First click here and then choose your language with the Google translate bar at the top of this page ↑
Grootste luchtvaartmaatschappij van Portugal gehackt, LastPass-hackers hadden vier dagen toegang tot interne systemen en 2K Games getroffen door cyberaanval waarbij malware via helpdesk verstuurd werd. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Meer dan 6.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes omdat ze weigerden te betalen. Als je betaald wordt er geen data gelekt en kom je niet op deze lijst.. ‘Zo'n 80% van de organisaties betaalt losgeld’ 🤔
LAATSTE WIJZIGING: 26-september-2022 | Aantal slachtoffers: 6.296
Week overzicht
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
Samuel Ryder Academy | Vice Society | www.samuelryderacademy.co.uk | UK |
KOLLITSCH | Black Basta | www.kollitsch.eu | Austria |
smartschoiceit.com | STORMOUS | smartschoiceit.com | India |
croninfotek.com | STORMOUS | croninfotek.com | India |
rakinformatics.com | STORMOUS | rakinformatics.com | India |
Control | STORMOUS | medicacontrol.com | Mexico |
SolarCraft | BlackCat (ALPHV) | solarcraft.com | USA |
Hughes Systems Industrial | AvosLocker | hsitx.com | USA |
ifwglobal.com | LockBit | ifwglobal.com | Australia |
uide.edu.ec | LockBit | uide.edu.ec | Ecuador |
yourprivateitaly.com | LockBit | yourprivateitaly.com | Italy |
webnordeste.com.br | LockBit | webnordeste.com.br | Brazil |
idtech.com.tw | LockBit | idtech.com.tw | Taiwan |
scrd.ca | LockBit | scrd.ca | Canada |
thorguard.com | LockBit | thorguard.com | USA |
congerbuilt.com | LockBit | congerbuilt.com | USA |
rbroof.com | LockBit | rbroof.com | USA |
parrottsims.com | LockBit | parrottsims.com | USA |
Cornerstone Insurance Group | Black Basta | cornerstoneinsgrp.com | USA |
Longhorn Investments | BlackCat (ALPHV) | www.longhorninvestments.com | USA |
GSE - Gestore Servizi Energetici | BlackCat (ALPHV) | www.gse.it | Italy |
Boyes Turner LLP | BlackCat (ALPHV) | www.boyesturner.com | UK |
GRUPO COPISAÂ | Sparta | www.grupocopisa.com | Spain |
School of Oriental African Studies | Vice Society | www.soas.ac.uk | UK |
Ministerio de EconomÃa Argentina | Everest | www.argentina.gob.ar | Argentina |
www.bbadmin.com | RedAlert | www.bbadmin.com | USA |
BHARBERT | Hive | www.blharbert.com | USA |
atlantisholidays | z6wkg | www.atlantisholidays.com | United Arab Emirates |
archimages inc | z6wkg | archimages-stl.com | USA |
ALTlTUDE AEROSPACE INC | z6wkg | www.altitudeaero.com | Canada |
Fonderia Boccacci | z6wkg | www.fonderiaboccacci.it | Italy |
Zelena Laguna Hotel | z6wkg | zelenalaguna.sk | Slovakia |
LEGAZPIBANK | z6wkg | legazpibank.com.ph | Philippines |
MCCLEAN16 | z6wkg | www.mcclean-gmbh.de | Germany |
lawtrade | z6wkg | www.lawtrades.com | USA |
Autosoft company | z6wkg | Unknown | Unknown |
BIOPLAN | z6wkg | Unknown | Unknown |
Dyatech | z6wkg | www.dyatech.com | USA |
DGLEGAL | z6wkg | dglegal.co.uk | UK |
emscrm | z6wkg | emscrm.com | USA |
MIDAS | z6wkg | midashospitality.com | USA |
AURIS KONINKLIJKE AURIS GROEP | z6wkg | auris.nl | Netherlands |
fidelityunited.ae | z6wkg | fidelityunited.ae | United Arab Emirates |
goldcreekfoods | z6wkg | www.goldcreekfoods.com | USA |
exheat.com | z6wkg | exheat.com | UK |
hwrpc.com | z6wkg | hwrpc.com | USA |
Salmon Software | z6wkg | salmonsoftware.ie | Ireland |
tristatefabricators_inc | z6wkg | tristatefabricators.com | USA |
Admiral Merchants | Black Basta | admiral.ammf.com | USA |
Foreman Watson Land Title, LLC. | Black Basta | foremanwatsonlandtitle.com | USA |
Mainstream Global Inc. | RansomHouse | www.mainstream-global.com | USA |
CORNERSTONE | Black Basta | cornerstoneinsgrp.com | USA |
Sierra College | Vice Society | www.sierracollege.edu | USA |
Sigmund Software | Hive | www.sigmundsoftware.com | USA |
elementnor.no | LockBit | elementnor.no | Norway |
CARITAS | BlackCat (ALPHV) | www.caritas.org | Italy |
okibrasil.com | LockBit | okibrasil.com | Brazil |
ducanh.com | LockBit | ducanh.com | Vietnam |
psi.com.tw | LockBit | psi.com.tw | Taiwan |
mts.mektec.com | LockBit | mts.mektec.com | Thailand |
franckbeun.fr | LockBit | franckbeun.fr | France |
Carmen Copper Corporation | RansomHouse | atlasmining.com.ph | Philippines |
Zeus Scientific Inc | AvosLocker | zeusscientific.com | USA |
New York Racing Association | Hive | www.nyrainc.com | USA |
hering-heinz.de | LockBit | hering-heinz.de | Germany |
Slachtoffers Belgie en Nederland
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
AURIS KONINKLIJKE AURIS GROEP | z6wkg | auris.nl | Netherlands |
In samenwerking met DarkTracer
Top 3 cybercrime groepen met de meeste slachtoffers
Groepering | Aantal slachtoffers | ||
---|---|---|---|
1 | LockBit | 1142 | Nog actief |
2 | Conti | 674 | Niet meer actief |
3 | REvil | 246 | Nog actief |
Sophos waarschuwt voor actief aangevallen kwetsbaarheid in firewall
Securitybedrijf Sophos waarschuwt klanten voor een actief aangevallen kwetsbaarheid in de firewall-oplossing die het biedt waardoor een aanvaller willekeurige code op het onderliggende systeem kan uitvoeren. Eerder dit jaar was de Sophos Firewall ook al het doelwit van aanvallen, toen via een ander kritiek beveiligingslek. De nieuwe kwetsbaarheid (CVE-2022-3236) is aanwezig in de User Portal en Webadmin van de Sophos Firewall en maakte remote code execution mogelijk. Volgens Sophos wordt het beveiligingslek gebruikt bij aanvallen tegen een "klein aantal specifieke organisaties", voornamelijk in de Zuid-Aziatische regio. In maart van dit jaar werden organisaties in dit gebied via een andere kwetsbaarheid (CVE-2022-1040) aangevallen. Verdere details over de huidige aanvallen zijn niet gegeven. Sophos heeft een beveiligingsupdate uitgebracht om het probleem te verhelpen. Daarnaast stelt het securitybedrijf dat klanten zich kunnen beschermen door de User Portal en Webadmin niet toegankelijk vanaf internet te maken door de WAN-toegang hiertoe volledig uit te schakelen en in plaats daarvan een vpn te gebruiken.
Toename van aanvallen op webwinkels via Magento-lek
Er is een toename van het aanvallen op webwinkels waarbij een kritieke kwetsbaarheid in webshopsoftware Magento wordt gebruikt, zo stelt securitybedrijf Sansec. Adobe bracht in februari een noodpatch voor de kwetsbaarheid uit, die al voor het uitkomen van de update werd ingezet voor het compromitteren van webwinkels. Inmiddels zijn er meer dan zeven maanden verstreken, maar zijn er nog altijd webwinkels die nagelaten hebben de update te installeren. Op het moment dat Adobe de noodpatch uitrolde werd het lek volgens het softwarebedrijf bij "zeer beperkte gerichte aanvallen" ingezet. Volgens Sansec wint het gebruik van CVE-2022-24086 inmiddels onder cybercriminelen aan populariteit en is de kwetsbaarheid bij de meeste zaken die het onderzoekt betrokken. Via het beveiligingslek installeren aanvallers een remote acces trojan op de server waarmee er ook volledige toegang tot de database van de webwinkel wordt verkregen. Webwinkels die de Magento-update nog niet hebben geïnstalleerd worden opgeroepen dit alsnog te doen.
