First click here and then choose your language with the Google translate bar at the top of this page ↑
Ransomware gebruikt Avast-driver voor uitschakelen antivirus, Duitse kranten wegens ransomware-aanval niet op papier uitgegeven en bibliotheek Rotterdam kan door cyberaanval geen boeken uitlenen. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Meer dan 6.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes omdat ze weigerden te betalen. Als je betaald wordt er geen data gelekt en kom je niet op deze lijst.. ‘Zo'n 80% van de organisaties betaalt losgeld’ 🤔
LAATSTE WIJZIGING: 24-oktober-2022 | 08:09 | Aantal slachtoffers: 6.495
Week overzicht
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
Kenosha Unified School District | Snatch | www.kusd.edu | USA |
rjyoung.com | BlackCat (ALPHV) | rjyoung.com | USA |
mdaemon technologies | BlackCat (ALPHV) | www.mdaemon.com | USA |
UNE | BlackByte | www.une.edu.pe | Peru |
covisian.com | Industrial Spy | covisian.com | Italy |
Lightbank | Quantum | www.lightbank.com | USA |
Diamond Mowers | Black Basta | diamondmowers.com | USA |
Pitman Family Farms | BlackByte | pitmanfarms.com | USA |
LIBERTY PULTRUSIONS | Karakurt | www.libertypultrusions.com | USA |
Metroclean | Karakurt | metroclean.com | USA |
Egyptian Electric Cooperative Association | BlackCat (ALPHV) | eeca.coop | USA |
EDC3 | Black Basta | edc3global.com | USA |
J.M. Rodgers Co. | Black Basta | www.jmrodgers.com | USA |
ALRO | Black Basta | www.alro.com | USA |
STONE1 | Black Basta | www.stoneconcrete.com | USA |
Maternite des Bluets | Vice Society | wwww.bluets.org | France |
TSC | Black Basta | www.tomstuart.com | USA |
ESSICKAIR | Black Basta | www.essickair.com | USA |
METASYS | Black Basta | www.metasys.com | Austria |
A G Equipment Company | Black Basta | www.agequipmentcompany.com | USA |
Legend Holdings | Karakurt | www.legendholdings.com.cn | China |
KEMET | BlackCat (ALPHV) | www.kemet.com | USA |
DIPF-INTERN | Ragnar_Locker | www.dipf.de | Germany |
Dollmar SpA | Ragnar_Locker | www.dollmar.com | Italy |
Weidmuller | Snatch | www.weidmuller.com | USA |
Latitude 37 | Karakurt | l37.com.au | Australia |
Rosenblatt Securities | Quantum | www.rblt.com | USA |
Wes-tec inc. | Lorenz | wes-tec.com | USA |
Cheval Electronic Enclosure | Karakurt | chevalgrp.com | Thailand |
Unimed Belem | RansomEXX | www.unimedbelem.com.br | Brazil |
Dialogsas | Cuba | www.dialogsas.fr | France |
Ville-chaville | Cuba | www.ville-chaville.fr | France |
BOOTZ | Black Basta | www.bootz.com | Sweden |
Bilthoven Biologicals | BlackCat (ALPHV) | www.bbio.nl | Netherlands |
KINSHOFER GmbH | Karakurt | www.kinshofer.com | Germany |
kingfisherinsurance.com | LockBit | kingfisherinsurance.com | UK |
Slachtoffers Belgie en Nederland
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
Bilthoven Biologicals | BlackCat (ALPHV) | www.bbio.nl | Netherlands |
In samenwerking met DarkTracer
Top 3 cybercrime groepen met de meeste slachtoffers
Groepering | Aantal slachtoffers | ||
---|---|---|---|
1 | LockBit | 1187 | Nog actief |
2 | Conti | 674 | Niet meer actief |
3 | REvil | 246 | Niet meer actief |
FBI waarschuwt ziekenhuizen voor ransomware-aanvallen via vpn-servers
De FBI, het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en het Amerikaanse ministerie van Volksgezondheid hebben ziekenhuizen en andere zorginstellingen in de Verenigde Staten gewaarschuwd voor een ransomwaregroep die door middel van vpn-servers toegang tot netwerken weet te krijgen. De groep wordt Daixin Team genoemd en zou sinds juni van dit jaar actief zijn (pdf). Zo werden vorige maand nog meerdere Amerikaanse ziekenhuizen slachtoffer van de ransomwaregroep. De aanvallers maken gebruik van vpn-servers om toegang tot de netwerken van hun slachtoffers te krijgen, aldus de FBI. Daarbij wordt misbruik gemaakt van bekende kwetsbaarheden in vpn-software en gestolen vpn-inloggegevens. Zo wisten de aanvallers bij in ieder geval één aanval op een legacy vpn-server in te loggen die geen gebruik van multifactorauthenticatie (MFA) maakte. Vermoedelijk zijn de vpn-inloggegevens door middel van phishing of