeeld. De phishingaanval was voornamelijk gericht op Mexicaanse internetgebruikers en had als doel toegang te krijgen tot hun bankrekeningen. De getroffen personen ontvingen e-mails over een onbetaalde factuur met een bijgevoegd zip-bestand. Dit bestand bevatte een url-bestand dat vervolgens een JavaScript-bestand downloadde en uitvoerde. De uitgevoerde malware had als doel inloggegevens te stelen uit Outlook en Google Chrome. Bovendien werden sessietokens ontvreemd wanneer slachtoffers inlogden bij verschillende Mexicaanse banken. Deze tokens werden naar de cybercriminelen gestuurd, waardoor zij toegang kregen tot de bankrekeningen van de slachtoffers. Volgens het securitybedrijf Perception Point waren de aanvallers nalatig in hun operationele beveiliging. Hierdoor kon veel informatie over de phishingaanval worden achterhaald, waaronder het aantal slachtoffers en een mogelijk gestolen bedrag van 55 miljoen dollar. Een dataset met e-mailadressen van potentiële slachtoffers werd ook ontdekt. Het is onduidelijk hoe de aanvallers deze e-mailadressen hebben verkregen. Van de 40 miljoen gedeelde e-mailadressen was 37% al bekend bij HIBP door eerdere datalekken. (bron, bron2)


Gegevens Noord-Ierse politiemedewerkers gelekt en in bezit van 'dissidente republikeinen'

De persoonlijke gegevens van alle tienduizend medewerkers van de Noord-Ierse politie onbedoeld zijn gelekt en nu in handen zijn van 'dissidente republikeinen'. Dit lek brengt de agenten in gevaar, aangezien ze nu mogelijk doelwit kunnen worden van intimidatie of zelfs aanvallen. Het datalek vond plaats door een fout tijdens het verwerken van een Freedom of Information Request, wat vergelijkbaar is met de Nederlandse Wet open overheid (Woo). Deze wet regelt het recht op informatie over alle activiteiten van de overheid. Door deze fout werd een spreadsheet met de initialen, achternamen, locaties en afdelingen van alle huidige politiemedewerkers openbaar gemaakt. Hoewel de fout snel werd ontdekt en de spreadsheet offline werd gehaald, heeft niet iedereen die het document heeft gedownload dit ook verwijderd. De Noord-Ierse politie heeft in een persbericht bevestigd dat de gelekte gegevens nu in handen zijn van 'dissidente republikeinen'. Deze groep zou de informatie kunnen gebruiken om angst en onzekerheid te verspreiden, en om politieagenten en medewerkers te intimideren of aan te vallen. Politiechef Simon Byrne gaf aan dat ze continu bezig zijn met het beoordelen van de risico's en het nemen van maatregelen om deze te verhelpen. Tot nu toe heeft geen enkele agent ontslag genomen vanwege het datalek. (bron)


Hackers Breken In bij Discord.io: Gegevens van 760.000 Gebruikers Gestolen

Discord.io, een derde partij uitnodigingsservice voor Discord, heeft bevestigd dat het slachtoffer is geworden van een datalek waarbij de gegevens van 760.000 leden zijn blootgesteld. De dienst heeft tijdelijk zijn activiteiten gestaakt na de ontdekking van het lek. Deze uitnodigingsservice is geen officiële site van Discord, maar een platform waarop servereigenaren aangepaste uitnodigingen voor hun kanalen kunnen maken. De gemeenschap rond deze dienst was voornamelijk geconcentreerd op hun eigen Discord-server, met meer dan 14.000 leden. Een persoon genaamd 'Akhirah' bood de database van Discord.io te koop aan op de nieuwe hackforums van Breached. Als bewijs van de diefstal deelde deze persoon vier gebruikersrecords uit de database. De database bevat gevoelige informatie zoals gebruikersnamen, e-mailadressen, factuuradressen en versleutelde wachtwoorden. Discord.io heeft de echtheid van het lek bevestigd en is begonnen met het tijdelijk sluiten van zijn diensten als reactie. Ze ontdekten het lek nadat ze een bericht over de verkoop op het hackforum zagen. De exacte oorzaak van het lek is nog niet bekendgemaakt. BleepingComputer, die met Akhirah sprak, meldde dat de verkoop van de database niet alleen om geld ging. Akhirah beweerde dat Discord.io verbinding maakt met illegale en schadelijke inhoud, zoals pedofilie, en dat dergelijke servers op hun platform zouden moeten worden verboden. Leden van Discord.io worden geadviseerd waakzaam te zijn voor ongebruikelijke e-mails en mogelijke phishing-pogingen. Het is ook raadzaam om de officiële website van Discord.io te controleren op updates over het incident. (bron, bron, bron2)