Grootste luchtvaartmaatschappij van Portugal gehackt
De ransomwaregroep die wist in te breken op systemen van TAP, de grootste luchtvaartmaatschappij van Portugal, heeft daar gegevens van vijf miljoen klanten gestolen en vervolgens op internet gelekt. In eerste instantie stelde TAP dat er geen klantgegevens waren buitgemaakt. De aanval deed zich vorige maand voor en werd opgeëist door de criminelen achter de de RagnarLocker-ransomware. Deze groep was eerder verantwoordelijk voor aanvallen op de Griekse gasnetbeheerder Desfa en Energias de Portugal, het grootste energiebedrijf van Portugal. Via Twitter verklaarde TAP dat er geen gegevens waren gecompromitteerd, maar op de eigen website meldde de ransomwaregroep dat er honderden gigabytes aan data was gestolen en het de persoonlijke gegevens van zeer veel klanten betrof. Dat blijkt inderdaad het geval te zijn. De gestolen klantgegevens bestaan uit namen, geboortedata, e-mailadressen, geslacht, nationaliteit, telefoonnummers, gesproken taal, adresgegevens en aanhef. De vijf miljoen gestolen en gelekte e-mailadressen zijn nu toegevoegd aan Have I Been Pwned. Via de zoekmachine is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt. Van de bij TAP buitgemaakte e-mailadressen was 72 procent al via een ander datalek bij de zoekmachine bekend.
New breach: TAP Air Portugal had over 5M unique customer records published online after a ransomware attack last month. Data included names, genders, DoBs, phone numbers and physical addresses. 72% were already in @haveibeenpwned. Read more: https://t.co/crtgwVetOw
— Have I Been Pwned (@haveibeenpwned) September 23, 2022
TAP was the target of a cyber-attack, now blocked. Operational integrity is guaranteed. No facts have been found that allow us to conclude that there has been improper access to customer data. The website and app still have some instability. Thank you for your understanding. pic.twitter.com/zQASbpNtXx
— TAP Air Portugal (@tapairportugal) August 26, 2022
GitHub-gebruikers doelwit van phishingaanval die ook 2FA-codes steelt
Gebruikers van het populaire ontwikkelaarsplatform GitHub zijn het doelwit van een nieuwe phishingaanval waarbij ook wordt geprobeerd om codes voor tweefactorauthenticatie (2FA) te stelen. Daarvoor waarschuwen GitHub en CircleCI. De laatstgenoemde is een populair devops-platform gebruikt voor softwareontwikkeling dat met GitHub is te integreren. Aanvallers versturen berichten die van CircleCI afkomstig lijken en stellen dat de ontvanger op GitHub moet inloggen om de nieuwe algemene voorwaarden te accepteren. De link in het bericht wijst echter naar een phishingpagina. Deze pagina probeert niet alleen de inloggegevens van GitHub-gebruikers te bemachtigen, maar in het geval ze 2FA hebben ingeschakeld ook hun 2FA-codes in real-time. Wanneer de aanvaller toegang tot het GitHub-account heeft verkregen maakt de aanvaller GitHub personal access tokens (PATs) aan, die als alternatief voor wachtwoorden zijn te gebruiken, worden OAuth-applicaties geautoriseerd en SSH-keys aan het account toegevoegd om toegang te behouden, mocht de gebruiker zijn wachtwoord wijzigen. Daarnaast download de aanvaller private repositories van de gecompromitteerde gebruiker. GitHub heeft inmiddels alle gedupeerde gebruikers en organisaties die het heeft kunnen identificeren gewaarschuwd en hun wachtwoorden gereset. Daarnaast zijn accounts van de aanvaller uitgeschakeld.
