Overzicht cyberaanvallen week 38-2022

Gepubliceerd op 26 september 2022 om 15:00

First click here and then choose your language with the Google translate bar at the top of this page ↑


Grootste luchtvaartmaatschappij van Portugal gehackt, LastPass-hackers hadden vier dagen toegang tot interne systemen en 2K Games getroffen door cyberaanval waarbij malware via helpdesk verstuurd werd. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 6.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes omdat ze weigerden te betalen. Als je betaald wordt er geen data gelekt en kom je niet op deze lijst.. ‘Zo'n 80% van de organisaties betaalt losgeld’ 🤔


LAATSTE WIJZIGING: 26-september-2022 | Aantal slachtoffers: 6.296



Week overzicht

Slachtoffer Cybercriminelen Website Land
Samuel Ryder Academy Vice Society www.samuelryderacademy.co.uk UK
KOLLITSCH Black Basta www.kollitsch.eu Austria
smartschoiceit.com STORMOUS smartschoiceit.com India
croninfotek.com STORMOUS croninfotek.com India
rakinformatics.com STORMOUS rakinformatics.com India
Control STORMOUS medicacontrol.com Mexico
SolarCraft BlackCat (ALPHV) solarcraft.com USA
Hughes Systems Industrial AvosLocker hsitx.com USA
ifwglobal.com LockBit ifwglobal.com Australia
uide.edu.ec LockBit uide.edu.ec Ecuador
yourprivateitaly.com LockBit yourprivateitaly.com Italy
webnordeste.com.br LockBit webnordeste.com.br Brazil
idtech.com.tw LockBit idtech.com.tw Taiwan
scrd.ca LockBit scrd.ca Canada
thorguard.com LockBit thorguard.com USA
congerbuilt.com LockBit congerbuilt.com USA
rbroof.com LockBit rbroof.com USA
parrottsims.com LockBit parrottsims.com USA
Cornerstone Insurance Group Black Basta cornerstoneinsgrp.com USA
Longhorn Investments BlackCat (ALPHV) www.longhorninvestments.com USA
GSE - Gestore Servizi Energetici BlackCat (ALPHV) www.gse.it Italy
Boyes Turner LLP BlackCat (ALPHV) www.boyesturner.com UK
GRUPO COPISA  Sparta www.grupocopisa.com Spain
School of Oriental African Studies Vice Society www.soas.ac.uk UK
Ministerio de Economía Argentina Everest www.argentina.gob.ar Argentina
www.bbadmin.com RedAlert www.bbadmin.com USA
BHARBERT Hive www.blharbert.com USA
atlantisholidays z6wkg www.atlantisholidays.com United Arab Emirates
archimages inc z6wkg archimages-stl.com USA
ALTlTUDE AEROSPACE INC z6wkg www.altitudeaero.com Canada
Fonderia Boccacci z6wkg www.fonderiaboccacci.it Italy
Zelena Laguna Hotel z6wkg zelenalaguna.sk Slovakia
LEGAZPIBANK z6wkg legazpibank.com.ph Philippines
MCCLEAN16 z6wkg www.mcclean-gmbh.de Germany
lawtrade z6wkg www.lawtrades.com USA
Autosoft company z6wkg Unknown Unknown
BIOPLAN z6wkg Unknown Unknown
Dyatech z6wkg www.dyatech.com USA
DGLEGAL z6wkg dglegal.co.uk UK
emscrm z6wkg emscrm.com USA
MIDAS z6wkg midashospitality.com USA
AURIS KONINKLIJKE AURIS GROEP z6wkg auris.nl Netherlands
fidelityunited.ae z6wkg fidelityunited.ae United Arab Emirates
goldcreekfoods z6wkg www.goldcreekfoods.com USA
exheat.com z6wkg exheat.com UK
hwrpc.com z6wkg hwrpc.com USA
Salmon Software z6wkg salmonsoftware.ie Ireland
tristatefabricators_inc z6wkg tristatefabricators.com USA
Admiral Merchants Black Basta admiral.ammf.com USA
Foreman Watson Land Title, LLC. Black Basta foremanwatsonlandtitle.com USA
Mainstream Global Inc. RansomHouse www.mainstream-global.com USA
CORNERSTONE Black Basta cornerstoneinsgrp.com USA
Sierra College Vice Society www.sierracollege.edu USA
Sigmund Software Hive www.sigmundsoftware.com USA
elementnor.no LockBit elementnor.no Norway
CARITAS BlackCat (ALPHV) www.caritas.org Italy
okibrasil.com LockBit okibrasil.com Brazil
ducanh.com LockBit ducanh.com Vietnam
psi.com.tw LockBit psi.com.tw Taiwan
mts.mektec.com LockBit mts.mektec.com Thailand
franckbeun.fr LockBit franckbeun.fr France
Carmen Copper Corporation RansomHouse atlasmining.com.ph Philippines
Zeus Scientific Inc AvosLocker zeusscientific.com USA
New York Racing Association Hive www.nyrainc.com USA
hering-heinz.de LockBit hering-heinz.de Germany

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land
AURIS KONINKLIJKE AURIS GROEP z6wkg auris.nl Netherlands

In samenwerking met DarkTracer

Top 3 cybercrime groepen met de meeste slachtoffers

Groepering Aantal slachtoffers
1 LockBit 1142 Nog actief
2 Conti 674 Niet meer actief
3 REvil 246 Nog actief

Sophos waarschuwt voor actief aangevallen kwetsbaarheid in firewall

Securitybedrijf Sophos waarschuwt klanten voor een actief aangevallen kwetsbaarheid in de firewall-oplossing die het biedt waardoor een aanvaller willekeurige code op het onderliggende systeem kan uitvoeren. Eerder dit jaar was de Sophos Firewall ook al het doelwit van aanvallen, toen via een ander kritiek beveiligingslek. De nieuwe kwetsbaarheid (CVE-2022-3236) is aanwezig in de User Portal en Webadmin van de Sophos Firewall en maakte remote code execution mogelijk. Volgens Sophos wordt het beveiligingslek gebruikt bij aanvallen tegen een "klein aantal specifieke organisaties", voornamelijk in de Zuid-Aziatische regio. In maart van dit jaar werden organisaties in dit gebied via een andere kwetsbaarheid (CVE-2022-1040) aangevallen. Verdere details over de huidige aanvallen zijn niet gegeven. Sophos heeft een beveiligingsupdate uitgebracht om het probleem te verhelpen. Daarnaast stelt het securitybedrijf dat klanten zich kunnen beschermen door de User Portal en Webadmin niet toegankelijk vanaf internet te maken door de WAN-toegang hiertoe volledig uit te schakelen en in plaats daarvan een vpn te gebruiken.


Toename van aanvallen op webwinkels via Magento-lek

Er is een toename van het aanvallen op webwinkels waarbij een kritieke kwetsbaarheid in webshopsoftware Magento wordt gebruikt, zo stelt securitybedrijf Sansec. Adobe bracht in februari een noodpatch voor de kwetsbaarheid uit, die al voor het uitkomen van de update werd ingezet voor het compromitteren van webwinkels. Inmiddels zijn er meer dan zeven maanden verstreken, maar zijn er nog altijd webwinkels die nagelaten hebben de update te installeren. Op het moment dat Adobe de noodpatch uitrolde werd het lek volgens het softwarebedrijf bij "zeer beperkte gerichte aanvallen" ingezet. Volgens Sansec wint het gebruik van CVE-2022-24086 inmiddels onder cybercriminelen aan populariteit en is de kwetsbaarheid bij de meeste zaken die het onderzoekt betrokken. Via het beveiligingslek installeren aanvallers een remote acces trojan op de server waarmee er ook volledige toegang tot de database van de webwinkel wordt verkregen. Webwinkels die de Magento-update nog niet hebben geïnstalleerd worden opgeroepen dit alsnog te doen.


Grootste luchtvaartmaatschappij van Portugal gehackt

De ransomwaregroep die wist in te breken op systemen van TAP, de grootste luchtvaartmaatschappij van Portugal, heeft daar gegevens van vijf miljoen klanten gestolen en vervolgens op internet gelekt. In eerste instantie stelde TAP dat er geen klantgegevens waren buitgemaakt. De aanval deed zich vorige maand voor en werd opgeëist door de criminelen achter de de RagnarLocker-ransomware. Deze groep was eerder verantwoordelijk voor aanvallen op de Griekse gasnetbeheerder Desfa en Energias de Portugal, het grootste energiebedrijf van Portugal. Via Twitter verklaarde TAP dat er geen gegevens waren gecompromitteerd, maar op de eigen website meldde de ransomwaregroep dat er honderden gigabytes aan data was gestolen en het de persoonlijke gegevens van zeer veel klanten betrof. Dat blijkt inderdaad het geval te zijn. De gestolen klantgegevens bestaan uit namen, geboortedata, e-mailadressen, geslacht, nationaliteit, telefoonnummers, gesproken taal, adresgegevens en aanhef. De vijf miljoen gestolen en gelekte e-mailadressen zijn nu toegevoegd aan Have I Been Pwned. Via de zoekmachine is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt. Van de bij TAP buitgemaakte e-mailadressen was 72 procent al via een ander datalek bij de zoekmachine bekend.


GitHub-gebruikers doelwit van phishingaanval die ook 2FA-codes steelt

Gebruikers van het populaire ontwikkelaarsplatform GitHub zijn het doelwit van een nieuwe phishingaanval waarbij ook wordt geprobeerd om codes voor tweefactorauthenticatie (2FA) te stelen. Daarvoor waarschuwen GitHub en CircleCI. De laatstgenoemde is een populair devops-platform gebruikt voor softwareontwikkeling dat met GitHub is te integreren. Aanvallers versturen berichten die van CircleCI afkomstig lijken en stellen dat de ontvanger op GitHub moet inloggen om de nieuwe algemene voorwaarden te accepteren. De link in het bericht wijst echter naar een phishingpagina. Deze pagina probeert niet alleen de inloggegevens van GitHub-gebruikers te bemachtigen, maar in het geval ze 2FA hebben ingeschakeld ook hun 2FA-codes in real-time. Wanneer de aanvaller toegang tot het GitHub-account heeft verkregen maakt de aanvaller GitHub personal access tokens (PATs) aan, die als alternatief voor wachtwoorden zijn te gebruiken, worden OAuth-applicaties geautoriseerd en SSH-keys aan het account toegevoegd om toegang te behouden, mocht de gebruiker zijn wachtwoord wijzigen. Daarnaast download de aanvaller private repositories van de gecompromitteerde gebruiker. GitHub heeft inmiddels alle gedupeerde gebruikers en organisaties die het heeft kunnen identificeren gewaarschuwd en hun wachtwoorden gereset. Daarnaast zijn accounts van de aanvaller uitgeschakeld.


Systemen Albanese overheid geïnfiltreerd via drie jaar oud SharePoint-lek

De aanvallers die eerder dit jaar systemen van de Albanese overheid via ransomware en wiper-malware platlegden, hadden al veertien maanden toegang. Deze toegang hadden ze gekregen via een kwetsbaarheid in Microsoft Sharepoint (CVE-2019-0604) waarvoor Microsoft op 12 februari 2019 een beveiligingsupdate had uitgebracht. Deze patch was echter niet geïnstalleerd. Dat stellen de Amerikaanse autoriteiten en Microsoft, die vanuit Iran opererende actoren voor de aanval verantwoordelijk houden. De afgelopen maanden werden meerdere systemen van de Albanese overheid het doelwit van aanvallen, waaronder de overheidsportaal waar Albanezen officiële documenten kunnen aanvragen en afspraken met het consulaat kunnen maken. Eerder deze maand werd het informatiemanagementsysteem van de Albanese politie getroffen, dat informatie bevat over mensen die het land binnenkomen en verlaten. Bij de aanvallen werden bestanden versleutelt en permanent gewist via wiper-malware. Volgens de FBI en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) hadden de aanvallers al sinds vorig jaar toegang tot de Albanese overheidssystemen. Eerder liet ook Microsoft dit weten. De aanvallers zijn volgens de Amerikaanse overheidsdiensten binnengekomen via een ongepatchte SharePoint-server. Vervolgens werden webshells gebruikt om toegang tot de server te behouden en RDP, SMB en FTP om zich lateraal door het overheidsnetwerk te bewegen. De aanvallers wisten vervolgens ook een Exchange Server te compromitteren en verschillende mailboxes te doorzoeken. Uiteindelijk werd de ransomware en wiper-malware ingezet, waardoor systemen onbruikbaar achterbleven. Om dergelijke aanvallen te voorkomen adviseert het CISA onder andere om beschikbare beveiligingsupdates te installeren en de eigen omgeving op webshells te controleren, aangezien aanvallers deze programma's vaak gebruiken om toegang tot een gecompromitteerde server te behouden. Verder wordt aangeraden om Exchange Servers te monitoren op grote hoeveelheden data die worden gedownload.


Online bank Revolut geeft hack toe

Online bank Revolut heeft bevestigd dat het is getroffen door een zeer gerichte cyberaanval waardoor hackers toegang hebben gehad tot de persoonlijke gegevens van tienduizenden klanten. Revolut-woordvoerder Michael Bodansky vertelt aan TechCrunch dat een ‘ongeautoriseerde derde partij’ voor een korte periode toegang heeft gehad tot gegevens van nog geen 0,16 procent van zijn klanten Revolut ontdekte de kwaadaardige toegang op 10 september en isoleerde de aanval de volgende ochtend. Revolut, dat een bankvergunning heeft in Litouwen, kan niet precies zeggen hoeveel klanten getroffen zijn. Op de website staat dat het bedrijf ongeveer 20 miljoen klanten heeft; 0,16% zou zich vertalen naar ongeveer 32.000 klanten. Volgens de openbaarmaking van Revolut aan de autoriteiten in Litouwen, zou het echter gaan om 50.150 klanten. Vorig jaar haalde Revolut 800 miljoen dollar aan kapitaal op, waarmee de startup werd gewaardeerd op meer dan 33 miljard dollar.


2K Games getroffen door cyberaanval waarbij malware via helpdesk verstuurd werd

Uitgever 2K Games is slachtoffer geworden van een cyberaanval waarbij hackers de helpdesk van het bedrijf wisten binnen te dringen. Vervolgens zouden er mails met malware via het helpdeskaccount naar gamers gestuurd zijn. De cyberaanval vond op 20 september plaats, waarna er volgens het bedrijf mailtjes uit naam van de 2K-helpdesk naar gamers gestuurd zijn met daarin een link naar de zogenaamde nieuwe 2K-launcher. Daarom heeft 2K Games de helpdesk voorlopig gesloten. Alle recente e-mails van de helpdesk moeten dan ook als nep gezien worden. Voor zover bekend zijn er bij de cyberaanval geen gebruikersgegevens buitgemaakt; het lijkt alleen om een gecompromitteerd helpdeskaccount te gaan. 2K raadt slachtoffers aan om de e-mail en de daarin verzonden link niet te openen. Is dit al gebeurd, dan raadt het bedrijf aan om alle in de browser opgeslagen wachtwoorden te veranderen, tweestapsverificatie in te schakelen, een antivirusprogramma te gebruiken en te controleren of er geen e-mailinstellingen zijn veranderd. Uit onderzoek van BleepingComputer blijkt dat de neplauncher in de e-mails eigenlijk RedLine Stealer-malware is. Deze software wordt veelal gebruikt om lokaal opgeslagen inloggegevens te stelen. In dit geval zou het programma op zoek zijn gegaan naar gevoelige gegevens in bestanden van onder meer FileZilla, Discord, Steam en webbrowsers.


Microsoft en VMware waarschuwen voor aanval met ChromeLoader-malware

Microsoft en VMware waarschuwen voor een toename van aanvallen met de ChromeLoader-malware, die wachtwoorden en persoonlijke informatie steelt, advertenties toont en aanvullende malware kan installeren, waaronder malware die het systeem "vernietigt" of ransomware. Voor het verspreiden van de malware wordt gebruikgemaakt van malafide links in reacties op YouTube en Twitter en malafide advertenties. Die linken naar een ISO- of DMG-bestand dat een malafide Google Chrome-extensie installeert. Deze extensie kaapt zoekopdrachten van de gebruiker om advertenties te tonen. Ook steelt de malafide extensie in de browser opgeslagen wachtwoorden. De nieuwste varianten verspreiden ook malware die schadelijker voor gebruikers kan zijn, aldus een analyse van VMware. Zo plaatst ChromeLoader een "ZipBomb" op het systeem. De gebruiker moet dit bestand nog zelf openen, waarvoor allerlei verleidende bestandsnamen worden gebruikt. Eenmaal geopend zal de ZipBomb alle data op het systeem overschrijven en zo "vernietigen", zo stelt VMware. Daarnaast kan ChromeLoader ook tot een infectie met de Enigma-ransomware leiden. Om dergelijke aanvallen te voorkomen adviseert Microsoft het inschakelen van de potentially unwanted application (PUA) protection feature in Windows.