Hackers Getroffen door Eigen Wapens: Meer dan 100.000 Accounts Blootgesteld door Malware

Onderzoekers hebben ontdekt dat 120.000 systemen geïnfecteerd waren met malware die inloggegevens voor cybercrime-forums bevatte. Opmerkelijk is dat veel van deze computers toebehoorden aan hackers zelf. Bij het analyseren van de data ontdekten de onderzoekers dat wachtwoorden die gebruikt werden voor het inloggen op hackforums over het algemeen sterker waren dan die voor overheidswebsites. Het onderzoek, uitgevoerd door het bedrijf Hudson Rock, toonde aan dat sommige hackers hun eigen computers per ongeluk hadden geïnfecteerd, waardoor hun inloggegevens werden gestolen. Van de gecompromitteerde computers behoorden er 100.000 toe aan hackers, met in totaal meer dan 140.000 inloggegevens voor cybercrime-forums. Deze info-stealers, een type malware, richten zich specifiek op het vinden van inloggegevens op computers. Ze richten zich vaak op webbrowsers vanwege hun autofill- en wachtwoordopslagfuncties. Alon Gal, CTO van Hudson Rock, gaf aan dat hackers computers infecteren door valse software te promoten of via YouTube-tutorials die slachtoffers leiden naar geïnfecteerde software. Ironisch genoeg werden ook andere, waarschijnlijk minder ervaren, hackers slachtoffer van deze tactieken. De identificatie van de eigenaren van de gecompromitteerde computers als hackers was mogelijk door de data van de info-stealer logs, die ook de echte identiteit van het individu blootlegde. Dit omvatte aanvullende inloggegevens, autofill-data met persoonlijke informatie en systeeminformatie. Bovendien bleek uit het onderzoek dat gebruikers van het BreachForums de sterkste wachtwoorden hadden, terwijl sommige hackers zeer zwakke wachtwoorden gebruikten, mogelijk door desinteresse in de gemeenschap. Opvallend was dat de inloggegevens voor cybercrime-forums over het algemeen sterker waren dan die voor overheidswebsites. Tot slot bleek dat de meeste infecties afkomstig waren van slechts drie populaire info-stealers onder hackers: RedLine, Raccoon en Azorult. (bron, bron2)


FBI waarschuwt voor toename van cryptocurrency-herstelzwendel

De FBI heeft onlangs gewaarschuwd voor een groeiend aantal oplichters die zich voordoen als bedrijven die slachtoffers van cryptocurrency-investeringsfraude kunnen helpen hun verloren activa terug te krijgen. Uit een bulletin blijkt dat het geld dat in 2022 verloren ging aan cryptocurrency-investeringsfraude meer dan $2,5 miljard bedroeg. Dit betreft alleen de gevallen die bij de autoriteiten zijn gemeld. Veel mensen verliezen ook cryptocurrency door malware die informatie steelt of phishing-aanvallen die wallets stelen, waardoor dit aantal waarschijnlijk veel groter is. Deze situatie biedt oplichters die herstelschema's aanbieden een kans. Ze benutten de wanhoop van slachtoffers om hun fondsen te herstellen, maar bedriegen hen vervolgens opnieuw. Deze frauduleuze bedrijven beweren vaak dat ze cryptocurrency kunnen traceren en beloven verloren fondsen te kunnen herstellen. Ze benaderen slachtoffers vaak direct via sociale media of berichtenplatforms. Bovendien kunnen slachtoffers advertenties voor deze frauduleuze diensten tegenkomen in commentaarsecties van online nieuwsartikelen, zoekresultaten of op sociale media. De FBI legt uit dat deze herstelschema's erop gericht zijn individuen te misleiden om de kosten van het vermeende herstel te dragen, vaak door een vooruitbetaling of een soort storting te vragen. Nadat de betaling is gedaan, verbreken de oplichters vaak het contact met de slachtoffers of proberen ze extra fondsen te werven. Om jezelf te beschermen tegen deze frauduleuze bedrijven of individuele oplichters, adviseert de FBI om geen vertrouwen te hebben in cryptocurrency-hersteldiensten die worden gepromoot via internetadvertenties, commentaren en sociale media. Slachtoffers van deze zwendel kunnen ook civiele rechtszaken aanspannen om de verloren activa te herstellen, maar het is essentieel om alle gegevens en interacties met verdachte individuen te bewaren. (bron)