Systemen Albanese overheid geïnfiltreerd via drie jaar oud SharePoint-lek
De aanvallers die eerder dit jaar systemen van de Albanese overheid via ransomware en wiper-malware platlegden, hadden al veertien maanden toegang. Deze toegang hadden ze gekregen via een kwetsbaarheid in Microsoft Sharepoint (CVE-2019-0604) waarvoor Microsoft op 12 februari 2019 een beveiligingsupdate had uitgebracht. Deze patch was echter niet geïnstalleerd. Dat stellen de Amerikaanse autoriteiten en Microsoft, die vanuit Iran opererende actoren voor de aanval verantwoordelijk houden. De afgelopen maanden werden meerdere systemen van de Albanese overheid het doelwit van aanvallen, waaronder de overheidsportaal waar Albanezen officiële documenten kunnen aanvragen en afspraken met het consulaat kunnen maken. Eerder deze maand werd het informatiemanagementsysteem van de Albanese politie getroffen, dat informatie bevat over mensen die het land binnenkomen en verlaten. Bij de aanvallen werden bestanden versleutelt en permanent gewist via wiper-malware. Volgens de FBI en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) hadden de aanvallers al sinds vorig jaar toegang tot de Albanese overheidssystemen. Eerder liet ook Microsoft dit weten. De aanvallers zijn volgens de Amerikaanse overheidsdiensten binnengekomen via een ongepatchte SharePoint-server. Vervolgens werden webshells gebruikt om toegang tot de server te behouden en RDP, SMB en FTP om zich lateraal door het overheidsnetwerk te bewegen. De aanvallers wisten vervolgens ook een Exchange Server te compromitteren en verschillende mailboxes te doorzoeken. Uiteindelijk werd de ransomware en wiper-malware ingezet, waardoor systemen onbruikbaar achterbleven. Om dergelijke aanvallen te voorkomen adviseert het CISA onder andere om beschikbare beveiligingsupdates te installeren en de eigen omgeving op webshells te controleren, aangezien aanvallers deze programma's vaak gebruiken om toegang tot een gecompromitteerde server te behouden. Verder wordt aangeraden om Exchange Servers te monitoren op grote hoeveelheden data die worden gedownload.
Online bank Revolut geeft hack toe
Online bank Revolut heeft bevestigd dat het is getroffen door een zeer gerichte cyberaanval waardoor hackers toegang hebben gehad tot de persoonlijke gegevens van tienduizenden klanten. Revolut-woordvoerder Michael Bodansky vertelt aan TechCrunch dat een ‘ongeautoriseerde derde partij’ voor een korte periode toegang heeft gehad tot gegevens van nog geen 0,16 procent van zijn klanten Revolut ontdekte de kwaadaardige toegang op 10 september en isoleerde de aanval de volgende ochtend. Revolut, dat een bankvergunning heeft in Litouwen, kan niet precies zeggen hoeveel klanten getroffen zijn. Op de website staat dat het bedrijf ongeveer 20 miljoen klanten heeft; 0,16% zou zich vertalen naar ongeveer 32.000 klanten. Volgens de openbaarmaking van Revolut aan de autoriteiten in Litouwen, zou het echter gaan om 50.150 klanten. Vorig jaar haalde Revolut 800 miljoen dollar aan kapitaal op, waarmee de startup werd gewaardeerd op meer dan 33 miljard dollar.
