Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
In de afgelopen week hebben zich verschillende alarmerende cyberaanvallen voorgedaan. Een massale diefstal van meer dan $35 miljoen aan crypto heeft plaatsgevonden bij Atomic Wallet. Daarnaast is er grootschalig misbruik gemaakt van een kwetsbaarheid in MOVEit Transfer. Een ransomware-aanval heeft de scholengemeenschap OSG Hengelo getroffen en de gemeente Meierijstad is voor maar liefst 37.000 euro opgelicht door CEO-fraude. Amerikaanse ziekenhuizen hebben ambulances geweigerd vanwege een ernstige cyberaanval. Bovendien is er een opkomst van de Stealthy SeroXen RAT-malware, die specifiek gericht is op gamers. Griekse scholen zijn verstoord door een unieke en verwoestende cyberaanval tijdens eindexamens. Daarnaast hebben cybercriminelen 16 rijksoverheidsorganisaties getroffen met een datalek bij Nebu. Tot slot waarschuwt de Rijksinspectie dat zonnepaneelomvormers vatbaar zijn voor cyberaanvallen en radiostoringen. Hieronder vindt u het volledige overzicht van alle cyberaanvallen van de afgelopen week.
Week overzicht slachtoffers
Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb ↑ |
---|---|---|---|---|---|
Ascentia Group Pty Ltd | Qilin | ascentia.us | USA | Real Estate | 4-jun.-23 |
Nerim | Vice Society | www.nerim.com | France | IT Services | 4-jun.-23 |
uhsp.edu | LockBit | uhsp.edu | USA | Educational Services | 4-jun.-23 |
Conley & Wirick, P.A. | Qilin | conleywirick.com | USA | Legal Services | 4-jun.-23 |
hep global GmbH | DarkRace | hep.global | Germany | Electrical | 4-jun.-23 |
PLURISERVICE | DarkRace | pluriservice.it | Italy | IT Services | 3-jun.-23 |
Share and Harris | Mallox | www.shareharris.com | USA | Accounting Services | 3-jun.-23 |
Tension Corporation | BlackCat (ALPHV) | www.tension.com | USA | Paper Products | 3-jun.-23 |
PESSI | DarkRace | pessi.punjab.gov.pk | Pakistan | Administration Of Human Resource Programs | 3-jun.-23 |
Young Homes, Inc | Mallox | www.mikeyounghomes.com | USA | Construction | 3-jun.-23 |
SsangYong Motor | Snatch | smotor.com | South Korea | Transportation Equipment | 2-jun.-23 |
ServiceKing & CrashChampions | BlackCat (ALPHV) | www.serviceking.com | USA | Repair Services | 2-jun.-23 |
harwoodlloyd.com | LockBit | harwoodlloyd.com | USA | Legal Services | 2-jun.-23 |
packageconcepts.com | LockBit | packageconcepts.com | USA | Rubber, Plastics Products | 2-jun.-23 |
shakeys.com | LockBit | shakeys.com | USA | Eating And Drinking Places | 2-jun.-23 |
LETAPE JEUNES | Medusa Locker | jeunes.letape-association.fr | France | Miscellaneous Services | 2-jun.-23 |
ykk.com | LockBit | ykk.com | Japan | Miscellaneous Manufacturing Industries | 2-jun.-23 |
JPW Industries | BlackCat (ALPHV) | www.jpwindustries.com | USA | Machinery, Computer Equipment | 2-jun.-23 |
SpaceX | BlackCat (ALPHV) | www.spacex.com | USA | Aerospace | 2-jun.-23 |
Baileigh Industrial | BlackCat (ALPHV) | www.baileigh.com | USA | Machinery, Computer Equipment | 2-jun.-23 |
Fortress Paper | PLAY | www.fortressge.com | Canada | Paper Products | 2-jun.-23 |
Unico | PLAY | unico.ch | Switzerland | IT Services | 2-jun.-23 |
Boess Gruppe | PLAY | boess.ch | Switzerland | Engineering Services | 2-jun.-23 |
PB Swiss Tools | PLAY | pbtools.us | Switzerland | Miscellaneous Manufacturing Industries | 2-jun.-23 |
PathA Suisse | PLAY | pathe.ch | Switzerland | Amusement And Recreation Services | 2-jun.-23 |
INSYS Industriesysteme | PLAY | insys.ch | Switzerland | Machinery, Computer Equipment | 2-jun.-23 |
CONATECO | DarkRace | www.conateco.it | Italy | Water Transportation | 2-jun.-23 |
Alberta Newsprint | PLAY | www.albertanewsprint.com | Canada | Paper Products | 2-jun.-23 |
CS Cargo Group | PLAY | www.cscargo.cz | Czech Republic | Transportation Services | 2-jun.-23 |
BMD Systemhaus | PLAY | www.bmd.com | Austria | IT Services | 2-jun.-23 |
Buffalo Niagara Association | PLAY | www.bnar.org | USA | Real Estate | 2-jun.-23 |
Abeko | PLAY | www.abeko.nl | Netherlands | Engineering Services | 2-jun.-23 |
NORANET - CZ | PLAY | www.noranet.cz | Czech Republic | IT Services | 2-jun.-23 |
Shows & Artists | PLAY | www.shows-artists.com | Germany | Miscellaneous Services | 2-jun.-23 |
Chadwick, Washington, Moriarty, Elmore & Bunn | BianLian | chadwickwashington.com | USA | Legal Services | 1-jun.-23 |
Laebon Homes | BianLian | laebon.com | Canada | Construction | 1-jun.-23 |
TY Inc | BianLian | ty.com | USA | Miscellaneous Manufacturing Industries | 1-jun.-23 |
fsd.se | LockBit | fsd.se | Sweden | Engineering Services | 1-jun.-23 |
Brinkmann & Niemeijer Motoren | BlackCat (ALPHV) | In progress | In progress | In progress | 1-jun.-23 |
360EQUIPMENTFINANCE.COM | CL0P | 360equipmentfinance.com | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 1-jun.-23 |
PRECISIONMEDICALBILLING.NET | CL0P | precisionmedicalbilling.net | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 1-jun.-23 |
ERT | DarkRace | www.ertgrupo.com | Portugal | Transportation Equipment | 1-jun.-23 |
Mission Community Hospital | RansomHouse | www.mchonline.org | USA | Health Services | 1-jun.-23 |
buckprop.com | LockBit | buckprop.com | USA | Real Estate | 31-mei-23 |
Sur La Table | Black Basta | www.surlatable.com | USA | Miscellaneous Retail | 31-mei-23 |
Pacific Union College | Trigona | puc.edu | USA | Educational Services | 30-mei-23 |
credicoop.coop.py | LockBit | credicoop.coop.py | Paraguay | Membership Organizations | 30-mei-23 |
nycollege.edu | LockBit | nycollege.edu | USA | Educational Services | 30-mei-23 |
fixscr.com | LockBit | fixscr.com | Argentina | Security And Commodity Brokers, Dealers, Exchanges, And Services | 30-mei-23 |
SK Life Science | Akira | www.sklifescienceinc.com | USA | Chemical Producers | 30-mei-23 |
The National Association of Home Builders | Akira | www.nahb.org | USA | Membership Organizations | 30-mei-23 |
columbuscitizens.org | LockBit | columbuscitizens.org | USA | Membership Organizations | 30-mei-23 |
Lewis Young Robertson & Burningham | Akira | lewisyoung.com | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 30-mei-23 |
McCarthy Fingar | Black Basta | www.mccarthyfingar.com | USA | Legal Services | 30-mei-23 |
casepoint.com | BlackCat (ALPHV) | casepoint.com | USA | IT Services | 30-mei-23 |
Sysco Corporation | Dunghill Leak | www.sysco.com | USA | Wholesale Trade-non-durable Goods | 30-mei-23 |
Eastern Media International Corporation | RA GROUP | www.emic.com.tw | Taiwan | Water Transportation | 30-mei-23 |
Soroc | PLAY | www.soroc.com | Canada | IT Services | 29-mei-23 |
Adsboll | Vice Society | www.ads.dk | Denmark | Construction | 29-mei-23 |
Burch & Cracchiolo, P.A. | BlackCat (ALPHV) | www.bcattorneys.com | USA | Legal Services | 29-mei-23 |
aquidneckclub.com | LockBit | aquidneckclub.com | USA | Amusement And Recreation Services | 29-mei-23 |
C********* *************** | BianLian | Unknown | USA | Chemical Producers | 29-mei-23 |
Earlens Corporation | BianLian | earlens.com | USA | Miscellaneous Manufacturing Industries | 29-mei-23 |
Neutronic Stamping | BianLian | neutronicstamping.com | USA | Electronic, Electrical Equipment, Components | 29-mei-23 |
Brokers Trust Insurance Group | Akira | brokerstrust.ca | Canada | Insurance Carriers | 29-mei-23 |
Computer Information Concepts Inc | Akira | www.cicesp.com | USA | IT Services | 29-mei-23 |
Fersten Worldwide | Akira | www.fersten.com | Canada | Miscellaneous Retail | 29-mei-23 |
retailmerchantservices.co.uk | LockBit | retailmerchantservices.co.uk | UK | Security And Commodity Brokers, Dealers, Exchanges, And Services | 29-mei-23 |
BilgeAdam Software | Medusa | bilgeadamtechnologies.com | UK | IT Services | 29-mei-23 |
Slachtoffers Belgie en Nederland
Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum |
---|---|---|---|---|---|
Abeko | PLAY | www.abeko.nl | Netherlands | Engineering Services | 2-jun.-23 |
In samenwerking met DarkTracer
Cyberaanvallen nieuws
05-juni-2023 om 09:33
Massale Diefstal bij Atomic Wallet: Meer dan $35 Miljoen aan Crypto Gestolen
De ontwikkelaars van Atomic Wallet onderzoeken meldingen van grootschalige diefstal van cryptocurrency uit gebruikerswallets, waarbij naar verluidt meer dan $35 miljoen aan crypto is gestolen. Atomic Wallet is een mobiele en desktop crypto wallet waarmee gebruikers diverse cryptocurrencies kunnen opslaan. Het is beschikbaar voor meerdere besturingssystemen, waaronder Windows, Android, iOS, macOS en Linux. Op 3 juni heeft Atomic Wallet gemeld dat ze berichten hadden ontvangen over gecompromitteerde wallets en begonnen waren met het onderzoeken van het probleem. Ze werken nu samen met externe beveiligingsbedrijven om het incident te onderzoeken en te voorkomen dat de gestolen fondsen op beurzen worden verkocht. De ontwikkelaars hebben hun downloadserver, 'get.atomicwallet.io', uitgeschakeld, waarschijnlijk uit bezorgdheid dat hun software was gehackt en om verdere compromissen te voorkomen. Blockchain onderzoeker ZachXBT heeft transacties van gestolen fondsen van Atomic Wallet slachtoffers verzameld en zegt dat door deze inbreuk meer dan $35 miljoen in crypto is gestolen. Volgens crypto security researcher Tay, was de eerste transactie voor gestolen Atomic Wallet activa op vrijdag 2 juni om 21:45 UTC. Atomic Wallet gebruikers begonnen op zaterdagochtend op Twitter en het ontwikkelaar's Telegram-kanaal te melden dat cryptocurrency was gestolen uit hun Atomic Wallet wallets. Atomic Wallet verzamelt nu informatie van slachtoffers, vraagt welk besturingssysteem ze gebruiken, waar ze de software hebben gedownload, wat er is gedaan voordat de crypto werd gestolen, en waar de backup-zin werd opgeslagen. Het is op dit moment onduidelijk hoe de inbreuk heeft plaatsgevonden, maar gebruikers wordt geadviseerd hun crypto activa naar andere wallets over te brengen terwijl de ontwikkelaars het beveiligingsincident onderzoeken.
Update: The investigation is still ongoing in a joint effort with the leading security companies. The team is working on possible attack vectors. Nothing yet confirmed.
— Atomic - Crypto Wallet (@AtomicWallet) June 4, 2023
Support team is collecting victim addresses. Reached out to major exchanges and blockchain analytics companies…
Hackers kapen legitieme websites om creditcarddiefstal scripts te hosten
Een nieuwe Magecart-campagne voor creditcarddiefstal kapert legitieme websites om te fungeren als geïmproviseerde commando- en controle (C2) servers. Deze servers worden gebruikt om skimmers te injecteren en te verbergen op gerichte e-commerce sites. Een Magecart-aanval vindt plaats wanneer hackers online winkels infiltreren om kwaadaardige scripts te injecteren die tijdens het afrekenen de creditcardgegevens en persoonlijke informatie van klanten stelen. Volgens onderzoekers van Akamai, die deze campagne volgen, heeft het organisaties in de Verenigde Staten, het Verenigd Koninkrijk, Australië, Brazilië, Peru en Estland gecompromitteerd. Veel slachtoffers hebben niet gerealiseerd dat ze gehackt waren voor meer dan een maand, wat getuigt van de heimelijkheid van deze aanvallen. De aanvallers identificeren eerst kwetsbare legitieme websites en hacken deze om hun kwaadaardige code te hosten, waarbij ze deze gebruiken als C2-servers voor hun aanvallen. Vervolgens injecteren ze een klein JavaScript-fragment in de doelhandelsites dat de kwaadaardige code van de eerder gecompromitteerde websites ophaalt. Om de aanval nog heimelijker te maken, hebben de dreigingsactoren de skimmer verduisterd met Base64-codering, wat ook de URL van de host verbergt. Daarnaast hebben ze de structuur van de skimmer zo gebouwd dat het lijkt op Google Tag Manager of Facebook Pixel, populaire services die waarschijnlijk geen argwaan wekken. Er zijn twee varianten van de skimmer gebruikt in deze campagne. De eerste is een zwaar verduisterde versie die klant-PII en creditcarddetails target. De tweede variant was niet zo goed beschermd, met indicatoren in de code die Akamai hielpen om het bereik van de campagne in kaart te brengen en extra slachtoffers te identificeren. Na het stelen van de klantgegevens, wordt de data naar de server van de aanvaller gestuurd via een HTTP-verzoek dat als een IMG-tag binnen de skimmer is gecreëerd. Website-eigenaren kunnen zich verdedigen tegen Magecart-infecties door hun website-admin accounts adequaat te beschermen en beveiligingsupdates voor hun CMS en plugins toe te passen. Klanten van online winkels kunnen het risico op datalekken minimaliseren door elektronische betaalmethoden, virtuele kaarten of het instellen van bestedingslimieten op hun creditcards te gebruiken.
Nieuwe Malware Campagne Richt Zich op Online Verkopers om Informatie te Stelen
Online verkopers zijn het doelwit van een nieuwe campagne die de Vidar informatie-stelende malware verspreidt, waardoor bedreigende actoren inloggegevens kunnen stelen voor potentieel schadelijkere aanvallen. De campagne, die deze week is gelanceerd, stuurt valse klachten naar de beheerders van online winkels via e-mail en contactformulieren op websites. De valse e-mails doen zich voor als berichten van klanten die beweren dat er $550 van hun bankrekening is afgeschreven na een vermeende mislukte bestelling. De berichten bevatten een link naar een nep bankafschrift. Wanneer de ontvangers op deze link klikken, downloaden ze eigenlijk een kwaadaardig bestand. Als bedreigende actoren eenmaal toegang hebben tot de backend van een e-commerce site, kunnen ze verschillende soorten aanvallen uitvoeren. Ze kunnen bijvoorbeeld schadelijke JavaScript-scripts injecteren om MageCart-aanvallen uit te voeren, waarbij de code de creditcardgegevens en persoonlijke informatie van klanten steelt tijdens het afrekenen. Bovendien kan de toegang tot de backend ook worden gebruikt om klantinformatie van een site te stelen door back-ups te genereren van de database van de winkel, die kunnen worden gebruikt om slachtoffers te chanteren. Ze dreigen dan dat ze een losgeld moeten betalen, anders zou de data publiekelijk worden gelekt of verkocht aan andere bedreigende actoren. Het wordt sterk aangeraden om je computer onmiddellijk op malware te scannen als je soortgelijke e-mails hebt ontvangen en je denkt dat je door deze malware-distributiecampagne bent getroffen. Om verdere aanvallen te voorkomen, wordt aangeraden om je wachtwoord op al je accounts te wijzigen, vooral die in verband met je online handelswebsites, bankrekeningen en e-mailadressen. Ten slotte is het belangrijk om je e-commerce site grondig te onderzoeken op geïnjecteerde broncode in HTML-sjablonen, nieuwe accounts met verhoogde bevoegdheden of wijzigingen in de broncode van de site.
Verhoogde activiteit van crypto-hackers: Rug pulls vormen een groter risico dan DeFi-exploits
Er is een verhoogde activiteit van crypto-hackers waargenomen, met in april en mei meer dan 150 miljoen dollar gestolen van crypto-investeerders. Volgens blockchain-beveiligingsbedrijf Beosin was het verlies door zogenaamde 'rug pulls' zelfs hoger dan het bedrag gestolen via DeFi-exploits. Rug pulls zijn oplichtingstechnieken waarbij liquiditeitspools worden leeggetrokken, waardoor investeerders met waardeloze cryptomunten achterblijven. Beosin meldt dat de verliezen door rug pulls de afgelopen maand meer dan 45 miljoen dollar bedroegen, verdeeld over 6 incidenten. In dezelfde periode leverden 10 DeFi-exploits oplichters 19,7 miljoen dollar op, een daling van bijna 80 procent ten opzichte van april. Beosin adviseert crypto-gebruikers om hun antifraudebewustzijn te verhogen, due diligence uit te voeren voordat ze investeren en te leren hoe ze hun crypto beter kunnen beschermen.
Google Verwijdert Schadelijke Chrome-Extensies Met 87 Miljoen Installaties
Google heeft tientallen schadelijke Chrome-extensies uit de Web Store verwijderd die samen al 87 miljoen keer geïnstalleerd waren. De actie volgde op onderzoek door beveiligingsonderzoeker Wladimir Palant, die ontdekte dat de extensie PDF Toolbox JavaScript op alle bezochte websites injecteerde, wat verschillende soorten aanvallen mogelijk maakte. Ondanks waarschuwingen van Palant aan Google, bleven de extensies aanvankelijk beschikbaar. Antivirusbedrijf Avast pikte het onderzoek op en ontdekte nog eens 32 schadelijke extensies met 75 miljoen downloads. Na waarschuwingen van Avast verwijderde Google de extensies. Volgens Palant zijn er echter nog enkele van deze schadelijke extensies in de Chrome Web Store te vinden. Avast zet het onderzoek voort om het doel van de geïnjecteerde JavaScript te achterhalen.
Burton Snowboards bevestigt datalek na cyberincident in februari
De vooraanstaande snowboardfabrikant Burton Snowboards heeft bevestigd dat er in februari een datalek heeft plaatsgevonden. Tijdens het cyberincident, dat door het bedrijf zelf werd ontdekt, werd een deel van de gevoelige klantinformatie mogelijk benaderd of gestolen. Hoewel de precieze omvang van het lek onbekend is, kan de gestolen informatie namen van klanten, burgerservicenummers en financiële informatie omvatten. Burton Snowboards beweert echter dat het op geen enkel moment creditcardgegevens of bankrekeningnummers opslaat, daar hun website 100% PCI-compatibel is. Het bedrijf heeft in reactie op de inbreuk de wachtwoorden van de getroffen accounts gereset. Ondanks dit incident zijn er tot dusver geen meldingen van misbruik of pogingen daartoe van klantinformatie. Het bedrijf heeft de relevante staats- en federale regelgevers opde hoogte gebracht, zoals vereist, en heeft dit incident bij de wetshandhaving gemeld.
Grootschalig misbruik kwetsbaarheid in MOVEit Transfer
Een aanzienlijke kwetsbaarheid is ontdekt in MOVEit Transfer, een breed gebruikte bestandsdeel-applicatie. Het risico op misbruik van deze kwetsbaarheid en de mogelijke impact hiervan zijn als hoog beoordeeld. Progress, de ontwikkelaar van de applicatie, heeft reeds een beveiligingsadvies uitgebracht. Er zijn aanwijzingen dat toegang tot gecompromitteerde systemen en de daarin opgeslagen gegevens mogelijk al sinds 28 mei plaatsvindt. Bovendien kan de kwetsbaarheid mogelijk worden gebruikt om beheerdersrechten te verkrijgen. Het Nationaal Cyber Security Centrum (NCSC) adviseert organisaties die gebruik maken van MOVEit Transfer om het door Progress opgestelde stappenplan te volgen, de aangeboden beveiligingsupdates zo spoedig mogelijk te installeren, en kennis te nemen van de bijgeleverde indicatoren van compromis (IoC's) voor detectie en hunting. Ter ondersteuning van organisaties bij het identificeren van kwetsbare systemen en het treffen van maatregelen, heeft het NCSC een GitHub-pagina opgezet, die zij in de komende tijd actief zullen bijhouden. Het NCSC is in nauw contact met nationale en internationale partners en houdt de ontwikkelingen rondom deze kwetsbaarheid nauwlettend in de gaten. Verdere informatie over de situatie wordt verstrekt zodra deze beschikbaar is.
Ransomware-aanval treft scholengemeenschap OSG Hengelo
De scholengemeenschap OSG Hengelo is getroffen door een ransomware-aanval. Door deze aanval zijn de servers van de scholengroep versleuteld, waardoor er geen toegang meer is tot de opgeslagen gegevens. De getroffen instellingen zijn onder andere Bataafs Lyceum, 't Genseler voor Praktijkonderwijs, C.T. Stork College en Montessori College Twente. Op dinsdagochtend 30 mei ontdekte de school dat alle ICT-systemen van de OSG-vestigingen niet werkten. Oorspronkelijk werd een grote stroomstoring in het Pinksterweekend als mogelijke oorzaak aangemerkt, maar dit bleek niet het geval te zijn. De school is momenteel aan het onderzoeken welke gegevens betrokken zijn bij de aanval en of er data is gestolen. Bestuurder van Stichting OSG Hengelo, Arjan Brunger, heeft aangegeven dat direct na ontdekking van het incident forensische IT-experts zijn ingeschakeld. De school heeft maatregelen getroffen om de gevolgen van het incident te beperken en te voorkomen dat een dergelijk incident zich in de toekomst weer voordoet. Alle computers zijn van het internet afgesloten en er is melding gedaan bij zowel de politie als de Autoriteit Persoonsgegevens. De stichting betreurt het incident ten zeerste en houdt ouders op de hoogte van de voortgang van herstelwerkzaamheden en het lopende onderzoek. Ondanks de situatie gaan de lessen op de getroffen scholen gewoon door. Er is een speciale webpagina opgezet om ouders, leerlingen en medewerkers op de hoogte te houden van de situatie en verdere ontwikkelingen. De scholengroep zet alles op alles om de impact van het incident op medewerkers en leerlingen zo klein mogelijk te houden.