Monti Ransomware Vernieuwt Aanval op VMware ESXi Servers met Nieuwe Linux Versie

Na een pauze van twee maanden is de Monti ransomware-groep weer actief geworden. Deze keer richten ze zich voornamelijk op juridische en overheidsorganisaties en VMware ESXi servers met een nieuwe Linux variant. Deze nieuwe variant wijkt sterk af van zijn voorgangers. Onderzoekers van Trend Micro hebben de nieuwe encryptietool van Monti geanalyseerd en ontdekt dat deze "aanzienlijke afwijkingen" vertoont ten opzichte van zijn andere Linux-gebaseerde voorgangers. Waar eerdere versies van de Monti locker voor 99% gebaseerd waren op de gelekte code van de Conti ransomware, zijn de overeenkomsten in de nieuwe locker slechts 29%. Enkele opmerkelijke wijzigingen die Trend Micro heeft waargenomen zijn onder andere: - Verwijdering van bepaalde parameters en toevoeging van een nieuwe parameter om ESXi virtuele machines op een subtielere manier te beëindigen, waardoor detectie waarschijnlijk wordt vermeden. - Toevoeging van een parameter om specifieke ESXi virtuele machines op de host over te slaan. - Aanpassing van bepaalde bestanden om de losgeldnota weer te geven bij gebruikerslogin. - De nieuwe variant gebruikt de AES-256-CTR encryptiemethode, in tegenstelling tot de vorige variant die Salsa20 gebruikte. Een van de hoogtepunten in de code, volgens de onderzoekers, is het verbeterde vermogen om detectie te ontwijken, wat het moeilijker maakt om Monti ransomware-aanvallen te identificeren en te bestrijden. Ondanks hun beweringen beschouwen velen de Monti-groep als een typische ransomware-bende, die bedrijfsnetwerken schendt, gegevens steelt en losgeld vraagt. Als het slachtofferbedrijf niet betaalt, publiceren ze de naam van hun slachtoffers op hun datalek-site. (bron)


Groot datalek in Amerikaanse staat Colorado door kwetsbaarheid in MOVEit Transfer

Op 14 augustus 2023 waarschuwde de Amerikaanse staat Colorado vier miljoen van haar inwoners over een significant datalek. De privé- en gezondheidsgegevens van deze inwoners zijn gestolen door een kwetsbaarheid in de software MOVEit Transfer. De gelekte informatie omvat namen, social-securitynummers, geboortedata, adres- en contactgegevens, inkomensinformatie en uitgebreide medische gegevens zoals diagnoses, laboratoriumuitslagen en medicatiegegevens. MOVEit Transfer, een applicatie voor het uitwisselen van bestanden, wordt door diverse organisaties gebruikt om vertrouwelijke informatie te delen. Eind mei werd een zerodaylek in deze software geëxploiteerd tijdens een wereldwijde aanval. De criminelen achter de Clop-ransomware kregen hierdoor toegang tot de MOVEit-servers van honderden organisaties en maakten daarbij een grote hoeveelheid gegevens buit. De Clop-groep publiceert de namen van getroffen organisaties op hun website en dreigt de gestolen data te publiceren als er geen losgeld wordt betaald. Tijdens de aanval werd de MOVEit-server, die IBM gebruikt voor de gegevensverwerking van het Department of Health Care Policy and Financing (HCPF) van Colorado, gecompromitteerd. Hierdoor lekten de gegevens van vier miljoen inwoners. Antivirusbedrijf Emsisoft meldt dat in totaal 668 organisaties zijn getroffen door deze aanval, waarbij gegevens van 46 miljoen individuen zijn buitgemaakt. De grootste datalekken vonden plaats bij Maximus (11 miljoen), de staat Louisiana (6 miljoen) en het ministerie van Colorado (4 miljoen). Dagelijks worden nieuwe slachtoffers van deze aanval gemeld. (bron, bron2)