malafide e-mailbijlages gestolen. Zodra er toegang tot de vpn-server is verkregen gebruiken de aanvallers SSH (secure shell) en RDP (remote desktop protocol) om zich lateraal door het netwerk te bewegen. Door het toepassen van technieken als credential dumping en pass the hash proberen de aanvallers controle over accounts met hoge rechten te krijgen. Via deze accounts wordt er vervolgens op VMware vCenter-servers ingelogd en accountwachtwoorden voor ESXi-servers in het netwerk gereset. Via SSH maken de aanvallers verbinding met de ESXi-servers waar ze de ransomware op uitrollen. Ook stelen de aanvallers patiëntgegevens. De versleutelde servers worden onder andere gebruikt voor het aanbieden van zorgdiensten, zoals elektronische patiëntendossiers, diagnostische diensten, scans en intranetten. Wanneer de getroffen ziekenhuizen en zorginstellingen het losgeld niet willen betalen dreigen de aanvallers de gestolen patiëntgegevens op internet te zetten. Om de aanvallen tegen te gaan worden zorginstanties aangeraden om beveiligingsupdates te installeren, MFA voor zoveel mogelijk diensten in te stellen en het personeel te trainen om phishingaanvallen te herkennen en rapporteren.
Cyberaanvallen op Linux-lek
Het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security, heeft federale overheidsinstanties opgeroepen om een actief aangevallen kwetsbaarheid in de Linux-kernel te patchen. Via het beveiligingslek kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen tot root. Vorig jaar april kwam Ubuntu met een beveiligingsupdate voor de kwetsbaarheid (CVE-2021-3493). Afgelopen maand meldde AT&T Alien Labs dat een malware-exemplaar genaamd Shikitega, dat zich op Internet of Things-apparaten en Linux-endpoints richt, misbruik van het beveiligingslek maakt. Hoe aanvallers toegang tot systemen weten te krijgen wordt in de analyse niet vermeld. De kwetsbaarheid in de Linux-kernel alleen is onvoldoende om systemen over te nemen. Via de malware wordt onder andere een cryptominer op systemen geïnstalleerd, maar aanvallers kunnen de systemen ook voor andere doeleinden gebruiken. Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste toevoeging bestaat uit twee kwetsbaarheden. Naast een kwetsbaarheid in de Zimbra-mailserver gaat het ook om het lek in de Linux-kernel, dat Amerikaanse overheidsinstanties voor 10 november moeten hebben gepatcht.
Data duizenden studenten TU Eindhoven en Hogeschool Utrecht gestolen
De aanvallers die wisten in te breken op servers van it-bedrijf ID-ware, en daar gegevens van duizenden Rijksambtenaren buitmaakten, hebben ook de gegevens van duizenden studenten van de TU Eindhoven en Hogeschool Utrecht (HU) gestolen. Ook is er informatie van HU-personeel in handen van de aanvallers genomen en zijn medewerkers van de High Tech Campus in Eindhoven getroffen door het datalek bij het it-bedrijf. ID-Ware levert toegangssystemen aan bedrijven en overheden, inclusief de Eerste en Tweede Kamer. Het gaat om de Rijkspas, die leden van de Eerste en Tweede Kamer, de staf van die organisaties, en rijksambtenaren toegang verschaft tot de Kamergebouwen en rijkspanden. Bij de aanval zijn echter niet alleen gegevens van Rijksambtenaren gestolen. Begin deze week meldde het Eindhovens Dagblad dat ook foto’s van duizenden werknemers van de High Tech Campus in Eindhoven zijn ontvreemd en door de criminelen op internet geplaatst. Trajectum, het online magazine van de Hogeschool Utrecht, liet gisten weten dat gegevens van HU-personeel zijn buitgemaakt bij ID-ware. Het gaat om naam, personeelsnummer, woonadres en mogelijk e-mailadres. Het magazine opperde dat ook gegevens van studenten mogelijk zijn gestolen. Dan gaat het om diegenen die werkzaamheden voor de HU verrichten en over een toegangspas beschikken. Vandaag laat RTL Nieuws weten dat gegevens van duizenden studenten van de TU Eindhoven in handen van de aanvallers zijn gekomen. Het gaat om volledige namen, privé-mailadressen, woonadressen, geboorteplaatsen, studentennummers en pasnummers van zeker 21.000 personen. Beide onderwijsinstellingen hebben het datalek inmiddels gemeld bij de Autoriteit Persoonsgegevens.
Australische zorgverzekeraar meldt diefstal privédata na ransomware-aanval
Criminelen zijn erin geslaagd om bij de Australische zorgverzekeraar Medibank allerlei gevoelige gegevens van klanten te stelen, waaronder informatie over diagnoses en behandelingen. Dat heeft het bedrijf vandaag bekendgemaakt. Vorige week liet Medibank weten dat het "ongewone activiteit" op het netwerk had ontdekt. Bij het "cyberincident" zouden echter geen gegevens van klanten zijn buitgemaakt. Wel zag de zorgverzekeraar zich genoodzaakt om verschillende systemen offline te halen, waardoor klanten bijvoorbeeld geen informatie over hun polis konden opvragen. Een aantal dagen later werd bekend dat het om een ransomware-aanval ging, maar dat het de aanvallers niet was gelukt om systemen van Medibank daadwerkelijk te versleutelen. Gisteren meldde Medibank dat het was benaderd door de aanvallers, die claimden klantgegevens in bezit te hebben. Het zou om tweehonderd gigabyte aan data gaan. Als bewijs hebben de aanvallers informatie over honderd polishouders gedeeld, zo laat de verzekeraar vandaag weten. Het gaat om namen, adresgegevens, geboortedata, zorgverzekeringsnummer, polisnummer, telefoonnummers en gegevens over declaraties, zoals de locatie waar een klant medische zorg heeft ontvangen en codes met betrekking tot de diagnoses en behandeling. Medibank bevestigt dat die gegevens bij het bedrijf zijn gestolen. De aanvallers claimen ook creditcardgegevens in bezit te hebben, maar dat is nog niet bevestigd. Hoe de aanvallers toegang tot de systemen konden krijgen is nog niet bekendgemaakt. Medibank zegt dat het de honderd klanten van wie vaststaat dat hun gegevens zijn gestolen zal informeren.
Nederlandse gemeenten melden driehonderd cyberincidenten per jaar
Nederlandse gemeenten melden driehonderd keer per jaar een een cyberincident bij de Informatiebeveiligingsdienst (IBD) van de Vereniging van Nederlandse Gemeenten (VNG). Het meestvoorkomende probleem is ongeauthenticeerde toegang tot informatie, gevolgd door misbruik van kwetsbaarheden en phishing. Dat laat de IBD weten. De IBD ondersteunt gemeenten op het gebied van informatiebeveiliging en privacy. Drieduizend keer per jaar wordt de organisatie door gemeenten benaderd met vragen over security en privacy. In tien procent van de gevallen betreft het een hulp- of coördinatievraag vanwege een cyberincident. Het gaat als eerste om ongeauthenticeerde toegang tot informatie. Inbraken op systemen en accounts volgen op een tweede plek. Het gaat dan met name om misbruik van kwetsbaarheden. In het Dreigingsbeeld informatiebeveiliging (pdf) Nederlandse gemeenten stelt de IBD dat er vorig jaar 90 kwetsbaarheden met een hoge kans op misbruik en hoge mogelijke impact waren, tegenover 45 een jaar eerder. Verder krijgen Nederlandse gemeente redelijk vaak met phishing te maken. De IBD meldt ook dat het de afgelopen twee jaar steeds meer meldingen van situaties ontving waar gemeentelijke processen langdurig(er) verstoord zijn als gevolg van ransomware. Het gaat dan ook om aanvallen op leveranciers of andere derde partijen die gevolgen voor de gemeente hebben. Bekende voorbeelden zijn de gemeenten Buren en Hof van Twente. Om onder andere ransomware-aanvallen te voorkomen is het volgens de IBD belangrijk dat gemeenten hun basismaatregelen op orde hebben. Het gaat dan om het up-to-date houden van software, verplicht gebruik van tweefactorauthenticatie (2FA), netwerkmonitoring, netwerksegmentatie, werkende back-ups en het oefenen met uitval van systemen en andere incidenten. "Het grootste deel van de (ransomware) incidenten is terug te voeren op het ontbreken van één of meerdere van deze maatregelen", aldus het Dreigingsbeeld.
Ransomware gebruikt Avast-driver voor uitschakelen antivirus
Aanvallers maken gebruik van een kwetsbare driver van antivirusbedrijf Avast om antivirussoftware bij organisaties uit te schakelen en vervolgens ransomware uit te rollen, zo waarschuwt Microsoft. Het softwarebedrijf roept organisaties dan ook op om alert te zijn wanneer virusscanners worden uitgeschakeld en hierop te monitoren. In een blogposting beschrijft Microsoft een aanval met de Cuba-ransomware op een niet nader genoemde organisatie, waar aanvallers al acht maanden lang toegang toe hadden voordat de aanval plaatsvond. Hoe de aanvallers toegang hadden gekregen kon niet worden vastgesteld, aangezien de logbestanden geen acht maanden teruggingen. Daarnaast waren de versleutelde systemen opnieuw geïnstalleerd voordat de analyse kon plaatsvinden. De organisatie maakte gebruik van Microsoft Defender Antivirus, maar de aanvallers wisten de beveiligingsoplossing via een kwetsbare driver van Avast uit te schakelen. De techniek wordt Bring Your Own Driver of Bring Your Own Vulnerable Driver genoemd. Drivers draaien met verhoogde rechten op het systeem. Kwetsbaarheden in drivers bieden aanvallers de mogelijkheid om het kernelgeheugen te lezen of schrijven en daarin code uit te voeren, om zo beveiligingssoftware uit te zetten. Eerder dit jaar werd bekend dat de aanvallers achter de AvosLocker-ransomware een kwetsbare driver van Avast bij hun aanvallen gebruiken. Ook aanvallers die van de Cuba-ransomware gebruikmaken doen dit, zo stelt Microsoft. Door de antivirussoftware in de gehele organisatie uit te schakelen was het mogelijk de ransomware uit te rollen zonder te worden geblokkeerd. Organisaties zouden dan ook op het uitschakelen van antivirussoftware moeten monitoren en hierop reageren, aldus Microsoft. Tevens wordt aangeraden de "anti-tampering" instellingen van Defender in te schakelen om te voorkomen dat aanvallers de virusscanner uitschakelen. Microsoft biedt op Windows 10 een blocklist om kwetsbare drivers te blokkeren, maar die bleek door een fout bij het softwarebedrijf al zeker drie jaar lang niet automatisch te zijn bijgewerkt.
Prestige ransomware treft organisaties in Oekraïne en Polen
Het Microsoft Threat Intelligence Center (MSTIC) heeft bewijs gevonden van een nieuwe ransomware-campagne gericht op organisaties in de transport- en aanverwante logistieke sector in Oekraïne en Polen, waarbij gebruik werd gemaakt van een voorheen niet-geïdentificeerde ransomware-payload. Microsoft meldt: : " We zagen dat deze nieuwe ransomware, die zichzelf in zijn losgeldbrief bestempelt als "Prestige ranusomeware", op 11 oktober werd ingezet bij aanvallen die binnen een uur na elkaar plaatsvonden bij alle slachtoffers.Deze campagne had verschillende opvallende kenmerken die hem onderscheiden van andere door Microsoft gevolgde ransomware-campagnes: De ondernemingsbrede inzet van ransomware is niet gebruikelijk in Oekraïne, en deze activiteit was niet verbonden met een van de 94 momenteel actieve ransomware-activiteitengroepen die Microsoft volgt. De Prestige-ransomware was vóór deze implementatie niet door Microsoft waargenomen. De activiteit deelt de victimologie met recente Russische, op de staat afgestemde activiteiten, met name in de getroffen regio's en landen, en overlapt met eerdere slachtoffers van de FoxBlade-malware (ook