LockBit 3.0 builder gelekt op Twitter


American Airlines getroffen door datalek na phishingaanval op personeel

Luchtvaartmaatschappij American Airlines is slachtoffer van een datalek geworden nadat een aanvaller door middel van een phishingaanval toegang tot de e-mailaccounts van verschillende medewerkers kreeg. Dat blijkt uit een datalekmelding van American Airlines die door de procureur-generaal van de Amerikaanse staat Montana openbaar is gemaakt (pdf). Het datalek werd afgelopen juli ontdekt. Een "ongeautoriseerde actor" had de e-mailaccounts van een "beperkt aantal" American Airlines-medewerkers gecompromitteerd, aldus de datalekmelding. Een exact aantal medewerkers wordt niet genoemd. Tegenover Fox 13 laat de luchtvaartmaatschappij weten dat het om een phishingaanval ging. De gecompromitteerde e-mailaccounts bleken persoonlijke informatie van zowel reizigers als personeel te bevatten. Het gaat om verstrekte namen, geboortedata, e-mailadressen, telefoonnummers, e-mailadressen, rijbewijsnummers, paspoortnummers en medische informatie. Om herhaling te voorkomen zegt American Airlines dat het "aanvullende technische maatregelen" gaat nemen, maar laat niet weten wat die precies inhouden. Getroffen personen kunnen twee jaar kosteloos gebruikmaken van een dienst die waarschuwt wanneer persoonsgegevens voor frauduleuze doeleinden worden gebruikt.

Consumer Notification Letter 566
PDF – 254,5 KB 215 downloads

Uber wijst Lapsus$-hackers als daders van recente hack aan

Uber zegt dat de hackers die het bedrijf vorige week aanvielen, van de Lapsus$-groep waren. Lapsus$ is de afgelopen maanden hard gegroeid en bekender geworden. De aanvallers spamden een tweetrapsauthenticatieprompt op een werknemer, totdat die het verzoek accepteerde. Uber geeft in een bijgewerkte blogpost meer informatie over de grote hack waar het bedrijf vorige week mee te maken kreeg. Toen bleken aanvallers veel interne toegang te hebben gekregen tot bedrijfsinformatie. In de update herhaalt Uber wat het eerder al zei: dat er geen gegevens van gebruikers buit zijn gemaakt. Het bedrijf zegt nu ook voor het eerst dat de Lapsus$-hackersgroep vermoedelijk achter de aanval zit. Uber baseert zich daarbij op dezelfde aanvalsmethode die de groep eerder inzette. Lapsus$ is een groep van overwegend jonge hackers die sinds eind 2021 actief werd. De groep richt zich op grote bedrijven en probeert die te infiltreren en zo snel mogelijk veel informatie buit te maken. Lapsus$ lijkt niet geïnteresseerd in het verspreiden van ransomware of in het gijzelen van die informatie. De groep lijkt enigszins professioneel georganiseerd, maar veel minder dan de meeste cybercriminele bendes die wel ransomware versturen. De groep zat eerder al achter grote aanvallen op onder andere Microsoft. Begin dit jaar viel de groep managedserviceprovider Okta aan. Securityexperts vreesden toen voor mogelijk grote gevolgen waarbij kleinere bedrijven die klant waren van Okta zouden worden gehackt, maar die gevolgen bleven uit. Lapsus$ had waarschijnlijk niet genoeg informatie verzameld om grote schade aan te richten. Uber geeft in de update ook meer informatie over hoe de hackers te werk gingen. Ze zouden de inloggegevens van een externe werknemer online hebben gekocht. De laptop van die werknemer was eerder nog geïnfecteerd met malware en dat leidde ertoe dat de gegevens werden gestolen. Om in te loggen op het Uber-netwerk was tweetrapsauthenticatie nodig. De hackers bleven net zo lang een verzoek sturen totdat de werknemer die uiteindelijk accepteerde. Vanaf daar konden de aanvallers bij de gebruikersaccounts van andere werknemers komen. Ze konden daarna toegang krijgen tot de G-Suite-applicaties en Slack.


Hack bij online bank Revolut: gegevens tienduizenden Europeanen ingezien

De online bank Revolut is gehackt. Daarbij zijn persoonlijke gegevens van bijna 21.000 Europeanen in verkeerde handen gevallen. Het bedrijf wil tegenover RTL Nieuws niet zeggen om hoeveel Nederlanders het gaat. De aanvaller had geen toegang tot betaalrekeningen en er is ook geen geld gestolen, benadrukt een woordvoerder. De aanval vond plaats op 11 september. Daarbij wist de hacker voor een korte tijd toegang te krijgen tot persoonlijke gegevens van een klein aantal klanten. Die zijn inmiddels allemaal op de hoogte gesteld, zegt Revolut. "Klanten die geen e-mail hebben gehad, zijn niet getroffen." De hacker heeft inzage gehad in namen, e-mailadressen, telefoonnummers en adressen. Ook een overzicht van eerdere overboekingen zijn mogelijk in verkeerde handen gevallen. Wachtwoorden, pincodes, betaalkaartnummers en kopieën van identiteitsbewijzen zijn niet buitgemaakt, benadrukt Revolut. Klanten wordt geadviseerd om alert te zijn op verdachte telefoontjes, e-mailadressen of berichten. Criminelen kunnen de buitgemaakte informatie gebruiken om klanten op te lichten, bijvoorbeeld door slachtoffers uit naam van de bank te benaderen. Revolut is een relatief kleine bank. Het bedrijf is sinds 2017 in Nederland actief, maar heeft pas sinds dit jaar een bankvergunning. Omdat Revolut daarvoor een betaalinstelling was, kon geld overboeken via de Revolut-app bijvoorbeeld ook al.


Nieuwe BlackBit ransomware


Oost-Europees bedrijf opnieuw getroffen door DDoS-aanval van recordomvang

Het Oost-Europees bedrijf dat in juli doelwit was van een Distributed Denial of Service (DDoS)-aanval van recordomvang, is opnieuw getroffen door een zeer zware DDoS-aanval. Het gaat opnieuw om een record. Het gaat om een klant van Akamai Technologies, dat DDoS-mitigatiediensten levert. Het bedrijf laat in het midden om welk bedrijf het gaat, maar meldt wel dat het een Oost-Europese klant betreft. De partij is op 12 september voor de tweede maal op rij getroffen door een DDoS-aanval van recordomvang. Het bedrijf kreeg pieken van 704,8 Mpps aan aanvalsverkeer te verwerken. In totaal zijn 201 aanvallen uitgevoerd, waarmee 1.813 IP-adressen op de korrel zijn genomen. De aanval is hiermee zwaarder dan de aanval op het bedrijf in juli. Toen ging het om een DDoS-aanval met pieken van 659,6 Mpps. Aanvallers voerde toen 75 aanvallen op het bedrijf, waarmee zij 512 IP-adressen troggen. Akamai Technologies meldt ook dat de klant voor juni 2022 alleen te maken had met DDoS-aanvallen op zijn primaire datacenter. Het bedrijf beschikt daarnaast over 12 andere datacenters wereldwijd. Akamai meldt dat de aanval echter onverwachts werd uitgebreid naar zes datacenters van het bedrijf.