Malafide bèta-apps misbruikt voor financiële diefstal, waarschuwt FBI

Op 14 augustus 2023 meldde Security dat de FBI heeft gewaarschuwd voor cybercriminelen die malafide bèta-apps gebruiken om geld van slachtoffers te ontvreemden. Deze bèta-apps, die in testomgevingen worden aangeboden, ondergaan niet dezelfde controles als apps die via reguliere appstores beschikbaar zijn. Hierdoor kunnen ze gemakkelijker worden misbruikt voor frauduleuze doeleinden. De criminelen benaderen hun slachtoffers voornamelijk via dating- en andere sociale apps, waarbij ze hen verleiden om de 'bèta-app' uit te proberen. Om deze apps geloofwaardig te laten lijken, gebruiken de aanvallers namen, afbeeldingen en beschrijvingen van populaire en legitieme apps. Wanneer slachtoffers hun gegevens in deze valse apps invoeren, krijgen de criminelen de kans om geld te stelen. Een specifiek voorbeeld dat door de FBI werd aangehaald, is hoe sommige van deze malafide apps zich voordoen als crypto-investeringsplatforms. Slachtoffers worden vervolgens misleid om te 'investeren', waarbij ze in werkelijkheid geld overmaken naar de criminelen. Het misbruik van test-apps voor kwaadaardige doeleinden is niet nieuw. In het verleden werd bijvoorbeeld Apples Testflight-platform gebruikt om een schadelijke iOS-app te verspreiden. Via Testflight kunnen ontwikkelaars testversies van hun apps aanbieden, die buiten de officiële Apple App Store kunnen worden geïnstalleerd. Deze recente waarschuwing van de FBI benadrukt het belang van voorzichtigheid bij het downloaden en gebruiken van apps, vooral als deze niet via officiële kanalen worden aangeboden. (bron)


Nieuwe MaginotDNS-aanval bedreigt DNS-servers door zwakke beveiligingscontroles

Onderzoekers van UC Irvine en Tsinghua University hebben een krachtige cache poisoning-aanval ontwikkeld, genaamd 'MaginotDNS'. Deze aanval richt zich op Conditional DNS (CDNS) resolvers en kan volledige top-level domeinen (TLD's) in gevaar brengen. De kwetsbaarheid ontstaat door inconsistenties in de implementatie van beveiligingscontroles in verschillende DNS-software en servermodi. Hierdoor is ongeveer een derde van alle CDNS-servers kwetsbaar. DNS (Domain Name System) is een systeem dat domeinnamen omzet in IP-adressen. DNS cache poisoning houdt in dat vervalste antwoorden in de DNS-resolver cache worden geïnjecteerd, waardoor gebruikers naar verkeerde IP-adressen en mogelijk kwaadaardige websites worden geleid. Hoewel eerdere aanvallen, zoals de Kashpureff-aanval in 1997 en de Kaminsky-aanval in 2008, zijn tegengegaan met verdedigingsmechanismen, kan de MaginotDNS-aanval deze verdedigingen omzeilen. De onderzoekers ontdekten dat CDNS-resolvers zowel recursieve als doorsturende querymodi ondersteunen. Hoewel beveiligingscontroles in de recursieve modus adequaat worden gehandhaafd, is de doorstuurmodus kwetsbaar. Aanvallen op de doorstuurmodus kunnen leiden tot inbreuken op de recursieve modus, waardoor de DNS-cachebescherming wordt doorbroken. Prominente DNS-software, waaronder BIND9, Knot Resolver, Microsoft DNS en Technitium, vertoonde inconsistenties in hun beveiligingscontroles. In sommige gevallen werden alle records behandeld alsof ze onder het rootdomein vielen, wat een zeer kwetsbare opstelling is. De onderzoekers hebben het internet gescand en ontdekten dat van de 1.200.000 DNS-resolvers er 154.955 CDNS-servers zijn. Van deze servers bleken 54.949 kwetsbaar te zijn voor aanvallen. Hoewel softwareleveranciers de problemen hebben bevestigd en opgelost, moeten CDNS-beheerders de patches toepassen en de juiste configuratierichtlijnen volgen om de problemen volledig te verhelpen. (bron, bron2)



Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Meer weekoverzichten