Kaspersky management getroffen door iPhone-malware, verwijdering vereist fabrieksreset
Het management van antivirusbedrijf Kaspersky is het doelwit geworden van een malware die iPhones treft, volgens de oprichter Eugene Kaspersky. Deze malware valt iPhones aan via een onzichtbare iMessage met een kwaadaardige bijlage en gebruikt verschillende kwetsbaarheden in iOS om spyware te installeren, zonder dat enige interactie van gebruikers vereist is. De geïnstalleerde spyware verzendt privégegevens, waaronder opnames, foto's van chatapps, locatiegegevens en andere activiteiten, naar de aanvallers. Er zijn geen standaardtools binnen iOS om deze spyware te detecteren en te verwijderen van geïnfecteerde iPhones, waardoor externe tools noodzakelijk zijn. Bovendien blokkeert de malware iOS-updates op geïnfecteerde telefoons, en er is nog geen manier gevonden om de spyware te verwijderen zonder verliesvan gebruikersgegevens. Momenteel is de enige oplossing het uitvoeren van een fabrieksreset en het installeren van de laatste iOS-versie. De kwetsbaarheden die door de aanvallers worden gebruikt, zijn nog onbekend.
Nieuwe Horabot-campagne neemt Gmail- en Outlook-accounts van slachtoffers over
Een recent ontdekte campagne met de Hotabot-botnet-malware richt zich sinds minstens november 2020 op Spaanssprekende gebruikers in Latijns-Amerika. De malware infecteert slachtoffers met een banktrojan en een spamtool. De operators van de malware kunnen de controle overnemen van Gmail-, Outlook-, Hotmail- of Yahoo-e-mailaccounts van de slachtoffers. Ze kunnen e-mailgegevens stelen, evenals 2FA-codes die in de inbox aankomen, en phishing-e-mails versturen vanaf de gecompromitteerde accounts. De campagne werd ontdekt door analisten van Cisco Talos, die vermoeden dat de dreigingsacteur achter de campagne gevestigd is in Brazilië. De infectie begint met een phishing-e-mail met een belastingthema, gevolgd door het downloaden van een RAR-archief en het uitvoeren van een PowerShell-script dat trojaanse DLL's en andere bestanden ophaalt. Het Horabot-botnet is de belangrijkste payload en richt zich op Outlook-mailboxen van slachtoffers om contacten te stelen en phishing-e-mails met kwaadaardige HTML-bijlagen te verspreiden. De campagne richt zich voornamelijk op gebruikers in Mexico, Uruguay, Brazilië, Venezuela, Argentinië, Guatemala en Panama, maar kan zich mogelijk uitbreiden naar andere markten met phishingthema's in het Engels.
Harvard Pilgrim Health Care ransomware-aanval treft 2,5 miljoen mensen, gegevens gestolen door cybercriminelen
Harvard Pilgrim Health Care (HPHC) heeft onthuld dat een ransomware-aanval in april 2023 2.550.922 mensen heeft getroffen. Naast de impact op de getroffen personen, hebben de cybercriminelen ook gevoelige gegevens gestolen van de gecompromitteerde systemen. De gestolen gegevens bevatten persoonlijke informatie zoals namen, adressen, telefoonnummers, geboortedata, ziektekostenverzekeringsinformatie, sociale zekerheidsnummers, identificatienummers van de belastingbetaler en klinische informatie. Hoewel er geen gevallen van gegevensmisbruik zijn ontdekt, is er een risico op phishing- en social engineering-aanvallen voor de getroffen personen. HPHC biedt kredietmonitoring en bescherming tegen identiteitsdiefstal aan de slachtoffers. Het is belangrijk op te merken dat ransomware-groepen vaak gestolen gegevens gebruiken om druk uit te oefenen op slachtoffers om losgeld te betalen. Momenteel heeft geen enkele ransomware-groep de verantwoordelijkheid voor de aanval opgeëist.
Raadplegingen in Naams ziekenhuis geleidelijk hervat na cyberaanval
Het Naamse algemene ziekenhuis CHR Sambre et Meuse ondervindt nog steeds de gevolgen van een cyberaanval die plaatsvond in de nacht van donderdag op vrijdag. Het ziekenhuis kampt nog steeds met een gebrek aan internetverbinding en vaste telefonie. Desondanks zijn op de locatie Sambre 70 procent van de raadplegingen behouden en ontvangt de spoedeisende hulp weer patiënten, zo meldde het regionale ziekenhuis op donderdag. Een week geleden werd CHR Sambre et Meuse getroffen door de cyberaanval, waardoor het aanvankelijk alleen zorg kon bieden voor extreme noodgevallen en bevallingen. Op de locatie Sambre in Auvelais zijn ten minste 70 procent van de raadplegingen behouden gebleven, volgens algemeen directeur Stéphane Rillaerts. "Het laboratorium kan alleen spoedeisende interne zaken behandelen. Op de locatie Meuse in Namen, met 397 bedden, hebben we sinds vrijdag meer dan 1.000 consultaties gehad. Het bemonsteringscentrum is op donderdag heropend, maar de analyses worden extern uitgevoerd", voegde hij eraan toe. De spoeddiensten vangen opnieuw patiënten op die zijn doorverwezen via de 112-centrale. Het ziekenhuis werkt nog steeds zonder internetverbinding of vaste telefoon. Elke afdeling organiseert zichzelf om haar prioriteiten te bepalen. Ondertussen zet de ICT-afdeling haar onderzoek voort met ondersteuning van het CERT (Federal Cyber Emergency Response Team).
Duitsland en VS waarschuwen voor zerodaylek in MOVEit Transfer met potentieel gegevensdiefstal
De Amerikaanse en Duitse overheden hebben organisaties gewaarschuwd voor een actief aangevallen zerodaylek in MOVEit Transfer van Progress Software. Dit softwareprogramma wordt gebruikt voor het uitwisselen van bestanden en wordt door verschillende organisaties, waaronder banken en financiële dienstverleners, gebruikt. De aanval maakt gebruik van SQL Injection om ongeautoriseerde toegang tot de database van een MOVEit-server te verkrijgen en gevoelige gegevens te stelen. De aanvallers installeren ook een webshell om toegang te behouden. Progress Software heeft op 31 mei een beveiligingsupdate uitgebracht en adviseert klanten om te controleren op ongeautoriseerde toegang in de afgelopen dertig dagen. Volgens beveiligingsbedrijven Rapid7 en Huntress zijn er ongeveer 2500 installaties van MOVEit Transfer via internet toegankelijk. Om misbruik te voorkomen, wordt aanbevolen om al het HTTP- en HTTPS-verkeer naar de MOVEit Transfer-omgeving uit te schakelen totdat de update is geïnstalleerd. Daarnaast wordt geadviseerd om het wachtwoord van alle gebruikers te resetten. Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI) hebben ook waarschuwingen uitgegeven. Eerder leidde een zerodaylek in Fortra GoAnywhere tot een groot aantal datalekken.
If your Org has Progress MOVEit Transfer, especially if externally exposed, read this Progress doc NOW: https://t.co/INnHyaoXbC
— Jim Sykora (@JimSycurity) June 1, 2023
Actively exploited 0day!!!
This is especially relevant to community banks, especially those that rely on Fiserv as a bank tech vendor. https://t.co/PKUScKbLCS
Brabantse gemeente Meierijstad voor 37.000 euro opgelicht door CEO-fraude
De Brabantse gemeente Meierijstad is vorige maand het slachtoffer van ceo-fraude geworden, waarbij medewerkers van de afdeling financiën via een spoedbetaling meer dan 37.000 euro aan criminelen overmaakten. Een tweede en derde poging mislukten, omdat een medewerker van financiën bij de functionaris waar het verzoek zogenaamd vandaan kwam, telefonisch om verificatie vroeg, waarna de fraude werd ontdekt. "Wij betreuren het ten zeerste dat collega’s uit onze organisatie slachtoffer zijn geworden en we zullen aan hen nazorg bieden. Onmiddellijk na de fraude zijn onze procedures nogmaals tegen het licht gehouden en zijn aanvullende maatregelen genomen om CEO fraude te voorkomen", aldus burgemeester Van Rooij in een brief aan de gemeenteraad (pdf). Met de brief wil het college naar eigen zeggen het risicobewustzijn in de gemeentelijke organisatie een extra impuls geven. Daarnaast is er aangifte gedaan en is de Bank Nederlandse Gemeenten (BNG) in contact met de desbetreffende bank om te onderzoeken of het mogelijk is om het overgemaakte bedrag terug te halen.
Amerikaanse ziekenhuizen weigeren ambulances door cyberaanval
Twee Amerikaanse ziekenhuizen in de staat Idaho worden geconfronteerd met een cyberaanval, waardoor ze geen ambulances kunnen ontvangen. De ziekenhuizen, waaronder het Mountain View Hospital en Idaho FallsCommunity Hospital, hebben verschillende klinieken moeten sluiten en accepteren alleen contante betalingen in hun restaurants. De aanval vond eerder deze week plaats en de herstelwerkzaamheden zijn nog steeds aan de gang. Hoewel de ziekenhuizen open blijven, zijn sommige behandelingen uitgesteld. Desondanks verzekeren de ziekenhuizen dat de zorg voor patiënten in de meeste gevallen normaal kan doorgaan.
Terminator antivirus killer: Een bedreiging voor Windows-systemen
Een bedreigingsacteur genaamd Spyboy promoot de tool "Terminator" op een Russisch hackforum. Terminator wordt beweerd in staat te zijn om 24 verschillende antivirus-, Endpoint Detection and Response (EDR)- en Extended Detection and Response (XDR)-beveiligingsoplossingen te omzeilen, waaronder Windows Defender, op Windows 7 en latere apparaten. De tool wordt verkocht voor prijzen variërend van $300 tot $3.000, afhankelijk van de gewenste functionaliteit. Om Terminator te gebruiken, hebben gebruikers administratieve privileges op de doelsystemen nodig en moeten ze de gebruiker misleiden om een User Account Controls (UAC) pop-up te accepteren. Terminator maakt gebruik van een legitiem, ondertekend Zemana anti-malware kerneldriverbestand met een willekeurige naam om AV- en EDR-softwareprocessen op kernelniveau te beëindigen. Het is niet duidelijk hoe Terminator de driver verbindt, maar er is een PoC exploit uitgebracht die gebruikmaakt van kwetsbaarheden in de driver om opdrachten met Windows Kernel-privileges uit te voeren. De Terminator-tool wordt gedetecteerd als een kwetsbaar stuurprogramma door slechts één anti-malwarescanner. Gelukkig hebben onderzoekers al YARA- en Sigma-regels gedeeld die kunnen helpen bij het detecteren van het kwetsbare stuurprogramma dat door Terminator wordt gebruikt. Deze techniek van het installeren van kwetsbare Windows-stuurprogramma's om beveiligingssoftware te omzeilen en kwaadaardige code uit te voeren, wordt vaak gebruikt door verschillende dreigingsgroepen, waaronder ransomware-bendes en door staten gesteunde hackers. De Terminator-tool vormt een serieuze bedreiging voor Windows-systemen en benadrukt opnieuw het belang van regelmatige updates en beveiligingsmaatregelen om dergelijke aanvallen te voorkomen.
A TA going by the handle Spyboy is selling an AV/EDR killer that is allegedly capable of killing almost every AV/EDR on the market.https://t.co/uZ7keYNW0ohttps://t.co/ou14kraiTJ pic.twitter.com/GL3EkqGl9P
— Soufiane (@S0ufi4n3) May 29, 2023
Hackers benutten kritieke Zyxel-firewall-fouten voor malware-aanvallen
Hackers maken momenteel gebruik van een ernstige kwetsbaarheid in Zyxel-netwerkapparaten, bekend als CVE-2023-28771, om wijdverspreide aanvallen uit te voeren. Deze command injection-fout stelt hen in staat malware te installeren. De kwetsbaarheid, aanwezig in de standaardconfiguratie van firewall- en VPN-apparaten, maakt het mogelijk om ongeauthenticeerde uitvoering van externe code uit te voeren via een speciaal ontworpen IKEv2-pakket naar UDP-poort 500 op het apparaat. Zyxel heeft patches vrijgegeven om het beveiligingslek op te lossen en gebruikers worden dringend geadviseerd deze te installeren. Verschillende activiteitenclusters hebben de kwetsbaarheid al uitgebuit, waaronder een op Mirai gebaseerd botnet-malware. Naast CVE-2023-28771 heeft Zyxel onlangs ook twee andere ernstige kwetsbaarheden, CVE-2023-33009 en CVE-2023-33010, verholpen. Beheerders wordt aangeraden de beschikbare beveiligingsupdates zo snel mogelijk toe te passen om het risico op misbruik te verminderen.
Opkomst van Stealthy SeroXen RAT-malware gericht op gamers
Een recente trend in de cybercriminaliteit is het gebruik van de stealthy remote access trojan (RAT) genaamd 'SeroXen' om gamers te targeten. Deze malware wordt steeds populairder vanwege de lage detectiegraad en krachtige mogelijkheden. Cybercriminelen verkopen de malware onder het mom van een legitieme tool voor externe toegang. SeroXen is gebaseerd op verschillende open-source projecten, waaronder Quasar RAT, de r77 rootkit en de NirCmd-opdrachtregeltool, waardoor het moeilijk te detecteren is. De aanvallen vinden plaats via phishing-e-mails of Discord-kanalen, waarbij zwaar verduisterde batchbestanden worden verspreid. Zodra de malware is geïnstalleerd, biedt het externe toegang tot het systeem en wacht het op opdrachten van de aanvallers. Hoewel de meeste slachtoffers momenteel in de gaminggemeenschap worden gevonden, vreest AT&T dat de populariteit van SeroXen hackers zal aantrekken die zich op grote organisaties willen richten. Netwerkverdedigers hebben compromisindicatoren gekregen om zich tegen deze malware te beschermen. Het SeroXen-project wordt naar verluidt afgesloten en er wordt geprobeerd een onverkillbare versie aan de Amerikaanse regering te verkopen.
Belgische Politie waarschuwt voor gevaarlijke Trojaanse paard software op Android-toestellen
Italiaanse computerspecialisten hebben een nieuw digitaal gevaar ontdekt genaamd "Nexus", een Trojaans paard dat schadelijke software is en voornamelijk gericht is op Android-toestellen. De federale politie waarschuwt dat Nexus probeert gevoelige informatie, zoals bankgegevens en wachtwoorden, te bemachtigen. De malware opent valse vensters op het scherm van een telefoon, en als de gebruiker niet oplet, kunnen hackers toegang krijgen tot privégegevens. Deze malware wordt ook gebruikt om controle over een groot aantal tablets en smartphones over te nemen, waardoor cyberaanvallen kunnen worden gelanceerd of ransomware kan worden geïnstalleerd op servers van bedrijven of overheidsinstellingen. Cybercriminelen kunnen dan losgeld in cryptovaluta eisen voor de vrijgave van de gegevens. Het is belangrijk om hoogwaardige beveiligingsmaatregelen te nemen, zoals het installeren van antivirus- en antimalware-software, en alert te zijn op signalen van infectie, zoals vertragingen, crashes, pop-ups en onbekende apps of programma's. Wees waakzaam tegen deze dreigingen van cybercriminelen.
Malafide Google Chrome-extensies met 55 miljoen gebruikers ontdekt
In de Chrome Web Store zijn achttien malafide extensies gevonden die gezamenlijk 55 miljoen gebruikers hebben en JavaScript injecteren op elke bezochte website. Deze ontdekking werd gedaan door Wladimir Palant, beveiligingsonderzoeker en ontwikkelaar van de bekende adblocker Adblock Plus. Gebruikers van deze extensies meldden bijna twee jaar geleden al problemen. De kwaadaardige code leidde gebruikers om naar andere websites, met name wanneer ze bepaalde zoekmachines wilden gebruiken. Het is onduidelijk of dit nog steeds het geval is, volgens Palant. Eerder publiceerde de onderzoeker al een artikel over de aanwezigheid van de schadelijke code in de PDF Toolbox-extensie, maar ondanks zijn waarschuwingen blijft de extensie beschikbaar in de Chrome Web Store en heeft deze juist meer gebruikers gekregen. Ook de andere malafide extensies zijn niet verwijderd. Palant waarschuwt dat er met de mogelijkheid om JavaScript op elke website te injecteren veel gevaarlijkere dingen mogelijk zijn dan alleen het omleiden van zoekpagina's. Enkele van de genoemde schadelijke extensies zijn Autoskip for Youtube, Crystal Ad block, Brisk VPN, Clipboard Helper, Maxi Refresher, Quick Translation, Easyview Reader view en Zoom Plus.
Kaspersky onthult aanhoudende zeroclick iPhone malware-aanvallen sinds 2019
Antivirusbedrijf Kaspersky waarschuwt dat iPhones al vier jaar lang het doelwit zijn van zeroclick-aanvallen waarbij de apparaten zonder enige interactie van gebruikers met malware worden besmet. De aanvallers gebruiken een malafide iMessage-bijlage, die na een succesvolle aanval samen met het bericht wordt verwijderd. Volgens Kaspersky zit er een "advanced persistent threat" (APT) achter de aanvallen, die sinds 2019 plaatsvinden en nog steeds gaande zijn. De Russische geheime dienst FSB heeft de Amerikaanse NSA beschuldigd van het infecteren van iPhones met malware. Kaspersky ontdekte de malware door zijn eigen bedrijfsnetwerk te monitoren, waarbij verdachte activiteiten van verschillende iPhones werden opgemerkt. Hoewel de aanvallers hun best deden om sporen te verbergen, ontdekten de onderzoekers aanwijzingen van infectie. De aanval vindt plaats via een iMessage-bijlage, die verschillende andere exploits downloadt om kwaadaardige code uit te voeren. Eenmaal succesvol, downloadt de aanval een APT-platform op de telefoon, dat systeem- en gebruikersinformatie verzamelt en willekeurige code kan downloaden en uitvoeren. De malware overleeft geen telefoonreboot, maar onderzoek toont aan dat iPhones gedurende een langere periode meerdere keren werden besmet.
FSB beticht NSA van besmetten iPhones met malware, bewijzen blijven uit
De Russische geheime dienst FSB beschuldigt de Amerikaanse NSA ervan duizenden iPhones te hebben geïnfecteerd met malware. Volgens de FSB heeft de NSA hiervoor gebruik gemaakt van kwetsbaarheden in Apple's systeem. De getroffen telefoons zouden van diplomaten van NAVO-landen, voormalige Sovjet-staten, Israël en China zijn. De Russische dienst stelt dat deze actie bewijs vormt voor de nauwe samenwerking tussen Apple en de NSA. De FSB beweert dat Apple de Amerikaanse inlichtingendiensten ruime mogelijkheden biedt om invloed uit te oefenen op belangrijke personen, inclusief partners in anti-Russische activiteiten en hun eigen burgers. Er zijn echter geen details of bewijs voor de vermeende malware of de banden tussen Apple en de NSA gegeven. Persbureau Reuters heeft om opheldering gevraagd bij zowel Apple als de NSA, maar beide hebben nog niet gereageerd.
Ransomware-aanval op Enzo Biochem resulteert in diefstal van gegevens van 2,5 miljoen patiënten
Bij een ransomware-aanval op het Amerikaanse biotechbedrijf Enzo Biochem zijn de gegevens van 2,5 miljoen patiënten gestolen. De gestolen gegevens omvatten namen, testgegevens en social-securitynummers. Enzo Biochem levert dna-gebaseerde tests voor de detectie van virale en bacteriële ziektes, waaronder corona en kanker. De aanvallers kregen toegang tot de patiëntgegevens en wisten deze te stelen. Het onderzoek naar de datadiefstal loopt nog, en het is onbekend of er ook gegevens van medewerkers zijn buitgemaakt. Het biotechbedrijf heeft toegezegd getroffen personen en toezichthouders op de hoogte te stellen van het datalek. De details over hoe de ransomware-aanval heeft kunnen plaatsvinden en de totale kosten van de aanval zijn nog niet bekendgemaakt.
Cybercriminelen en Ring-medewerkers schonden privacy van klanten
Medewerkers van Ring, een fabrikant van beveiligingscamera's, hebben klanten illegaal bespioneerd door privéopnames te bekijken. Dit werd ontdekt door de Amerikaanse toezichthouder FTC, die nu een rechtszaak tegen Ring heeft aangespannen. Naast het bespioneren van klanten, heeft de FTC vastgesteld dat de beveiliging van Ring tekortschoot. Hierdoor konden cybercriminelen accounts kapen en toegang krijgen tot live videostreams, opgeslagen video's en accountprofielen. Verder werd ontdekt dat Ring geen toestemming vroeg om klantbeelden te gebruiken voor verschillende doeleinden, zoals het trainen van algoritmes. De FTC eist nu dat Ring een privacy- en beveiligingsprogramma implementeert, een boete van 5,8 miljoen dollar betaalt en alle opnames en data van vóór 2018 verwijdert. Bovendien moet Ring de FTC informeren over eventuele incidenten of ongeautoriseerde toegang tot klantvideo's in de toekomst.
Beveiligingsbedrijf waarschuwt voor backdoor in Gigabyte-moederborden
Securitybedrijf Eclypsium heeft gewaarschuwd dat een groot aantal moederborden van fabrikant Gigabyte een backdoor bevat, waardoor systemen met malware geïnfecteerd kunnen worden. Meer dan 250 modellen van Gigabyte-moederborden zijn getroffen. De UEFI-firmware op deze moederborden bevat een Windows executable die bij het opstarten van het systeem naar de schijf van de computer wordt geschreven. Dit is een techniek die vaak gebruikt wordt door UEFI-malware en backdoors. Eclypsium raadt gebruikers aan om de "APP Center Download & Install" functie in de UEFI/BIOS uit te schakelen, een BIOS-wachtwoord in te stellen, verschillende domeinen te blokkeren en te controleren op firmware-updates. Gigabyte is op de hoogte gesteld en werkt aan een oplossing.
Dark Pink APT-hackers blijven overheid, militaire en onderwijsorganisaties aanvallen
De Dark Pink APT-hackgroep blijft actief in 2023 en richt zich op overheid, militaire en onderwijsorganisaties in Indonesië, Brunei en Vietnam. Ondanks eerdere blootstelling door Group-IB, heeft de groep geen tekenen van vertraging vertoond. De recente aanvallen van Dark Pink tonen een vernieuwde aanvalsketen en verschillende persistentiemechanismen, naast het inzetten van nieuwe gegevensexfiltratie-tools. De hackers blijven vertrouwen op ISO-archieven, verzonden via spearphishing, voor de initiële infectie. Daarnaast wordt er gebruik gemaakt van zijladen van DLL's om hun kenmerkende achterdeuren, 'TelePowerBot' en 'KamiKakaBot', te lanceren. Dark Pink gebruikt een privé GitHub-repository om aanvullende modules te hosten die door hun malware naar gecompromitteerde systemen worden gedownload. Volgens Group-IB zijn de Dark Pink-dreigingsactoren niet ontmoedigd door hun eerdere blootstelling en zullen ze waarschijnlijk hun aanvallen voortzetten, waarbij ze hun tools blijven bijwerken en hun methoden diversifiëren.
RomCom Malware Verspreidt Zich via Google Ads voor ChatGPT, GIMP en Meer
Een nieuwe campagne distribueert de RomCom backdoor-malware door zich voor te doen als bekende of fictieve softwarewebsites en gebruikers te misleiden om kwaadaardige installers te downloaden en te starten. De meeste getroffen websites hebben betrekking op externe desktopbeheerapplicaties, waardoor het waarschijnlijker wordt dat aanvallers phishing of social engineering technieken gebruiken. De malware heeft verbanden met Cuba-ransomware en is eerder gebruikt bij aanvallen op netwerken in Oekraïne, de VS, Brazilië en de Filippijnen. Valse sites promoten de malware via Google-advertenties en gerichte phishing-e-mails. De malware maakt gebruik van versleuteling om ontdekking te voorkomen en lijkt ondertekend te zijn door legitieme bedrijven uit de VS en Canada, waarvan de websites gevuld zijn met valse of geplagieerde inhoud. De precieze doelen van de malware-operatoren blijven onduidelijk, maar de malware vormt een veelzijdige bedreiging die aanzienlijke schade kan aanrichten.
Zerodaylek in Barracuda Email Security Gateway sinds oktober 2022 gebruikt om data te stelen
Een zerodaylek in de Barracuda Email Security Gateway is sinds oktober 2022 misbruikt om data bij organisaties te stelen, aldus de netwerkbeveiliger zelf. Het bedrijf heeft klanten gewaarschuwd om gecompromitteerde gateways niet te gebruiken en contact op te nemen met de klantenservice voor een nieuwe gateway. Vorige week heeft Barracuda een beveiligingsupdate uitgebracht voor de kwetsbaarheid, die misbruikt kon worden via kwaadaardige .tar-bestanden. De kwetsbaarheid (CVE-2023-2868) bevindt zich in een module die bijlagen van inkomende e-mails scant. Aanvallers hebben ook een trojaanse module, genaamd Barracuda Saltwater, geïnstalleerd die als een backdoor fungeert. Daarnaast is er een andere backdoor genaamd SeaSpy geïnstalleerd die zich voordoet als een legitieme Barracuda Networks-service en verkeer op poort 25 (SMTP) kan monitoren. Klanten zijn geadviseerd om alle inloggegevens voor de gateway en privé TLS-certificaten te vervangen, en hun logbestanden te controleren op indicatoren van compromittering.
Unieke en verwoestende cyberaanval hindert eindexamens in Griekse scholen
Een grote cyberaanval op het Griekse ministerie van Onderwijs heeft dinsdag voorkomen dat meerdere leerlingen hun eindexamen konden afleggen. De aanval, die door het hoofd van de examencommissie als "de grootste cyberaanval die het land ooit heeft meegemaakt" wordt beschouwd, volgde op een kleinere aanval die een dag eerder plaatsvond. Deze tweede aanval veroorzaakte aanzienlijke schade, waardoor de internetserviceprovider van de scholen en het examenplatform crashten. Hierdoor konden scholen geen tests van de centrale database naar hun eigen computers overbrengen. Hoewel eindexamens voor de laatste drie jaren van de middelbare school werden verhinderd, bevestigde het ministerie van Onderwijs dat universitaire toelatingsexamens, die donderdag van start gaan, zoals gepland zullen doorgaan. In samenwerking met de dienst voor cybercriminaliteit heeft de Atheense politie een onderzoek geopend naar deze gebeurtenissen, volgens verschillende Griekse mediakanalen.
Populaire Android-apps met Spywaremodule 421 Miljoen Keer Gedownload
Verschillende populaire Android-apps in de Google Play Store bevatten een spywaremodule waarmee aanvallers bestanden van de telefoon of de inhoud van het clipboard kunnen stelen, volgens het antivirusbedrijf Doctor Web. In totaal zijn deze apps, waaronder Noizz, Zapya, VFly, MVBit en Blugo, meer dan 421 miljoen keer gedownload. De apps maken gebruik van SpinOk, een module die als marketing software development kit (SDK) fungeert en minigames, 'loterijen' en advertenties aan de apps toevoegt. Zodra deze SDK actief is, maakt het verbinding met een command & control-server en verzamelt informatie over de sensoren van de telefoon. Deze spywaremodule is in meer dan honderd apps gevonden, en veel van deze apps zijn nog steeds beschikbaar in de Google Play Store.
Cybercriminelen treffen 16 rijksoverheidsorganisaties met datalek bij Nebu
Zestien rijksoverheidsorganisaties, waaronder het ministerie van Economische Zaken, TNO, RVO, CBG, RIVM, SCP, het ministerie van Onderwijs en de Huurcommissie, zijn getroffen door een datalek bij het softwarebedrijf Nebu. Aan het eind van maart werd bekend dat aanvallers toegang hadden gekregen tot de systemen van Nebu, waarbij mogelijk klantgegevens zijn buitgemaakt. Het is echter nog onduidelijk hoe groot het datalek is en wie aansprakelijk is. De getroffen marktonderzoeker Blauw heeft met succes een kort geding aangespannen tegen Nebu om meer informatie te krijgen over de aanval en de omvang van het datalek. Door deze situatie en het delen van klantgegevens met externe leveranciers, stelde het CDA Kamervragen. Staatssecretaris Van Huffelen gaf aan dat de omvang van het datalek nog altijd onbekend is.
Rijksinspectie: Zonnepaneelomvormers vatbaar voor cyberaanvallen en radiostoringen
Volgens de Rijksinspectie Digitale Infrastructuur (RDI) zijn veel omvormers van zonnepaneelinstallaties kwetsbaar voor cyberaanvallen. Deze kwetsbaarheid kan leiden tot het op afstand uitschakelen van de installaties, gebruik voor DDoS-aanvallen, en diefstal van persoons- en gebruiksgegevens. Daarnaast kunnen de omvormers storingen veroorzaken, waaronder radiostoringen, die de bruikbaarheid van het radiospectrum kunnen beïnvloeden. Uit het onderzoek van de RDI bleek dat geen van de negen geteste omvormers voldeed aan alle vereisten. Vijf van de omvormers konden storingen veroorzaken die van invloed zijn op alledaagse toepassingen en potentieel op de lucht- en scheepvaart. Alle fabrikanten wiens product niet voldeed aan de normen zijn gewaarschuwd en er zullen binnenkort hercontroles plaatsvinden. Bij herhaalde non-conformiteit kan de RDI handhavende maatregelen nemen, zoals het opleggen van een boete, het instellen van een verkoopverbod of een terugroepactie. Hoewel de wettelijke vereisten voor cybersecurity nog niet van kracht zijn, heeft de RDI de fabrikanten opgeroepen om hun maatschappelijke verantwoordelijkheid te nemen en de cyberveiligheid te verbeteren. Vanaf 1 augustus 2024 krijgt de RDI handhavende bevoegdheden op het gebied van cyberveiligheid.
Meer dan 47.000 DrayTek-routers in Nederland risico op cyberaanvallen
Volgens een scan van het beveiligingsbedrijf Censys, zijn er meer dan 47.000 routers van de fabrikant DrayTek in Nederland toegankelijk via HTTP of SSH vanaf het internet, waardoor ze kwetsbaar zijn voor mogelijke cyberaanvallen. Naast de DrayTek-routers, zijn er ook 500 Zyxel-routers met een Nederlands IP-adres op dezelfde manier benaderbaar vanaf het internet. Wereldwijd werden er ongeveer 510.000 'soho-routers' geïdentificeerd met publiek toegankelijke HTTP-managementpoort of SSH-service. Deze bevindingen volgen op de berichtgeving van Microsoft en diverse internationale autoriteiten over een groep aanvallers die zich richt op Amerikaanse organisaties in de vitale infrastructuur. Deze aanvallers hebben op een nog onbekende manier toegang gekregen tot netwerken via Fortinet FortiGuard-apparaten. Het onderzoek toonde aan dat het grootste aantal apparaten dat op deze manier toegankelijk is, routers zijn van DrayTek, waarvan er 47.666 zich in Nederland bevinden. Censys adviseert beheerders om ervoor te zorgen dat de beheerdersinterface van deze apparaten niet vanaf het publieke internet toegankelijk is om cyberaanvallen te voorkomen.
Hackersforum RaidForums: Database met Gegevens van 478,000 Leden Gelekt
Een database van het beruchte hackersforum RaidForums is online gelekt, wat zowel kwaadwillende partijen als beveiligingsonderzoekers inzicht geeft in de mensen die het forum bezochten. RaidForums stond bekend om het hosten, lekken en verkopen van gestolen gegevens van gehackte organisaties. Vaak werden de gestolen gegevens gratis op RaidForums gelekt om reputatie binnen de community te verwerven als ze niet verkocht werden of als er enige tijd was verstreken. In april 2022 werden de website en infrastructuur van RaidForums in beslag genomen in een internationale politieactie, waarbij de beheerder van de site, 'Omnipotent', en twee medeplichtigen werden gearresteerd. Na de sluiting van Raidforums verhuisden gebruikers naar een nieuw forum genaamd 'Breached' om gestolen databases te blijven verhandelen. Maar Breached sloot in maart 2023 nadat de oprichter en eigenaar, 'Pompompurin', door de FBI werd gearresteerd. Eerder deze maand werd een forum genaamd 'Exposed' gelanceerd om de leemte te vullen die Breached had achtergelaten. Vandaag heeft een van de beheerders van de site, 'Impotent', de ledendatabase van RaidForums gelekt. Deze lek omvat de registratie-informatie van 478,870 RaidForums-leden, waaronder hun gebruikersnamen, e-mailadressen, gehashte wachtwoorden, registratiedata en andere informatie gerelateerd aan de forumsoftware. Hoewel het waarschijnlijk is dat de database al in handen is van wetshandhaving na de inbeslagname van het forum, kunnen deze gegevens nog steeds nuttig zijn voor beveiligingsonderzoekers om profielen van bedreigingsactoren op te bouwen. Met de gelekte registratie-informatie kunnen onderzoekers meer te weten komen over de bedreigingsactoren en ze mogelijk linken aan andere kwaadaardige activiteiten.
Jimbos Protocol verliest meer dan $7,5 miljoen in Flash-leningaanval
Jimbos Protocol, een DeFi-project op Arbitrum, heeft een flash-leningaanval ondergaan, resulterend in het verlies van meer dan 4000 ETH-tokens, momenteel gewaardeerd op meer dan $7,5 miljoen. De aanval vond plaats slechts drie dagen na de lancering van het V2-protocol van het platform, waarin veel mensen recentelijk hebben geïnvesteerd. Na de aanval daalde de prijs van de Jimbo-token dramatisch, van $0,238 tot slechts $0,0001. Volgens blockchain-beveiligingsexperts van PeckShield, heeft de aanval gebruik gemaakt van het gebrek aan 'slipcontrole' (slippage control) op het platform, wat de prijsfluctuatie van een token binnen een acceptabel bereik moet houden. Hoewel het V2-protocol ontworpen was om deze en andere beveiligingsproblemen op te lossen, kon het de aanval niet voorkomen. Het platform heeft de daders een on-chain bericht gestuurd met het verzoek om 90% van de gestolen fondsen terug te geven in ruil voor het niet starten van juridische procedures tegen hen.
We are aware of the exploit regarding our protocol and are actively in contact with law enforcement and security professionals.
— Jimbos Protocol (v2, soon) (@jimbosprotocol) May 28, 2023
We will release further information when possible.
Ransomware-aanval op MCNA Dental Compromitteert Persoonlijke Gegevens van 8,9 Miljoen Patiënten
Managed Care of North America (MCNA) Dental heeft een melding gepubliceerd over een data-inbreuk waarbij de persoonlijke gegevens van bijna 9 miljoen patiënten zijn gecompromitteerd. De inbreuk werd opgemerkt op 6 maart 2023, maar de hackers hadden al sinds 26 februari toegang tot het netwerk. De gestolen gegevens omvatten namen, adressen, telefoonnummers, emailadressen, nummers van sociale zekerheid, en andere gezondheids- en verzekeringsinformatie. De LockBit ransomware-groep heeft de cyberaanval op MCNA opgeëist, en dreigde 700GB aan gevoelige informatie te publiceren tenzij ze $10 miljoen ontvingen. Op 7 april 2023 maakte LockBit alle data openbaar op hun website. MCNA heeft stappen ondernomen om de situatie te verhelpen en de beveiliging van hun systemen te verbeteren om toekomstige incidenten te voorkomen. Getroffen individuen zijn gewaarschuwd om hun kredietrapporten te controleren op frauduleuze activiteiten.
Noord-Koreaanse Lazarus Group Hackers Richten Zich op Kwetsbare Windows IIS-Webservers
De beruchte Noord-Koreaanse hackers, bekend als de Lazarus Group, hebben hun focus verlegd naar kwetsbare Windows Internet Information Services (IIS) webservers om initiële toegang te krijgen tot bedrijfsnetwerken. Lazarus is voornamelijk financieel gemotiveerd, en veel analisten geloven dat de kwaadaardige activiteiten van de groep bijdragen aan de financiering van de wapenontwikkelingsprogramma's in Noord-Korea. Zuid-Koreaanse onderzoekers bij het AhnLab Security Emergency Response Center (ASEC) ontdekten deze nieuwe tactiek. Ondanks dat de aanvallen zich verspreiden over het netwerk, heeft ASEC geen verdere kwaadaardige activiteiten ontdekt. Aangezien Lazarus sterk leunt op DLL sideloading als onderdeel van hun aanvallen, raadt ASEC organisaties aan om te letten op abnormale procesuitvoering.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 46-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 45-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language