2K Games getroffen door cyberaanval waarbij malware via helpdesk verstuurd werd
Uitgever 2K Games is slachtoffer geworden van een cyberaanval waarbij hackers de helpdesk van het bedrijf wisten binnen te dringen. Vervolgens zouden er mails met malware via het helpdeskaccount naar gamers gestuurd zijn. De cyberaanval vond op 20 september plaats, waarna er volgens het bedrijf mailtjes uit naam van de 2K-helpdesk naar gamers gestuurd zijn met daarin een link naar de zogenaamde nieuwe 2K-launcher. Daarom heeft 2K Games de helpdesk voorlopig gesloten. Alle recente e-mails van de helpdesk moeten dan ook als nep gezien worden. Voor zover bekend zijn er bij de cyberaanval geen gebruikersgegevens buitgemaakt; het lijkt alleen om een gecompromitteerd helpdeskaccount te gaan. 2K raadt slachtoffers aan om de e-mail en de daarin verzonden link niet te openen. Is dit al gebeurd, dan raadt het bedrijf aan om alle in de browser opgeslagen wachtwoorden te veranderen, tweestapsverificatie in te schakelen, een antivirusprogramma te gebruiken en te controleren of er geen e-mailinstellingen zijn veranderd. Uit onderzoek van BleepingComputer blijkt dat de neplauncher in de e-mails eigenlijk RedLine Stealer-malware is. Deze software wordt veelal gebruikt om lokaal opgeslagen inloggegevens te stelen. In dit geval zou het programma op zoek zijn gegaan naar gevoelige gegevens in bestanden van onder meer FileZilla, Discord, Steam en webbrowsers.
Hey folks, please read an important message from our Customer Support team. Thank you. pic.twitter.com/yKI18eL7mY
— 2K Support (@2KSupport) September 20, 2022
Microsoft en VMware waarschuwen voor aanval met ChromeLoader-malware
Microsoft en VMware waarschuwen voor een toename van aanvallen met de ChromeLoader-malware, die wachtwoorden en persoonlijke informatie steelt, advertenties toont en aanvullende malware kan installeren, waaronder malware die het systeem "vernietigt" of ransomware. Voor het verspreiden van de malware wordt gebruikgemaakt van malafide links in reacties op YouTube en Twitter en malafide advertenties. Die linken naar een ISO- of DMG-bestand dat een malafide Google Chrome-extensie installeert. Deze extensie kaapt zoekopdrachten van de gebruiker om advertenties te tonen. Ook steelt de malafide extensie in de browser opgeslagen wachtwoorden. De nieuwste varianten verspreiden ook malware die schadelijker voor gebruikers kan zijn, aldus een analyse van VMware. Zo plaatst ChromeLoader een "ZipBomb" op het systeem. De gebruiker moet dit bestand nog zelf openen, waarvoor allerlei verleidende bestandsnamen worden gebruikt. Eenmaal geopend zal de ZipBomb alle data op het systeem overschrijven en zo "vernietigen", zo stelt VMware. Daarnaast kan ChromeLoader ook tot een infectie met de Enigma-ransomware leiden. Om dergelijke aanvallen te voorkomen adviseert Microsoft het inschakelen van de potentially unwanted application (PUA) protection feature in Windows.
Microsoft researchers are tracking an ongoing wide-ranging click fraud campaign where attackers monetize clicks generated by a browser node-webkit or malicious browser extension secretly installed on devices. Microsoft attributes the attack to a threat actor tracked as DEV-0796. pic.twitter.com/v6sexKgDSg
— Microsoft Security Intelligence (@MsftSecIntel) September 16, 2022
LockBit 3.0 builder gelekt op Twitter
Unknown person @ali_qushji said his team has hacked the LockBit servers and found the possible builder of LockBit Black (3.0) Ransomware. You can check it on the GitHub repository https://t.co/wkaTaGA8y7 pic.twitter.com/cPSYipyIgs
— 3xp0rt (@3xp0rtblog) September 21, 2022
American Airlines getroffen door datalek na phishingaanval op personeel
Luchtvaartmaatschappij American Airlines is slachtoffer van een datalek geworden nadat een aanvaller door middel van een phishingaanval toegang tot de e-mailaccounts van verschillende medewerkers kreeg. Dat blijkt uit een datalekmelding van American Airlines die door de procureur-generaal van de Amerikaanse staat Montana openbaar is gemaakt (pdf). Het datalek werd afgelopen juli ontdekt. Een "ongeautoriseerde actor" had de e-mailaccounts van een "beperkt aantal" American Airlines-medewerkers gecompromitteerd, aldus de datalekmelding. Een exact aantal medewerkers wordt niet genoemd. Tegenover Fox 13 laat de luchtvaartmaatschappij weten dat het om een phishingaanval ging. De gecompromitteerde e-mailaccounts bleken persoonlijke informatie van zowel reizigers als personeel te bevatten. Het gaat om verstrekte namen, geboortedata, e-mailadressen, telefoonnummers, e-mailadressen, rijbewijsnummers, paspoortnummers en medische informatie. Om herhaling te voorkomen zegt American Airlines dat het "aanvullende technische maatregelen" gaat nemen, maar laat niet weten wat die precies inhouden. Getroffen personen kunnen twee jaar kosteloos gebruikmaken van een dienst die waarschuwt wanneer persoonsgegevens voor frauduleuze doeleinden worden gebruikt.
