EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Deze week kwamen verschillende grote namen in het nieuws vanwege ernstige cyberbeveiligingsincidenten. Kraft Heinz, ondanks ontkenningen, werd genoemd in een claim van een afpersingsgroep, terwijl Ledger getroffen werd door een omvangrijke phishingaanval uitgevoerd door een ex-medewerker. Deze incidenten markeren slechts het begin van een explosieve toename van cyberaanvallen, een alarmerende realiteit die wereldwijd wordt gevoeld.
Van geavanceerde spionage-acties, zoals het KV-botnet van een Chinese APT-groep, tot financiële diefstallen zoals de meer dan $2,7 miljoen aan crypto's gestolen van OKX DEX, de diversiteit en verfijning van deze aanvallen zijn zorgwekkend. De Britse overheid is zelfs gewaarschuwd voor een mogelijke 'catastrofale ransomware-aanval'.
In Nederland en België blijft de situatie even zorgwekkend. EasyPark in Nederland werd getroffen door een cyberaanval, en in België heeft Limburg.net te kampen gehad met een cyberaanval die hun diensten tijdelijk onbereikbaar maakte. In Engeland heeft een grote cyberaanval de London Public Library geraakt, terwijl in de Verenigde Staten het Fred Hutchinson Kankercentrum en Delta Dental slachtoffer werden van ransomware-aanvallen en datalekken.
Ook worden er nieuwe aanvalstechnieken gerapporteerd, zoals de BazarCall-aanvallen die gebruik maken van Google Forms voor geavanceerde phishing. Daarnaast zijn er meldingen van Lazarus Hackers die oude kwetsbaarheden benutten voor nieuwe RAT-malware en financieel gemotiveerde bedreigingsactoren die OAuth-apps gebruiken voor geautomatiseerde BEC- en cryptomining-aanvallen.
Dit overzicht is slechts een deel van het volledige spectrum van cybercriminaliteit dat deze week wereldwijd heeft plaatsgevonden. Voor een volledig overzicht van alle cyberaanvallen en dreigingen van de afgelopen week, leest u verder hieronder.
Week overzicht slachtoffers
Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb ↑ |
---|---|---|---|---|---|
ATCO Products Inc | Medusa | www.atcoproductsinc.com | USA | Fabricated Metal Products | 17-dec-23 |
Biomatrix LLC | Medusa | www.biomatrixsprx.com | USA | Miscellaneous Retail | 17-dec-23 |
rodo.co.uk | LockBit | rodo.co.uk | United Kingdom | Apparel And Other Finished Products | 17-dec-23 |
E & J Gallo Winery | BlackCat (ALPHV) | ejgallo.com | USA | Food Products | 16-dec-23 |
kohlwholesale.com | Black Basta | kohlwholesale.com | USA | Wholesale Trade-non-durable Goods | 16-dec-23 |
New York School of Interior Design | INC Ransom | nysid.edu | USA | Educational Services | 16-dec-23 |
www.talbotslaw.co.uk | Cactus | www.talbotslaw.co.uk | United Kingdom | Legal Services | 16-dec-23 |
CTS.CO.UK | Cactus | cts.co.uk | United Kingdom | IT Services | 16-dec-23 |
www.fenwickelliott.com | Cactus | www.fenwickelliott.com | United Kingdom | Legal Services | 16-dec-23 |
DSG-US.COM | CL0P | dsg-us.com | USA | IT Services | 16-dec-23 |
Insidesource | 8BASE | insidesource.com | USA | Furniture | 16-dec-23 |
hebeler.com | LockBit | hebeler.com | USA | Machinery, Computer Equipment | 15-dec-23 |
Nexiga | Akira | nexiga.com | Germany | IT Services | 15-dec-23 |
Fred Hutchinson Cancer Research Center | Hunters International | www.fredhutch.org | USA | Health Services | 15-dec-23 |
Heart of Texas Region MHMR | DragonForce | www.hotrmhmr.org | USA | Health Services | 15-dec-23 |
PCTEL | DragonForce | www.pctel.com | USA | Communications | 15-dec-23 |
Agl Welding Supply | DragonForce | aglweldingsupply.com | USA | Wholesale Trade-durable Goods | 15-dec-23 |
Grayhill | DragonForce | grayhill.com | USA | Electronic, Electrical Equipment, Components | 15-dec-23 |
Leedarson Lighting | DragonForce | leedarson.com | China | Electronic, Electrical Equipment, Components | 15-dec-23 |
Coca-Cola Singapore | DragonForce | coca-cola.com.sg | Singapore | Food Products | 15-dec-23 |
Shorts | DragonForce | shorts.uk.com | United Kingdom | Accounting Services | 15-dec-23 |
World Emblem International | DragonForce | worldemblem.com | USA | Apparel And Other Finished Products | 15-dec-23 |
The GBUAHN | DragonForce | gbuahn.org | USA | Health Services | 15-dec-23 |
Baden | DragonForce | baden.ch | Switzerland | General Government | 15-dec-23 |
Dafiti Argentina | DragonForce | dafiti.com.ar | Argentina | Apparel And Accessory Stores | 15-dec-23 |
Lunacon Construction Group | DragonForce | lunaconcorp.com | USA | Construction | 15-dec-23 |
Tglt | DragonForce | tglt.com | Argentina | Construction | 15-dec-23 |
Seven Seas | DragonForce | sevenseasgroup.com | United Arab Emirates | Water Transportation | 15-dec-23 |
Decina | DragonForce | decina.com.au | Australia | Miscellaneous Manufacturing Industries | 15-dec-23 |
Cooper Research Technology | DragonForce | cooper.co.uk | United Kingdom | Measuring, Analyzing, Controlling Instruments | 15-dec-23 |
Greater Cincinnati Behavioral Health | DragonForce | gcbhs.com | USA | Health Services | 15-dec-23 |
goldwind.com | LockBit | goldwind.com | China | Machinery, Computer Equipment | 14-dec-23 |
converzemedia.com | LockBit | converzemedia.com | USA | Business Services | 14-dec-23 |
spiritleatherworks.com | LockBit | spiritleatherworks.com | USA | Apparel And Other Finished Products | 14-dec-23 |
bemes.com | LockBit | bemes.com | USA | Wholesale Trade-durable Goods | 14-dec-23 |
Chaney, Couch, Callaway, Carter & Associates Family Dentistry | BianLian | tallyteeth.com | USA | Health Services | 14-dec-23 |
Commonwealth Capital | BianLian | commonwealthcapital.asia | Singapore | Security And Commodity Brokers, Dealers, Exchanges, And Services | 14-dec-23 |
Greenbox Loans Inc. | BianLian | greenboxloans.com | USA | Non-depository Institutions | 14-dec-23 |
Hyman Hayes Associates | Akira | www.hymanhayes.com | USA | Construction | 14-dec-23 |
mcs360.com | LockBit | mcs360.com | USA | Real Estate | 14-dec-23 |
grandrapidswomenshealth.com | LockBit | grandrapidswomenshealth.com | USA | Health Services | 14-dec-23 |
pcli.com | LockBit | pcli.com | USA | Health Services | 14-dec-23 |
austen-it.com | LockBit | austen-it.com | USA | IT Services | 13-dec-23 |
dawsongroup.co.uk | LockBit | dawsongroup.co.uk | United Kingdom | Transportation Services | 13-dec-23 |
ccadm.org | LockBit | ccadm.org | USA | Membership Organizations | 13-dec-23 |
Advantage Group International | BlackCat (ALPHV) | www.advantagegroup.com | Canada | Business Services | 13-dec-23 |
altezze.com.mx | LockBit | altezze.com.mx | Mexico | Furniture | 13-dec-23 |
thirdstreetbrewhouse.com | Black Basta | thirdstreetbrewhouse.com | USA | Food Products | 13-dec-23 |
carolinabeveragegroup.com | Black Basta | carolinabeveragegroup.com | USA | Food Products | 13-dec-23 |
Tulane University | MEOW LEAKS | tulane.edu | USA | Educational Services | 13-dec-23 |
Dameron Hospital | RansomHouse | www.dameronhospital.org | USA | Health Services | 13-dec-23 |
agy.com | Black Basta | agy.com | USA | Miscellaneous Manufacturing Industries | 13-dec-23 |
alexander-dennis.com | Black Basta | alexander-dennis.com | United Kingdom | Transportation Equipment | 13-dec-23 |
Dillard Door & Security | Cactus | www.dillarddoor.com | USA | Engineering Services | 13-dec-23 |
cms.law | LockBit | cms.law | Germany | Legal Services | 13-dec-23 |
SBK Real Estate | 8BASE | sbkrealestate.com | United Arab Emirates | Real Estate | 13-dec-23 |
CACG | 8BASE | cacg.fr | France | Miscellaneous Services | 13-dec-23 |
VAC-U-MAX | 8BASE | www.vac-u-max.com | USA | Machinery, Computer Equipment | 13-dec-23 |
Hawkins Sales | 8BASE | hawkinssales.com | USA | Electronic, Electrical Equipment, Components | 13-dec-23 |
William Jackson Food Group | 8BASE | wjfg.co.uk | United Kingdom | Food Products | 13-dec-23 |
Groupe PROMOBE | 8BASE | promobe.lu | Luxembourg | Real Estate | 13-dec-23 |
Soethoudt metaalbewerking b.v. | 8BASE | soethoudt.nl | Netherlands | Fabricated Metal Products | 13-dec-23 |
REUS MOBILITAT I SERVEIS | 8BASE | reusmobilitat.cat | Spain | Miscellaneous Services | 13-dec-23 |
Tim Davies Landscaping | 8BASE | timdavieslandscaping.com.au | Australia | Construction | 13-dec-23 |
King Aerospace, Inc. | INC Ransom | kingaerospace.com | USA | Aerospace | 12-dec-23 |
GlobalSpec | PLAY | www.globalspec.com | USA | Business Services | 12-dec-23 |
dena.de | LockBit | dena.de | Germany | Miscellaneous Services | 12-dec-23 |
bboed.org | LockBit | bboed.org | USA | Educational Services | 12-dec-23 |
SmartWave Technologies | Akira | www.smartwave.ca | Canada | Communications | 12-dec-23 |
rpassoc.com | LockBit | rpassoc.com | USA | Accounting Services | 12-dec-23 |
shareharris.com | ThreeAM | shareharris.com | USA | Accounting Services | 12-dec-23 |
woodruffenterprises.com | ThreeAM | woodruffenterprises.com | USA | Motor Freight Transportation | 12-dec-23 |
Mitrani Caballero Ojam & Ruiz Moreno - Abogados | Akira | mcolex.com | Argentina | Legal Services | 12-dec-23 |
The Teaching Company, LLC | Akira | www.thegreatcourses.com | USA | Educational Services | 12-dec-23 |
Memorial Sloan Kettering Cancer Center | MEOW LEAKS | www.mskcc.org | USA | Health Services | 12-dec-23 |
airtechthelong.com.vn | LockBit | airtechthelong.com.vn | Vietnam | Construction | 12-dec-23 |
kitahirosima.jp | LockBit | kitahirosima.jp | Japan | Social Services | 12-dec-23 |
tradewindscorp-insbrok.com | LockBit | tradewindscorp-insbrok.com | Malaysia | Insurance Carriers | 12-dec-23 |
petrotec.com.qa | LockBit | petrotec.com.qa | Qatar | Machinery, Computer Equipment | 12-dec-23 |
Holding Slovenske elektarne | Rhysida | www.hse.si | Slovakia | Electric, Gas, And Sanitary Services | 12-dec-23 |
Insomniac Games | Rhysida | www.insomniac.games | USA | IT Services | 12-dec-23 |
greenbriersportingclub.com | LockBit | greenbriersportingclub.com | USA | Lodging Places | 11-dec-23 |
phillipsglobal.us | LockBit | phillipsglobal.us | USA | Machinery, Computer Equipment | 11-dec-23 |
Azienda USL di Modena | Hunters International | ausl.mo.it | Italy | Health Services | 11-dec-23 |
r-ab.de | LockBit | r-ab.de | Germany | Amusement And Recreation Services | 11-dec-23 |
ipp-sa.com | LockBit | ipp-sa.com | Spain | Rubber, Plastics Products | 11-dec-23 |
igt.nl | LockBit | igt.nl | Netherlands | Publishing, printing | 11-dec-23 |
Bayer Heritage Federal Credit Union | Lorenz | www.bayerhfcu.com | USA | Depository Institutions | 11-dec-23 |
Goiasa | Akira | www.goiasa.com.br | Brazil | Miscellaneous Manufacturing Industries | 11-dec-23 |
Hinsdale School District | Medusa | www.hnhsd.org | USA | Educational Services | 11-dec-23 |
MSD Information technology | Akira | msd.net.au | Australia | IT Services | 11-dec-23 |
Independent Recovery Resources, Inc. | BianLian | www.irrcollect.com | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 11-dec-23 |
Studio MF | Akira | studiofontanamonica.com | Italy | Accounting Services | 11-dec-23 |
zailaboratory.com | LockBit | zailaboratory.com | China | Chemical Producers | 11-dec-23 |
ISC Consulting Engineers | Cactus | www.isc.dk | Denmark | Construction | 11-dec-23 |
The Glendale Unified School District | Medusa | gusd.net | USA | Educational Services | 11-dec-23 |
Slachtoffers België en Nederland
Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb ↑ |
---|---|---|---|---|---|
Soethoudt metaalbewerking b.v. | 8BASE | soethoudt.nl | Netherlands | Fabricated Metal Products | 13-dec-23 |
igt.nl | LockBit | igt.nl | Netherlands | Publishing, printing | 11-dec-23 |
Meetmoment | Aantal organisaties waar data van gelekt is op het darkweb |
---|---|
01-05-2019 (eerste slachtoffer) | 1 |
01-05-2020 | 85 |
01-05-2021 | 2.167 |
01-05-2022 | 5.565 |
01-05-2023 | 8.292 |
18-12-2023 om 13:28 | 11.719 |
Aantal organisaties waarvan alle gegevens gelekt zijn op het darkweb
In samenwerking met StealthMol
Sponsor Cybercrimeinfo
Cyberaanvallen nieuws
Cyberaanval legt klantgegevens bloot bij MongoDB
MongoDB, een prominente databasebeheerder, heeft onlangs een cyberaanval op zijn bedrijfssystemen gemeld, waarbij klantgegevens werden blootgesteld. Het incident werd eerder deze week door het bedrijf zelf ontdekt. Volgens een e-mail van CISO Lena Smart aan MongoDB-klanten, werd de inbraak op woensdagavond (13 december) gedetecteerd. Het bedrijf is direct een onderzoek gestart. De e-mail vermeldt dat er ongeautoriseerde toegang tot bepaalde bedrijfssystemen van MongoDB is geweest. Hierbij zijn klantaccountmetadata en contactinformatie blootgesteld. MongoDB benadrukt echter dat er vooralsnog geen bewijs is van blootstelling van de gegevens die klanten in MongoDB Atlas opslaan. Ondanks dat de hackers geen toegang zouden hebben gehad tot klantgegevens op MongoDB Atlas, meldt het bedrijf dat de dreigingsactoren enige tijd toegang hadden tot zijn systemen voordat ze werden ontdekt. De duur en de volledige impact van deze toegang worden nog onderzocht. De blootstelling van klantmetadata bij dit soort inbreuken brengt vaak het risico van datadiefstal met zich mee, vooral als aanvallers langdurige toegang tot de systemen hebben gehad. In reactie hierop adviseert MongoDB zijn klanten om extra beveiligingsmaatregelen te nemen. Het bedrijf raadt aan om multi-factor authenticatie in te schakelen, wachtwoorden te wijzigen en waakzaam te blijven voor mogelijke gerichte phishing- en sociale engineering-aanvallen. Het bedrijf is nog steeds bezig met een actief onderzoek naar de aard en omvang van de inbreuk. Er zijn tot op heden geen verdere details vrijgegeven over de specifieke aard van de blootgestelde gegevens of de wijze waarop de inbreuk heeft plaatsgevonden. Dit incident wordt nog verder onderzocht en is een zich ontwikkelend verhaal. [1]
Botnet 'InfectedSlurs' Exploiteert Kwetsbaarheid in QNAP VioStor NVR Apparaten
In december 2023 werd een ernstige kwetsbaarheid in QNAP VioStor NVR (Network Video Recorder) apparaten geïdentificeerd, waarbij een Mirai-gebaseerd botnet genaamd 'InfectedSlurs' deze kwetsbaarheid actief exploiteert. Dit botnet gebruikt een remote code execution (RCE) kwetsbaarheid om deze apparaten te kapen en in te zetten voor DDoS-aanvallen (distributed denial of service). De exploitatie van de kwetsbaarheid werd voor het eerst opgemerkt door het Security Intelligence Response Team (SIRT) van Akamai in oktober 2023. Zij stelden vast dat het botnet twee zero-day kwetsbaarheden in routers en NVR-apparaten uitbuitte, waarschijnlijk sinds eind 2022. Aanvankelijk werd er geen informatie vrijgegeven over deze kwetsbaarheden omdat de leveranciers nog geen patches hadden uitgebracht. De eerste zero-day kwetsbaarheid, CVE-2023-49897, heeft invloed op FXC AE1021 en AE1021PE WiFi-routers. De leverancier van deze routers bracht op 6 december 2023 een beveiligingsupdate uit. De tweede kwetsbaarheid, CVE-2023-47565, betreft een command injection van hoge ernst die QNAP VioStor NVR-modellen met QVR-firmware versie 4.x treft. QNAP reageerde met een advies op 7 december 2023, waarin stond dat de kwetsbaarheid is opgelost in QVR-firmware versie 5.x en hoger. Deze firmware-update is essentieel, vooral omdat veel oudere modellen van VioStor NVR die nooit na de initiële installatie zijn bijgewerkt, doelwitten zijn van het Infected Slurs-botnet. QNAP adviseert gebruikers om hun systemen bij te werken en sterke wachtwoorden in te stellen. Voor modellen die het einde van hun levensduur hebben bereikt en geen update meer ontvangen, is de enige oplossing vervanging door nieuwere, ondersteunde modellen. Deze kwetsbaarheden tonen het belang aan van tijdige updates en het gebruik van sterke wachtwoorden in netwerkapparatuur. [1, 2, 3]
Ransomware-aanval op Fred Hutchinson Kankercentrum door Hunters International
De Hunters International ransomware-groep heeft de verantwoordelijkheid opgeëist voor een cyberaanval op het Fred Hutchinson Kankercentrum (Fred Hutch) in Seattle (USA). Dit resulteerde in gepersonaliseerde afpersingsdreigingen aan patiënten. Het centrum, dat zich richt op kankeronderzoek en patiëntenzorg, beheert meer dan tien klinische locaties in de regio. De aanval, die plaatsvond op 19 november 2023, leidde tot ongeautoriseerde toegang tot de netwerken van het ziekenhuis. Als reactie hierop heeft de gezondheidsorganisatie de getroffen servers geïsoleerd, het klinische netwerk offline gehaald om de verspreiding van de dreiging tegen te gaan en de federale wetshandhavingsautoriteiten ingelicht. Ondanks een onderzoek met behulp van een vooraanstaande forensisch expert, is er tot nu toe geen bewijs gevonden dat patiëntgegevens zijn gestolen. De onderzoeken op dit gebied zijn echter nog niet afgerond. Recentelijk heeft Hunters International het Fred Hutchinson centrum toegevoegd aan hun afpersingsportal op het darkweb, waarbij ze dreigen 533,1 GB aan vermeend gestolen data openbaar te maken. De dreiging is nog steeds gaande, aangezien de aanvallers alleen miniatuurafbeeldingen van enkele documenten hebben gepubliceerd die zij beweren te hebben onttrokken aan de netwerken van Fred Hutch. Vorige week werd gemeld dat de aanvallers patiënten individueel e-mailden, waarbij ze dreigden met het openbaar maken van hun gevoelige gegevens. In de e-mails stond dat ze beschikten over namen, sofinummers, telefoonnummers, medische dossiers, laboratoriumuitslagen en verzekeringsgeschiedenis van meer dan 800.000 patiënten. Deze e-mails bevatten persoonlijke informatie van de ontvangers als bewijs, inclusief een adres, telefoonnummer en medisch dossiernummer, en een link naar een website waar ze $50 konden betalen om te voorkomen dat de gegevens werden verkocht. Het Fred Hutchinson centrum heeft gewaarschuwd voor deze e-mailberichten en wetshandhavingsinstanties op de hoogte gesteld. Patiënten werd geadviseerd niet te betalen, de afzender te blokkeren en de e-mail te verwijderen. Hunters International is een relatief nieuwe Ransomware-as-a-Service (RaaS) operatie, die vermoedelijk een rebranding is van de Hive ransomware-operatie vanwege overeenkomsten in de code van de encryptor. De groep ontkent echter elke connectie met Hive. Ze richten zich op bedrijven van alle groottes, met losgeldeisen variërend van honderdduizenden tot miljoenen dollars. Onlangs beweerde de groep een aanval te hebben uitgevoerd op Austal USA, een prominente scheepsbouwer voor de Amerikaanse overheid. [1, 2, 3]