bekend als HermeticWiper) Ondanks het gebruik van vergelijkbare implementatietechnieken, onderscheidt de campagne zich van recente destructieve aanvallen met behulp van AprilAxe (ArguePatch)/CaddyWiper of Foxblade (HermeticWiper) die de afgelopen twee weken meerdere kritieke infrastructuurorganisaties in Oekraïne hebben getroffen. MSTIC heeft deze ransomware-campagne nog niet gekoppeld aan een bekende dreigingsgroep en zet het onderzoek voort. MSTIC volgt deze activiteit als DEV-0960.Microsoft gebruikt DEV-####-aanduidingen als een tijdelijke naam die wordt gegeven aan een onbekende, opkomende of zich ontwikkelende cluster van bedreigingsactiviteit, waardoor MSTIC deze als een unieke set informatie kan volgen totdat we een hoog vertrouwen hebben over de oorsprong of identiteit van de acteur achter de activiteit. Zodra het aan de criteria voldoet, wordt een DEV geconverteerd naar een benoemde acteur of samengevoegd met bestaande acteurs. Deze blog is bedoeld om Microsoft-klanten en de grotere beveiligingsgemeenschap bewust te maken van en indicatoren voor compromissen (IOC's). Microsoft blijft dit in de gaten houden en is bezig met het vroegtijdig melden van klanten die getroffen zijn door DEV-0960, maar die nog niet zijn vrijgekocht. MSTIC werkt ook actief samen met de bredere beveiligingsgemeenschap en andere strategische partners om via meerdere kanalen informatie te delen die kan helpen deze zich ontwikkelende dreiging aan te pakken."
Duitse kranten wegens ransomware-aanval niet op papier uitgegeven
De papieren versie van de Duitse krant Heilbronner Stimme kon de afgelopen dagen wegens een ransomware-aanval niet worden uitgegeven. Vandaag is er een beperkte versie voor abonnees verschenen. De aanval vond plaats in de nacht van donderdag op vrijdag 14 oktober, waarbij systemen van de Stimme Mediagroep werden versleuteld. Daardoor was het niet meer mogelijk om zowel de digitale als papieren versie van de krant uit te geven. Onder de mediagroep vallen verschillende kranten. Naast de Heilbronner Stimme, waarvan vier regionale edities verschijnen, gaat het ook om de Hohenloher Zeitung en Kraichgau Stimme die dagelijks uitkomen. Zaterdag kwam de Heilbronner Stimme met een noodeditie van zes pagina's en gisteren sprak de mediagroep de hoop uit deze week weer met een reguliere krant te komen. Honderden medewerkers moesten in eerste instantie vanaf hun eigen privécomputers thuis aan de slag, maar zijn inmiddels weer terug op de redactie, laat de mediagroep tegenover Der Spiegel weten. Nadat gisteren alleen een digitale versie verscheen zijn vandaag in beperkte vorm zowel een digitale als papieren versie verschenen. In een reactie stelt de mediagroep dat het niet meer informatie over onder andere het gevraagde losgeld kan geven. Het is nog altijd onbekend hoe de aanvallers toegang tot de systemen konden krijgen. Beveiligingsexperts die de mediagroep bijstonden stellen dat de aanval niet voorkomen had kunnen worden, zo verklaart hoofdredacteur Uwe Ralf Heer tegenover SWR. De meeste ransomware-aanvallen zijn mogelijk omdat organisaties nalaten beschikbare beveiligingsupdates te installeren, systeembeheerders zwakke wachtwoorden voor RDP-toegankelijke systemen kiezen of medewerkers malafide e-mailbijlages openen. De bij de Stimme Mediagroep gebruikte aanvalsvector is echter niet bekendgemaakt.
Nieuwe Escanor ransomware
ESCANOR Ransomware; Extension: .ESCANOR; Ransom note: HELP_DECRYPT_YOUR_FILES.txthttps://t.co/CEgYPyId7J@Amigo_A_ @LawrenceAbrams @demonslay335 @struppigel @JakubKroustek
— PCrisk (@pcrisk) October 17, 2022
Bibliotheek Rotterdam kan door cyberaanval geen boeken uitlenen
De Centrale Bibliotheek Rotterdam kan door een "cyberaanval" geen boeken uitlenen. In eerste instantie werd nog gesproken over een "grote computerstoring". Ook de bibliotheekcomputers zijn niet te gebruiken. Een tipgever laat weten dat het om een besmetting met ransomware gaat. Dat is echter nog niet bevestigd. Wel komt de bibliotheek vanmiddag met een persbericht. Op de website van de bibliotheek staat op dit moment de boodschap: "Vanwege een grote computerstoring is het vandaag niet mogelijk om boeken te lenen of gebruik te maken van de bibliotheekcomputers. Onze excuses voor het ongemak." Verdere informatie is echter niet gegeven, wat voor onvrede bij in ieder geval Twitteraars zorgt. Een tipgever laat weten dat het om een grote ransomwarebesmetting gaat. De Centrale Bibliotheek Rotterdam ontvangt jaarlijks 2,6 miljoen bezoekers en heeft een collectie van ruim 500.000 boeken, cd-roms, dvd's, video's en e-books. Eerder dit jaar werd één van de grootste bibliotheekleveranciers van Duitsland getroffen door de Lockbit-ransomware.
Update
In een verklaring laat de bibliotheek weten dat het slachtoffer is geworden van een "cyberaanval". De titel van het artikel is hierop aangepast. Welke systemen allemaal zijn getroffen en of er mogelijk gegevens gestolen zijn wordt onderzocht. Vanwege de aanval kan de bibliotheek niet via de eigen systemen of e-mail met klanten communiceren. "De meeste vestigingen zijn open - waaronder de Centrale - maar de systemen werken (nog) niet, zoals de bibliotheekcomputers, kopieerapparaten en de wifi." Klanten kunnen boeken inleveren, maar niet lenen. De leentermijn zal dan ook worden verschoven en er wordt geen telaatgeld gerekend.
"Vanwege een grote computerstoring is het vandaag niet mogelijk om boeken te lenen of gebruik te maken van de bibliotheekcomputers" staat al sinds gisteren op de site van @bieb010. Dan gebruik je dus als organisatie je socials om updates te plaatsen, maar helaas: doodse stilte.
— 👩🦯✏️Maureen📚🦯 (@AnythingMaureen) October 18, 2022
Darknet Diaries - AFL 126: REvil
REvil is de naam van een ransomwaredienst en een groep criminelen. Hoor hoe deze ransomware de wereld heeft geschokt.
Bijna negenhonderd Zimbra-mailservers overgenomen via kritiek beveiligingslek
Aanvallers zijn erin geslaagd om bijna negenhonderd Zimbra-servers via een kritieke kwetsbaarheid over te nemen, zo stelt antivirusbedrijf Kaspersky. Een week geleden bracht Zimbra een beveiligingsupdate voor het probleem uit, dat zeker sinds begin september bij aanvallen is misbruikt. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt. Zimbra-mailservers zijn geregeld het doelwit van aanvallen, zo kwam de Amerikaanse overheid in augustus nog met een waarschuwing om de software up-to-date te houden. Zimbra maakt gebruik van antivirussoftware Amavis om archiefbestanden om malware te scannen. Het nu aangevallen probleem doet zich voor bij Zimbra-mailservers die archiveringstool cpio gebruiken voor het controleren van de inhoud van archiefbestanden. Door het versturen van een speciaal geprepareerd archiefbestand dat door cpio wordt uitgepakt kan een aanvaller naar elk pad op het filesystem schrijven waar de Zimbra-gebruiker toegang toe heeft. Op deze manier is het mogelijk om een webshell te installeren en zo willekeurige code op de mailserver uit te voeren. Vorige maand kwam Zimbra zelf met een waarschuwing en advies om cpio te vervangen door archiveringstool pax, dat niet kwetsbaar is. Pax is standaard geïnstalleerd op Ubuntu. Ubnuntu-gebaseerde installaties van Zimbra zijn dan ook niet kwetsbaar. Dat is wel het geval bij Zimbra-installaties gebaseerd op Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 en CentOS 8. Volgens Kaspersky maken verschillende advanced persistent threat (APT) groepen misbruik van de kwetsbaarheid, waarbij één APT-groep "systematisch" alle kwetsbare Zimbra-servers in Centraal-Azië infecteert, aldus de virusbestrijder. Zimbra kwam vorige week met een beveiligingsupdate voor het probleem.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 46-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 45-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language