Uber wijst Lapsus$-hackers als daders van recente hack aan
Uber zegt dat de hackers die het bedrijf vorige week aanvielen, van de Lapsus$-groep waren. Lapsus$ is de afgelopen maanden hard gegroeid en bekender geworden. De aanvallers spamden een tweetrapsauthenticatieprompt op een werknemer, totdat die het verzoek accepteerde. Uber geeft in een bijgewerkte blogpost meer informatie over de grote hack waar het bedrijf vorige week mee te maken kreeg. Toen bleken aanvallers veel interne toegang te hebben gekregen tot bedrijfsinformatie. In de update herhaalt Uber wat het eerder al zei: dat er geen gegevens van gebruikers buit zijn gemaakt. Het bedrijf zegt nu ook voor het eerst dat de Lapsus$-hackersgroep vermoedelijk achter de aanval zit. Uber baseert zich daarbij op dezelfde aanvalsmethode die de groep eerder inzette. Lapsus$ is een groep van overwegend jonge hackers die sinds eind 2021 actief werd. De groep richt zich op grote bedrijven en probeert die te infiltreren en zo snel mogelijk veel informatie buit te maken. Lapsus$ lijkt niet geïnteresseerd in het verspreiden van ransomware of in het gijzelen van die informatie. De groep lijkt enigszins professioneel georganiseerd, maar veel minder dan de meeste cybercriminele bendes die wel ransomware versturen. De groep zat eerder al achter grote aanvallen op onder andere Microsoft. Begin dit jaar viel de groep managedserviceprovider Okta aan. Securityexperts vreesden toen voor mogelijk grote gevolgen waarbij kleinere bedrijven die klant waren van Okta zouden worden gehackt, maar die gevolgen bleven uit. Lapsus$ had waarschijnlijk niet genoeg informatie verzameld om grote schade aan te richten. Uber geeft in de update ook meer informatie over hoe de hackers te werk gingen. Ze zouden de inloggegevens van een externe werknemer online hebben gekocht. De laptop van die werknemer was eerder nog geïnfecteerd met malware en dat leidde ertoe dat de gegevens werden gestolen. Om in te loggen op het Uber-netwerk was tweetrapsauthenticatie nodig. De hackers bleven net zo lang een verzoek sturen totdat de werknemer die uiteindelijk accepteerde. Vanaf daar konden de aanvallers bij de gebruikersaccounts van andere werknemers komen. Ze konden daarna toegang krijgen tot de G-Suite-applicaties en Slack.
Hack bij online bank Revolut: gegevens tienduizenden Europeanen ingezien
De online bank Revolut is gehackt. Daarbij zijn persoonlijke gegevens van bijna 21.000 Europeanen in verkeerde handen gevallen. Het bedrijf wil tegenover RTL Nieuws niet zeggen om hoeveel Nederlanders het gaat. De aanvaller had geen toegang tot betaalrekeningen en er is ook geen geld gestolen, benadrukt een woordvoerder. De aanval vond plaats op 11 september. Daarbij wist de hacker voor een korte tijd toegang te krijgen tot persoonlijke gegevens van een klein aantal klanten. Die zijn inmiddels allemaal op de hoogte gesteld, zegt Revolut. "Klanten die geen e-mail hebben gehad, zijn niet getroffen." De hacker heeft inzage gehad in namen, e-mailadressen, telefoonnummers en adressen. Ook een overzicht van eerdere overboekingen zijn mogelijk in verkeerde handen gevallen. Wachtwoorden, pincodes, betaalkaartnummers en kopieën van identiteitsbewijzen zijn niet buitgemaakt, benadrukt Revolut. Klanten wordt geadviseerd om alert te zijn op verdachte telefoontjes, e-mailadressen of berichten. Criminelen kunnen de buitgemaakte informatie gebruiken om klanten op te lichten, bijvoorbeeld door slachtoffers uit naam van de bank te benaderen. Revolut is een relatief kleine bank. Het bedrijf is sinds 2017 in Nederland actief, maar heeft pas sinds dit jaar een bankvergunning. Omdat Revolut daarvoor een betaalinstelling was, kon geld overboeken via de Revolut-app bijvoorbeeld ook al.
Nieuwe BlackBit ransomware
BlackBit Ransomware; Extension: .BlackBit (also prepends victim's ID and developers' email address); Ransom notes: Restore-My-Files.txt, info.hta and desktop wallpaperhttps://t.co/KjgOZi64wZ@Amigo_A_ @LawrenceAbrams @demonslay335 @struppigel @JakubKroustek
— PCrisk (@pcrisk) September 20, 2022
Oost-Europees bedrijf opnieuw getroffen door DDoS-aanval van recordomvang
Het Oost-Europees bedrijf dat in juli doelwit was van een Distributed Denial of Service (DDoS)-aanval van recordomvang, is opnieuw getroffen door een zeer zware DDoS-aanval. Het gaat opnieuw om een record. Het gaat om een klant van Akamai Technologies, dat DDoS-mitigatiediensten levert. Het bedrijf laat in het midden om welk bedrijf het gaat, maar meldt wel dat het een Oost-Europese klant betreft. De partij is op 12 september voor de tweede maal op rij getroffen door een DDoS-aanval van recordomvang. Het bedrijf kreeg pieken van 704,8 Mpps aan aanvalsverkeer te verwerken. In totaal zijn 201 aanvallen uitgevoerd, waarmee 1.813 IP-adressen op de korrel zijn genomen. De aanval is hiermee zwaarder dan de aanval op het bedrijf in juli. Toen ging het om een DDoS-aanval met pieken van 659,6 Mpps. Aanvallers voerde toen 75 aanvallen op het bedrijf, waarmee zij 512 IP-adressen troggen. Akamai Technologies meldt ook dat de klant voor juni 2022 alleen te maken had met DDoS-aanvallen op zijn primaire datacenter. Het bedrijf beschikt daarnaast over 12 andere datacenters wereldwijd. Akamai meldt dat de aanval echter onverwachts werd uitgebreid naar zes datacenters van het bedrijf.
Rockstar bevestigt inbraak op systemen en diefstal van vertrouwelijke data
Videogameontwikkelaar Rockstar Games is slachtoffer geworden van een aanval waarbij is ingebroken op systemen en er vertrouwelijke informatie is buitgemaakt. Dat heeft het bedrijf in een verklaring op Twitter laten weten. Gisteren verschenen er tientallen video's van het nog niet verschenen Grand Theft Auto 6 online. De verantwoordelijke aanvaller stelde ook dat hij broncode van GTA 5 en GTA 6 in handen heeft, alsmede een vroege testversie van de laatstgenoemde titel. "We hebben recentelijk te maken gekregen met een netwerkinbraak waarbij een ongeautoriseerde derde partij illegaal onze systemen benaderde en vertrouwelijke informatie downloadde, waaronder vroege beelden van de volgende Grand Theft Auto", aldus Rockstar. De gameontwikkelaar verwacht niet dat de datadiefstal gevolgen heeft voor de ontwikkeling van het spel. Details over hoe de aanvaller de data kon stelen is niet bekendgemaakt. Grand Theft Auto 5 werd in 2013 gelanceerd. Vorig jaar werd bekend dat dit deel meer dan 6,4 miljard dollar aan inkomsten heeft gegenereerd. Wanneer deel zes precies zal verschijnen is nog onbekend. Het bedrijf betreurt dat er nu materiaal online is gekomen.
A Message from Rockstar Games pic.twitter.com/T4Wztu8RW8
— Rockstar Games (@RockstarGames) September 19, 2022
VS geeft aanpak specifieke ransomwaregroepen hogere prioriteit
De Amerikaanse autoriteiten gaan bij de aanpak van ransomware meer prioriteit geven aan het verstoren van bepaalde groepen criminelen. Daarnaast komt er een lijst met de gevaarlijkste ransomwaregroepen. Dat is het resultaat van het eerste overleg van de Joint Ransomware Task Force die door het Amerikaanse Congres is ingesteld om ransomware te bestrijden. De Ransomware Task Force bestaat uit experts van opsporingsdiensten, bedrijfsleven, overheid en internationale organisaties. Het eerste overleg van de Task Force werd geleid door het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en de Federal Bureau of Investigation (FBI) en stond in het teken van een beter gecoördineerde ransomware-aanpak en op welke wijze de voortgang in de strijd tegen ransomware is te meten. Er werden een aantal zaken overeengekomen. Zo krijgt het verstoren van specifieke ransomwaregroepen een hogere prioriteit, gaan de private en publieke sector nauwer samenwerken, onder andere op het gebied van defensieve maatregelen om ransomware-infecties te voorkomen, komt er een lijst met de gevaarlijkste ransomwaregroepen die continu wordt bijgewerkt en zal de Task Force trends op het gebied van ransomware verzamelen, delen en analyseren. Volgens Eric Goldstein van het CISA is er een nauwe samenwerking tussen de publieke en private sectoren nodig om het aantal ransomware-aanvallen en de impact daarvan te beperken. "Met onze partners bij de FBI en andere overheidsinstanties, en profiterend van de expertise en mogelijkheden van de private sector, zal deze taskforce de noodzakelijke stappen nemen om onze inzet samen te laten lopen en acties te implementeren die tot een toekomst kunnen leiden waar ransomware niet langer meer Amerikaanse organisaties raakt."
LastPass-hackers hadden vier dagen toegang tot interne systemen
De cybercriminelen die in augustus LastPass hackten, hadden vier dagen toegang tot de systemen van het bedrijf. LastPass komt met de conclusie na onderzoek in samenwerking met Mandiant. De hackers slaagden erin toegang tot de systemen te krijgen door een endpoint van een LastPass-medewerker te compromitteren. Hiermee kregen zij toegang tot de ontwikkelomgeving. Vervolgens konden zij langer in de omgeving aanwezig blijven door zich als de onfortuinlijke ontwikkelaar voor te doen. Dit nadat hij zichzelf succesvol authenticeerde met behulp van multi-factor authenticatie. Tijdens de aanwezigheid van de hackers is geen belangrijke informatie buitgemaakt, stellen de onderzoekers. De beveiligingssystemen hebben daarvoor gezorgd, ondanks de toegang. De hackers kregen op deze manier geen toegang tot klantengegevens of tot de versleutelde wachtwoordkluizen van klanten. Ook na het bestuderen van de broncode van LastPass en diverse builds is gebleken dat de hackers geen kwaadaardige code hebben geïnjecteerd. Ook hier hebben de productiestadia van de code dit voorkomen, aldus LastPass. Voor het voorkomen van toekomstige hacks heeft LastPass uitgebreidere security- en monitoringsfunctionaliteit voor alle endpoints binnen de organisatie uitgerold. Ook zijn er extra threat intelligencemogelijkheden en verbeterde detectie- en preventietechnologie uitgerold voor de ontwikkel- en productie-omgevingen.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 46-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 45-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language