Delta Dental waarschuwt voor datalek van 7 miljoen patiënten
Delta Dental of California heeft bijna zeven miljoen patiënten gewaarschuwd dat ze slachtoffer zijn geworden van een datalek nadat persoonlijke gegevens werden blootgesteld in een MOVEit Transfer softwarelek. Delta Dental is een tandartsverzekeraar die 85 miljoen mensen in 50 staten dekt, maar deze datalekwaarschuwing heeft betrekking op de Californische divisie van het bedrijf. Het datalek werd veroorzaakt door ongeautoriseerde toegang door dreigingsactoren via de MOVEit-bestandsoverdrachtsoftwaretoepassing. De software was kwetsbaar voor een zero-day SQL-injectieflaw die leidde tot externe code-uitvoering, bijgehouden als CVE-2023-34362, waarvan de Clop-ransomwarebende gebruikmaakte om duizenden organisaties wereldwijd te infiltreren. Delta Dental ontdekte de inbreuk op 1 juni 2023 en bevestigde vijf dagen later, na een intern onderzoek, dat ongeautoriseerde actoren toegang hadden gekregen tot en gegevens hadden gestolen uit hun systemen tussen 27 en 30 mei 2023. Het tweede, meer uitgebreide onderzoek om de exacte impact van het beveiligingsincident te bepalen, werd afgerond op 27 november 2023. Op basis hiervan heeft het datalek tot nu toe invloed gehad op 6.928.932 klanten van Delta Dental, die hun namen, financiële rekeningnummers en credit-/debitcardnummers, inclusief beveiligingscodes, blootgesteld zagen. Delta Dental biedt getroffen patiënten 24 maanden gratis kredietbewaking en identiteitsdiefstalbeschermingsdiensten aan om het risico van hun blootgestelde gegevens te minimaliseren. Details over inschrijving in het programma staan vermeld in de persoonlijke mededelingen. Als u een klant bent van Delta Dental of California, wordt u geadviseerd voorzichtig te zijn met ongevraagde communicatie, aangezien uw gegevens mogelijk al zijn gedeeld met phishing-actoren, oplichters en andere cybercriminelen. Het geval van Delta Dental is het op twee na grootste MOVEit datalek, slechts achter Maximus (11 miljoen) en Welltok (8,5 miljoen). [pdf, 2]
❗️EasyPark Getroffen door Cyberaanval
EasyPark, een parkeerbetaaldienst, is recentelijk het slachtoffer geworden van een cyberaanval. Dit incident, vond plaats rond 10 december. Het exacte tijdstip van de aanval is echter onbekend. Na ontdekking van de aanval heeft EasyPark direct extra beveiligingsmaatregelen geïmplementeerd om verdere schade te voorkomen. De aanvallers hebben 'niet-gevoelige klantgegevens' buitgemaakt, waaronder namen, telefoonnummers, woonadressen en e-mailadressen. Bovendien zijn er enkele cijfers van IBAN- en creditcardnummers in handen van de daders gevallen. EasyPark benadrukt echter dat deze informatie niet voldoende is om betalingen uit te voeren. Het is nog onduidelijk hoeveel klanten precies door deze inbreuk zijn getroffen. EasyPark heeft beloofd om contact op te nemen met alle betrokken klanten. Daarnaast heeft het bedrijf de situatie gerapporteerd aan de relevante autoriteiten, waarschijnlijk inclusief de Autoriteit Persoonsgegevens en de politie. Klanten van EasyPark hoeven geen directe actie te ondernemen, maar het bedrijf adviseert wel om waakzaam te zijn voor mogelijke phishingpogingen en andere frauduleuze activiteiten. De cyberaanval heeft volgens EasyPark niet geleid tot ongeautoriseerde parkeertransacties. EasyPark heeft haar excuses aangeboden voor het incident en benadrukt het belang van privacybescherming en het bieden van een veilige gebruikerservaring. De spijtbetuiging is ondertekend door de Chief Technology Officer (CTO) en Chief Information Security Officer (CISO) van het bedrijf. Klanten met vragen kunnen contact opnemen met de klantenservice van EasyPark. [1]
Grote Cyberaanval Treft London Public Library
De London Public Library werd op woensdagochtend getroffen door een ernstige cyberaanval, wat resulteerde in een grote systeemstoring. Dit incident leidde tot de tijdelijke sluiting van drie van de bibliotheekfilialen en een onderbreking van zowel de elektronische uitleenmogelijkheden als de toegang tot de website van de bibliotheek. Michael Ciccone, de hoofdbibliothecaris, verklaarde dat experts bezig zijn met een onderzoek naar het cyberincident. Hij benadrukte het belang van de bibliotheek als cruciale bron voor veel inwoners van Londen en verzekerde dat het publiek regelmatig updates zal ontvangen over de situatie. Voor communicatie met het publiek is de bibliotheek momenteel afhankelijk van haar sociale media kanalen, aangezien het reguliere communicatiesysteem is verstoord. Het artikel maakt ook melding van een soortgelijke aanval op de Toronto Public Library eerder dat jaar, waarbij persoonlijke informatie van medewerkers werd gestolen. Interessant is dat er bij deze aanval geen losgeld werd betaald om de gestolen gegevens terug te krijgen. Hoewel de Carson-, Glanworth- en Lambeth-filialen van de London Public Library gesloten blijven tot volgende week, blijven de overige filialen open voor fysieke uitleningen. Echter, de wifi-diensten in de filialen zijn momenteel niet beschikbaar. Ciccone gaf aan dat het enige tijd zal duren om de systemen te herstellen. De London Public Library zal doorgaan met het verstrekken van updates over het onderzoek naar deze cyberaanval en de voortgang van de herstelwerkzaamheden. De volledige impact van het incident en de tijd die nodig is voor het herstel zijn op dit moment nog niet duidelijk. [1]
Kraft Heinz ontkent hack ondanks claim van afpersingsgroep
Kraft Heinz, een van de grootste voedings- en drankbedrijven ter wereld, heeft bevestigd dat hun systemen normaal functioneren en dat er geen bewijs is van een inbreuk, ondanks beweringen van een afpersingsgroep. Deze groep had Kraft Heinz vermeld op een datalekwebsite, wat doorgaans wijst op diefstal van gegevens tijdens een cyberaanval. Er is echter geen concreet bewijs aangeleverd door de groep om deze claim te ondersteunen. Het bedrijf, met meer dan 37.000 werknemers in 40 landen en eigenaar van bekende merken zoals Oscar Mayer, Kool-Aid en Philadelphia, is momenteel bezig met het onderzoeken van de beweringen. Ze richten zich specifiek op een mogelijke cyberaanval die enkele maanden geleden plaatsgevonden zou hebben op een inmiddels buiten gebruik gestelde marketingwebsite. Tot nu toe zijn er geen problemen geconstateerd op hun bedrijfsnetwerk. De afpersingsgroep, bekend als Snatch, is actief sinds 2018 en was een van de eerste groepen die een datalekwebsite opzette om gestolen gegevens als drukmiddel te gebruiken bij hun afpersingseisen. In 2021 werd door een entiteit genaamd "Snatch Team" een nieuwe datalekwebsite opgericht. Deze groep beweerde niet geassocieerd te zijn met de eerdere ransomwaregroep en geen versleutelingsaanvallen uit te voeren. Deze claims worden echter betwist door een rapport van CISA, dat aangeeft dat er data van bevestigde ransomwareslachtoffers op de website van het Snatch Team is verschenen, evenals gegevens van andere ransomwareoperaties. [1]
NKAbuse: Nieuwe Multi-Platform Malware Misbruikt NKN Blockchain voor Geavanceerde Aanvallen
Een nieuw type multi-platform malware, genaamd NKAbuse, trekt de aandacht in de cybersecuritywereld. Deze malware, ontwikkeld in Go, is uniek omdat het voor het eerst de NKN (New Kind of Network) blockchain technologie misbruikt voor het uitwisselen van data. Deze techniek maakt NKAbuse bijzonder moeilijk te detecteren en te traceren. NKN, een relatief nieuwe, gedecentraliseerde peer-to-peer netwerkprotocol, gebruikt blockchain technologie voor het beheer van netwerkbronnen en het waarborgen van een veilige en transparante werking. Het netwerk, dat lijkt op het Tor-netwerk, bestaat momenteel uit ongeveer 60.710 knooppunten, wat bijdraagt aan zijn robuustheid en decentralisatie. NKAbuse richt zich voornamelijk op Linux-desktops in Mexico, Colombia en Vietnam, maar kan ook IoT-apparaten infecteren en ondersteunt diverse architecturen zoals MIPS, ARM en 386. Een bijzonder aspect van deze malware is de uitbuiting van een oud Apache Struts-lek om een financiële instelling aan te vallen. Het meest verontrustende kenmerk van NKAbuse is het gebruik van NKN voor het lanceren van DDoS-aanvallen. Deze aanvallen zijn moeilijk terug te traceren naar een specifieke infrastructuur en worden vaak niet opgemerkt door beveiligingstools, omdat ze afkomstig zijn van een relatief onbekend protocol. De malware gebruikt NKN om met een bot master te communiceren en kan meerdere gelijktijdige communicatiekanalen onderhouden, wat zorgt voor veerkracht. Naast DDoS-aanvallen fungeert NKAbuse ook als een remote access trojan (RAT), waardoor het opdrachten kan uitvoeren, data kan exfiltreren en schermafbeeldingen kan maken op gecompromitteerde systemen. De diversiteit aan mogelijkheden maakt NKAbuse uitzonderlijk veelzijdig en aanpasbaar binnen de DDoS-botnetomgeving. De uitdaging bij het verdedigen tegen NKAbuse ligt in het gebruik van blockchain technologie, wat niet alleen de beschikbaarheid garandeert, maar ook de bron van de aanvallen verbergt. Dit vereist een verhoogde waakzaamheid en geavanceerde benaderingen in cybersecurity om effectief te kunnen reageren op deze bedreiging. Meer over NKAbuse lees je hier op ccinfo.
Cybercriminelen Plegen Groot Datalek bij Amerikaans Kernonderzoekslaboratorium
Het Idaho National Laboratory (INL), een vooraanstaand Amerikaans kernonderzoekslaboratorium en onderdeel van het ministerie van Energie, heeft bevestigd dat het slachtoffer is geworden van een ernstig datalek. Bij dit incident zijn de persoonlijke gegevens van meer dan 45.000 individuen gestolen. Deze inbreuk vond plaats na een aanval op het cloudgebaseerde Oracle HCM HR-beheerplatform van het laboratorium. Het datalek trof zowel huidige als voormalige werknemers van het INL, inclusief postdocs, graduate fellows, stagiairs, evenals hun afhankelijken en echtgenoten. Deze gegevensinbraak heeft echter geen invloed gehad op werknemers die na 1 juni 2023 in dienst zijn getreden. Volgens de meldingen zijn er meerdere vormen van gevoelige persoonlijk identificeerbare informatie (PII) blootgesteld, zoals namen, socialezekerheidsnummers, salarisinformatie en bankgegevens. Het INL benadrukt dat het eigen netwerk of andere netwerken en databases die door werknemers, klanten of aannemers worden gebruikt, niet zijn getroffen. Het incident had alleen invloed op de externe, cloudgebaseerde testomgeving van Oracle HCM. Naar aanleiding van het incident is er een gezamenlijk onderzoek gestart door de Cybersecurity and Infrastructure Security Agency (CISA) en de Federal Bureau of Investigation (FBI). Hoewel het laboratorium de aanval nog niet aan een specifieke groep heeft toegewezen, hebben hacktivisten van SiegedSec via sociale media de verantwoordelijkheid voor de aanval opgeëist. Deze groep staat bekend om vergelijkbare acties en heeft de gestolen gegevens openbaar gemaakt zonder onderhandelingen of eisen voor losgeld. Zij hebben bewijzen van hun toegang tot het systeem van INL getoond, waaronder een aangepaste aankondiging en screenshots van interne tools van INL. De gelekte gegevens omvatten een breed scala aan gevoelige informatie, zoals volledige namen, geboortedata, e-mailadressen, telefoonnummers, socialezekerheidsnummers, fysieke adressen en arbeidsinformatie van de getroffen individuen. Het incident onderstreept het belang van robuuste cybersecuritymaatregelen, vooral bij organisaties die betrokken zijn bij nationale veiligheid en gevoelige onderzoeken.
Alarmerende Stijging in Android Banking Trojans in 2023
In 2023 zijn tien nieuwe Android banking trojan-families opgedoken, die samen 985 bank- en fintech/handel-apps van financiële instellingen in 61 landen als doelwit hebben. Deze malware richt zich op online bankrekeningen en geld van gebruikers door inloggegevens, sessiecookies te stelen, 2FA-beveiligingen te omzeilen en soms zelfs automatisch transacties uit te voeren. Naast deze nieuwe trojans zijn 19 trojan-families uit 2022 geüpdatet om hun mogelijkheden en operationele verfijning te vergroten. Een beveiligingsfirma gespecialiseerd in mobiele veiligheid heeft deze 29 trojan-families (10 nieuwe plus 19 geüpdatete) geanalyseerd en enkele zorgwekkende trends geïdentificeerd. Deze omvatten de toevoeging van geautomatiseerde transfersystemen (ATS) die MFA-tokens vastleggen en transacties en fondsoverdrachten uitvoeren. Er is ook een toename in het gebruik van sociale engineering, waarbij cybercriminelen zich voordoen als klantenservice om slachtoffers te verleiden de trojan zelf te downloaden. Bovendien bieden sommige trojans nu live schermdeling voor directe interactie met het geïnfecteerde apparaat en worden ze als abonnement aangeboden aan andere cybercriminelen voor prijzen tussen $3.000 en $7.000 per maand. Standaardfuncties van deze trojans zijn onder meer keylogging, het overlayen van phishingpagina's en het stelen van SMS-berichten. Daarnaast zijn deze trojans niet langer beperkt tot het stelen van bankgegevens en geld, maar richten ze zich nu ook op sociale media, berichten en persoonlijke gegevens. De nieuwe trojans omvatten varianten zoals Nexus, Godfather, Pixpirate, Saderat, Hook, PixBankBot, Xenomorph v3, Vultur, BrasDex en GoatRat. Elk heeft zijn unieke doelwitten en methoden, variërend van het richten op specifieke bank-apps tot het aanbieden van hun diensten als Malware-as-a-Service (MaaS). De Verenigde Staten, het Verenigd Koninkrijk, Italië, Australië, Turkije, Frankrijk, Spanje, Portugal, Duitsland en Canada zijn het meest getroffen door deze trojans. Om veilig te blijven, wordt geadviseerd geen APK's buiten de officiële Google Play Store te downloaden, gebruikersrecensies en ontwikkelaarsachtergronden grondig te controleren, voorzichtig te zijn met de gevraagde toestemmingen tijdens app-installaties, en geen links in SMS- of e-mailberichten van onbekende afzenders aan te klikken. [1]
Omvangrijke Phishingaanval op Ledger Gebruikers door Ex-Medewerker
Gebruikers van de cryptowallet Ledger zijn recentelijk het slachtoffer geworden van een geraffineerde phishingaanval, waarbij criminelen aanzienlijke bedragen in cryptovaluta hebben gestolen. Dit incident vond plaats na een geslaagde aanval op een voormalige medewerker van Ledger, de producent van de wallet. De aanval werd ingezet op een ex-medewerker van Ledger, wiens NPMJS-account door de criminelen werd gecompromitteerd. Via dit account verspreidden de aanvallers een besmette versie van de Ledger Connect Kit, een JavaScript-library die normaal gebruikers toestaat om hun Ledger-wallets te verbinden met third-party apps. De kwaadaardige versie van de kit maakte gebruik van een malafide WalletConnect-project om ongemerkt fondsen van gebruikers naar de aanvallers over te maken. Deze malafide code bleek ongeveer vijf uur actief te zijn geweest, waarbij er voor een periode van twee uur daadwerkelijk cryptovaluta werd ontvreemd. Volgens crypto-onderzoeker ZachXBT zou het gestolen bedrag meer dan 600.000 dollar bedragen. Ledger heeft aangekondigd de gedupeerde gebruikers te ondersteunen bij het terughalen van hun geld. Het incident roept vragen op over de beveiligingsprotocollen van Ledger. Het bedrijf stelt dat het normaal vereist dat nieuwe softwareversies door meerdere partijen worden goedgekeurd en dat ex-medewerkers geen toegang zouden moeten hebben tot belangrijke systemen. Hoe het desondanks mogelijk was dat de ex-medewerker deze actie kon uitvoeren, blijft onduidelijk. Ledger noemt het voorval een 'geïsoleerd incident' en heeft inmiddels een schone versie van de Ledger Connect Kit uitgebracht, waarbij de toegangscodes zijn gewijzigd. Dit voorval onderstreept het belang van continue waakzaamheid en strikte toegangscontroles binnen de wereld van cryptocurrency en digitale beveiliging. [1, 2]
Explosieve Toename van Cyberaanvallen: Een Alarmerende Realiteit
In het afgelopen jaar is een opmerkelijke stijging van 23% in cyberaanvallen waargenomen, een onthutsende ontwikkeling die de noodzaak van verhoogde digitale beveiliging onderstreept. Bart Asnot, een cyberexpert werkzaam bij Microsoft België en Luxemburg, heeft belangrijke inzichten gedeeld over deze stijging en de aard van de aanvallen. Hij benadrukt dat geen enkele sector immuun is voor deze dreiging, waarbij opvallend genoeg overheden frequent doelwit zijn. De opkomst van kunstmatige intelligentie (AI) speelt een significante rol in deze trend. AI-technologieën maken het voor hackers eenvoudiger om geavanceerde aanvallen uit te voeren, wat bijdraagt aan de toenemende frequentie en complexiteit van cyberaanvallen. Deze technologische vooruitgang vormt zowel een kans als een uitdaging voor cybersecurity, waarbij de balans tussen innovatie en beveiliging voortdurend bewaakt moet worden. Deze ontwikkeling in cybercriminaliteit is niet beperkt tot grote organisaties of overheidsinstanties. Individuele burgers worden ook blootgesteld aan digitale risico's, zoals onlangs bleek uit een ontdekking van de ethische hacker Inti De Ceukelaire. Hij onthulde een privacylek in parkeerapps zoals 4411, waarbij gebruikers in staat zijn om de locatie van een willekeurig voertuig te achterhalen door simpelweg een kenteken in te voeren. Dit lek wijst op de potentiële gevaren van alledaagse technologieën en de noodzaak voor stringentere privacybescherming. De Europese Unie heeft recentelijk stappen ondernomen om AI-technologieën te reguleren, een belangrijke stap in de richting van het beheersen van de risico's verbonden aan deze snel ontwikkelende technologie. Dit akkoord is een teken van de groeiende erkenning van de noodzaak om technologische vooruitgang in evenwicht te brengen met ethische en veiligheidsnormen. [1]
Gesofisticeerd KV-botnet van Chinese APT Groep Inzetbaar voor Cyber Spionage
Sinds 2022 maakt een Chinese staatgesponsorde APT-hackgroep, bekend als Volt Typhoon (Bronze Silhouette), gebruik van een geavanceerd botnet genaamd 'KV-botnet'. Dit netwerk richt zich op SOHO-routers (Small Office, Home Office) bij waardevolle doelen. Volt Typhoon heeft voornamelijk routers, firewalls en VPN-apparaten als doelwit om kwaadaardig verkeer te maskeren, waardoor dit verkeer op legitiem verkeer lijkt om detectie te vermijden. Een gezamenlijk rapport van Microsoft en de Amerikaanse overheid beoordeelt dat de aanvallers een infrastructuur opbouwen die gebruikt kan worden om de communicatie-infrastructuur in de VS te verstoren. Microsoft waarschuwt dat deze campagne van Volt Typhoon mogelijk gericht is op het ontwikkelen van mogelijkheden om kritieke communicatie-infrastructuur tussen de Verenigde Staten en Azië te verstoren tijdens toekomstige crises. Black Lotus Labs van Lumen Technologies onthult dat de campagne van Volt Typhoon Netgear ProSAFE-firewalls, Cisco RV320s, DrayTek Vigor-routers en recentelijk Axis IP-camera's heeft getarget. De botnetactiviteit nam aanzienlijk toe sinds augustus 2023 en vervolgens weer in november 2023. De meest recent waargenomen aanvallen dateren van 5 december 2023, wat aangeeft dat de kwaadaardige activiteiten voortduren. Black Lotus heeft twee activiteitsclusters geïdentificeerd: 'KV' en 'JDY'. KV richt zich op hoogwaardige entiteiten en wordt waarschijnlijk handmatig bediend, terwijl JDY zich bezighoudt met bredere scanning met minder geavanceerde technieken. De botnet richt zich op end-of-life-apparaten die gebruikt worden door SOHO-entiteiten met een zwakke beveiligingshouding. Volt Typhoon gebruikt een complexe infectieketen die meerdere bestanden omvat, zoals bash-scripts (kv.sh), die specifieke processen stopzetten en beveiligingstools verwijderen die op het geïnfecteerde apparaat draaien. De bot stelt willekeurige poorten in voor communicatie met de C2 (command and control) server en vermomt zichzelf door de namen van bestaande processen aan te nemen. Black Lotus Labs koppelt dit botnet aan Volt Typhoon na het vinden van overlappingen in IP-adressen, vergelijkbare tactieken en werkuren die overeenkomen met de China Standaardtijd. Verder worden geavanceerde verhullingstechnieken en verborgen dataoverdrachtkanalen gebruikt, wat overeenkomt met eerder gedocumenteerde tactieken van Volt Typhoon. Lumen heeft indicatoren van compromis (IOCs) op GitHub gepubliceerd, waaronder malwarehashes en IP-adressen die geassocieerd zijn met het botnet.[1, 2, pdf]
BazarCall-aanvallen gebruiken Google Forms voor geavanceerde phishing
Een recente ontwikkeling in cybercriminaliteit betreft de zogenaamde BazarCall-aanvallen, die nu Google Forms inzetten om hun phishing-pogingen geloofwaardiger te maken. Deze aanvallen, voor het eerst gedocumenteerd in 2021, maken gebruik van e-mails die lijken op betalingsmeldingen of bevestigingen van abonnementen op bekende merken zoals beveiligingssoftware, computerondersteuning en streamingplatforms. Deze e-mails beweren dat de ontvanger automatisch wordt verlengd voor een buitensporig duur abonnement en dat ze dit moeten annuleren om niet in rekening te worden gebracht. In plaats van een link naar een website, bevatte de e-mail traditioneel een telefoonnummer voor een vermeende klantenservice, waar ontvangers contact konden opnemen om kosten te betwisten of het abonnement te annuleren. Wanneer gebeld wordt, antwoordt een cybercrimineel die zich voordoet als klantenservice en lokt het slachtoffer in het installeren van malware op hun computer. Deze malware, genaamd BazarLoader, is ontworpen om aanvullende payloads op het systeem van het slachtoffer te installeren. De recente variant misbruikt Google Forms door een formulier te maken met details van een neptransactie. Nadat het doelwit het formulier heeft ingevuld, wordt een kopie, die lijkt op een betalingsbevestiging, vanuit Google's servers naar het doelwit verzonden. Dit geeft de phishing-e-mail extra geloofwaardigheid, omdat e-mailbeveiligingstools deze meestal niet markeren of blokkeren, aangezien ze van een legitieme Google-service komen. Het kopie van de factuur bevat het telefoonnummer van de dreigingsactor, en ontvangers worden opgeroepen binnen 24 uur contact op te nemen om geschillen te bespreken, waardoor een element van urgentie wordt toegevoegd. Hoewel het rapport van de e-mailbeveiligingsfirma Abnormal niet ingaat op de latere stadia van de aanval, werd BazarCall in het verleden gebruikt voor initiële toegang tot bedrijfsnetwerken, wat vaak leidde tot ransomware-aanvallen. [1]
LockBit Ransomware Werft Affiliates van BlackCat en NoEscape
De LockBit ransomware-groepering rekruteert nu affiliates en ontwikkelaars van de BlackCat/ALPHV en NoEscape ransomware-operaties, volgend op recente verstoringen en exit scams. Vorige week werden de Tor-websites van NoEscape en BlackCat/ALPHV plotseling ontoegankelijk. Affiliates van NoEscape beweerden dat de operatoren een exit scam uitvoerden, waarbij ze miljoenen dollars aan losgeld stalen en hun webpanels en datalek-sites sloten. NoEscape wordt gezien als een herlancering van de Avaddon ransomware, die in juni 2011 sloot en hun decryptiesleutels vrijgaf. De BlackCat/ALPHV-operatie ondervond ook een onderbreking van vijf dagen, waarbij al hun infrastructuur, inclusief datalek- en onderhandelingssites, offline gingen. Hoewel de ALPHV-datalek site terugkeerde met alle data verwijderd, werken sommige onderhandelings-URL's nog steeds niet, wat de onderhandelingen voor die slachtoffers effectief stopt. De ALPHV-beheerder beweerde dat hun uitval te wijten was aan hardwarefalen, maar er zijn berichten dat een wetshandhavingsoperatie hiermee verband hield. De FBI weigerde commentaar te geven op de verstoringen. LockBit, momenteel de grootste ransomware-operatie, heeft volgens LeMagIT begonnen met het rekruteren van affiliates van BlackCat en NoEscape. LockBitSupp, de manager van LockBit, plaatste berichten op een Russischtalig hackersforum, waarin hij affiliates vertelde dat ze zijn datalek-site en onderhandelingspaneel konden gebruiken als ze back-ups hadden van gestolen gegevens. Hij probeert ook de coder voor de ALPHV-encryptor te werven. Hoewel het onduidelijk is of er daadwerkelijk affiliates van BlackCat/NoEscape zijn overgestapt naar LockBit, is één slachtoffer van BlackCat al op de datalek-site van LockBit gespot. Deze ontwikkelingen volgen op de herlancering van BlackCat/ALPHV, voorheen bekend als DarkSide en BlackMatter. Na de sluiting van BlackMatter in november 2021 gingen zijn affiliates over naar LockBit. Het is nog te vroeg om te zeggen of affiliates en penetratietesters hun vertrouwen in BlackCat of NoEscape hebben verloren en of ze naar andere operaties verhuizen, maar een nieuwe herlancering lijkt niet onwaarschijnlijk.
Russische Hackers Richten Zich Sinds September op TeamCity Servers, Waarschuwt CISA
In een recent artikel van 13 december 2023 wordt onthuld dat Russische hackers, gelinkt aan de APT29 hackinggroep en de Russische Foreign Intelligence Service (SVR), sinds september 2023 ongepatchte TeamCity servers aanvallen. Deze aanvallen worden uitgevoerd door middel van een kritieke beveiligingsfout, bekend als CVE-2023-42793. De Cybersecurity and Infrastructure Security Agency (CISA) en partnerinstanties waarschuwen voor de ernstige dreiging die deze aanvallen met zich meebrengen. De APT29 groep, berucht vanwege hun betrokkenheid bij de SolarWinds supply-chain aanval en het aanvallen van Microsoft 365-accounts in NAVO-landen, richt zich nu op TeamCity-servers. De ernst van deze dreiging wordt benadrukt door de hoge beveiligingsclassificatie van 9.8/10 voor CVE-2023-42793. Deze fout stelt ongeauthenticeerde kwaadwillende actoren in staat om op laagdrempelige wijze externe code-uitvoering (RCE) uit te voeren zonder tussenkomst van de gebruiker. Het artikel waarschuwt dat hoewel de SVR nog niet daadwerkelijk toegang heeft gekregen tot de netwerken van softwareontwikkelaars, het wel de mogelijkheid heeft om command-and-control-infrastructuur te implementeren voor moeilijk detecteerbare activiteiten. Bijna 800 servers met ongepatchte TeamCity-software worden momenteel geïdentificeerd als kwetsbaar voor aanvallen, volgens onderzoekers van het Zwitserse beveiligingsbedrijf Sonar. Deze kwetsbaarheid is al uitgebuit door ransomware-bendes en Noord-Koreaanse hackers. TeamCity, een veelgebruikte software voor het bouwen en testen van software, wordt wereldwijd door meer dan 30.000 organisaties gebruikt, waaronder grote namen als Citibank, Ubisoft, HP, Nike en Ferrari. Het artikel vermeldt ook dat meer dan 98% van alle TeamCity-servers al zijn gepatcht volgens JetBrains, de ontwikkelaar van TeamCity. Het is van cruciaal belang dat organisaties onmiddellijk actie ondernemen om hun systemen te patchen en beveiligen tegen deze dreiging. Deze aanvallen benadrukken het belang van proactieve beveiligingsmaatregelen en het up-to-date houden van software om kwetsbaarheden te minimaliseren en gevoelige informatie te beschermen. Organisaties moeten waakzaam blijven en samenwerken met beveiligingsinstanties om zich te verdedigen tegen geavanceerde cyberdreigingen zoals APT29 en SVR. [1]
❗️Nederlandse Metaalbewerker Slachtoffer van Cyberaanval door '8BASE'
Op 13 december 2023 werd Soethoudt Metaalbewerking B.V., een Nederlandse onderneming gespecialiseerd in metaalproducten, het doelwit van een cyberaanval. De aanval is uitgevoerd door de cybercriminele groepering bekend als '8BASE'. Informatie over deze aanval werd onthuld op het darkweb, waarbij soethoudt.nl als het getroffen domein werd aangewezen. Dit incident benadrukt de voortdurende bedreigingen waarmee bedrijven in de metaalbewerkingsindustrie worden geconfronteerd op het gebied van cyberveiligheid.
Hackers stelen meer dan $2,7 miljoen aan crypto's na infiltratie van OKX DEX
Op 12 december vond een verwoestende cyberaanval plaats op het OKX Decentralized Exchange (DEX) systeem, waarbij hackers erin slaagden om toegang te krijgen tot het platform. De criminelen compromitteerden naar verluidt de privésleutel van een proxy-beheerdersaccount, wat de deur opende naar een grootschalige diefstal van meer dan $2,7 miljoen aan diverse cryptocurrencies. De aanvallers gebruikten hun toegang om het proxycontract van de crypto-exchange te upgraden naar een kwaadaardige versie. Hierdoor konden ze fondsen onttrekken uit 18 wallet-adressen die waren gekoppeld aan een marktmakend slim contract. De schade was aanzienlijk en trof talloze gebruikers van het platform. De eerste waarschuwing over deze aanval kwam van het blockchain-beveiligingsbedrijf SlowMist Zone, dat via sociale media meldde dat de privésleutel van de proxybeheerder was gelekt. Dit gaf de hackers de mogelijkheid om de controle over het DEX-proxycontract over te nemen. Op 12 december begonnen gebruikers te melden dat er ongeautoriseerde opnames waren gedaan, wat leidde tot een snelle reactie van OKX. Het platform deactiveerde het betrokken contract en beloofde de slachtoffers volledig te compenseren. Interessant is dat deze aanval overeenkomsten vertoont met eerdere exploits door een hackerscollectief dat al eerder grote inbreuken heeft gepleegd op DeFi-protocollen zoals LunaFi, Uno Re, en RVLT. Als reactie heeft blockchain-inlichtingenbedrijf Arkham Intel een bugpremie uitgeloofd voor informatie die leidt tot de identificatie van de OKX-hackers, waarbij alle tips die via dit programma binnenkomen, met OKX worden gedeeld om hun onderzoek te ondersteunen. Deze recente inbreuk benadrukt opnieuw de risico's van gedecentraliseerde financiering, ondanks de algemene perceptie dat decentralisatie de veiligheid verbetert. In 2023 alleen al is er meer dan $1,5 miljard aan cryptocurrencies gestolen door hacks, oplichting en exploits, wat aantoont hoe belangrijk het is om voortdurend waakzaam te zijn in de wereld van crypto's. [1]
Cyberaanval op Insomniac Games: Hackers eisen 2 miljoen dollar losgeld
Insomniac Games, de bekende ontwikkelaar achter de Marvel's Spider-Man games, is het doelwit geworden van een ernstige cyberaanval. Hackers, die zichzelf identificeren als de ransomware groep Rhysida, eisen een losgeld van maar liefst 2 miljoen dollar en dreigen vertrouwelijke informatie, waaronder beelden van de nieuwe Wolverine-game, openbaar te maken. Volgens rapporten van Cyber Daily heeft de Rhysida groep al bewijs van de hack vrijgegeven, inclusief een screenshot van Marvel's Wolverine en artwork van andere Marvel personages die mogelijk in de nieuwe PS5-game verschijnen. Bovendien bevatte de aanval ook paspoortscans van het personeel, persoonlijke gegevens van stemacteur Yuri Lowenthal, interne e-mails en andere gevoelige documenten. De hackers stellen een ultimatum: als Insomniac Games niet binnen zeven dagen het losgeld betaalt, zullen ze de gestolen gegevens openbaar maken. Ze dreigen ook alle documenten online te veilen, met een startbod van 50 bitcoins (bijna 2 miljoen euro). Sony, de uitgever van Insomniac Games, is op de hoogte van de situatie en onderzoekt de omvang van de cyberaanval. Gelukkig lijken andere afdelingen van Sony niet te zijn getroffen door de hack. Het is niet de eerste keer dat de game-industrie doelwit is van cyberaanvallen. Dit jaar werd ook Rockstar Games slachtoffer van een hack, waarbij meer dan 90 gameplayvideo's van GTA 6 werden gelekt. Deze recente aanval op Insomniac Games benadrukt opnieuw de groeiende dreiging van cybercriminaliteit in de game-industrie en onderstreept het belang van beveiligingsmaatregelen om gevoelige informatie te beschermen. Het is nu aan de autoriteiten en cybersecurity-experts om de situatie aan te pakken en de daders te traceren voordat verdere schade kan worden aangericht. [1]
❗️Limburg.net getroffen door cyberaanval, diensten tijdelijk onbereikbaar
Limburg.net heeft te maken gehad met een poging tot hacking, waardoor hun diensten momenteel niet bereikbaar zijn. De organisatie heeft onmiddellijk gereageerd door haar systemen uit veiligheidsoverwegingen stil te leggen. Hoewel dit geen invloed heeft op de gewone huis-aan-huis ophalingen, hebben de bemande recyclageparken enkele aanpassingen ondergaan vanwege de offline werking. De algemeen directeur van Limburg.net, Kris Somers, benadrukte dat deze maatregelen genomen zijn om verdere schade te voorkomen en de toegang voor hackers te belemmeren. Momenteel is de ernst van de situatie nog niet volledig bekend, maar experts onderzoeken de zaak grondig. Alle bemande Limburg.net-recyclageparken blijven open, maar wegingen aan de weegbrug verlopen trager vanwege de offline status. Bezoekers worden geadviseerd om niet-dringende bezoeken aan het recyclagepark uit te stellen. Het enige onbemande recyclagepark, Kortessem, is tijdelijk gesloten vanwege de ontbrekende toegangscontrole. Gelukkig hebben de huis-aan-huis ophalingen op dit moment geen last van de cyberaanval. Mocht er onverwachts toch een probleem optreden, dan zal Limburg.net hierover informeren in een volgend bericht. Daarnaast is het momenteel niet mogelijk om het quotum huisvuilzakken af te halen in de recyclageparken, noch bij handelaars en deelnemende gemeenten. De situatie wordt momenteel nog grondig geanalyseerd door specialisten, en zodra er meer informatie beschikbaar is, zal er een nieuw persbericht worden uitgebracht. Limburg.net zet alles in het werk om de digitale dienstverlening zo snel mogelijk weer operationeel te krijgen. [1]
Hackers benutten kritische kwetsbaarheid in Apache Struts met openbare PoC
Hackers maken momenteel misbruik van een recentelijk verholpen kritieke kwetsbaarheid (CVE-2023-50164) in Apache Struts, wat leidt tot externe code-uitvoering. Deze aanvallen zijn gebaseerd op openbaar beschikbare proof-of-concept-exploitcode. Het lijkt erop dat dreigingsactoren net zijn begonnen, volgens het Shadowserver scanplatform, waarvan onderzoekers een klein aantal IP-adressen hebben waargenomen die betrokken zijn bij exploitatiepogingen. Apache Struts is een open-source webapplicatieframework dat is ontworpen om de ontwikkeling van Java EE-webtoepassingen te stroomlijnen. Het biedt een op formulieren gebaseerde interface en uitgebreide integratiemogelijkheden. Het product wordt uitgebreid gebruikt in verschillende industrieën, zowel in de private als de publieke sector, inclusief overheidsorganisaties, vanwege de efficiëntie bij het bouwen van schaalbare, betrouwbare en gemakkelijk te onderhouden webtoepassingen. Op 7 december bracht Apache Struts versies 6.3.0.2 en 2.5.33 uit om een kritieke kwetsbaarheid aan te pakken, momenteel geïdentificeerd als CVE-2023-50164. Het beveiligingsprobleem is een zwakte in het pad van gegevensstromen die kan worden misbruikt onder bepaalde voorwaarden. Het kan een aanvaller toestaan om schadelijke bestanden te uploaden en externe code-uitvoering (RCE) op de doelserver te bereiken. Een dreigingsacteur die zo'n kwetsbaarheid exploiteert, zou gevoelige bestanden kunnen wijzigen, gegevens kunnen stelen, kritieke services kunnen verstoren of lateraal in het netwerk kunnen bewegen. Dit kan leiden tot ongeautoriseerde toegang tot webservers, manipulatie of diefstal van gevoelige gegevens, verstoring van kritieke services en laterale beweging in gecompromitteerde netwerken. De RCE-kwetsbaarheid treft Struts-versies 2.0.0 tot en met 2.3.37 (end-of-life), Struts 2.5.0 tot en met 2.5.32 en Struts 6.0.0 tot en met 6.3.0. Op 10 december publiceerde een beveiligingsonderzoeker een technische beschrijving voor CVE-2023-50164, waarin werd uitgelegd hoe een dreigingsacteur bestandsuploadparameters kan besmetten in aanvallen. Een tweede beschrijving, inclusief exploitcode voor het lek, werd gisteren gepubliceerd. In een beveiligingsadvies van gisteren zegt Cisco dat het CVE-2023-50164 onderzoekt om vast te stellen welke van zijn producten met Apache Struts mogelijk zijn getroffen en in hoeverre. De reeks Cisco-producten die worden geanalyseerd, omvat het Customer Collaboration Platform, Identity Services Engine (ISE), Nexus Dashboard Fabric Controller (NDFC), Unified Communications Manager (Unified CM), Unified Contact Center Enterprise (Unified CCE) en Prime Infrastructure. Een volledige lijst van mogelijk getroffen producten is beschikbaar in het beveiligingsbulletin van Cisco, dat wordt verwacht te worden bijgewerkt met nieuwe informatie. Dit benadrukt het belang van het onmiddellijk patchen van kwetsbaarheden om te voorkomen dat aanvallers deze misbruiken en systemen compromitteren. Cybersecurityprofessionals en beheerders moeten waakzaam blijven en de juiste beveiligingsupdates implementeren. [1, 2, 3, 4]
Microsoft waarschuwt: Aanval met cryptominer kost slachtoffer 1,5 miljoen dollar
Microsoft heeft onlangs gewaarschuwd voor een verontrustende trend waarbij criminelen malafide OAuth-applicaties gebruiken om organisaties aan te vallen, met als gevolg financiële verliezen tot wel anderhalf miljoen dollar. OAuth is een standaard voor token-gebaseerde authenticatie en autorisatie, die applicaties toegang geeft tot data en middelen op basis van gebruikersrechten. Deze aanvallen beginnen meestal met phishing en het gebruik van hergebruikte wachtwoorden om gebruikersaccounts met de bevoegdheid om OAuth-applicaties te maken of aan te passen, te compromitteren. Vervolgens maken de aanvallers malafide OAuth-applicaties om hun activiteiten te verbergen en uit te voeren. Deze schadelijke applicaties kunnen worden ingezet voor verschillende doeleinden, zoals het minen van cryptovaluta, CEO-fraude, phishing en het versturen van spam. In het geval van aanvallen met cryptominers worden de getroffen organisaties geconfronteerd met aanzienlijke kosten, bekend als 'compute fees', die ontstaan door het minen van cryptovaluta. Deze kosten variëren van tienduizenden dollars tot anderhalf miljoen dollar, afhankelijk van de duur en omvang van de aanval. Een alarmerend aspect van sommige aanvallen is dat ze gericht zijn op CEO-fraude. De aanvallers zoeken naar e-mailbijlagen met termen als 'factuur' en 'betaling' in gecompromitteerde accounts. Hierdoor kunnen ze bijvoorbeeld rekeningnummers aanpassen of financiële gesprekken kapen om hun eigen rekeninginformatie door te geven. Microsoft benadrukt dat het inschakelen van multifactorauthenticatie (MFA) voor accounts de kans op een succesvolle aanval aanzienlijk verkleint. Deze waarschuwing van Microsoft benadrukt het belang van beveiligingsmaatregelen om organisaties te beschermen tegen deze groeiende dreiging. Het is essentieel dat organisaties hun beveiligingsprotocollen aanscherpen en investeren in oplossingen zoals MFA om zich te wapenen tegen financiële verliezen en gegevensinbreuken veroorzaakt door malafide OAuth-applicaties. [1]
Britse overheid gewaarschuwd voor 'catastrofale ransomware-aanval'
De Britse overheid wordt gewaarschuwd voor een aanzienlijk risico op een 'catastrofale ransomware-aanval'. Een recent rapport van het Joint Committee on the National Security Strategy (JCNSS) van het Britse parlement benadrukt dat de huidige plannen van de overheid onvoldoende zijn om zo'n aanval het hoofd te bieden. Ransomware moet daarom een hogere prioriteit krijgen in de politieke agenda. Het rapport van de parlementscommissie stelt dat er meer politieke aandacht en middelen nodig zijn. Het ministerie van Binnenlandse Zaken beweert leiding te geven aan de aanpak van ransomware als nationale dreiging, maar volgens het rapport was er weinig interesse vanuit de voormalige minister van Binnenlandse Zaken in dit onderwerp. De inspanningen van het ministerie op het gebied van cybersecurity en ransomware worden als 'non-existent' bestempeld, vooral vergeleken met de aandacht voor illegale migratie. Het rapport meldt ook dat het Britse National Crime Agency onvoldoende middelen heeft om de uitdagingen van ransomware aan te pakken. Daarom wordt aangedrongen op het toekennen van meer middelen aan de opsporingsdienst, zodat zij effectief ransomwaregroepen kunnen bestrijden. De commissie waarschuwt dat als er geen verdere actie wordt ondernomen door de Britse politiek, het land uiteindelijk te maken zal krijgen met een catastrofale ransomware-aanval. De commissie benadrukt het belang van het verhogen van de politieke prioriteit van ransomware en het vrijmaken van meer middelen om deze dreiging te bestrijden. [pdf]
Omvangrijke Cyberaanval op Insomniac Games Onderzocht door Sony
Sony is momenteel bezig met een grondig onderzoek naar een cyberaanval op Insomniac Games, een bedrijf dat deel uitmaakt van PlayStation Studios. Tijdens deze aanval zijn er vertrouwelijke bedrijfsdocumenten en persoonlijke gegevens van medewerkers, waaronder van Yuri Lowenthal, de stemacteur van Peter Parker in de Spider-Man games, gestolen. Bovendien zijn er beelden van een nog niet uitgebrachte game, Wolverine, gelekt. De verantwoordelijkheid voor deze aanval wordt opgeëist door de ransomwaregroep Rhysida. Deze groep heeft een aantal van de gestolen bestanden op het darkweb gepubliceerd als bewijs. Rhysida heeft Sony een losgeldbedrag geëist, met de dreiging dat, indien niet betaald binnen de gestelde termijn, ze de gestolen data zullen veilen, beginnend met een bod van 50 bitcoins, wat neerkomt op ruim 1,9 miljoen euro. Rhysida staat bekend om aanvallen op organisaties waar multifactorauthenticatie ontbreekt. Actief sinds mei, richten ze zich voornamelijk op onderwijs, gezondheidszorg, IT en overheidsorganisaties. Ze gebruiken vaak externe diensten zoals VPN's of Microsoft's Netlogon Remote Protocol om toegang te krijgen tot netwerken, mede door gebruik van op het dark web verkregen inloggegevens uit eerdere datalekken. Rhysida maakt gebruik van Ransomware-as-a-Service, waarbij ze gijzelsoftware huren in ruil voor een deel van de opbrengst. Dit is niet de eerste keer dat Sony het doelwit is van cyberaanvallen. Eerder dit jaar beweerde RansomedVC ‘alle systemen’ van Sony te hebben gekraakt. In 2011 leidden aanvallen tot het offline gaan van het PlayStation Network en de diefstal van gegevens van 77 miljoen gamers. Ook Sony Online Entertainment en Sony Entertainment Network werden dat jaar gehackt. Sony neemt deze zaak zeer serieus en onderzoekt momenteel de situatie, zonder aan te nemen dat andere divisies zijn getroffen. [1]
Financieel Gemotiveerde Bedreigingsactoren Gebruiken OAuth-apps voor Geautomatiseerde BEC- en Cryptomining-aanvallen
Microsoft heeft gewaarschuwd dat financieel gemotiveerde bedreigingsactoren OAuth-applicaties gebruiken om BEC (Business Email Compromise) en phishing-aanvallen te automatiseren, spam te verspreiden en virtuele machines (VM's) in te zetten voor cryptomining. OAuth (afkorting voor Open Authorization) is een open standaard voor het verlenen van beveiligde gedelegeerde toegang aan apps tot serverresources op basis van door de gebruiker gedefinieerde machtigingen via token-gebaseerde authenticatie en autorisatie, zonder het verstrekken van referenties. Recente incidenten onderzocht door Microsoft Threat Intelligence-experts onthulden dat aanvallers zich voornamelijk richten op gebruikersaccounts die geen robuuste authenticatiemechanismen hebben (bijvoorbeeld multi-factor authenticatie) in phishing- of wachtwoord-sprayaanvallen, met de nadruk op die met toestemming om OAuth-apps te maken of te wijzigen. De gekaapte accounts worden vervolgens gebruikt om nieuwe OAuth-applicaties te maken en deze hoge privileges te verlenen, waardoor hun kwaadaardige activiteit verborgen blijft en er blijvende toegang is, zelfs als het oorspronkelijke account verloren gaat. Deze hoog-geprivilegieerde OAuth-apps worden gebruikt voor een breed scala aan illegale activiteiten, waaronder het implementeren van virtuele machines die zijn gewijd aan cryptocurrency-mining, het veiligstellen van voortdurende toegang bij BEC-aanvallen en het starten van spamcampagnes die gebruikmaken van de domeinnamen van gecompromitteerde organisaties. Een opvallend geval betreft een bedreigingsacteur die wordt gevolgd als Storm-1283, die een OAuth-app heeft gemaakt om virtuele machines voor cryptocurrency-mining in te zetten. De financiële impact op getroffen organisaties varieerde van $10.000 tot $1,5 miljoen, afhankelijk van de duur van de aanval. Een andere bedreigingsacteur exploiteerde OAuth-apps die waren gemaakt met behulp van gecompromitteerde accounts om persistentie te behouden en phishingcampagnes te lanceren met behulp van een adversary-in-the-middle (AiTM) phishing-kit. Dezelfde aanvaller gebruikte de gehackte accounts voor Business Email Compromise (BEC) verkenning door Microsoft Outlook Web Application (OWA) te gebruiken om bijlagen te zoeken die waren gekoppeld aan "betaling" en "factuur." In afzonderlijke gevallen creëerde de aanvaller multitenant OAuth-apps voor persistentie, voegde nieuwe referenties toe en las e-mails of stuurde phishing-e-mails via de Microsoft Graph API. "Op het moment van analyse hebben we vastgesteld dat de bedreigingsacteur ongeveer 17.000 multitenant OAuth-applicaties heeft gemaakt in verschillende tenants met behulp van meerdere gecompromitteerde gebruikersaccounts," zei Microsoft. "Op basis van de e-mailtelemetrie hebben we vastgesteld dat de kwaadaardige OAuth-applicaties die zijn gemaakt door de bedreigingsacteur meer dan 927.000 phishing-e-mails hebben verzonden. Microsoft heeft alle kwaadaardige OAuth-applicaties die verband houden met deze campagne, die liep van juli tot november 2023, uitgeschakeld." Een derde bedreigingsacteur die wordt gevolgd als Storm-1286 hackte gebruikersaccounts die niet waren beschermd door multi-factor authenticatie (MFA) in een reeks wachtwoord-spray-aanvallen. De gecompromitteerde accounts werden vervolgens gebruikt om nieuwe OAuth-apps in de getroffen organisatie te maken, waardoor de aanvallers duizenden spam-e-mails per dag konden verzenden, en in sommige gevallen maanden na de initiële inbraak. Om zich te verdedigen tegen kwaadwillige actoren die OAuth-apps misbruiken, raadt Microsoft aan om MFA te gebruiken om credential stuffing en phishing-aanvallen te voorkomen. Beveiligingsteams moeten ook conditionele toegangspolicies inschakelen om aanvallen die gebruikmaken van gestolen referenties te blokkeren, continue toegangsevaluatie om automatisch gebruikerstoegang op basis van risicotrigger in te trekken, en Azure Active Directory beveiligingsstandaarden om ervoor te zorgen dat MFA is ingeschakeld en bevoorrechte activiteiten worden beschermd. [1]
Waarschuwing van FTC: Malafide QR-codes kunnen persoonlijke informatie stelen
De Amerikaanse toezichthouder FTC heeft alarm geslagen over het toenemende gevaar van malafide links in QR-codes. Deze kwaadaardige QR-codes worden gebruikt door scammers om persoonlijke informatie te stelen, en het publiek wordt dringend geadviseerd om geen ongevraagde QR-codes in e-mails of chatberichten te scannen. Deze waarschuwing volgt op een eerdere waarschuwing van de FBI, die ook het scannen van willekeurige QR-codes afraadde. Een specifieke scam die zowel door de FTC als de FBI is gemeld, omvat het overplakken van de QR-codes van parkeermeters met malafide QR-codes. Hierdoor worden nietsvermoedende slachtoffers naar schadelijke websites geleid. Daarnaast worden malafide QR-codes vaak via e-mail verzonden, waarbij ze linken naar phishingwebsites. Om uzelf te beschermen tegen deze dreiging, adviseert de FTC om altijd de link van onverwachte QR-codes te controleren voordat u ze scant. Het is ook belangrijk om geen ongevraagde QR-codes in e-mails of berichten te scannen. Bovendien wordt het sterk aanbevolen om online accounts te beveiligen met sterke wachtwoorden en multifactorauthenticatie. Het is echter belangrijk op te merken dat QR-codes op zichzelf niet schadelijk zijn. Ze bevatten gewoon tekst die in een afbeelding is gecodeerd. Het gevaar schuilt in het gedrag van QR-code-apps die automatisch links openen zonder toestemming van de gebruiker. Gebruikers kunnen veilig QR-codes scannen als ze een app gebruiken die niet automatisch links opent, maar in plaats daarvan het resultaat van de scan toont, waardoor de gebruiker zelf kan beslissen of hij de link wil openen. Kortom, hoewel QR-codes handig zijn voor snelle toegang tot informatie, is voorzichtigheid geboden bij het scannen van onbekende QR-codes, en het is essentieel om de links te controleren voordat u ze opent om uzelf te beschermen tegen cyberdreigingen. [1]
❗️LockBit Cyberaanval Treft Nederlandse Uitgeverij IGT
Op 11 december 2023 werd de Nederlandse uitgeverij IGT het slachtoffer van een gerichte cyberaanval door de beruchte groep LockBit. Deze aanval, bekendgemaakt op het darkweb, markeert een verontrustende trend in de toename van cybercriminaliteit binnen de sector van uitgeverijen en drukkerijen. IGT, bekend om zijn activiteiten in de publicatie- en drukwerkindustrie in Nederland, ondervindt nu de directe impact van deze digitale bedreiging. Dit incident benadrukt de noodzaak voor bedrijven in alle sectoren om hun cyberbeveiligingsmaatregelen te versterken tegen dergelijke geavanceerde aanvallen.
Lazarus Hackers Gebruiken Oude Log4j Kwetsbaarheid voor Nieuwe RAT Malware
Het beruchte Noord-Koreaanse hackerscollectief Lazarus blijft gebruikmaken van CVE-2021-44228, ook bekend als "Log4Shell," om drie nieuwe malwaredreigingen te implementeren. Deze malware, geschreven in de D-programmeertaal, omvat twee remote access trojans (RATs) genaamd NineRAT en DLRAT, en een malwaredownloader genaamd BottomLoader. Wat dit opmerkelijk maakt, is het feit dat de D-programmeertaal zelden wordt gezien in cybercriminele operaties, vermoedelijk om detectie te omzeilen. De campagne, door Cisco Talos-onderzoekers "Operatie Blacksmith" genoemd, begon rond maart 2023 en richt zich op wereldwijde bedrijven in de productie, landbouw en fysieke beveiliging. De eerste malware, NineRAT, maakt gebruik van de Telegram API voor commando- en controlecommunicatie, waaronder het ontvangen van opdrachten en het exfiltreren van bestanden van de geïnfecteerde computer. Het ondersteunt verschillende commando's, zoals het verzamelen van systeeminformatie, het instellen van tijdsintervallen en zelfs het verwijderen van zichzelf van het systeem. DLRAT, de tweede malware, fungeert als een trojan en downloader die Lazarus kan gebruiken om extra payloads op een geïnfecteerd systeem te introduceren. Het verzamelt ook systeeminformatie en kan commando's uitvoeren zoals het downloaden van bestanden, hernoemen van bestanden en meer. Ten slotte is er BottomLoader, een malwaredownloader die payloads ophaalt en uitvoert vanaf een vaste URL met behulp van PowerShell. Het biedt Lazarus ook de mogelijkheid om bestanden van het geïnfecteerde systeem naar de C2-server te exfiltreren. Opvallend is dat deze aanvallen gebruikmaken van de Log4j-kwetsbaarheid, die al ongeveer twee jaar geleden is ontdekt en verholpen, maar nog steeds een beveiligingsprobleem vormt. Lazarus profiteert van deze kwetsbaarheid om toegang te krijgen tot VMWare Horizon-servers en voert verschillende activiteiten uit, waaronder het implementeren van NineRAT. Het is belangrijk op te merken dat Lazarus mogelijk gegevens verzamelt voor andere APT-groepen onder hun vlag, aangezien NineRAT soms systeemherkenning uitvoert voor meerdere actoren. De evoluerende tactieken van Lazarus benadrukken de voortdurende dreiging die uitgaat van deze groep. Dit nieuws onderstreept het belang van regelmatige beveiligingsupdates en het bewustzijn van kwetsbaarheden, zelfs nadat deze zijn verholpen. [1]
Datalek bij Americold na malware-aanval in april onthuld
Cold storage- en logistiekreus Americold heeft bevestigd dat meer dan 129.000 werknemers en hun afhankelijken hun persoonlijke gegevens verloren hebben bij een aanval in april, later opgeëist door de Cactus-ransomware. Americold heeft wereldwijd 17.000 werknemers in dienst en exploiteert meer dan 24 temperatuurgecontroleerde magazijnen in Noord-Amerika, Europa, Azië-Pacific en Zuid-Amerika. De netwerkinbraak in april leidde tot een uitval die de bedrijfsactiviteiten trof nadat Americold gedwongen werd zijn IT-netwerk af te sluiten om de inbraak te beheersen en "de getroffen systemen opnieuw op te bouwen". Americold vertelde ook klanten via een privé-memo die na de aanval werd uitgegeven om alle inkomende leveringen te annuleren en uitgaande zendingen opnieuw in te plannen, behalve die als kritisch tijdgevoelig en bijna verlopen werden beschouwd. In kennisgevingsbrieven die op 8 december zijn verstuurd naar 129.611 huidige en voormalige werknemers (en afhankelijken) die door het datalek zijn getroffen, onthulde het bedrijf dat de aanvallers op 26 april enkele gegevens uit zijn netwerk hebben kunnen stelen. "In tegenstelling tot de aanpak die in veel artikelen over beveiliging wordt aanbevolen, koos Americold ervoor om het bewijs van een aanval te verzamelen en daarna de getroffen systemen opnieuw op te bouwen. Hierdoor konden ze precies vaststellen welke informatie was aangetast en aan wie de informatie gerelateerd was," zo staat in de brieven te lezen. De persoonlijke informatie die door de aanvallers is gestolen, omvat een combinatie van naam, adres, sofinummer, rijbewijs-/staats-ID-nummer, paspoortnummer, financiële accountinformatie (zoals bankrekening- en creditcardnummers) en informatie over de gezondheidsverzekering en medische informatie gerelateerd aan het dienstverband voor elke getroffen persoon. Een andere cyberaanval trof Americold in november 2020, waarbij de operaties, telefoonsystemen, e-mailservices, voorraadbeheer en orderafhandeling werden beïnvloed. Hoewel meerdere bronnen destijds aan BleepingComputer vertelden dat de inbreuk in 2020 een ransomware-aanval was, heeft het bedrijf dit nog niet bevestigd, en de ransomware-groep verantwoordelijk voor de aanval van november 2020 blijft onbekend. Hoewel het bedrijf het incident van april 2023 niet heeft gekoppeld aan een specifieke ransomware-operatie, claimde de Cactus-ransomware-operatie de aanval op 21 juli. De bende lekte ook een archief van 6 GB met boekhoud- en financiële documenten die naar verluidt uit het netwerk van Americold waren gestolen, inclusief privé- en vertrouwelijke informatie. De ransomwaregroep heeft ook plannen om informatie over human resources, juridische zaken, bedrijfsaudit, klantendocumenten en ongevalsrapporten vrij te geven. Cactus-ransomware is een relatief nieuwe operatie die in maart van dit jaar opdook met dubbele afpersingsaanvallen, waarbij eerst gegevens werden gestolen om als hefboom te gebruiken in ransomonderhandelingen en vervolgens gecompromitteerde systemen werden versleuteld. Een woordvoerder van Americold was niet onmiddellijk beschikbaar voor commentaar toen deze eerder vandaag door BleepingComputer werd benaderd. [1, 2]
Toyota Waarschuwt Klanten voor Datalek met Persoonlijke en Financiële Gegevens
Toyota Financial Services (TFS) heeft klanten gewaarschuwd voor een datalek waarbij gevoelige persoonlijke en financiële gegevens zijn blootgesteld. Het dochterbedrijf van Toyota Motor Corporation, dat wereldwijd actief is en auto-financiering biedt, heeft recentelijk ongeautoriseerde toegang tot enkele van zijn systemen in Europa en Afrika ontdekt. Deze aanval volgde op een claim van de Medusa-ransomwaregroep, die beweerde met succes de divisie van de Japanse autofabrikant te hebben gecompromitteerd. De dreigende actoren eisten een betaling van $8.000.000 om de gestolen gegevens te verwijderen en gaven Toyota 10 dagen de tijd om te reageren op hun chantage. Toyota heeft tot nu toe geen losgeldbetaling met de cybercriminelen onderhandeld, en alle gegevens zijn momenteel gelekt op het extortion portal van Medusa op het darkweb. Eerder deze maand werd Toyota Kreditbank GmbH in Duitsland geïdentificeerd als een van de getroffen divisies, waarbij hackers toegang kregen tot persoonlijke gegevens van klanten. Dit omvatte volledige namen, adresgegevens, contractinformatie, lease-aankoopdetails en IBAN (International Bank Account Number). Dit soort gegevens kan worden gebruikt voor phishing, social engineering, oplichting, financiële fraude en zelfs pogingen tot identiteitsdiefstal. Toyota heeft beloofd getroffen klanten snel bij te werken als het interne onderzoek verdere gegevensblootstelling onthult. Hoewel het onderzoek nog niet is afgerond, blijft er een mogelijkheid bestaan dat de aanvallers toegang hebben gekregen tot aanvullende informatie. Toyota heeft nog niet gereageerd op verzoeken om meer informatie over het exacte aantal getroffen klanten. Dit incident onderstreept de voortdurende dreiging van cybercriminaliteit en het belang van gegevensbeveiliging, zelfs voor grote organisaties zoals Toyota. Het is raadzaam voor klanten om waakzaam te zijn voor verdachte activiteiten en hun financiële gegevens zorgvuldig te monitoren om eventuele verdachte transacties snel te identificeren en te rapporteren. [1, 2]
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 50-2024
Reading in another language
Slachtofferanalyse en Trends van Week 49-2024
Reading in another language
Slachtofferanalyse en Trends van Week 48-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 47-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 46-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 45-2024
Reading in 🇬🇧 or another language