Rockstar bevestigt inbraak op systemen en diefstal van vertrouwelijke data

Videogameontwikkelaar Rockstar Games is slachtoffer geworden van een aanval waarbij is ingebroken op systemen en er vertrouwelijke informatie is buitgemaakt. Dat heeft het bedrijf in een verklaring op Twitter laten weten. Gisteren verschenen er tientallen video's van het nog niet verschenen Grand Theft Auto 6 online. De verantwoordelijke aanvaller stelde ook dat hij broncode van GTA 5 en GTA 6 in handen heeft, alsmede een vroege testversie van de laatstgenoemde titel. "We hebben recentelijk te maken gekregen met een netwerkinbraak waarbij een ongeautoriseerde derde partij illegaal onze systemen benaderde en vertrouwelijke informatie downloadde, waaronder vroege beelden van de volgende Grand Theft Auto", aldus Rockstar. De gameontwikkelaar verwacht niet dat de datadiefstal gevolgen heeft voor de ontwikkeling van het spel. Details over hoe de aanvaller de data kon stelen is niet bekendgemaakt. Grand Theft Auto 5 werd in 2013 gelanceerd. Vorig jaar werd bekend dat dit deel meer dan 6,4 miljard dollar aan inkomsten heeft gegenereerd. Wanneer deel zes precies zal verschijnen is nog onbekend. Het bedrijf betreurt dat er nu materiaal online is gekomen.


VS geeft aanpak specifieke ransomwaregroepen hogere prioriteit

De Amerikaanse autoriteiten gaan bij de aanpak van ransomware meer prioriteit geven aan het verstoren van bepaalde groepen criminelen. Daarnaast komt er een lijst met de gevaarlijkste ransomwaregroepen. Dat is het resultaat van het eerste overleg van de Joint Ransomware Task Force die door het Amerikaanse Congres is ingesteld om ransomware te bestrijden. De Ransomware Task Force bestaat uit experts van opsporingsdiensten, bedrijfsleven, overheid en internationale organisaties. Het eerste overleg van de Task Force werd geleid door het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en de Federal Bureau of Investigation (FBI) en stond in het teken van een beter gecoördineerde ransomware-aanpak en op welke wijze de voortgang in de strijd tegen ransomware is te meten. Er werden een aantal zaken overeengekomen. Zo krijgt het verstoren van specifieke ransomwaregroepen een hogere prioriteit, gaan de private en publieke sector nauwer samenwerken, onder andere op het gebied van defensieve maatregelen om ransomware-infecties te voorkomen, komt er een lijst met de gevaarlijkste ransomwaregroepen die continu wordt bijgewerkt en zal de Task Force trends op het gebied van ransomware verzamelen, delen en analyseren. Volgens Eric Goldstein van het CISA is er een nauwe samenwerking tussen de publieke en private sectoren nodig om het aantal ransomware-aanvallen en de impact daarvan te beperken. "Met onze partners bij de FBI en andere overheidsinstanties, en profiterend van de expertise en mogelijkheden van de private sector, zal deze taskforce de noodzakelijke stappen nemen om onze inzet samen te laten lopen en acties te implementeren die tot een toekomst kunnen leiden waar ransomware niet langer meer Amerikaanse organisaties raakt."


LastPass-hackers hadden vier dagen toegang tot interne systemen

De cybercriminelen die in augustus LastPass hackten, hadden vier dagen toegang tot de systemen van het bedrijf. LastPass komt met de conclusie na onderzoek in samenwerking met Mandiant. De hackers slaagden erin toegang tot de systemen te krijgen door een endpoint van een LastPass-medewerker te compromitteren. Hiermee kregen zij toegang tot de ontwikkelomgeving. Vervolgens konden zij langer in de omgeving aanwezig blijven door zich als de onfortuinlijke ontwikkelaar voor te doen. Dit nadat hij zichzelf succesvol authenticeerde met behulp van multi-factor authenticatie. Tijdens de aanwezigheid van de hackers is geen belangrijke informatie buitgemaakt, stellen de onderzoekers. De beveiligingssystemen hebben daarvoor gezorgd, ondanks de toegang. De hackers kregen op deze manier geen toegang tot klantengegevens of tot de versleutelde wachtwoordkluizen van klanten. Ook na het bestuderen van de broncode van LastPass en diverse builds is gebleken dat de hackers geen kwaadaardige code hebben geïnjecteerd. Ook hier hebben de productiestadia van de code dit voorkomen, aldus LastPass. Voor het voorkomen van toekomstige hacks heeft LastPass uitgebreidere security- en monitoringsfunctionaliteit voor alle endpoints binnen de organisatie uitgerold. Ook zijn er extra threat intelligencemogelijkheden en verbeterde detectie- en preventietechnologie uitgerold voor de ontwikkel- en productie-omgevingen.

Notice Of Recent Security Incident
PDF – 45,8 KB 271 downloads

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten