Overzicht van slachtoffers cyberaanvallen week 15-2023

Gepubliceerd op 17 april 2023 om 15:00

Click here or click 'CHOOSE LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


De afgelopen week is opnieuw een turbulente week gebleken in de wereld van cybercriminaliteit. Zo hebben cybercriminelen van de LockBit-ransomwaregroep een losgeld geëist na een aanval op de systemen van de KNVB, en is het Nederlandse 'Attent Zorg en Behandeling' slachtoffer geworden van Qilin. Ook het Belgische Cezam werd getroffen door LockBit cybercriminelen. Verder zijn er tien terabyte aan data gestolen bij een aanval op Western Digital, en zijn iPhones van maatschappelijke organisaties besmet met QuaDream-spyware via een zerodaylek. Daarnaast vond er een cyberaanval plaats op de Canadese overheid tijdens het bezoek van de Oekraïense premier en werd SD Worx in het VK getroffen, waardoor hun IT-infrastructuur tijdelijk afgesloten moest worden. Tot slot eisten cybercriminelen losgeld na de diefstal van gegevens van 14 miljoen klanten bij de Australische kredietverstrekker Latitude en veroorzaakten ze de sluiting van 42 Amerikaanse scholen, waardoor zeventienduizend leerlingen werden getroffen. Lees hieronder het volledige overzicht van de cyberaanvallen van de afgelopen week.


Laatste wijziging op 17-april-2023



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
Talon Outdoor Royal www.talonoutdoor.com UK Business Services 16-apr.-23
Dataram Royal dataram.com USA Machinery, Computer Equipment 16-apr.-23
Leadway Assurance Company Limited BlackCat (ALPHV) www.leadway.com Nigeria Insurance Carriers 15-apr.-23
CommScope Vice Society www.commscope.com USA Communications 15-apr.-23
Aloha Enteprise [NCR] BlackCat (ALPHV) www.ncr.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 15-apr.-23
Allimand, France Medusa www.allimand.com France Machinery, Computer Equipment 15-apr.-23
osg.co.jp LockBit osg.co.jp Japan Machinery, Computer Equipment 14-apr.-23
knvb.nl LockBit knvb.nl Netherlands Miscellaneous Services 14-apr.-23
ktbs.com LockBit ktbs.com USA Communications 14-apr.-23
homeandhearthealth.com LockBit homeandhearthealth.com USA Health Services 13-apr.-23
fameline.com LockBit fameline.com Thailand Construction 13-apr.-23
steel-eye.com LockBit steel-eye.com UK Security And Commodity Brokers, Dealers, Exchanges, And Services 13-apr.-23
sanden.com.ph LockBit sanden.com.ph Philippines Transportation Services 13-apr.-23
piszcz.pl LockBit piszcz.pl Poland Legal Services 13-apr.-23
Yucatan BlackCat (ALPHV) www.yucatan.gob.mx Mexico General Government 13-apr.-23
SAFHOLLAND BlackCat (ALPHV) safholland.com Germany Transportation Equipment 13-apr.-23
Invenergy Unsafe invenergy.com USA Construction 13-apr.-23
Aerowind BianLian aerowind.com USA Aerospace 13-apr.-23
Capstan Atlantic BianLian capstanatlantic.com USA Fabricated Metal Products 13-apr.-23
Faps BianLian fapsinc.com USA Wholesale Trade-non-durable Goods 13-apr.-23
Southeastern University BianLian southeastern.edu USA Educational Services 13-apr.-23
Tennessee State University BianLian tnstate.edu USA Educational Services 13-apr.-23
Encompass Technologies BianLian encompasstech.com USA IT Services 13-apr.-23
IDEXX BianLian idexx.com USA Research Services 13-apr.-23
Retina and Vitreous of Texas BianLian retinatexas.com USA Health Services 13-apr.-23
VMedia Inc AvosLocker vmedia.ca Canada Communications 13-apr.-23
SunPower Marine AvosLocker sunpowermarine.com USA Miscellaneous Retail 13-apr.-23
GIGATRON.RS Qilin gigatron.rs Serbia Miscellaneous Retail 13-apr.-23
fsmsolicitors.co.uk Qilin fsmsolicitors.co.uk UK Legal Services 13-apr.-23
Attent Zorg en Behandeling Qilin www.attentzorgenbehandeling.nl Netherlands Health Services 13-apr.-23
Sippex Qilin www.sippex.com France Chemical Producers 13-apr.-23
teleferico.com LockBit teleferico.com Portugal Passenger Transportation 13-apr.-23
apro.cl LockBit apro.cl Chile Wholesale Trade-non-durable Goods 13-apr.-23
bcncruiseport.com LockBit bcncruiseport.com Spain Water Transportation 13-apr.-23
fosfa.cz LockBit fosfa.cz Czech Republic Chemical Producers 13-apr.-23
CH Media PLAY chmedia.ch Switzerland Communications 12-apr.-23
einhaus-gruppe Royal einhaus-gruppe.de Germany Insurance Carriers 12-apr.-23
Petaluma Health Center Karakurt phealthcenter.org USA Health Services 12-apr.-23
Medicalodges, Inc Karakurt www.medicalodges.com USA Health Services 12-apr.-23
David S. Brown Enterprises Black Basta davidsbrown.com USA Real Estate 12-apr.-23
PESA Bydgoszcz PLAY www.pesa.pl Poland Transportation Equipment 11-apr.-23
servex-us.com LockBit servex-us.com USA IT Services 11-apr.-23
conseildelentente.org LockBit conseildelentente.org South Africa General Government 11-apr.-23
irda.com.my LockBit irda.com.my Malaysia General Government 11-apr.-23
comacchio.com LockBit comacchio.com Italy Miscellaneous Retail 11-apr.-23
robovic.com LockBit robovic.com Canada Machinery, Computer Equipment 11-apr.-23
medmark.eg LockBit medmark.eg Egypt Insurance Carriers 11-apr.-23
uhloans.com LockBit uhloans.com USA Non-depository Institutions 11-apr.-23
cezam.net LockBit cezam.net Belgium Miscellaneous Manufacturing Industries 11-apr.-23
grouplease.co.th LockBit grouplease.co.th Thailand Automotive Dealers 11-apr.-23
Nobiskrug Yachts GmbH BianLian nobiskrug.com Germany Transportation Equipment 11-apr.-23
Flensburger Schiffbau Gesellschaft mbH & Co. BianLian fsg-ship.de Germany Transportation Equipment 11-apr.-23
Smith Industries BianLian smithindustriesgroup.com USA Machinery, Computer Equipment 11-apr.-23
manfil.com.br LockBit manfil.com.br Brazil Wholesale Trade-durable Goods 11-apr.-23
valleywomenshealth BlackCat (ALPHV) valleywomenshealth.com USA Health Services 11-apr.-23
arcc.org LockBit arcc.org USA Educational Services 11-apr.-23
Incredible Technologies Dunghill Leak www.itsgames.com USA Machinery, Computer Equipment 10-apr.-23
Stanley Electric U.S. Royal www.stanleyelectricus.com USA Transportation Equipment 10-apr.-23
Harvard Energy BianLian harvardenergy.com Canada Oil, Gas 10-apr.-23
bsw-architects.com Medusa Locker bsw-architects.com USA Construction 10-apr.-23
Nature Path Foods Royal www.naturespath.com Canada Food Products 10-apr.-23
disltd.ca LockBit disltd.ca Canada IT Services 10-apr.-23
artri.net LockBit artri.net Romania Motor Freight Transportation 10-apr.-23
euromotors.com.pe LockBit euromotors.com.pe Peru Transportation Equipment 10-apr.-23
agp.ph LockBit agp.ph Philippines Electric, Gas, And Sanitary Services 10-apr.-23
gregoire.fr LockBit gregoire.fr France Machinery, Computer Equipment 10-apr.-23
fiamma.com.my LockBit fiamma.com.my Malaysia Electronic, Electrical Equipment, Components 10-apr.-23
Big Ass Fans Royal www.bigassfans.com USA Machinery, Computer Equipment 10-apr.-23
Alvaria Royal www.alvaria.com USA IT Services 10-apr.-23
Tom Duffy Company Royal www.tomduffy.com USA Wholesale Trade-durable Goods 10-apr.-23
mundocuervo.com LockBit mundocuervo.com Mexico Miscellaneous Services 10-apr.-23
aek.mk LockBit aek.mk North Macedonia General Government 10-apr.-23
don-PC CipherLocker Unknown Unknown Unknown 10-apr.-23
DESKTOP-8CASIND CipherLocker Unknown Unknown Unknown 10-apr.-23
desktopforcool123 CipherLocker Unknown Unknown Unknown 10-apr.-23
Scantibodies Laboratory, Inc. Medusa scantibodies.com USA Chemical Producers 10-apr.-23

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum
knvb.nl LockBit knvb.nl Netherlands Miscellaneous Services 14-apr.-23
Attent Zorg en Behandeling Qilin www.attentzorgenbehandeling.nl Netherlands Health Services 13-apr.-23
cezam.net LockBit cezam.net Belgium Miscellaneous Manufacturing Industries 11-apr.-23

In samenwerking met DarkTracer


Cyberaanvallen nieuws


Cybercriminelen stelen gevoelige informatie van Nederlandse klanten van Booking.com

Wanneer je een hotelkamer reserveert via Booking.com, verwacht je een soepele en veilige ervaring. Echter, recentelijk hebben cybercriminelen op sluwe wijze gegevens van Nederlandse klanten van het populaire boekingsplatform weten te ontvreemden. In plaats van met de hotelmanager te communiceren, blijken klanten in werkelijkheid te corresponderen met kwaadwillende hackers. Een van de slachtoffers, Daan, deelde zijn ervaring en vertelde hoe hij 350 euro kwijtraakte door deze oplichtingstruc. Hij ontving na het boeken van een hotelkamer een bericht via een app, zogenaamd van de hotelmanager, met het verzoek om zijn creditcardgegevens in te voeren. Zonder argwaan te koesteren, voerde Daan zijn gegevens in, in de overtuiging dat hij met de hotelmanager communiceerde. Later bleek dat de vermeende hotelmanager in werkelijkheid een cybercrimineel was die zijn persoonlijke gegevens had gestolen. Dit soort cybercriminelen gebruiken geavanceerde technieken en valse identiteiten om zich voor te doen als betrouwbare partijen. In het geval van Daan en andere slachtoffers werden de gestolen gegevens misbruikt om ongeautoriseerde betalingen te verrichten, wat leidde tot aanzienlijke financiële verliezen. Naast de materiële schade heeft deze situatie ook een impact op het vertrouwen van consumenten in online platforms zoals Booking.com. Veel mensen zijn nu terughoudender om hun gegevens te delen en twijfelen aan de veiligheid van online transacties. Booking.com en andere online boekingsplatforms worden aangemoedigd om hun beveiligingsmaatregelen te versterken en klanten bewust te maken van de risico's van cybercriminaliteit. Ook is het belangrijk dat gebruikers zelf waakzaam zijn en alert blijven op mogelijke oplichting. Het is raadzaam om bij twijfel contact op te nemen met de betreffende organisatie en verdachte berichten te melden bij de autoriteiten. Zo wordt hopelijk voorkomen dat meer mensen, zoals Daan, het slachtoffer worden van cybercriminelen die op geraffineerde wijze persoonlijke gegevens stelen en misbruiken voor eigen gewin.


Google pakt actief aangevallen zerodaylek aan: Cybercriminelen misbruiken kwetsbaarheid in Chrome

Google heeft voor de eerste keer dit jaar een beveiligingsupdate uitgebracht die een actief aangevallen zerodaylek in Chrome verhelpt. De kwetsbaarheid bevindt zich in V8, de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript en waarin met name vorig jaar al tal van andere zerodaylekken werden gevonden. De impact van de kwetsbaarheid, aangeduid als CVE-2023-2033, is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De kwetsbaarheid werd gevonden door een onderzoeker van Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Vorig jaar werden in Chrome negen zerodaylekken verholpen. Google Chrome 112.0.5615.121 is beschikbaar voor macOS, Linux en Windows. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar.


Amerikaans county verliest miljoenen door ransomware-aanval na niet installeren beveiligingsupdate voor Log4j kwetsbaarheid

Een ransomware-aanval die mogelijk was door een niet geïnstalleerde beveiligingsupdate voor een kwetsbaarheid in Log4j kostte een Amerikaans county al miljoenen dollars, zo is deze week bekendgemaakt. Aanvallers hadden maandenlang toegang tot systemen van Suffolk County voordat ze de ransomware uitrolden. Bij de aanval werd ook vierhonderd gigabyte aan data buitgemaakt, waaronder social-securitynummers van inwoners. In totaal ging het om de persoonlijke informatie van 470.000 inwoners van het county en 26.000 huidige en voormalige medewerkers. De aanvallers wisten op 19 december 2021 via een bekende kwetsbaarheid in Log4j toegang tot een systeem van de griffie te krijgen. Ruim een week eerder was er een patch voor het beveiligingslek verschenen, dat voor grote paniek in de securitygemeenschap zorgde. Vanwege de gedecentraliseerde securitystructuur in het county was de griffie grotendeels zelf verantwoordelijk voor het beheer van de eigen systemen en beveiliging. Terwijl verschillende andere departementen in het county updates voor het Log4j-lek uitrolden, werd dit niet door de griffie gedaan. De kwetsbaarheid werd pas op 1 juli 2022 in de systemen van de griffie verholpen. Uit het onderzoek naar de aanval, waar deze week een update over werd gegeven, blijkt dat de aanvallers in maart 2022 een remote managementtool hadden geïnstalleerd om toegang te behouden en in april 2022 hun eigen beheerdersaccount hadden toegevoegd. In augustus 2022 installeerden ze een script waarmee ze de wachtwoorden van alle medewerkers van de griffie wisten te stelen. Eind augustus lukte het de aanvallers om ook toegang tot andere belangrijke systemen in het county te krijgen. Op een systeem van de griffie vonden ze een onbeveiligde map met wachtwoorden voor deze systemen. Het lekken van deze wachtwoorden nekte het county, omdat het de aanvallers toegang gaf tot databasesystemen, telefoonsystemen, back-ups, netwerkapparaten, file shares, service-accounts, webhosting, antivirussoftware en monitoringsoftware. Begin september werden eerst allerlei gegevens gestolen en een aantal dagen later de Alphv-ransomware uitgerold, ook bekend als BlackCat. Vanwege de aanval moesten allerlei systemen worden uitgeschakeld, waaronder e-mail, en werden medewerkers gedwongen om op pen en papier terug te vallen. De aanvallers eisten 2,4 miljoen dollar losgeld, wat het county weigerde te betalen. Sommige systemen waren vanwege de aanval weken offline. Eind december bedroegen de herstelkosten al 3,4 miljoen dollar en was er 2 miljoen dollar uitgegeven aan het forensisch onderzoek door securitybedrijf Palo Alto Networks, meldt de Wall Street Journal. Het county zou inmiddels bezig zijn om de eigen cybersecurity aan te scherpen.


Protestantse Kerk waarschuwt voor e-mailfraude door cybercriminelen die zich voordoen als predikanten

De Protestantse Kerk waarschuwt gemeenten en kerkenraden voor e-mailfraude, waar inmiddels verschillende protestantse gemeenten mee te maken hebben gekregen. Oplichters doen zich voor als de predikant van de gemeente en versturen een e-mail naar bijvoorbeeld kerkenraadsleden waarin wordt gevraagd om cadeaubonnen aan te schaffen. De oplichters maken daarbij gebruik van e-mailadressen die erg veel op die van predikanten lijken. Vervolgens versturen ze dit bericht dat zogenaamd van de predikant afkomstig is: "Ik kan nu niet praten of sms-en. Ik zit midden in een zoom-meeting. Ik mail je met mijn laptop. Ik heb hulp nodig bij het online kopen van cadeaubonnen. Het is de bedoeling dat ik geschenken naar drie mensen stuur. Laat me weten of het mogelijk is om ze nu te krijgen, zodat ik je kan vertellen wat nodig is. Ik zal je vergoeden. Bedankt." Verschillende ouderlingen in de Hervormde Gemeente IJsselstein ontvingen het bericht. Eén van hen dacht dat het om een legitiem verzoek ging en kocht voor 450 euro aan cadeaubonnen. "Omdat dit zo specifiek gebeurde in een kerkelijke setting, lijkt het mij nuttig hiervoor andere gemeenten en kerkenraden te waarschuwen”, zegt dominee Jelle van Holten, predikant in IJsselstein. In deze zaak is aangifte gedaan bij de politie.


Cybercriminelen stelen tien terabyte aan data bij Western Digital-aanval

Bij de aanval op harde schijffabrikant Western Digital is tien terabyte aan data buitgemaakt, waaronder grote hoeveelheden gegevens van klanten, zo claimen de verantwoordelijke criminelen tegenover TechCrunch. Vanwege de aanval besloot WD allerlei diensten offline te halen, waaronder de My Cloud-opslagdienst, maar die zijn sinds woensdag weer online. Klanten konden er tien dagen lang geen gebruik van maken. Daarnaast moeten klanten vrezen dat hun gegevens in handen van de aanvallers zijn gekomen. Om wat voor soort gegevens het zou gaan is onbekend. De criminelen lieten tegenover TechCrunch zien dat ze over het certificaat en de key beschikken om bestanden als Western Digital te signeren en gegevens van het bestuur in handen hebben. Om te voorkomen dat de gestolen data wordt gepubliceerd eisen de criminelen een bedrag van acht cijfers. Hoe ze toegang tot de systemen konden krijgen is niet bekend. WD wilde niet op de claims van de aanvallers reageren.


Cybercriminelen van LockBit-ransomwaregroep eisen losgeld na aanval op KNVB-systemen

Ransomwaregroep Lockbit heeft de verantwoordelijkheid opgeëist voor de aanval op de systemen van de KNVB. Volgens de groep heeft het bij de aanval 305 gigabyte aan data kunnen buitmaken. Dat blijkt uit een melding op de website van LockBit waarover beveiligingsonderzoeker Dominic Alvieri op Twitter bericht. Als de KNVB niet voor 26 april het gevraagde losgeld betaald dreigen de aanvallers de gestolen data via hun eigen site openbaar te maken. Op dinsdag 4 april meldde de KNVB dat criminelen erin waren geslaagd om in te breken op het netwerk van de voetbalbond en daarbij persoonlijke gegevens van medewerkers hebben buitgemaakt. "Er wordt nader uitgezocht om welke gegevens dit gaat. De cyberinbraak is gemeld bij de Autoriteit Persoonsgegevens", aldus de KNVB. De voetbalbond heeft sindsdien geen verdere updates over het incident gegeven. De LockBit-ransomware wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. In de meeste gevallen kiezen de aanvallers ervoor om eerst allerlei gegevens te stelen voordat de ransomware wordt uitgerold. Ook komt het voor dat aanvallers, nadat ze toegang hebben gekregen, zich alleen tot datadiefstal beperken. Hoe er toegang tot de systemen van de KNVB kon worden verkregen is niet bekend.


Bewustwording cruciaal tegen cybercriminelen in Nederlandse gezondheidszorg, benadrukt minister Kuipers

Bewustwording over cyberrisico's en het belang van zorgvuldig handelen is essentieel voor goede informatieveiligheid in de Nederlandse gezondheidszorg, zo heeft minister Kuipers van Volksgezondheid opnieuw benadrukt. De minister liet dit weten op Kamervragen over ransomware-aanvallen op ziekenhuizen en zorginstellingen"Welke maatregelen worden genomen om te voorkomen dat een klik op een verkeerde link door een (zorg)medewerker cybercriminelen toegang geeft tot de meest gevoelige en kwetsbare informatie van patiënten?", zo wilden VVD-Kamerleden Hermans, Rajkowski en Rahimi van de bewindsman weten. Kuipers antwoordt dat bewustwording van risico’s en het belang van zorgvuldig handelen door eigen medewerkers essentieel voor goede informatieveiligheid in de zorg is. Iets wat hij vorige maand ook al liet weten in een antwoord op andere Kamervragen. "Het ministerie van Volksgezondheid zet daarom ten eerste in op het stimuleren van informatieveilig gedrag van zorgprofessionals", aldus de minister. Een paar jaar geleden is het ministerie het project "informatieveilig gedrag" gestart. Dit project moet voor een gedragsverandering op het gebied van informatieveiligheid zorgen, toegespitst op de Nederlandse zorgsector. Daarin wordt onder andere beschreven hoe kan worden voorkomen dat zorgpersoneel slachtoffer van phishing wordt.

Antwoord Op Vragen Van De Leden Hermans Rajkowski En Rahimi Over De Berichten Naaktbeelden Borstkankerpatienten VS Gepubliceerd Om Ziekenhuis Af Te Persen En Paspoorten Van Dokters Op Straat Na Hack Bij Oudereninstelling Gelderland
Word – 64,4 KB 153 downloads

KNVB doet aangifte van cyberinbraak en mogelijke diefstal persoonlijke gegevens door cybercriminelen

De KNVB, de Nederlandse voetbalbond, heeft bij de politie aangifte gedaan van een cyberinbraak op het ICT-netwerk van de Campus in Zeist. Hierbij zijn mogelijk persoonlijke gegevens van (oud-)medewerkers van de KNVB in handen van cybercriminelen terechtgekomen. De KNVB heeft direct na ontdekking de inbraak gemeld bij de Autoriteit Persoonsgegevens en heeft een digitaal forensisch onderzoek laten uitvoeren door een gespecialiseerd bureau. "Dit onderzoek is inmiddels afgerond en helaas is gebleken dat mogelijk persoonlijke gegevens van (oud-)KNVB-medewerkers in handen van cybercriminelen zijn gekomen", aldus een woordvoerder. De KNVB heeft alle mogelijke getroffenen op de hoogte gesteld. De leden en clubs hebben volgens de voetbalbond weinig gemerkt van de cyberinbraak. "Over daders en motieven doen we om strategische redenen geen mededelingen", aldus de KNVB. Bij de KNVB werken ongeveer vijfhonderd mensen. De bond wil niet zeggen van hoeveel (oud-)medewerkers de gegevens mogelijk zijn buitgemaakt. Ook de organisaties achter de Eredivisie en de Eerste Divisie zijn getroffen door de cyberinbraak. Beide organisaties zijn gevestigd op het KNVB-complex in Zeist en maken gebruik van dezelfde servers. Alle servers zijn nagelopen en begin deze week even uitgeschakeld. Dit had ook impact op de telefoonlijnen in Zeist. De bond was daardoor de afgelopen dagen telefonisch moeilijker te bereiken dan normaal.


Datalek bij Vattenfall: 30.000 klantgegevens gestolen door inhuurkracht en mogelijk in handen van cybercriminelen

Energieleverancier Vattenfall heeft een datalek bij de Autoriteit Persoonsgegevens gemeld nadat een inhuurkracht toegang tot de persoonlijke gegevens van dertigduizend klanten kreeg en deze mogelijk aan fraudeurs doorspeelde. Ook getroffen klanten zijn inmiddels ingelicht. Eind vorig jaar waarschuwde Vattenfall klanten al voor een datalek nadat een medewerker hun gegevens fotografeerde en deelde met oplichters. Nu blijkt er opnieuw een dergelijke situatie zich te hebben voorgedaan. Een inhuurkracht van een externe partij kon via het digitale archief dat wordt gebruikt om brieven op te slaan toegang tot de persoonsgegevens van zo'n dertigduizend klanten krijgen. "Hierdoor kunnen klantgegevens bij derden zijn beland, om misbruik van te maken", aldus de energieleverancier in een bericht met de titel "Fraude met klantdata". De gestolen gegevens bestaan uit naam, e-mailadres, adresgegevens, telefoonnummer, en in verschillende gevallen deels afgeschermde bankrekeningnummers en geboortedatum. Volgens Vattenfall kunnen deze gegevens worden misbruikt voor bankhelpdeskfraude en phishing. Bij meerdere gevallen van bankhelpdeskfraude, waarbij slachtoffers voor tienduizenden euro's werden bestolen, bleek dat oplichters over lijsten met persoonsgegevens van slachtoffers beschikten. Vattenfall zegt dat het met de niet nader genoemde betrokken externe partijen maatregelen heeft getroffen. Zo is onder andere inzage in het online archief aan banden gelegd en het proces van het aannemen van nieuwe medewerkers onder de loep genomen.


Microsoft verhelpt zerodaylek in Windows, gebruikt door cybercriminelen voor ransomware-aanvallen

Tijdens de patchdinsdag van april heeft Microsoft een zerodaylek in Windows verholpen die bij ransomware-aanvallen is ingezet. De kwetsbaarheid bevindt zich in de Windows Common Log File System (CLFS) Driver, waar in een jaar tijd al drie andere zerodaylekken werden aangetroffen en verholpen. Het CLFS is een Windowsonderdeel dat wordt gebruikt voor logging. Via het beveiligingslek, aangeduid als CVE-2023-28252, kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen. De kwetsbaarheid alleen is niet voldoende om een systeem over te nemen en moet dan ook worden gecombineerd met een ander beveiligingslek of kan worden gebruikt door malware die bijvoorbeeld via een e-mailbijlage of macro op het systeem wordt uitgevoerd. De kwetsbaarheid wordt al zeker sinds februari bij ransomware-aanvallen gebruikt, zo meldt antivirusbedrijf Kaspersky dat het lek ontdekte en aan Microsoft rapporteerde. Worden de meeste zerodays door statelijke actoren ingezet, dit beveiligingslek is gebruikt door criminelen die er de Nokoyawa-ransomware mee installeren, aldus Kaspersky. De virusbestrijder merkt op dat de kwetsbaarheid eenvoudig gevonden had kunnen worden door middel van fuzzing. Fuzzing is een populaire manier voor het vinden van bugs en kwetsbaarheden in software. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen. In de CLFS-driver zijn in het verleden zoals gezegd meerdere beveiligingslekken aangetroffen. Dat CVE-2023-28252 toch niet werd opgemerkt is volgens Kaspersky mogelijk te verklaren doordat fuzzers het probleem wel vonden en er zich een "exception" voordeed, maar dat er geen crash plaatsvond en het lek zo onopgemerkt bleef. De update die het probleem verhelpt wordt op de meeste Windowscomputers automatisch geïnstalleerd.


Cybercriminelen besmetten iPhones van maatschappelijke organisaties met QuaDream-spyware via zerodaylek

De iPhones van medewerkers van maatschappelijke organisaties in Europa, Noord-Amerika, Centraal-Azië, Zuidoost-Azië en het Midden-Oosten zijn door middel van een zerodaylek besmet met de QuaDream-spyware, zo stellen onderzoekers van Citizen Lab en Microsoft. Het gaat zeer waarschijnlijk om een zero-click exploit voor iOS 14, waarbij geen enkele interactie van gebruikers was vereist om besmet te raken. Bij de aanval op iPhone-gebruikers wordt vermoedelijk gebruikgemaakt van "onzichtbare" iCloud-kalenderuitnodigingen. QuaDream is een Israëlische spywareleverancier die een product genaamd "Reign" aan klanten aanbiedt, vergelijkbaar met de Pegasus-spyware van de NSO Group. Het bedrijf zou onder andere klanten in Singapore, Saudi-Arabië, Mexico en Ghana hebben. De QuaDream-spyware kan telefoongesprekken die via besmette telefoons worden gevoerd opnemen, de microfoon inschakelen en zo het slachtoffer afluisteren, via de camera's foto's maken, informatie uit de keychain stelen, iCloud 2FA-wachtwoorden genereren, bestanden en databases doorzoeken, verzamelen van wifi-gegevens, locatie van het slachtoffer vaststellen en de eigen sporen verwijderen. Dit moet detectie van de spyware en gebruikte exploit bemoeilijken. Citizen Lab stelt dat het meer dan zeshonderd servers en tweehonderd domeinen heeft aangetroffen die aan de QuaDream-spyware zijn te koppelen en tussen eind 2021 en begin 2023 zijn gebruikt. Via deze servers wordt informatie van slachtoffers ontvangen. Ook worden ze ingezet voor one-click browser-exploits, waarbij een slachtoffer eerst op een link moet klikken om besmet te raken. QuaDream werd afgelopen december nog genoemd in een rapport van Meta, dat 250 accounts die vermoedelijk door het bedrijf werden gebruikt offline haalde. Tevens stelde Meta dat het tests van QuaDream zag om zowel Androidtelefoons als iPhones te infecteren en vervolgens allerlei informatie van slachtoffers te stelen. Ook Microsoft stelt dat een deel van de ontdekte spywarecode ook op Androidtoestellen is te gebruiken. CitizenLab stelt dat overheden de spywaremarkt moeten reguleren, omdat de situatie nu helemaal uit de hand loopt en misbruik van de technologie alleen maar verder zal toenemen.


Cybercriminelen richten zich op 3CX en compromitteren wereldwijde voip-softwareleverancier met malware

Op de systemen van 3CX, dat wereldwijd software voor voip-oplossingen levert en slachtoffer van een supplychain-aanval werd, hebben onderzoekers malware gevonden. Zowel macOS- als Windowssystemen van de softwareleverancier bleken besmet te zijn, zo laat 3CX in een update over de aanval weten. Hoe de infecties zich konden voordoen is nog altijd niet bekendgemaakt. 3CX is één van de grootste leveranciers van zakelijke telefonieoplossingen. Het bedrijf claimt zeshonderdduizend klanten en twaalf miljoen dagelijkse gebruikers te hebben. De desktopapplicatie van 3CX maakt het mogelijk om vanaf de desktop te kunnen bellen of voicemail te beluisteren. Aanvallers wisten op nog altijd onbekende wijze verschillende versies van de software voor macOS en Windows van malware te voorzien. Nu blijkt dat de aanvallers door middel van malware toegang tot de systemen van 3CX hadden. Daarbij werden verschillende malware-exemplaren gebruikt die met legitiem lijkende domeinen verbinding maakten. Het onderzoek naar de aanval wordt uitgevoerd door securitybedrijf Mandiant, dat vermoedt dat een Noord-Koreaanse groep verantwoordelijk is. Eerder meldde antivirusbedrijf Kaspersky dat de aanvallers het op cryptobedrijven hadden voorzien. Veel details over de aanval ontbreken nog altijd.


Microsoft waarschuwt voor cybercriminelen die gebruikmaken van BlackLotus UEFI-bootkit om beveiligingsmechanismen uit te schakelen

Microsoft waarschuwt organisaties voor aanvallen met de BlackLotus UEFI-bootkit en heeft advies uitgebracht om besmette systemen te vinden en herstellen. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. Iets wat ook Microsoft stelt. "UEFI-bootkits zijn met name gevaarlijk, omdat ze tijdens het opstarten van de computer draaien, voordat het besturingssysteem wordt geladen, en kunnen daardoor verschillende beveiligingsmechanismes zoals BitLocker, hypervisor-protected code integrity (HVCI) en Microsoft Defender Antivirus uitschakelen." Onlangs rapporteerde antivirusbedrijf ESET over de BlackLotus UEFI-bootkit die op internet te koop wordt aangeboden. De bootkit maakt gebruik van een kwetsbaarheid in Windows (CVE-2022-21894) voor het omzeilen van UEFI Secure Boot en het plaatsen van malafide bestanden in de EFI-systeempartitie (ESP) die door de UEFI-firmware worden geladen. Hierdoor kan de bootkit onder andere BitLocker en Microsoft Defender uitschakelen. Microsoft kwam vorig jaar januari met een beveiligingsupdate voor de kwetsbaarheid. Misbruik is volgens ESET nog steeds mogelijk omdat de kwetsbare Windows-bestanden die worden gebruikt voor het omzeilen van Secure Boot niet op de UEFI Revocation List zijn geplaatst. Deze lijst bevat een overzicht van eerdere, goedgekeurde en gesigneerde firmware en software gebruikt voor het opstarten van systemen waarop Secure Boot staat ingeschakeld. In een nieuw document over de BlackLotus-bootkit laat Microsoft zien hoe besmette systemen zijn te identificeren. Mochten systemen inderdaad zijn besmet, adviseert het techbedrijf om de geïnfecteerde computer uit het netwerk te verwijderen en zowel de OS-partitie als EFI-partitie te formatteren of vanuit een schone back-up te herstellen.


Cyberaanval op Canadese overheid tijdens bezoek Oekraïense premier

Op dinsdag heeft een cyberaanval plaatsgevonden op verschillende overheidswebsites van Canada, waaronder die van de premier en de Senaat. De aanval werd opgeëist door de pro-Russische groep genaamd NoName en vond plaats tijdens het bezoek van de Oekraïense premier Denys Sjmyhal aan het land. Ondanks de aanval verklaarde de Canadese premier Justin Trudeau dat het incident "geen enkele manier onze onwrikbare steun aan Oekraïne aan het wankelen brengt". Volgens Trudeau richten Russische cyberpiraten zich vaker tegen landen die hun steun aan Oekraïne uiten en Oekraïense leiders of delegaties ontvangen. Een woordvoerder van de dienst voor telecombeveiliging CST meldt dat DDoS-aanvallen weinig impact hebben op getroffen systemen, maar wel de aandacht trekken. Naast de cyberaanval kondigden de Canadese premier en de Oekraïense premier aan dat onderhandelingen werden afgerond over de modernisering van het vrijhandelsakkoord tussen de twee landen, over nieuwe leveringen van wapens en munitie aan Oekraïne en over een akkoord met het bedrijf Cameco om Oekraïne tot 2035 van kernbrandstof te voorzien. Ottawa heeft tevens nieuwe sancties afgekondigd tegen Russen en Russische entiteiten met banden met onder meer de Wagner-groep, de Russische luchtvaartsector en de Wit-Russische bankensector.


Duitse scheepsbouwer Lürssen getroffen door gijzelsoftware: werkzaamheden liggen stil

De Duitse scheepsbouwer Lürssen heeft te maken gehad met een cyberaanval waarbij gijzelsoftware is gebruikt. Het bedrijf, dat luxe jachten en militaire vaartuigen produceert, heeft direct alle noodzakelijke maatregelen genomen en de verantwoordelijke autoriteiten op de hoogte gesteld. Volgens lokale media hebben de werkzaamheden van het bedrijf voor een groot deel stilgelegen als gevolg van de cyberaanval. Lürssen staat bekend als de bouwer van de Dilbar, een jacht van 156 meter lang dat eigendom is van een trustfonds dat in verband is gebracht met de Russische miljardair Alisjer Oesmanov. Vorig jaar werd dit schip door de Duitse autoriteiten in beslag genomen vanwege sancties tegen de vermeende vertrouweling van de Russische president Vladimir Poetin. Bij een aanval met gijzelsoftware versleutelen cybercriminelen bestanden van een bedrijf. Dit gebeurt vaak om organisaties onder druk te zetten om losgeld te betalen. Als er niet wordt betaald, dreigen de daders vaak om de gestolen gegevens verder te verspreiden.


Cyberaanval treft SD Worx in het VK: IT-infrastructuur tijdelijk afgesloten

Het Belgische bedrijf SD Worx, gespecialiseerd in hr- en salarisadministratie, is in het Verenigd Koninkrijk getroffen door een cyberaanval. Als gevolg hiervan moest het bedrijf de IT-infrastructuur voor zijn hr- en salarisdiensten in die regio tijdelijk uitschakelen. Maandag liet SD Worx zijn klanten weten dat zijn Britse en Ierse divisie doelwit was van de cyberaanval. Het beveiligingsteam ontdekte kwaadaardige activiteiten in het gehoste datacenter van het bedrijf, zo luidt het advies aan klanten in het Verenigd Koninkrijk en Ierland. SD Worx heeft direct maatregelen getroffen door zijn systemen en servers proactief te isoleren om verdere schade te voorkomen. Als gevolg hiervan is het klantenportaal van SD Worx in het Verenigd Koninkrijk momenteel onbereikbaar, hoewel de inlogportalen voor andere Europese landen normaal blijven werken. Volgens een verklaring aan vakpublicatie BleepingComputer was er geen sprake van ransomware bij deze aanval en zijn er momenteel geen aanwijzingen dat er gegevens zijn gecompromitteerd. SD Worx verwerkt onder meer persoonlijke gegevens zoals namen, adressen, geboortedata, telefoonnummers, bankrekeningnummers en beoordelingen van werknemers. Het bedrijf, oorspronkelijk Belgisch maar inmiddels meer een Europese groep, is actief in 26 landen en stelt meer dan 7.000 mensen te werk. Het verzorgt de salarisadministratie van ongeveer 5,2 miljoen werknemers in 82.000 bedrijven en behoort naar eigen zeggen wereldwijd tot de top vijf.


Cybercriminelen eisen losgeld na diefstal gegevens van 14 miljoen klanten bij Australische kredietverstrekker Latitude

Criminelen die wisten in te breken op de systemen van de Australische kredietverstrekker Latitude en daar de gegevens van veertien miljoen klanten wisten te stelen, hebben losgeld geëist. Dat heeft Latitude in een update over de datadiefstal bekendgemaakt. Het gaat om één van de grootste datalekken in de geschiedenis van Australië en Nieuw-Zeeland. Volgens de Nieuw-Zeelandse privacytoezichthouder laat het incident het probleem zien als bedrijven te lang gegevens van mensen bewaren. Latitude is een grote kredietverstrekker in Australië en Nieuw-Zeeland. Halverwege maart meldde het bedrijf dat het slachtoffer was geworden van een aanval waarbij klantgegevens waren buitgemaakt. In eerste instantie liet het bedrijf weten dat scans van honderdduizend identificatiedocumenten en 225.000 klantenrecords waren buitgemaakt. In een update meldde Latitude dat de gegevens van veel meer klanten zijn gestolen. Zo zijn de rijbewijsnummers van 7,9 miljoen Australiërs en Nieuw-Zeelanders in handen van de aanvallers gekomen, alsmede 53.000 paspoortnummers. Verder zijn ook van 6,1 miljoen klanten de "records" gestolen. Het gaat om naam, adresgegevens, telefoonnummer en geboortedatum. Latitude heeft aangegeven dat het klanten zal vergoeden die ervoor kiezen om hun identiteitsdocument vanwege het datalek te vervangen. Hoe de gegevens precies gestolen konden worden is niet bekendgemaakt. Vandaag laat Latitude weten dat de aanvallers losgeld eisen. Om wat voor bedrag het gaat is niet bekendgemaakt. Het bedrijf zegt geen losgeld te zullen betalen, waarbij het wijst naar de opvatting van de Australische overheid die het betalen van losgeld afkeurt. Daarnaast is er geen garantie dat de criminelen de gestolen data ook daadwerkelijk zullen vernietigen, aldus ceo Bob Belan. Verder stelt de kredietverstrekker dat het bezig is om alle gedupeerde klanten te informeren. De Nieuw-Zeelands privacytoezichthouder is niet te spreken over het datalek en de werkwijze van Latitude. "Sommige van de veertien miljoen gestolen Nieuw-Zeelandse en Australische records zijn achttien jaar oud, wat niet oké is." Volgens de databeschermingsautoriteit laat ook dit incident, net als verschillende andere datalekken, het probleem van dataretentie zien, waarbij bedrijven gegevens langer dan noodzakelijk bewaren. Daarbij ziet de toezichthouder ook een rol voor individuen weggelegd. Die zouden, wanneer hun id als verificatie wordt gebruikt, ook moeten vragen hoelang het wordt opgeslagen en waarom. "Hoe meer mensen vragen stellen des te groter is de kans dat organisaties hun gedrag veranderen. Privacy moet een primair bedrijfsvraagstuk worden, dat net zo belangrijk als gezondheid en veiligheid is."


Cybercriminelen verspreiden spyware en malware via openbare usb-oplaadstations, waarschuwt FBI

De FBI heeft via Twitter gewaarschuwd voor openbare ubs-laadstations die spyware en malware verspreiden. In de tweet wordt opgeroepen om gratis usb-oplaadstations op vliegvelden, hotels en winkelcentra te vermijden. Aanvallers hebben volgens de Amerikaanse opsporingsdienst namelijk manieren gevonden om via deze apparaten spyware en malware op telefoons te krijgen. Daarom doen mensen er verstandig aan hun eigen opladers mee te nemen en een stopcontact te gebruiken. Concrete details of voorbeelden van waargenomen aanvallen worden niet door de FBI gegeven. De waarschuwing in kwestie is ook op de website van de FBI te vinden. Het openbaar ministerie van Los Angeles County waarschuwde al een aantal jaren geleden voor "juice jacking". Daarbij wordt een apparaat op een kwaadaardige oplader aangesloten. Het kan dan bijvoorbeeld om een usb-oplaadstation gaan. Ook de Amerikaanse toezichthouder FCC heeft hierover een waarschuwing op de eigen website staan.


Yum! Brands waarschuwt voor datalek na cyberaanval op KFC, Pizza Hut en Taco Bell

Yum! Brands, het bedrijf achter KFC, Pizza Hut en Taco Bell, heeft een onbekend aantal mensen gewaarschuwd voor een datalek nadat het bedrijf in januari slachtoffer van een ransomware-aanval werd. Dat blijkt uit een datalekmelding dat Yum! deed bij de procureur-generaal van de Amerikaanse staat Maine. Halverwege januari moest Yum! honderden Britse restaurants van KFC en Pizza Hut wegens een ransomware-aanval een dag sluiten, zo liet het fastfoodconcern destijds weten. Volgens de verklaring had de ransomware-aanval gevolgen voor "bepaalde" systemen. Na ontdekking van de aanval werden verschillende systemen offline gehaald. verdere details over de aanval werden niet gegeven, behalve dat bijna driehonderd restaurants in het Verenigd Koninkrijk voor een dag werden gesloten. De aanval vond 13 januari plaats. Op 9 maart ontdekte Yum! dat er ook persoonsgegevens waren gestolen. Het gaat onder andere om data van Amerikaanse medewerkers of klanten. Om hoeveel mensen het gaat is nog niet bekend. Volgens het bedrijf zijn bij de aanval bestanden met persoonsgegevens gecompromitteerd geraakt. Het gaat onder andere om namen en nummer van rijbewijs of ander identiteitsdocument.


Ransomware-aanval door cybercriminelen treft Amerikaans politiekorps en veroorzaakt vertraging in onderzoeken

Bij een ransomware-aanval op een Amerikaans politiekorps zijn allerlei onderzoeksdossiers versleuteld geraakt, wat voor vertragingen bij sommige onderzoeken zorgde. Dat laten meerdere bronnen tegenover NBC weten. Het Camden County Police Department heeft de ransomware-aanval, die zich vorige maand voordeed, bevestigd. Daarbij werden bestanden voor de dagelijkse administratie en onderzoeksdossiers versleuteld. Drie weken na de aanval is het korps nog altijd bezig met het herstel van de getroffen systemen. Inmiddels zou zo'n 80 tot 85 procent van de bestanden weer zijn te openen. Volgens een woordvoerder had de aanval geen gevolgen voor het 911-alarmnummer en de mogelijkheid om op meldingen van het publiek te reageren. De FBI zou het politiekorps inmiddels ondersteuning bieden. Hoe de aanval kon plaatsvinden is niet bekendgemaakt. De aanvallers zouden honderdduizenden dollars losgeld hebben geëist.


Cybercriminelen veroorzaken sluiting van 42 Amerikaanse scholen en treffen zeventienduizend leerlingen

Een Amerikaans schooldistrict heeft wegens een cyberaanval gisteren 42 scholen gesloten gehouden, waardoor ruim zeventienduizend leerlingen geen lessen konden volgen. Vandaag zijn de scholen weer openen, maar moeten leerlingen wel pen en papier meenemen. Het Rochester-schooldistrict in de Amerikaanse staat Minnesota ontdekte vorige week "verdachte activiteit" op het netwerk. Daarop werden alle systemen losgekoppeld van internet. Volgens het schooldistrict was het zeer lastig om leerlingen zonder internettoegang en essentiële systemen les te geven, waarop werd besloten om gisteren de deuren van alle 42 scholen in het district gesloten te houden. Om wat voor aanval het precies gaat laat het schooldistrict niet weten. In een eerste instantie werd gesproken over een "cyber event", maar gisteren liet het district weten dat een aanvaller toegang tot systemen heeft gekregen en daarbij data van het schooldistrict heeft buitgemaakt. Om wat voor data het precies gaat en hoeveel mensen zijn getroffen is nog niet bekend. Vandaag zullen de lessen weer plaatsvinden, maar dan wel zonder allerlei systemen en diensten, waaronder die van Google. Verder moeten leerlingen pen en papier meenemen, aangezien de studentenlaptops niet te gebruiken zijn. Daarnaast is het telefoonsysteem nog niet volledig hersteld en heeft schoolpersoneel geen toegang tot e-mail.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten