Overzicht van slachtoffers cyberaanvallen week 38-2023

Gepubliceerd op 25 september 2023 om 15:00

EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑

Cybercrimeinfo.nl (ccinfo.nl) is geen onderdeel van de Nederlandse Politie. Lees hier meer over wie wij zijn.


In de afgelopen week is het cyberlandschap wederom geteisterd door een reeks verontrustende incidenten die zowel nationaal als internationaal impact hebben. Nederlandse gemeenten maken zich toenemend zorgen over de stijging van CEO-fraude meldingen. Ondertussen heeft de Thomas More Hogeschool in Nederland een DDoS-aanval weten te pareren met beperkte impact, waardoor het onderwijs onverstoord kon doorgaan. Echter, het Internationaal Strafhof in Den Haag was minder fortuinlijk; daar zijn mogelijk gevoelige documenten buitgemaakt na een cyberaanval.

Ook het Nederlandse bedrijf HZPC Group is niet ontkomen aan een cyberaanval, met financiële schade en mogelijke invloed op de jaarrekening als gevolg. Op het gebied van persoonlijke veiligheid is er een alarmerende toename van 'Romance' crypto-oplichting, waarbij liefde als valstrik wordt gebruikt. Daarnaast misbruikt de APT36 hackersgroep Android-toestellen via nagemaakte YouTube-apps.

Het Amerikaanse Ministerie van Homeland Security waarschuwt dat 2023 een lucratief jaar lijkt te worden voor ransomwaregroepen. Ondertussen verspreidt een valse WinRAR Proof-of-Concept exploit de VenomRAT malware en pleegt nieuwe Android-malware bankfraude en voert zelfs een fabrieksreset uit. Hotelgasten zijn het doelwit van een gelaagde phishingaanval via een vervalste Booking.com website, en er zijn zerodaglekken in Chrome en iOS benut voor een gerichte aanval met Predator-spyware. De stad Dallas in de Verenigde Staten werd het slachtoffer van een grote ransomware-aanval die begon via een onbeveiligd service-account, en een langdurige cybercrisis treft een energiebedrijf in Sint-Maarten.

Hieronder vindt u het volledige overzicht van de cyberaanvallen van de afgelopen week.



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
MNGI Digestive Health BlackCat (ALPHV) mngastro.com USA Health Services 24-sep.-23
epson.es STORMOUS epson.es Japan Electronic, Electrical Equipment, Components 24-sep.-23
altmanplants.com LockBit altmanplants.com USA Building Materials, Hardware, Garden Supply, And Mobile Home Dealers 24-sep.-23
SONY.COM RansomedVC sony.com Japan Electronic, Electrical Equipment, Components 24-sep.-23
Phil-Data Business Systems BlackCat (ALPHV) www.phildata.com Philippines IT Services 24-sep.-23
bnm.bg RansomedVC bnm.bg Bulgaria Miscellaneous Retail 24-sep.-23
mango.bg RansomedVC mango.bg Bulgaria Apparel And Accessory Stores 24-sep.-23
ebag.bg RansomedVC ebag.bg Bulgaria Food Stores 24-sep.-23
popolo.bg RansomedVC popolo.bg Bulgaria Apparel And Accessory Stores 24-sep.-23
andrews.bg RansomedVC andrews.bg Bulgaria Apparel And Accessory Stores 24-sep.-23
ardes.bg RansomedVC ardes.bg Bulgaria Home Furniture, Furnishings, And Equipment Stores 24-sep.-23
myshoes.bg RansomedVC myshoes.bg Bulgaria Apparel And Accessory Stores 24-sep.-23
ecco.bg RansomedVC ecco.bg Bulgaria Apparel And Accessory Stores 24-sep.-23
districtshoes.bg RansomedVC districtshoes.bg Bulgaria Apparel And Accessory Stores 24-sep.-23
footshop.bg RansomedVC footshop.bg Bulgaria Apparel And Accessory Stores 24-sep.-23
Punto.bg RansomedVC punto.bg Bulgaria Apparel And Accessory Stores 24-sep.-23
arelion.com RansomedVC arelion.com Sweden Communications 23-sep.-23
Clarion BlackCat (ALPHV) www.clarion.com Japan Electronic, Electrical Equipment, Components 23-sep.-23
interep.com.br STORMOUS interep.com.br Brazil Miscellaneous Services 23-sep.-23
Franktronics, Inc Medusa www.franktronics.net USA IT Services 23-sep.-23
Philippine Health Insurance Medusa www.philhealth.gov.ph Philippines Administration Of Human Resource Programs 23-sep.-23
FabricATE Engineering 8BASE www.fabric-ate.com Turkiye Aerospace 23-sep.-23
The Envelope Works Ltd 8BASE envelopeworks.com United Kingdom Publishing, printing 23-sep.-23
Ort Harmelin College of Engineering Rhysida www.hermelin.ort.org.il Israel Educational Services 23-sep.-23
marshallindtech.com LockBit marshallindtech.com USA Machinery, Computer Equipment 22-sep.-23
precisionpractice.com LockBit precisionpractice.com USA Health Services 22-sep.-23
CLX Logistics Akira clxlogistics.com USA Transportation Services 22-sep.-23
Agilitas IT Solutions Limited INC Ransom www.agilitas.co.uk United Kingdom IT Services 22-sep.-23
Progressive Leasing BlackCat (ALPHV) progleasing.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 22-sep.-23
Pik Rite BlackCat (ALPHV) www.pikrite.com USA Machinery, Computer Equipment 22-sep.-23
SAGAM Groupe BlackCat (ALPHV) Unknown France Furniture 22-sep.-23
COMECA Group Ragnar_Locker www.comeca-group.com France Electronic, Electrical Equipment, Components 22-sep.-23
Carlo Ditta BlackCat (ALPHV) carlodittainc.net USA Miscellaneous Manufacturing Industries 22-sep.-23
SK Accountants & Tax Consultants Ragnar_Locker www.skatax.co.uk United Kingdom Accounting Services 22-sep.-23
pelmorex.com LockBit pelmorex.com Canada Communications 22-sep.-23
Yusen Logistics BlackCat (ALPHV) www.yusen-logistics.com Japan Transportation Services 22-sep.-23
Hospice of Huntington Karakurt hospiceofhuntington.org USA Health Services 22-sep.-23
Yakima Valley Radiology Karakurt www.yakrad.com USA Health Services 22-sep.-23
haciendazorita.com ThreeAM haciendazorita.com Spain Lodging Places 22-sep.-23
fi-tech.com ThreeAM fi-tech.com USA Textile Mill Products 22-sep.-23
Holon Institute of Technology Rhysida www.hit.ac.il Israel Educational Services 22-sep.-23
neuraxpharm.com ThreeAM neuraxpharm.com Germany Chemical Producers 22-sep.-23
PainCare BlackCat (ALPHV) paincareoregon.com USA Health Services 22-sep.-23
TAOGLAS BlackCat (ALPHV) www.taoglas.com Ireland Electronic, Electrical Equipment, Components 22-sep.-23
Auckland University of Technology MONTI www.aut.ac.nz New Zealand Educational Services 21-sep.-23
ruko.de BlackCat (ALPHV) ruko.de Germany Machinery, Computer Equipment 21-sep.-23
Mole Valley Farmers BlackCat (ALPHV) moleonline.com United Kingdom Home Furniture, Furnishings, And Equipment Stores 21-sep.-23
ende.co.ao BlackCat (ALPHV) ende.co.ao Angola Electrical 21-sep.-23
Cosal BlackCat (ALPHV) www.cosal.co.ao Angola Transportation Equipment 21-sep.-23
Unique Engineering BlackCat (ALPHV) www.unique.co.th Thailand Construction 21-sep.-23
Arail BlackCat (ALPHV) www.arail-sa.com Saudi Arabia Construction 21-sep.-23
Stratesys solutions Ragnar_Locker www.stratesys-ts.com Portugal IT Services 21-sep.-23
C****** ***** ***m********** BianLian Unknown USA Miscellaneous Services 21-sep.-23
Road Safety BianLian roadsafetyinc.net USA Construction 21-sep.-23
Smartfren Telecom BianLian smartfren.com Indonesia Communications 21-sep.-23
A** ****** BianLian Unknown Unknown Transportation Services 21-sep.-23
DM Civil Cactus www.dmcivil.com.au Australia Construction 21-sep.-23
Hawkins Delafield Wood RansomHouse www.hawkins.com USA Legal Services 21-sep.-23
NOVEXCO BlackCat (ALPHV) www.novexco.com Canada Miscellaneous Retail 21-sep.-23
Radley and Co RansomHouse www.radleylondon.com United Kingdom Apparel And Other Finished Products 21-sep.-23
messner.com LockBit messner.com USA Legal Services 20-sep.-23
compass-inc.com LockBit compass-inc.com USA Health Services 20-sep.-23
bauscherhepp.com LockBit bauscherhepp.com USA Home Furniture, Furnishings, And Equipment Stores 20-sep.-23
constantinecannon.com LockBit constantinecannon.com USA Legal Services 20-sep.-23
Chait Medusa www.chaitco.com USA Construction 20-sep.-23
Gulf American Lines Medusa www.gulfamerican.com USA Transportation Services 20-sep.-23
Leoch Battery INC Ransom leoch.com Singapore Electronic, Electrical Equipment, Components 20-sep.-23
hwwealth.com LockBit hwwealth.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 20-sep.-23
Federal Labor Relations Authority INC Ransom flra.gov USA Administration Of Human Resource Programs 20-sep.-23
ENTRUST Solutions Group INC Ransom entrustsol.com USA Engineering Services 20-sep.-23
Spuncast Cactus www.spuncast.com USA Metal Industries 20-sep.-23
Bacon Universal Cactus www.baconuniversal.com USA Wholesale Trade-durable Goods 20-sep.-23
payrollselectservices.com LockBit payrollselectservices.com USA Accounting Services 20-sep.-23
Portesa Trigona www.portesa.es Spain Agriculture Production Livestock And Animal Specialties 20-sep.-23
Al Ashram Contracting BlackCat (ALPHV) al-ashram.com United Arab Emirates Construction 20-sep.-23
University Obrany MONTI unob.cz Czech Republic Educational Services 19-sep.-23
fersan.com.tr LockBit fersan.com.tr Turkiye Food Products 19-sep.-23
Groupe Fructa Partner Ragnar_Locker www.groupefructapartner.fr France Wholesale Trade-non-durable Goods 19-sep.-23
American University of Antigua BlackCat (ALPHV) auamed.org USA Educational Services 19-sep.-23
Agilitas IT Solutions Limited D0N#T (Donut Leaks) www.agilitas.co.uk United Kingdom IT Services 19-sep.-23
Gossler, Gobert & Wolters Group. D0N#T (Donut Leaks) www.ggw.de Germany Insurance Carriers 19-sep.-23
Peacock Bros Cactus www.peacocks.com.au Australia IT Services 19-sep.-23
Hacketts printing services Knight www.hackettsprint.ie Ireland Publishing, printing 19-sep.-23
CEFCO Snatch cefcostores.com USA Gasoline Service Stations 18-sep.-23
ZILLI Snatch zilli.com France Apparel And Accessory Stores 18-sep.-23
Florida Department of Veterans' Affairs Snatch www.floridavets.org USA Membership Organizations 18-sep.-23
CITIZEN Ragnar_Locker citizen.co.uk Japan Electronic, Electrical Equipment, Components 18-sep.-23
First Line PLAY www.firstline.co.uk United Kingdom Wholesale Trade-durable Goods 18-sep.-23
Rea Magnet Wire PLAY www.reawire.com USA Electronic, Electrical Equipment, Components 18-sep.-23
RTA PLAY www.rtafleet.com USA IT Services 18-sep.-23
TSC PLAY www.tomstuart.com USA Construction 18-sep.-23
PASCHAL - Werk G Maier PLAY www.paschal.de Germany Construction 18-sep.-23
Vucke PLAY www.vucke.sk Slovakia General Government 18-sep.-23
Fuji Seal International Akira www.fujiseal.com Japan Paper Products 18-sep.-23
Glovis America Akira www.glovisusa.com South Korea Transportation Services 18-sep.-23
Elemetal INC Ransom elemetal.com USA Mining 18-sep.-23
Hoteles Xcaret BlackByte www.xcaret.com Mexico Lodging Places 18-sep.-23
Grupo Boreal Trigona www.grupoboreal.com.ar Argentina Health Services 18-sep.-23
Lopez & Associates Inc Knight www.la-imaging.com USA Publishing, printing 18-sep.-23
Auckland Transport Medusa at.govt.nz New Zealand Passenger Transportation 18-sep.-23
Araújo e Policastro Advogados 8BASE www.araujopolicastro.com.br Brazil Legal Services 18-sep.-23

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑

In samenwerking met StealthMol


Cyberaanvallen nieuws


Nieuwe Deadglyph Malware: Geavanceerde Bedreiging bij Overheidsaanvallen

Een recente cyberespionage-aanval tegen een overheidsinstantie in het Midden-Oosten heeft een nieuwe en geavanceerde backdoormalware aan het licht gebracht, genaamd 'Deadglyph'. Deze malware wordt toegeschreven aan de hackergroep 'Stealth Falcon APT' uit de Verenigde Arabische Emiraten (VAE). De groep staat erom bekend al bijna een decennium lang activisten, journalisten en dissidenten te targeten. In een nieuw rapport, gepresenteerd op de LABScon-cybersecurityconferentie, deelt ESET-onderzoeker Filip Jurčacko een gedetailleerde analyse van deze nieuwe modulaire malware en hoe deze Windows-apparaten infecteert. De aanvalsmethode van Deadglyph is nog niet volledig bekend, maar het wordt vermoed dat een kwaadaardig uitvoerbaar bestand, mogelijk een programma-installateur, wordt gebruikt voor de initiële infectie. ESET heeft echter de meeste onderdelen van de infectieketen kunnen verkrijgen om een beeld te schetsen van hoe de malware werkt en pogingen onderneemt om detectie te omzeilen. Deadglyph maakt gebruik van een laadketen die begint met een register-shellcode-loader (DLL) die code uit het Windows-register haalt om het 'Executor' (x64) component te laden, dat op zijn beurt het 'Orchestrator' (.NET) component laadt. Alleen het initiële component bestaat als een DLL-bestand op het gecompromitteerde systeem, wat de kans op detectie minimaliseert. Wat Deadglyph onderscheidt, is het gebruik van een 'homoglyfe' aanval, waarbij verschillende Griekse en Cyrillische Unicode-karakters worden gebruikt om visueel op Microsoft's informatie te lijken en te doen alsof het een legitiem Windows-bestand is. Deze modulaire malware kan nieuwe modules downloaden vanaf de command and control server (C2) die verschillende shellcodes bevatten om uitgevoerd te worden door het Executor-component. Deze aanpak stelt de aanvallers in staat om nieuwe modules te maken en aan te passen voor specifieke aanvallen. Hoewel ESET slechts een deel van de mogelijkheden van de malware heeft ontdekt, is duidelijk dat Deadglyph, ontwikkeld door Stealth Falcon, een formidabele bedreiging vormt. Gedetailleerde informatie over de initiële infectie ontbreekt nog, waardoor specifieke verdedigingsstrategieën op dit moment onmogelijk zijn. Voorlopig kunnen verdedigers vertrouwen op de indicatoren van compromis (IoC) die in het rapport zijn vrijgegeven. (bron, bron2)


Evasive Gelsemium-hackers waargenomen bij aanval op Aziatische overheid

Een sluwe en geavanceerde dreiging, bekend als Gelsemium, werd gedurende zes maanden tussen 2022 en 2023 waargenomen bij aanvallen op een Zuidoost-Aziatische overheid. Gelsemium is een cyberespionagegroep die sinds 2014 actief is en zich richt op overheidsinstanties, onderwijsinstellingen en elektronicafabrikanten in Oost-Azië en het Midden-Oosten. Een nieuw rapport van Palo Alto Network's Unit 42 onthult hoe een nieuwe Gelsemium-campagne zeldzame backdoors gebruikt die met medium vertrouwen aan de dreigingsactoren zijn gekoppeld. De aanvankelijke compromittering van Gelsemium-doelwitten werd bereikt door webshells te installeren, waarschijnlijk na het exploiteren van kwetsbaarheden in internet-facing servers. Unit 42 meldt het gebruik van webshells zoals 'reGeorg,' 'China Chopper,' en 'AspxSpy,' die openbaar beschikbaar zijn en door meerdere dreigingsgroepen worden gebruikt, wat de attributie bemoeilijkt. Met behulp van deze webshells voerde Gelsemium basisnetwerkreconnaissance uit, bewoog zij zich lateraal via SMB en haalde zij aanvullende payloads op. Deze aanvullende tools, waaronder OwlProxy, SessionManager, Cobalt Strike, SpoolFool en EarthWorm, helpen bij laterale beweging, gegevensverzameling en privilege-escalatie. In deze aanval werd OwlProxy ingezet, een unieke, op maat gemaakte HTTP-proxy en backdoortool die eerder werd gebruikt bij een aanval op de Taiwanese overheid. Daarnaast werd SessionManager, een IIS-backdoor, gebruikt om specifieke HTTP-verzoeken te monitoren en opdrachten uit te voeren op het gehackte systeem. Deze opdrachten omvatten het uploaden en downloaden van bestanden, het uitvoeren van commando's en het tot stand brengen van proxyverbindingen met andere systemen. In conclusie benadrukt Unit 42 de vastberadenheid van Gelsemium, waarbij de dreigingsactoren meerdere tools introduceren en de aanval aanpassen, zelfs nadat beveiligingsoplossingen sommige van hun backdoors hebben gestopt. (bron)


Cybercriminelen veroorzaken datalek bij National Student Clearinghouse en treffen 890 scholen

Een recent datalek heeft gevolgen gehad voor 890 scholen die gebruikmaken van de diensten van de Amerikaanse onderwijsnon-profitorganisatie National Student Clearinghouse. Het lek werd ontdekt op 30 mei en had betrekking op de MOVEit managed file transfer (MFT) server van de Clearinghouse. De aanvallers wisten toegang te krijgen tot persoonlijke informatie van verschillende aard. In een melding aan het kantoor van de procureur-generaal van Californië verklaarde Clearinghouse dat ze op 31 mei 2023 op de hoogte werden gebracht van het cybersecurityprobleem met de MOVEit Transfer-oplossing van hun externe softwareleverancier, Progress Software. Ze initieerden onmiddellijk een onderzoek met de steun van toonaangevende cybersecurity-experts en werkten samen met de wetshandhaving. De gestolen documenten bevatten persoonlijk identificeerbare informatie (PII) zoals namen, geboortedata, contactinformatie, socialezekerheidsnummers, studenten-ID-nummers en sommige schoolgerelateerde gegevens, waaronder inschrijvingsgegevens, diploma's en cursusgegevens.  Wat het lek verergerde, is dat de gegevens die tijdens de aanval zijn blootgesteld, variëren voor elke getroffen persoon. De volledige lijst van onderwijsinstellingen die door dit massale datalek zijn getroffen, is beschikbaar in het artikel. National Student Clearinghouse biedt rapportage, gegevensuitwisseling, verificatie- en onderzoeksdiensten aan ongeveer 22.000 middelbare scholen en ongeveer 3.600 hogescholen en universiteiten. Ze melden dat hun deelnemers ongeveer 97% van de studenten in openbare en particuliere instellingen inschrijven. Het lek werd veroorzaakt door de Clop-ransomwaregroep, die begon met uitgebreide gegevensdiefstalaanvallen op 27 mei en een zeroday-beveiligingslek benutte in het MOVEit Transfer beveiligde bestandsoverdrachtsplatform. Vanaf 15 juni begonnen de cybercriminelen organisaties te chanteren die slachtoffer waren geworden van de aanvallen en hun namen op de dark web datadiefstalsite van de groep bloot te leggen. De gevolgen van deze aanvallen zullen naar verwachting honderden organisaties wereldwijd treffen, waarvan velen de afgelopen vier maanden al getroffen klanten hebben ingelicht. Ondanks het grote aantal mogelijke slachtoffers, suggereren schattingen van Coveware dat slechts een beperkt aantal zal toegeven aan de losgeldverzoeken van Clop. Niettemin wordt verwacht dat de cybercrimegroep naar schatting 75-100 miljoen dollar aan betalingen zal ontvangen vanwege de hoge losgeldverzoeken. Daarnaast is gemeld dat meerdere Amerikaanse federale instanties en twee entiteiten van het Amerikaanse ministerie van Energie ten prooi zijn gevallen aan deze datadiefstal- en afpersingsaanvallen. Dit datalek heeft verstrekkende gevolgen en benadrukt de voortdurende dreiging van cybercriminaliteit en de noodzaak van robuuste beveiligingsmaatregelen voor onderwijsinstellingen en organisaties wereldwijd.

Exhibit B Sample Individual Notification Letter
PDF – 187,9 KB 179 downloads
Exhibit A 6
PDF – 243,5 KB 210 downloads

Cybercriminelen treffen Air Canada: Datalek van werknemers en 'bepaalde gegevens' geopenbaard

Air Canada, de nationale luchtvaartmaatschappij en de grootste luchtvaartmaatschappij van Canada, heeft deze week een cyberbeveiligingsincident onthuld waarbij hackers "kortstondig" beperkte toegang kregen tot zijn interne systemen. Volgens de luchtvaartmaatschappij heeft het incident geleid tot de diefstal van een beperkte hoeveelheid persoonlijke informatie van sommige van haar werknemers en "bepaalde gegevens." Klantengegevens werden niet beïnvloed. Air Canada, de luchtvaartmaatschappij die onlangs onder vuur lag omdat ze haar passagiers dwong om op met braaksel bedekte stoelen te zitten of het risico liepen op een no-fly-lijst te worden geplaatst, heeft opnieuw de krantenkoppen gehaald, dit keer vanwege een cyberbeveiligingsincident dat een van haar interne systemen heeft getroffen. "Een ongeautoriseerde groep heeft kortstondig beperkte toegang gekregen tot een intern systeem van Air Canada met betrekking tot beperkte persoonlijke informatie van sommige werknemers en bepaalde gegevens," luidt een verklaring die op woensdag 20 september is gepubliceerd op de perswebsite van Air Canada. De vluchtuitvoeringssystemen van de luchtvaartmaatschappij en de systemen die klanten zien, werden niet beïnvloed en klantinformatie werd in dit incident niet geopend. De luchtvaartmaatschappij heeft contact opgenomen met de getroffen partijen en de relevante wetshandhavingsinstanties. "We kunnen ook bevestigen dat al onze systemen volledig operationeel zijn," gaat de verklaring verder. "We hebben sindsdien verdere verbeteringen doorgevoerd aan onze beveiligingsmaatregelen, ook met hulp van toonaangevende wereldwijde cyberbeveiligingsexperts, om dergelijke incidenten in de toekomst te voorkomen, als onderdeel van onze voortdurende inzet voor het behoud van de veiligheid van de gegevens die we bewaren." De beknopte openbaarmaking van het incident bevatte geen details daarbuiten, zoals wat het incident heeft veroorzaakt, en eindigde met de mededeling dat het bedrijf "geen verdere openbare opmerkingen over deze kwestie heeft." Dit is niet de eerste keer dat de systemen van Air Canada zijn gehackt. In 2018 onthulde Air Canada dat de profielinformatie van 20.000 van zijn mobiele app-gebruikers was geopend door ongeautoriseerde partijen. Als gevolg van dit incident moest de luchtvaartmaatschappij destijds alle 1,7 miljoen accounts van zijn mobiele app uitschakelen als beveiligingsmaatregel. (bron, bron2)


Langdurige Cybercrisis Treft Energiebedrijf Sint-Maarten

Het Gemeenschappelijk Elektriciteitsbedrijf Bovenwindse Eilanden (NV GEBE), de enige elektriciteitsleverancier van Sint-Maarten, verkeert in een langdurige crisis na een cyberaanval 554 dagen geleden. Het bedrijf werd het slachtoffer van een ransomware-aanval en heeft sindsdien te maken met diverse problemen, waaronder onnauwkeurige facturering en een groeiend wantrouwen onder klanten. Ludmila de Weever, een onafhankelijk parlementslid van Sint-Maarten, uitte onlangs haar diepe bezorgdheid over de situatie. Ze benadrukte de ernst van de problemen en bekritiseerde het bedrijf voor het inhuren van een groot aantal consultants zonder dat dit tot echte oplossingen leidt. De Weever dringt er bij het management van GEBE op aan om het geschonden vertrouwen bij de klanten zo snel mogelijk te herstellen. De crisis is deels toegeschreven aan het feit dat er geen recente back-ups van klantgegevens waren op het moment van de aanval. Oude informatie die werd teruggezet na de cyberaanval heeft bijgedragen aan de problemen met facturen. De Weever staat niet alleen in haar kritiek. De Kamer van Koophandel op het eiland heeft zowel bedrijven als individuele consumenten opgeroepen om klachten over de facturering en inning door GEBE te melden. Het blijft een zorgwekkende situatie die de aandacht vereist van alle betrokken stakeholders. (bron)


Bermuda Overheids-IT Getroffen Door Cyberaanval; Rusland Genoemd als Mogelijke Bron

De regering van Bermuda, een Brits overzees gebied, heeft onlangs een cyberaanval ervaren die alle departementen en hun IT-systemen heeft getroffen. De overheid heeft de aanval gekoppeld aan hackers die opereren vanuit Rusland. De verstoringen hebben invloed op internet-, e-mail- en telefoondiensten binnen alle overheidsdepartementen. Het Department of Information and Digital Technology (IDT) is actief bezig met het herstellen van de dienstverlening. Premier David Burt gaf tijdens een persconferentie aan dat er nog geen bewijs is dat er data is gestolen uit de getroffen systemen. Bovendien onthulde hij dat niet alleen de regering van Bermuda is getroffen, maar dat ook andere regeringen in de regio problemen ondervinden. De aanwijzingen wijzen tot nu toe naar Rusland als de externe bron van de cyberaanval, en er wordt samengewerkt met diverse instanties om de uitdagingen te identificeren en zo snel mogelijk op te lossen. Lokale media rapporteren dat andere Caribische rechtsgebieden mogelijk ook zijn getroffen door vergelijkbare aanvallen. Extra dienstonderbrekingen worden gedurende de dag verwacht als gevolg van de netwerkproblemen. Het onderzoek naar het incident loopt nog steeds en de IDT-teams zijn nog bezig met het herstellen van toegang tot de getroffen systemen. Tenslotte meldde de Bermuda-overheid dat er vertragingen zijn in betalingen aan leveranciers en personeel, en dat momenteel alleen contante betalingen en cheques worden geaccepteerd. Een volgende persbriefing zal later vandaag plaatsvinden om aanvullende informatie over het lopende onderzoek te verstrekken. (bron)


Grote Ransomware-aanval op Dallas Begon Via Onbeveiligd Service-account

Een recente ransomware-aanval op de Amerikaanse stad Dallas heeft de alarmbellen doen rinkelen in de cybersecuritygemeenschap. Uit een onderzoeksrapport blijkt dat de aanval op 3 mei van dit jaar werd uitgevoerd via een service-account. Deze aanval leidde tot aanzienlijke ontwrichtingen in de stad, waaronder het offline gaan van de website van het politiekorps. Ook moesten centralisten van de 911-alarmlijn instructies voor agenten handmatig opschrijven, aangezien communicatie alleen mogelijk was via telefoon en radio. De aanvallers kregen al op 7 april toegang tot een server van de stad door middel van dit service-account. Hoe ze aan de inloggegevens van het account zijn gekomen, is nog onbekend. Eenmaal binnen verzamelden ze verdere inloggegevens en verkenden ze het stadsnetwerk. Ze slaagden erin om ruim 1,1 terabyte aan data te stelen, voordat ze op 3 mei de ransomware activeerden. De criminele groep achter de Royal-ransomware eiste de aanval op. Om de gevolgen van de aanval aan te pakken, heeft de stad Dallas tot nu toe 40.000 uur en een budget van maximaal 8,5 miljoen dollar vrijgemaakt. Dit bedrag is besteed aan het oplossen, herstellen en onderzoeken van de aanval. Het volledige herstel van de systemen heeft meer dan een maand in beslag genomen. Het incident onderstreept het belang van een robuuste beveiliging van service-accounts en de noodzaak voor organisaties om proactieve maatregelen te nemen tegen cyberaanvallen.

Dallas Ransomware Incident May 2023 Incident Remediation Efforts And Resolution
PDF – 482,4 KB 206 downloads

Zerodaglekken in Chrome en iOS benut voor gerichte aanval met Predator-spyware

Recentelijk zijn er zerodaglekken in Google Chrome en Apple's iOS-besturingssysteem uitgebuit om een voormalig Egyptisch parlementslid, Ahmed Eltantawy, te besmetten met Predator-spyware. Onderzoekers van Citizen Lab en Google onthulden dat de aanval plaatsvond via een Man-in-the-Middle (MitM) strategie en links die via sms-berichten werden verspreid. De aanvallers stuurden sms-berichten naar Eltantawy die zich voordeden als berichten van WhatsApp. Bij het bezoeken van HTTP-sites werd er bovendien een MitM-aanval uitgevoerd, waarbij Eltantawy zonder zijn medeweten werd omgeleid naar een kwaadwillende website. Deze site voerde de aanval uit en installeerde de Predator-spyware op zijn iPhone. Apple heeft recentelijk beveiligingsupdates uitgebracht voor drie actief misbruikte zerodaglekken, die het mogelijk maken om een apparaat volledig over te nemen zonder verdere gebruikersinteractie. Naast iOS had Google ook een zerodaglek in Chrome die werd gebruikt om Predator-spyware op Android-apparaten in Egypte te installeren. Deze kwetsbaarheid is inmiddels verholpen. Google benadrukt het belang van HTTPS om netwerkinjecties via MitM-aanvallen te voorkomen en biedt in Chrome een "HTTPS-First Mode" aan. In deze modus worden websites altijd over HTTPS geladen, en wordt er een waarschuwing getoond als er wordt teruggevallen op HTTP. Citizen Lab en Google stellen dat deze aanval aantoont dat er steeds meer misbruik wordt gemaakt door commerciële spywareleveranciers zoals Cytrox, het bedrijf achter de Predator-spyware. De spyware biedt aanvallers uitgebreide controle over het apparaat van het slachtoffer en maakt het mogelijk om hen op diverse manieren te bespioneren. (bron, bron2)


Amerikaanse Hogeschool Moet 3,5 Miljoen Dollar Investeren in Cybersecurity na Groot Datalek

Een hogeschool in New York, het Marymount Manhattan College (MMC), is door de procureur-generaal van New York State opgedragen om 3,5 miljoen dollar te investeren in cybersecurity. Deze beslissing volgt op een groot datalek in 2021, waarbij gevoelige informatie van bijna honderdduizend mensen werd gestolen. De gelekte data omvatte een breed scala aan persoonlijke informatie, waaronder social-securitynummers, rekeningnummers, creditcardnummers en medische gegevens. Opmerkelijk is dat sommige van deze gegevens meer dan tien jaar oud waren en zelfs afkomstig waren van personen die zich ooit voor de hogeschool hadden aangemeld maar nooit lessen hadden gevolgd. Het onderzoek door de autoriteiten bracht aan het licht dat de hogeschool nalatig was in het beveiligen van deze informatie. Er werden geen adequate maatregelen zoals multifactorauthenticatie (MFA) en data-encryptie toegepast, en beveiligingsupdates waren verouderd. MMC had ook losgeld betaald aan de criminelen om de gestolen gegevens te verwijderen. Om toekomstige incidenten te voorkomen, heeft MMC een overeenkomst gesloten met de procureur-generaal. Het college is verplicht om de komende zes jaar 3,5 miljoen dollar te investeren in verscheidene cybersecurity-initiatieven. Deze omvatten het toepassen van MFA, encryptie van persoonlijke data, en het periodiek scannen op kwetsbaarheden. Met deze investering hoopt de procureur-generaal de veiligheid van de gegevens van toekomstige studenten te waarborgen. (bron)


Gelaagde Phishingaanval op Hotelgasten Via Vervalste Booking.com Website

Hotelgasten zijn recentelijk het doelwit geworden van een gelaagde phishingaanval. Volgens een bericht van internetbedrijf Akamai is deze aanval bijzonder geraffineerd en bestaat uit twee stappen. In de eerste fase doen aanvallers een reservering bij een hotel met de optie om ter plekke te betalen. Vervolgens sturen zij het hotel urgente e-mails die zogenaamde 'foto's' bevatten, die in werkelijkheid malware zijn. Via deze malware kunnen de aanvallers inloggegevens onderscheppen en toegang krijgen tot het reserveringsplatform van het hotel. Na deze succesvolle inbreuk sturen de aanvallers een bericht vanuit het officiële hotel-account op het reserveringsplatform naar de gasten. In dit bericht wordt de gast verzocht om hun creditcardgegevens opnieuw te verifiëren. De link in het bericht leidt echter naar een phishingsite die eruitziet als Booking.com. Alle ingevoerde gegevens op deze valse website worden direct naar de aanvallers gestuurd. Akamai adviseert hotelgasten om extra alert te zijn op 'urgente' of 'dreigende' berichten en om het hotel rechtstreeks te benaderen via een telefoonnummer of e-mailadres dat vermeld staat op de officiële website van het hotel. Dit soort aanvallen onderstreept het belang van voortdurende waakzaamheid en het dubbelchecken van de legitimiteit van dergelijke verzoeken, vooral als deze van officiële accounts lijken te komen. (bron)


CEO-Fraude Kost Gemeente Alkmaar 236.000 Euro: Typosquatting en Valse Facturen in Spel

De gemeente Alkmaar is het slachtoffer geworden van CEO-fraude, waarbij criminelen 236.000 euro wisten buit te maken. Volgens wethouder van financiën Christian Schouten werden de ambtenaren misleid door een valse factuur die naar de gemeente was verstuurd. De fraudeurs gebruikten 'typosquatting', waarbij een e-mailadres werd gebruikt dat sterk leek op dat van de gemeentedirecteur. De ambtenaren gingen onder druk van de criminelen te snel over tot betaling van de valse factuur. In de loop van dit jaar hebben oplichters al diverse pogingen gedaan om de gemeente te benadelen met CEO-fraude, maar deze werden steeds tijdig ontdekt. Schouten benadrukt dat menselijke fouten onvermijdelijk zijn, zelfs met training. "Elke keer werd op tijd gezien dat het niet klopte. Maar we zijn mensen, geen robots. Je kunt alles trainen en toch kan het een keer misgaan," aldus Schouten. Hoewel het personeel aangeslagen is, legt Schouten geen schuld bij hen. "Onze medewerkers zetten zich met hart en ziel voor de stad in. Die zijn er goed ziek van, maar we nemen hen niets kwalijk. Het zijn mensen en die kunnen een fout maken," zegt hij. De situatie heeft geleid tot diverse reacties waarin wordt gepleit voor betere beveiligingsmaatregelen, zoals het 'vier ogen principe' bij betalingen boven een bepaald bedrag, en een systeem van meervoudige authenticatie. Het incident onderstreept het belang van alertheid en grondige controleprocedures bij financiële transacties. (bron)


Miljoenenverlies in Cryptofraude: Phishing-Zwendel Onttrok $4,46 miljoen aan Tether

In een recente phishing-zwendel is een nietsvermoedende crypto-investeerder het slachtoffer geworden van een omvangrijke fraude. De schade wordt geschat op maar liefst $4,46 miljoen aan Tether (USDT), welke zijn opgenomen bij de Amerikaanse crypto-beurs Kraken. Volgens blockchain-beveiligingsbedrijf PeckShield is het geld overgezet naar een frauduleus adres dat eindigt op "ACa7." Deze informatie werd openbaar gemaakt via hun Twitter-account. Het Scam Sniffer-platform, dat zich richt op het traceren van blockchain-gerelateerde oplichting, onthulde dat de frauduleuze transactie verband houdt met een nepversie van de Coinone crypto-miningbeurs. Uit data van Dune Analytics blijkt dat deze soort oplichtingspraktijken in totaal hebben geleid tot een verlies van ongeveer $337,1 miljoen aan USDT, waarbij bijna 22.000 personen zijn benadeeld. De Global Anti-Scam Organisatie (GASO) waarschuwt voor zogenaamde 'approval mining scams'. In deze scams worden slachtoffers verleid om een 'netwerkvergoeding' van $10 tot $50 in Ether te betalen. Hoewel dit bedrag redelijk lijkt, is het in werkelijkheid een valstrik. Door deze betaling te doen, geven slachtoffers onbedoeld een digitale handtekening af die oplichters in staat stelt om ongelimiteerde toegang tot hun wallets te verkrijgen via het USDT smart contract. Dit incident benadrukt nogmaals het belang van waakzaamheid en voorzichtigheid bij het omgaan met cryptovaluta, gezien het verhoogde risico op fraude en oplichting. (bron)


Toename van CEO-fraude Meldingen Baart Nederlandse Gemeenten Zorgen

De Vereniging van Nederlandse Gemeenten (VNG) maakt melding van een significante toename van CEO-fraude. In het afgelopen jaar zijn er ongeveer zestig meldingen van deze vorm van fraude geregistreerd, zo meldt VNG-woordvoerder Judith Wentzler. Hoewel de exacte financiële schade onbekend is, zijn de cijfers zorgwekkend. CEO-fraude is een vorm van bedrog waarbij oplichters zich voordoen als hooggeplaatste functionarissen van een organisatie om onrechtmatige betalingen uit te lokken. De frauduleuze verzoeken worden vaak onder druk gezet, bijvoorbeeld door dreigingen met extra kosten als er niet snel betaald wordt. De betrokken gemeenten zijn onder andere Meierijstad, die een spoedbetaling van 37.200 euro deed; Alkmaar, die 236.000 euro overmaakte naar een spookfactuur; en Krimpen aan den IJssel, waar 176.000 euro werd buitgemaakt. Deze toename wordt niet beschouwd als een falen van technologie, maar eerder als het resultaat van menselijk handelen en het niet volgen van bestaande procedures. Wentzler benadrukt dat deze e-mails vaak zeer geloofwaardig zijn en dat de fraude dus ook vaak voortkomt uit menselijke fouten in het volgen van procedures. Experts adviseren dat gemeenten hun bedrijfsprocessen moeten verbeteren en aanvullende maatregelen moeten nemen. Cybersecurityexpert Joe Shenouda stelt voor om niet alleen te focussen op het herkennen van frauduleuze e-mails, maar ook om het eigen werkproces te evalueren. Hij adviseert meer betrokkenheid van de directie bij de werkvloer om de kans op CEO-fraude te verkleinen. Met de toename van dergelijke fraudegevallen benadrukken experts en de VNG de noodzaak voor gemeenten om hun procedures te herzien en te versterken om toekomstige gevallen te voorkomen. (bron)


De Nieuwe Generatie Hackers: Gen-Z Aanvallers Richten zich op MGM en Caesars

Ongeveer een jaar geleden begon het Amerikaanse beveiligingsbedrijf Palo Alto Networks een toename te merken in onconventionele cyberaanvallen. De aanvallers, meestal native Engelssprekende hackers, deden zich voor als medewerkers en vroegen om inloggegevens bij de IT-helpdesk van het doelwit. Ze waren buitengewoon bedreven in sociale manipulatie en omzeilden gemakkelijk de meerfactorauthenticatie. Volgens Wendi Whitmore van Palo Alto Networks zijn ze veel verfijnder dan veel andere cybercriminelen en lijken ze meer op staatshackers qua discipline en organisatie. Deze groep, bekend onder verschillende namen zoals Scattered Spider, Muddled Libra en UNC3944, kreeg recentelijk aandacht voor het hacken van twee van 's werelds grootste gokbedrijven, MGM Resorts en Caesars Entertainment. Ze hebben echter veel meer bedrijven getroffen, en de aanvallen worden verwacht door te gaan. Beveiligingsfirma CrowdStrike heeft sinds maart 2022 wereldwijd 52 aanvallen door deze groep geregistreerd, meestal in de Verenigde Staten. Mandiant, een dochteronderneming van Google, heeft meer dan 100 inbraken door deze groep in de laatste twee jaar vastgelegd. Bijna elke sector is getroffen, en de aanvallers worden als 'meedogenloos' beschouwd in hun interacties met slachtoffers. De FBI onderzoekt de inbraken bij MGM en Caesars, maar de bedrijven hebben niet gereageerd op wie er mogelijk achter zit. Op basis van chatgesprekken met slachtoffers en aanwijzingen uit onderzoeken, wordt geschat dat de criminelen voornamelijk 17 tot 22 jaar oud zijn en voornamelijk uit westerse landen komen. Ze gebruiken geavanceerde technieken zoals 'SIM swapping' en bestuderen zelfs online cursussen van beveiligingsbedrijven om hun methoden te verfijnen. Hoewel de exacte schade nog niet is vastgesteld, maakt de schaal en de vaardigheid van deze groep ze tot een ernstige bedreiging voor een breed scala aan industrieën. De aanvallen zijn niet alleen om geld te verdienen; ze lijken ook te gaan om macht, invloed en beruchtheid. (bron)


Amerikaanse Overheid Registreert 1008 Actief Aangevallen Kwetsbaarheden in Twee Jaar

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het ministerie van Homeland Security, heeft bekendgemaakt dat er in de afgelopen twee jaar duizend actief aangevallen kwetsbaarheden zijn geregistreerd. Deze registratie maakt deel uit van de Known Exploited Vulnerabilities catalogus, een initiatief dat twee jaar geleden door het CISA is opgezet. Deze catalogus bevat een overzicht van kwetsbaarheden die vastgesteld zijn als doelwit in cyberaanvallen. Om de impact van deze kwetsbaarheden te minimaliseren, introduceerde het CISA een 'Binding Operational Directive'. Deze richtlijn verplicht federale Amerikaanse overheidsorganisaties om de kwetsbaarheden op deze lijst binnen een bepaalde termijn te verhelpen. Bij de lancering bevatte de lijst 291 kwetsbaarheden; dit aantal is inmiddels gestegen naar 1008. Het CISA hanteert specifieke criteria voor de samenstelling van de lijst. Zo moet elke kwetsbaarheid voorzien zijn van een CVE-nummer, dient er betrouwbare informatie te zijn dat er actief misbruik van de kwetsbaarheid plaatsvindt en moet er een effectieve oplossing beschikbaar zijn. Kwetsbaarheden zonder beschikbare updates of andere mitigatieoplossingen worden niet in de lijst opgenomen. Deze lijst dient niet alleen als leidraad voor de Amerikaanse overheid, maar is ook bruikbaar voor andere organisaties. Het helpt bij het prioriteren van welke kwetsbaarheden dringend aangepakt moeten worden om de cyberveiligheid te waarborgen. (bron, bron2)


Beperkte impact van DDoS-aanval op Thomas More Hogeschool (NL): Onderwijs blijft onverstoord

De Thomas More Hogeschool, met campussen in Mechelen en Sint-Katelijne-Waver, is sinds afgelopen woensdag het slachtoffer van een DDoS-aanval. In een DDoS-aanval worden de systemen overbelast met als doel deze onbereikbaar te maken. Woordvoerder Frederik Van den Bril vergelijkt het met een autosnelweg die plots het verkeer van twintig rijvakken moet verwerken. Ondanks de aanval konden de lessen zonder significante verstoring doorgaan. Er zijn wel enige problemen opgetreden met bepaalde online toepassingen. Docenten hadden bijvoorbeeld soms moeite met het inloggen op het systeem, maar over het algemeen hielden de beveiligingssystemen stand. Tot dusver zijn de hackers er niet in geslaagd om daadwerkelijk toegang te krijgen tot de interne systemen van de school. Het doel van een DDoS-aanval is vaak om de beveiliging te verzwakken en uiteindelijk het systeem binnen te dringen. In dit geval was er echter geen sprake van een geslaagde hacking of een ransomware-aanval, waarbij data versleuteld worden en losgeld geëist wordt. Volgens de school is het op dit moment onmogelijk te bepalen wie er achter de aanval zit, omdat de aanval via computers wereldwijd wordt uitgevoerd. Dit incident benadrukt het belang van robuuste cyberbeveiligingsmaatregelen, vooral voor onderwijsinstellingen die steeds afhankelijker worden van online diensten en systemen. Hoewel de impact in dit geval beperkt bleef, dient het als een waarschuwing voor andere scholen en organisaties om hun cybersecurity op orde te hebben. (bron)


'Sandman'-hackers infiltreren telecombedrijven met LuaDream malware

Een tot voor kort onbekende cyberdreigingsactor, genaamd 'Sandman', richt zich op telecommunicatiedienstverleners in het Midden-Oosten, West-Europa en Zuid-Azië. Ze maken gebruik van een modulaire malware genaamd 'LuaDream' om gevoelige informatie te stelen. De dreigingsactor en bijbehorende malware zijn ontdekt door beveiligingsonderzoekers van SentinelLabs in samenwerking met QGroup GmbH. Sandman's operationele stijl is erop gericht om onder de radar te blijven om detectie te voorkomen. Ze krijgen eerst toegang tot een bedrijfsnetwerk door middel van gestolen administratieve inloggegevens. Vervolgens gebruiken ze "pass-the-hash"-aanvallen om zich te authenticeren bij externe servers door NTLM-hashes uit het geheugen te extraheren en opnieuw te gebruiken. In één specifiek geval waren alle doelwitten van Sandman werkstations die aan leidinggevend personeel waren toegewezen, wat aantoont dat ze geïnteresseerd zijn in bevoorrechte of vertrouwelijke informatie. LuaDream malware wordt ingezet via DLL-hijacking en heeft een uitgebreide functionaliteit die lokaal op het gecompromitteerde systeem wordt uitgevoerd. De malware bevat 34 componenten en maakt gebruik van een reeks technieken om detectie te vermijden, zoals het verbergen van threads, detectie van sandbox-omgevingen en encryptie van de stagingcode. Na initialisatie maakt LuaDream verbinding met een command-and-control (C2) server om verzamelde informatie door te sturen. De dreiging vertegenwoordigt een groeiende lijst van geavanceerde aanvallers die telecombedrijven als doelwit hebben vanwege de gevoelige aard van de data die zij beheren. Hoewel sommige malware en delen van de C2-serverinfrastructuur zijn blootgesteld, blijft de oorsprong van Sandman onbekend. (bron)


Cybercriminelen Compromitteren Gegevens van 193.000 Klanten bij Pizza Hut Australië

Pizza Hut Australië heeft onlangs een waarschuwing uitgestuurd naar 193.000 van zijn klanten over een datalek. De fastfoodketen meldde dat onbevoegde derden toegang hebben gekregen tot hun systemen, waarbij persoonlijke informatie van klanten die online bestellingen hebben geplaatst, is gecompromitteerd. Onder de uitgelekte gegevens bevinden zich volledige namen, bezorgadressen, instructies voor de bezorging, e-mailadressen, telefoonnummers, gemaskeerde creditcardgegevens en versleutelde wachtwoorden voor online accounts. Het bedrijf, dat 260 vestigingen in Australië heeft, benadrukte in hun berichtgeving dat klanten hun wachtwoorden kunnen overwegen te updaten, ondanks het feit dat deze eenzijdig zijn versleuteld in de database. Bovendien dringt Pizza Hut er bij klanten op aan waakzaam te blijven voor phishingaanvallen en verdachte links in ongevraagde communicatie. De Office of the Australian Information Commissioner (OAIC) is volledig op de hoogte gesteld van de situatie. Dit incident volgt op eerdere cyberbeveiligingsproblemen bij het bedrijf. In september 2023 meldde een bekende datahandelaar, 'ShinyHunters', dat hij de gegevens van 1 miljoen klanten van Pizza Hut Australië had gestolen via een onbeveiligd Amazon Web Services (AWS) endpoint. Het is echter onduidelijk of beide incidenten gerelateerd zijn, omdat het bedrijf hier nooit op heeft gereageerd. Eerder dit jaar werd de eigenaar van Pizza Hut, Yum! Brands, ook getroffen door een ransomware-aanval die leidde tot de sluiting van 300 locaties in het Verenigd Koninkrijk. Het is dus duidelijk dat Pizza Hut meerdere beveiligingsincidenten heeft ervaren, wat de noodzaak voor verbeterde cyberbeveiligingsmaatregelen onderstreept. Het recente datalek heeft betrekking op een relatief klein aantal klanten, maar de cumulatieve impact van dergelijke incidenten kan niet worden onderschat. (bron)


FBI waarschuwt tegen het scannen van willekeurige QR-codes: Het gevaar van QR-code scams

De FBI waarschuwt burgers om voorzichtig te zijn met het scannen van QR-codes die ze tegenkomen. Volgens de Amerikaanse opsporingsdienst is er een toename van oplichting via QR-codes, ook bekend als "QR code scams". In veel gevallen sturen oplichters een QR-code naar hun potentiële slachtoffers met de belofte van een gratis cadeaubon. Echter, deze QR-codes leiden vaak naar malafide websites waar persoonlijke gegevens kunnen worden gestolen als mensen deze invullen. De FBI adviseert een aantal voorzorgsmaatregelen om geen slachtoffer te worden van dergelijke oplichtingspraktijken. Ten eerste wordt aangeraden om niet zomaar elke QR-code te scannen die men tegenkomt. Als men toch een QR-code scant, is het belangrijk om alert te zijn op websites die naar aanleiding van de scan worden geladen, met name als deze om inloggegevens vragen. Daarnaast is het raadzaam om geen QR-codes te scannen die via e-mail of sms zijn ontvangen, tenzij de afzender bekend en vertrouwd is. In dat geval is het zelfs aanbevolen om de afzender ter bevestiging te bellen. Tot slot meldt de FBI dat er ook gevallen zijn waarin oplichters fysieke QR-codes in de openbare ruimte hebben vervangen door hun eigen malafide versies. Hiermee wordt de reikwijdte van de oplichting uitgebreid, niet alleen beperkt tot het digitale domein maar ook in de fysieke wereld. Dit artikel benadrukt het belang van voorzichtigheid en bewustzijn bij het gebruik van QR-codes, een technologie die steeds vaker wordt ingezet in het dagelijks leven maar ook nieuwe risico's met zich meebrengt. (bron)


MGM Resorts Hotels: Digitale Kamersleutels nog steeds onbruikbaar na Cyberaanval

Tien dagen na een ernstige cyberaanval ondervinden hotels van MGM Resorts nog steeds de nasleep. Het bedrijf had op 11 september aangekondigd dat het slachtoffer was van een "cybersecurity-incident", wat resulteerde in het uitschakelen van verschillende bedrijfssystemen. Hoewel gisteren werd gemeld dat veel van deze systemen zijn hersteld en dat alle casino's en hotels weer normaal functioneren, zijn de digitale kamersleutels en het mobiele inchecksysteem nog niet terug in werking. Gasten krijgen momenteel fysieke sleutels uitgereikt. De cyberaanval had een verstrekkende impact op bijna alle aspecten van de bedrijfsvoering, waaronder reserveringssystemen, elektronische sleutelsystemen, en de gokmachines in de casino's. Het niet kunnen gebruiken van digitale sleutels en mobiel inchecken blijft een belangrijke uitdaging voor het bedrijf, maar het is onduidelijk wanneer deze systemen weer volledig functioneel zullen zijn. De situatie heeft ook publieke discussies aangewakkerd over de kwetsbaarheid van digitale sleutelsystemen. Sommigen beweren dat het naïef is om volledig te vertrouwen op digitale systemen, vooral in een tijd waarin cyberaanvallen steeds vaker voorkomen. Anderen benadrukken echter dat fysieke sleutels hun eigen problemen hebben, zoals het verlies van sleutels door gasten en de complexiteit van het beheren van een groot aantal fysieke sleutels. Het is een duidelijk signaal naar de industrie dat digitale beveiliging cruciaal is, niet alleen voor de bescherming van gegevens maar ook voor de operationele aspecten van een bedrijf. (bron, bron2)


Android-malware Pleegt Bankfraude en Voert Fabrieksreset Uit

De politie van Singapore waarschuwt voor een geraffineerd stuk Android-malware dat bankfraude pleegt en vervolgens de telefoon van het slachtoffer reset naar fabrieksinstellingen. Het doel van deze fabrieksreset is om detectie van de frauduleuze handelingen te vertragen. Volgens Singaporese autoriteiten zijn er al meer dan 750 mensen het slachtoffer geworden, met een totaal gestolen bedrag van bijna 7 miljoen euro. De aanval begint veelal via malafide advertenties op sociale media platforms zoals Facebook en Instagram. Slachtoffers die in contact komen met de nep-verkopers worden aangespoord om een APK-bestand te downloaden. Dit bestand bevat de malware die de inloggegevens voor internetbankieren steelt. Vervolgens voeren de cybercriminelen ongeautoriseerde transacties uit. Eenmaal voltooid, activeert de malware een fabrieksreset op het geïnfecteerde apparaat. Hierdoor wordt het voor het slachtoffer pas duidelijk dat er fraude is gepleegd wanneer zij hun bank bellen of de mobiel bankieren app opnieuw installeren. Het installeren van APK-bestanden van externe bronnen is standaard geblokkeerd op Android-apparaten. Gebruikers moeten daarom eerst de beveiligingsmaatregelen uitschakelen om de malware te kunnen installeren. Als preventieve maatregel adviseert de Singaporese politie om geen apps te downloaden van onbetrouwbare derde partijen. Mochten gebruikers toch besmet zijn met de malware, dan wordt aanbevolen om de bankrekening onmiddellijk te controleren via een ander, veilig apparaat. (bron)


Dringend Advies van CISA over Beveiliging van Remote Desktop Protocol tegen Snatch-ransomware

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security adviseert bedrijven en organisaties om met onmiddellijke ingang hun gebruik van het Remote Desktop Protocol (RDP) te beveiligen en te monitoren. Dit advies komt na een reeks aanvallen door cybercriminelen achter de Snatch-ransomware, die zich voornamelijk toegang verschaffen tot organisaties via RDP. Ze maken gebruik van brute-force aanvallen op admin-accounts of kopen gecompromitteerde inloggegevens via online marktplaatsen. Eenmaal binnen gebruiken de aanvallers RDP om zich lateraal door het netwerk te bewegen. Vervolgens wordt data gestolen en wordt ransomware uitgerold. CISA benadrukt dat de Snatch-groep ook data aankoopt die door andere ransomwaregroepen zijn buitgemaakt om slachtoffers meerdere keren te kunnen afpersen. Als er niet betaald wordt, dreigen ze de data publiekelijk te maken. CISA raadt aan om het gebruik van RDP tot een minimum te beperken en een grondige scan van het eigen netwerk uit te voeren om te onderzoeken waar RDP wordt gebruikt. Ongebruikte RDP-poorten moeten worden gesloten, en na een aantal mislukte inlogpogingen moet een lock-out policy geactiveerd worden. Verder adviseert CISA om Multi-Factor Authentication (MFA) in te stellen die bestand is tegen phishing-aanvallen, en om alle RDP-inlogpogingen te loggen voor monitoring en analyse. (bron)


P2PInfect Botnet Exploiteert Redis Replicatie voor Verspreiding op Windows en Linux Servers

Cyberbeveiligingsexperts waarschuwen voor een nieuwe zelfreplicerende worm, genaamd P2PInfect, die actief is op zowel Windows als Linux servers. Het doelwit zijn voornamelijk blootgestelde Redis open-source data-opslagsystemen en SSH. Geschreven in Rust, maakt de malware gebruik van een ernstige kwetsbaarheid (CVE-2022-0543) en een Redis-replicatiefunctie om zich te verspreiden. P2PInfect werd voor het eerst gedocumenteerd door Palo Alto Networks’ Unit 42. Zodra een kwetsbare Redis-server is gecompromitteerd, downloadt P2PInfect nieuwe OS-specifieke scripts en kwaadaardige binaire bestanden en voegt de server toe aan zijn lijst van geïnfecteerde systemen. De malware creëert vervolgens een peer-to-peer netwerk voor de verspreiding van kwaadaardige payloads. Dit maakt gecentraliseerde commando- en controlemechanismen overbodig, waardoor het netwerk moeilijker te bestrijden is. Cado Security heeft ook een monster van P2PInfect geanalyseerd en ontdekte dat de malware SSH-configuraties aanpast en geautoriseerde sleutels toevoegt om latere toegang te vergemakkelijken. Het voert ook verschillende acties uit, zoals het hernoemen van wget en curl binaries en het installeren van specifieke utilities als ze niet beschikbaar zijn. Dit lijkt gericht te zijn op het belemmeren van forensisch onderzoek en het ontduiken van Endpoint Detection and Response (EDR) oplossingen. Hoewel het uiteindelijke doel van P2PInfect nog onduidelijk is, wijst de aanwezigheid van een binaire bestand genaamd "miner" mogelijk op cryptomining-activiteiten. Echter, er is geen concreet bewijs gevonden dat dit daadwerkelijk het geval is. Het aantal kwetsbare Redis-instanties op het openbare internet is meer dan 307.000, en hoewel niet allemaal kwetsbaar zijn, vormen ze een aanzienlijk risico voor toekomstige compromissen. (bron, bron2, bron3, bron4)


Explosieve Toename in Activiteit en Verfijning van P2PInfect Botnet

Het P2PInfect botnet heeft sinds eind augustus 2023 een significante toename in activiteit ervaren, met een verviervoudiging in september alleen. Dit botnet, voor het eerst gedocumenteerd door Unit 42 in juli 2023, richt zich op Redis-instanties op zowel Windows- als Linux-systemen via een kwetsbaarheid voor externe code-uitvoering. Cado Security, dat het botnet sinds eind juli volgt, rapporteert een mondiale impact, met de meeste inbreuken die systemen treffen in landen als China, de Verenigde Staten, Duitsland, Singapore, Hong Kong, het VK en Japan. Cado heeft een sterke stijging gezien in pogingen tot initiële toegang door P2PInfect, wat duidt op een nieuwe fase van code-stabiliteit die het botnet in staat stelt zijn activiteiten op te voeren. Tussen 12 en 19 september registreerde Cado 3.619 toegangspogingen, een stijging van 600 keer vergeleken met eerdere metingen. Wat de nieuwe malwarevarianten betreft, heeft P2PInfect verschillende verfijningen ondergaan om het verspreiden naar doelen efficiënter te maken. Het maakt nu gebruik van een cron-gebaseerd persistentiemechanisme dat elke 30 minuten de hoofdpayload activeert. Ook communiceert een secundaire bash-payload met de hoofdpayload via een lokale server socket. Bij een onderbreking herstelt het een kopie van een peer en herstart het proces. Daarnaast overschrijft de malware bestaande SSH-sleutels en vergrendelt andere gebruikers door hun wachtwoorden te wijzigen. Het doel achter deze toegenomen activiteit en complexiteit is nog onduidelijk. Cado meldt dat de meest recente varianten van P2PInfect probeerden een miner payload te downloaden, maar er werd geen daadwerkelijke cryptomining-activiteit op de gecompromitteerde apparaten waargenomen. Dit maakt P2PInfect een aanzienlijke dreiging om in de gaten te houden. (bron)


TransUnion ontkent hack en wijst op derde partij voor gelekte data

Kredietrapportagebedrijf TransUnion heeft beweringen dat het slachtoffer is geworden van een beveiligingsinbreuk stellig ontkend. Een dreigingsactor, bekend als USDoD, claimde gegevens te hebben gelekt die afkomstig zouden zijn uit de netwerken van TransUnion. Het in Chicago gevestigde bedrijf, dat meer dan 10.000 werknemers telt en diensten aanbiedt aan miljoenen consumenten en meer dan 65.000 bedrijven uit 30 landen, ging direct na de ontdekking van de beweringen over tot actie. In een verklaring liet TransUnion weten: "Direct na het ontdekken van deze beweringen hebben we samengewerkt met externe cyberbeveiligings- en forensische experts om een grondig onderzoek te starten." Uit dit onderzoek is volgens TransUnion geen enkele aanwijzing naar voren gekomen dat hun systemen zijn gehackt of dat er data is geëxtraheerd. "Verschillende aspecten van de berichten, inclusief de data, formattering en velden, komen niet overeen met de data-inhoud of -indelingen bij TransUnion. Dit duidt erop dat dergelijke data afkomstig is van een derde partij", voegde het bedrijf toe. USDoD had eerder een database gepubliceerd op een hackforum, die naar eigen zeggen gevoelige informatie bevat van ongeveer 59.000 mensen wereldwijd. Deze dreigingsactor was eerder betrokken bij de beruchte BreachForums, een hackingforum dat in juni door de Amerikaanse autoriteiten werd opgerold. USDoD wordt ook in verband gebracht met de poging tot verkoop van een database van InfraGard, een programma van de FBI, voor $50.000. Deze database was verkregen via social engineering en bevatte gevoelige informatie van meer dan 80.000 leden. Het grondige onderzoek van TransUnion wijst tot nu toe dus niet op een inbreuk op hun systemen, maar eerder op een derde partij als bron van de gelekte data. (bron, bron2)


Free Download Manager lanceert script om Linux-malware te detecteren na supply chain aanval

De ontwikkelaars van Free Download Manager (FDM), een populaire downloadmanager voor verschillende platforms, hebben een script uitgebracht dat controleert op infecties op Linux-apparaten. Deze actie volgt op een recent rapport van Kaspersky, waarin werd onthuld dat de website van het project op enig moment in 2020 was gecompromitteerd. De aanval richtte zich op een specifieke groep Linux-gebruikers en leidde hen om naar een malafide website. Deze website installeerde een gemanipuleerde versie van FDM die een Bash info-stealer en een backdoor installeerde. Hoewel gebruikers merkwaardig gedrag opmerkten na installatie, bleef de infectie drie jaar onopgemerkt tot het rapport van Kaspersky. FDM reageerde door aan te geven dat eerdere waarschuwingen over de compromittering van hun site niet werden opgemerkt vanwege een fout in hun contactensysteem. Volgens FDM werd de website geëxploiteerd door een Oekraïense hackersgroep en waren alleen gebruikers die tussen 2020 en 2022 FDM voor Linux probeerden te downloaden mogelijk blootgesteld aan de malware. De ontwikkelaars hebben nu een script uitgebracht dat Linux-computers scant op de aanwezigheid van deze malware. Hoewel het script de malware kan identificeren, verwijdert het deze niet; gebruikers moeten hiervoor handmatige actie ondernemen of aanvullende beveiligingstools gebruiken. FDM adviseert om, indien malware wordt gevonden, het systeem opnieuw te installeren. (bron)


Valse WinRAR Proof-of-Concept Exploit Verspreidt VenomRAT Malware

Een hacker heeft een neppe proof-of-concept (PoC) exploit voor een recentelijk opgeloste kwetsbaarheid in WinRAR op GitHub geplaatst. Het doel is om de VenomRAT malware te verspreiden onder degenen die de PoC downloaden. Het beveiligingsteam van Palo Alto Networks' Unit 42 ontdekte de kwaadaardige code, die op 21 augustus 2023 werd geüpload naar GitHub. De aanval is momenteel niet meer actief, maar benadrukt opnieuw de risico's van het downloaden van PoC's van GitHub zonder aanvullend onderzoek naar hun veiligheid. De vervalste PoC richt zich op een kwetsbaarheid geïdentificeerd als CVE-2023-40477, die code-uitvoering op afstand mogelijk maakt. WinRAR heeft deze kwetsbaarheid al opgelost in versie 6.23. Een dreigingsactor die zichzelf "whalersplonk" noemt, was er snel bij om de neppe PoC te verspreiden. De fake PoC was zo overtuigend omdat het een README-bestand en een video bevatte over hoe de PoC te gebruiken. Volgens Unit 42 is de Python PoC-script in werkelijkheid een aangepaste versie van een openbaar beschikbare exploit voor een andere kwetsbaarheid. Wanneer uitgevoerd, downloadt het script de VenomRAT malware en creëert een geplande taak om het elke drie minuten uit te voeren. Zodra VenomRAT op een Windows-apparaat is geïnstalleerd, initieert het een keylogger en maakt het verbinding met een C2-server voor verdere instructies. Hierdoor kan de malware andere payloads inzetten en inloggegevens stelen. Gezien de ernst van de infectie wordt aangeraden om wachtwoorden te wijzigen als men het neppe PoC heeft uitgevoerd. De aanval toont aan dat kwaadwillende actoren aandachtig de openbaarmaking van nieuwe kwetsbaarheden volgen om valse PoC's te creëren en te verspreiden. (bron)


Phishing-aanval richt zich op eisers in faillissement van crypto-lener Celsius

In een recente phishing-aanval zijn eisers in het faillissement van de crypto-lener Celsius het doelwit geworden van cybercriminelen. In juli 2022 vroeg Celsius faillissement aan en bevroor het opnames uit gebruikersaccounts. Sindsdien hebben klanten claims ingediend tegen het bedrijf in de hoop een deel van hun fondsen te kunnen terugkrijgen. Deze phishing-aanval maakt misbruik van deze situatie door e-mails te versturen die afkomstig lijken te zijn van Stretto, het officiële claimagentschap voor het faillissement van Celsius. De e-mails bieden schuldeisers een "7-daagse exit window" aan om hun bevroren fondsen te claimen en zijn afkomstig van het e-mailadres no-reply@stretto.com. De e-mails leiden ontvangers naar een vervalste website, gehost in de Seychellen, waar ze worden gevraagd hun e-mailadres in te vullen en hun cryptocurrency-portemonnee te koppelen. Wat deze phishing-campagne bijzonder gevaarlijk maakt, is het feit dat de e-mails geslaagd zijn voor Sender Policy Framework (SPF)-controles. Deze controles zijn bedoeld om te verifiëren of een e-mail afkomstig is van een geldige server. In dit geval was de e-mail verstuurd via het marketingbedrijf SendGrid, waardoor het SPF-checks passeerde en werd toegestaan voor bezorging. Als een portemonnee eenmaal is gekoppeld, kunnen de cybercriminelen toegang krijgen tot alle opgeslagen informatie, waaronder crypto-adressen, saldi, en activiteiten. Ze kunnen dan pogingen ondernemen om alle assets en NFT's uit de portemonnee te halen. Als u een dergelijke e-mail ontvangt, wordt geadviseerd deze te negeren en alleen informatie van de legitieme Stretto-site te volgen.


Dringende Waarschuwing Voor Aanvallen op Zimbra Omgevingen

De afgelopen maanden hebben cyberonderzoekers verhoogde activiteit opgemerkt gericht tegen Zimbra Collaboration omgevingen. Deze aanvallen misbruiken bestaande kwetsbaarheden om gevoelige informatie te stelen en complete systemen over te nemen. Er zijn ook phishingcampagnes gaande die specifiek gericht zijn op het bemachtigen van inloggegevens voor Zimbra e-mailservers. Het Digital Trust Center (DTC) had al in 2022 voor een kritieke kwetsbaarheid (CVE-2022-27924) gewaarschuwd die op grote schaal werd misbruikt. Het Nationaal Cyber Security Centrum (NCSC) had destijds de risicobeoordeling zelfs verhoogd naar 'High/High' om de ernst van het probleem te onderstrepen. Onlangs heeft het DTC nieuwe lijsten van IP-adressen ontvangen met kwetsbare Zimbra systemen in Nederland. De betreffende bedrijven zijn op de hoogte gebracht. Enkele van deze kwetsbaarheden hebben een CVSS-score van 9,8, wat wijst op een zeer kritiek risico. Om de risico's te mitigeren is het van essentieel belang om Zimbra software up-to-date te houden. Als de software direct vanaf het internet toegankelijk is, wat vaak het geval is bij Zimbra, neemt de kans op misbruik aanzienlijk toe. Het DTC adviseert om Zimbra installaties zo snel mogelijk van de laatste updates te voorzien. Daarnaast is het verstandig om te zorgen voor een veilige configuratie. Zo wordt geadviseerd de 'Memcache service' niet direct toegankelijk te maken via het internet en verkeer naar port 11211 te blokkeren. Als deze service al direct benaderbaar is geweest, wordt aangeraden de Zimbra omgeving te controleren op mogelijk misbruik. (bron)


Cyberaanval op Internationaal Strafhof in Den Haag: Gevoelige Documenten Mogelijk Buitgemaakt

Het Internationaal Strafhof in Den Haag heeft bevestigd dat het afgelopen week het doelwit is geweest van een cyberaanval. Na vragen van de NOS heeft het hof bekendgemaakt dat er een onderzoek is gestart in samenwerking met de Nederlandse autoriteiten. Hoewel er geen details zijn vrijgegeven over de omvang of het type aanval, is er een bron die stelt dat er mogelijk een groot aantal gevoelige documenten is buitgemaakt. Het Strafhof zelf heeft dit echter niet bevestigd. Deze aanval is met name zorgwekkend vanwege de aard van de informatie die het Strafhof bezit. Het hof doet onderzoek naar ernstige internationale misdaden zoals genocide, misdaden tegen de menselijkheid en oorlogsmisdaden. Daarom zou de buitgemaakte informatie zeer gevoelig kunnen zijn. Het is voor verdachten van groot belang om te weten of er onderzoeken naar hen lopen en wie er als getuigen kunnen worden opgeroepen door het hof. Verder wordt er in het onderzoek ook gekeken naar de mogelijkheid dat een buitenlandse overheid achter dezecyberaanval zit. Dit voegt een extra laag van complexiteit en ernst toe aan de situatie. De NOS roept personen met meer informatie op om tips te mailen en heeft zelfs diverse communicatiemiddelen aangegeven voor veilige overdracht van informatie. Deze cyberaanval legt niet alleen de kwetsbaarheden van een internationaal juridisch orgaan bloot, maar vestigt ook de aandacht op het belang van cybersecurity in het tijdperk van digitale informatie. (bron)


Nieuwe Malware HTTPSnoop en PipeSnoop Richten zich op Telecomproviders in het Midden-Oosten

In een recent artikel van 19 september 2023 is een waarschuwing gegeven over nieuwe vormen van malware, genaamd HTTPSnoop en PipeSnoop. Deze malware richt zich specifiek op telecommunicatiedienstverleners in het Midden-Oosten en maakt het voor dreigingsactoren mogelijk om op afstand commando's uit te voeren op besmette apparaten. De malware is ontdekt door Cisco Talos en maakt deel uit van een grotere inbraakset genaamd 'ShroudedSnooper'. HTTPSnoop en PipeSnoop zijn beide zo ontworpen dat ze zich voordoen als veiligheidscomponenten van het Palo Alto Networks Cortex XDR-product om detectie te ontlopen. HTTPSnoop monitort HTTP(S)-verkeer op een geïnfecteerd apparaat voor specifieke URL's. Wanneer een dergelijke URL wordt gedetecteerd, decodeert de malware binnenkomende base64-gecodeerde data en voert het uit als shellcode op het gecompromitteerde hostapparaat. De malware heeft een luisterlus die wacht op binnenkomende HTTP-verzoeken en verwerkt geldige data bij aankomst; anders wordt een HTTP 302-omleiding geretourneerd. PipeSnoop daarentegen is meer geschikt voor operaties diep binnenin gecompromitteerde netwerken en werkt via Windows IPC (Inter-Process Communication) pijpen om shellcode payloads uit te voeren. Cisco meldt dat er een nog onbekende component nodig is die de shellcode levert. Tot slot benadrukt het artikel het groeiende aantal door staten gesponsorde aanvallen tegen telecomentiteiten. Deze organisaties zijn vaak doelwitten vanwege hun cruciale rol in het beheren van kritieke infrastructuur en het overbrengen van uiterst gevoelige informatie. Het toenemende aantal aanvallen benadrukt de urgente behoefte aan verbeterde beveiligingsmaatregelen en internationale samenwerking om ze te beschermen. (bron)


Amerikaanse Ministerie van Homeland Security: 2023 Vormt Lucratief Jaar voor Ransomwaregroepen

Het Amerikaanse ministerie van Homeland Security (DHS) waarschuwt in de nieuwste editie van het Homeland Threat Assessment dat 2023 zich vormt als het op één na beste jaar voor ransomwaregroepen. Volgens het rapport hebben deze criminele groepen dit jaar al minstens 449 miljoen dollar afgeperst van hun slachtoffers. Het aantal bekende ransomware-aanvallen op de VS is van januari 2020 tot januari 2023 met 47 procent gestegen. De toename van het succes van ransomwaregroepen wordt gedeeltelijk toegeschreven aan het hernieuwde gebruik van 'big game hunting'. Dit houdt in dat grotere organisaties het doelwit zijn van aanvallen. Daarnaast passen deze groepen 'multilevel' afpersing toe; ze versleutelen niet alleen de data maar stelen deze ook. Als het losgeld niet wordt betaald, dreigen de criminelen de data openbaar te maken. Het rapport benadrukt ook de toegenomen finesse in het selecteren van doelwitten. Criminelen richten zich steeds meer op organisaties die kwetsbaar zijn en waarschijnlijk bereid zijn losgeld te betalen. Tactieken zijn geëvolueerd, waaronder het gebruik van gedeeltelijke encryptie om systemen sneller te versleutelen en zo detectie te vermijden. Deze trends onderstrepen de groeiende complexiteit en de ernst van de dreiging die ransomware vormt, en leggen een extra nadruk op de noodzaak voor effectieve cyberbeveiligingsmaatregelen. (bron)

23 0913 Ia 23 333 Ia U Homeland Threat Assessment 2024 508 C V 6 13 Sep 23
PDF – 3,8 MB 177 downloads

Trend Micro waarschuwt voor kritieke zerodaylek in antivirussoftware

Trend Micro, een gerenommeerd antivirusbedrijf, waarschuwt voor een ernstige zeroday-kwetsbaarheid in verschillende van hun antivirusproducten. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige code uit te voeren op getroffen systemen. Hoewel een aanvaller eerst toegang moet krijgen tot de beheerdersconsole van de software om de kwetsbaarheid te kunnen misbruiken, is de impact ervan toch aanzienlijk. Trend Micro heeft de kwetsbaarheid, aangeduid als CVE-2023-41179, beoordeeld met een 9.1 op een schaal van 1 tot 10. De kwetsbaarheid is aangetroffen in meerdere Trend Micro-producten, waaronder Apex One On Premise (2019), Apex One as a Service, en Worry-Free Business Security. Over de specifieke aanvallen die zijn uitgevoerd via deze lek, heeft Trend Micro geen details vrijgegeven. De Japanse overheid heeft inmiddels organisaties aangespoord om de beveiligingsupdate zo spoedig mogelijk te implementeren. Ook wordt geadviseerd de toegang tot de beheerdersconsole te beperken tot alleen vertrouwde netwerken. Dit incident onderstreept het belang, maar ook het inherente risico, van antivirussoftware met hoge rechten op systemen. Het roept vragen op over de effectiviteit en de veiligheid van dergelijke beveiligingsoplossingen, zelfs als deze afkomstig zijn van gevestigde bedrijven. Daarnaast laat het zien dat, ongeacht het besturingssysteem of de gebruikte beveiligingsoplossingen, geen enkel systeem volledig immuun is voor cyberaanvallen. Gezien de ernst van de situatie is het dringend geadviseerd om de door Trend Micro aangeboden beveiligingsupdate te installeren en extra voorzorgsmaatregelen te treffen voor het beheer van antivirussoftware. (bron, bron2, bron3)


APT36 Hackersgroep Misbruikt Android-toestellen met Nagemaakte YouTube Apps

Het APT36 hackerscollectief, ook bekend als 'Transparent Tribe', wordt ervan verdacht ten minste drie Android-applicaties te gebruiken die YouTube nabootsen om apparaten te infecteren met hun specifieke Remote Access Trojan (RAT), genaamd 'CapraRAT'. Eenmaal geïnstalleerd, kan deze malware een schat aan gegevens oogsten, audio- en videobeelden opnemen, en toegang krijgen tot gevoelige communicatie-informatie, functionerend als een spionagetool. De groep, die wordt geassocieerd met Pakistan, richt zich voornamelijk op Indiase defensie- en overheidsinstellingen, evenals op kwesties in de regio Kasjmir en mensenrechtenactivisten in Pakistan. De nieuwste aanvalscampagne werd opgemerkt door SentinelLabs, dat waarschuwt voor dergelijke apps, vooral als deze worden gehost op websites buiten de officiële Google Play Store. De malafide APK-bestanden worden verspreid via sociale manipulatie en werden voor het eerst geüpload naar VirusTotal tussen april en augustus 2023. De apps vragen tijdens de installatie om verschillende riskante machtigingen, die echter voor een media-app als YouTube als onschadelijk kunnen worden beschouwd. De interface van de vervalste apps lijkt veel op die van de echte YouTube-app, hoewel er bepaalde functies ontbreken. De CapraRAT malware is in staat om een reeks acties uit te voeren, waaronder het opnemen met de microfoon en camera's, het verzamelen van SMS- en multimediaberichten, het initiëren van telefoongesprekken en het aanpassen van systeeminstellingen. Het constante ontwikkelingsproces en de aanhoudende activiteiten van deze groep tonen hun vermogen tot aanpassing en evolutie in cyber-espionage. SentinelLabs benadrukt dat, ondanks zwakke operationele beveiliging, de groep nieuwe potentiële slachtoffers blijft bereiken door hun app-aanbod regelmatig te vernieuwen. (bron)


HZPC Group (NL) slachtoffer van cyberaanval: Financiële schade en invloed op jaarrekening

Het aardappelveredelingsbedrijf HZPC Group is op 14 september het slachtoffer geworden van een cyberaanval, waarbij een aanzienlijk bedrag is overgemaakt naar een criminele bankrekening. Hoewel het exacte bedrag nog onbekend is, heeft CEO Gerard Backx dit nieuws naar buiten gebracht via een persbericht. Het bedrijf heeft direct stappen ondernomen en werkt samen met banken en politie om de schade zoveel mogelijk te beperken. Volgens Backx is de uitkomst van deze pogingen echter nog onzeker. Daarnaast is een extern forensisch onderzoek gestart om meer inzicht te krijgen in de cyberaanval. Ook heeft Backx aangegeven dat dit incident invloed zal hebben op de jaarrekening van het boekjaar 2022-2023. De presentatie van de jaarrekening aan de aandeelhouders staat gepland voor 5 oktober. Gedurende het lopende onderzoek zullen er geen verdere mededelingen worden gedaan door het bedrijf. Interessant is dat HZPC dit jaar zijn 125-jarig bestaan viert en onlangs het predikaat Koninklijk heeft ontvangen. De cyberaanval werpt daarmee een donkere schaduw over wat een feestelijk jaar had moeten zijn. Het incident onderstreept het belang voor bedrijven in alle sectoren om alert te zijn op de risico’s van cybercriminaliteit. (bron)


Bumblebee Malware Maakt Comeback met Geavanceerde Distributietechnieken via WebDAV

Na een pauze van twee maanden is de malware loader 'Bumblebee' terug met een nieuwe campagne die gebruikmaakt van 4shared WebDAV-diensten voor zijn distributie. WebDAV staat voor Web Distributed Authoring and Versioning en is een uitbreiding van het HTTP-protocol. Het stelt gebruikers in staat om op afstand wijzigingen aan te brengen in webservercontent. Onderzoekers van Intel471 rapporteren dat de nieuwste Bumblebee-campagne, gestart op 7 september 2023, de 4shared WebDAV-services misbruikt om de malware te verspreiden, de aanvalsreeks te faciliteren en diverse acties na infectie uit te voeren. Door het gebruik van de legitieme 4shared-platform kunnen de operators van Bumblebee blacklists omzeilen en profiteren van een hoge beschikbaarheid van infrastructuur. Bovendien maakt het WebDAV-protocol het voor hen makkelijker om gedragsdetectiesystemen te omzeilen. De huidige campagne leunt sterk op malspam e-mails die zich voordoen als scans, facturen en meldingen, met als doel ontvangers te verleiden tot het downloaden van kwaadaardige bijlagen. Bumblebee heeft ook een update ondergaan: het gebruikt nu het TCP-protocol in plaats van WebSocket voor communicatie met de command-and-control (C2) server. Daarnaast maakt het nu gebruik van een Domain Generation Algorithm (DGA) om domeinen te genereren voor C2-communicatie, wat het veel moeilijker maakt om preventieve maatregelen tegen deze malware te implementeren. Het is een verontrustende ontwikkeling, vooral omdat Bumblebee eerder geassocieerd werd met de distributie van ransomware zoals Conti en Akira. (bron)


Nieuwe SprySOCKS Linux Malware in Cyber-Espionage Aanvallen door 'Earth Lusca'

Een Chinese hacker, geïdentificeerd als 'Earth Lusca', richt zich actief op overheidsinstanties in verschillende landen met een nieuwe Linux-backdoor, genaamd 'SprySOCKS'. Volgens een analyse van Trend Micro is deze backdoor een evolutie van de Trochilus open-source Windows-malware, aangepast om op Linux-systemen te werken. De malware lijkt een mengsel te zijn van verschillende soorten malware; de communicatieprotocol van SprySOCKS lijkt bijvoorbeeld op die van RedLeaves, een Windows-backdoor, terwijl de interactieve shell afgeleid lijkt van Derusbi, een Linux-malware. Earth Lusca is het gehele eerste halfjaar van 2023 actief geweest en heeft zich gericht op overheidsinstanties die betrokken zijn bij buitenlandse zaken, technologie en telecommunicatie, verspreid over Zuidoost-Azië, Centraal-Azië, de Balkan en wereldwijd. De aanvallers maken gebruik van verschillende kwetsbaarheden gedateerd tussen 2019 en 2022 om toegang te krijgen tot netwerken. Eenmaal binnen, zetten ze Cobalt Strike beacons in om lateraal door het netwerk te bewegen, bestanden te exfiltreren, accountgegevens te stelen en extra payloads te leveren, zoals ShadowPad. SprySOCKS is bijzonder geavanceerd en maakt gebruik van een hoogwaardig netwerkraamwerk genaamd 'HP-Socket'. De backdoor heeft meerdere functionaliteiten, waaronder het verzamelen van systeeminformatie, het starten van een interactieve shell, het beheren van SOCKS-proxyconfiguraties en het uitvoeren van basisbestandsbewerkingen. De malware genereert ook een uniek klant-ID gebaseerd op het MAC-adres van de eerste vermelde netwerkinterface en enkele CPU-kenmerken. Beveiligingsexperts adviseren organisaties om de beschikbare beveiligingsupdates zo snel mogelijk toe te passen om initieel compromis door Earth Lusca te voorkomen. (bron)


Clorox Voorspelt Wezenlijke Financiële Impact na Cyberaanval

Clorox, de producent van huishoudelijke producten zoals Pine-Sol en bleekmiddel, waarschuwt voor een "wezenlijke invloed" op hun financiële resultaten voor het eerste kwartaal als gevolg van een cyberaanval die vorige maand plaatsvond. Het bedrijf ondervond grote verstoringen in zijn activiteiten en delen van de IT-infrastructuur raakten beschadigd. Op 14 augustus gaf Clorox aan dat het bedrijf gedwongen werd zijn systemen offline te halen vanwege ongeautoriseerde activiteiten op het computernetwerk. Dit heeft geleid tot vertragingen bij de verwerking van bestellingen. Hoewel de productie op de meeste van zijn productielocaties hervat is, kan het bedrijf nog niet inschatten hoe lang het zal duren om de activiteiten weer volledig te normaliseren. Ook werd er geen gedetailleerde uitsplitsing van de financiële gevolgen gegeven; het bedrijf is de situatie nog aan het evalueren. Deze cyberaanval had ook invloed op de aandelenmarkt, waar de aandelen van Clorox daalden met meer dan 2% in de voorbeurshandel. De exacte financiële impact van de cyberaanval is nog onbekend, en dit brengt een extra laag van onzekerheid voor investeerders en aandeelhouders. De situatie is een krachtig voorbeeld van hoe cyberaanvallen een serieuze bedreiging kunnen vormen voor niet alleen de operationele maar ook de financiële stabiliteit van een onderneming. Het onderstreept het groeiende belang van robuuste cybersecurity-maatregelen voor bedrijven in alle sectoren. (bron)


Apple Waarschuwt Journalisten voor Mogelijke Besmetting met Pegasus-Spyware

Apple heeft recentelijk diverse journalisten geïnformeerd over de mogelijke besmetting van hun iPhones met Pegasus-spyware. Deze waarschuwing volgt op de bevindingen van Citizen Lab, dat ontdekte dat de iPhone van Galina Timchenko, een Russische onderzoeksjournalist in ballingschap, besmet was met deze geavanceerde spyware. Timchenko had al eerder, in juni, een melding van Apple ontvangen dat haar toestel mogelijk het doelwit was van 'statelijke actoren'. Pegasus is ontwikkeld door de NSO Group en kan onder andere microfoons en camera's activeren om slachtoffers te bespioneren. Het kan tevens berichten en gesprekken via verschillende apps onderscheppen. Na deze onthulling hebben meerdere Russische journalisten die in Letland werkzaam zijn, vergelijkbare waarschuwingen ontvangen. Dit roept ernstige zorgen op over de veiligheid van journalisten in de regio. De Commissie voor de Bescherming van Journalisten (CPJ) heeft daarom de Letse autoriteiten opgeroepen een onderzoek te starten. Deze journalisten hebben hun iPhones voor verder onderzoek naar Access Now gestuurd. Pegasus-spyware is bijzonder zorgwekkend omdat het sinds 2016 via zogenaamde zeroday-aanvallen wordt verspreid, wat betekent dat de spyware gebruik maakt van tot dan toe onbekende kwetsbaarheden in software. Dit maakt het extreem moeilijk om de aanval te detecteren en te voorkomen. Het groeiende aantal meldingen van mogelijke besmettingen onder journalisten toont de ernst van de situatie en benadrukt de behoefte aan grondig onderzoek en preventieve maatregelen. (bron, bron2)


Free Download Manager Verspreidde Drie Jaar Lang Malware gericht op Linux-gebruikers

De makers van Free Download Manager (FDM), een populaire downloadbeheertool, hebben toegegeven dat ze gedurende drie jaar malware hebben verspreid, specifiek gericht op Linux-gebruikers. Dit werd onthuld door het antivirusbedrijf Kaspersky, die stelt dat de Linux-versie van FDM tussen 2020 en 2022 een link bevatte naar een malafide domein. De geïnfecteerde versie van FDM was voorzien van een backdoor en verzamelde uiteenlopende persoonlijke gegevens, waaronder systeeminformatie, browsegeschiedenis, opgeslagen wachtwoorden en bestanden van cryptowallets. Deze informatie werd vervolgens naar een server gestuurd die door de aanvallers werd beheerd. Het probleem zou mogelijk niet tijdig zijn gemeld vanwege een probleem met het contactformulier van de website van FDM. Gebruikers hadden in verschillende fora en op YouTube al geklaagd over de kwestie, maar Kaspersky beweert dat hun waarschuwingen niet werden beantwoord door FDM. De makers van de software gaven uiteindelijk toe dat aanvallers erin waren geslaagd een webpagina te compromitteren. Deze aanvallers misbruikten een kwetsbaar script om bezoekers naar het malafide domein te leiden. Interessant genoeg was er een IP-uitzonderingslijst waardoor gebruikers die via Bing of Google kwamen, het juiste bestand downloaden. Linux-gebruikers die FDM tussen 2020 en 2023 hebben gedownload, worden dringend aangeraden hun systemen op malware te scannen. Het incident benadrukt de noodzaak voor gebruikers om extra voorzichtig te zijn bij het downloaden van software, zelfs van ogenschijnlijk betrouwbare bronnen. (bron)

 

Cybercrimeinfo ontvangt mail van FDM:

Dear team!
We are writing to you from the FDM team due to the reason that there is an article posted on your website regarding the security problem with our product.
As of now, all links on the FDM website are secure and functional. For a comprehensive overview of the situation, we've made an official announcement on our website. Here is our official statement: https://www.freedownloadmanager.org/blog/?p=664
Please post an update in the news.
We look forward to the answer from you.


Liefde als Valstrik: Alarmerende Toename van 'Romance' Crypto Oplichting

De laatste periode wordt de wereld van cryptocurrencies geconfronteerd met een zorgwekkende trend: een explosieve toename van zogeheten 'pig butchering' of 'romance' scams. Bij deze vorm van oplichting worden slachtoffers eerst verleid met vleiende woorden of zelfs valse romantische relaties. Zodra het vertrouwen is gewonnen, worden ze overgehaald hun financiële bezittingen, vaak in de vorm van cryptocurrencies, over te dragen aan de oplichter. De werkwijze van deze oplichters is geraffineerd. Ze benaderen potentiële slachtoffers via sociale media of datingsites en spelen in op hun behoefte aan gezelschap. Het contact verplaatst zich vaak naar apps zoals WhatsApp, waar de oplichter het slachtoffer overtuigt te investeren in crypto. Hiervoor worden vaak links naar neppe, maar legitiem ogende, crypto-beurzen gebruikt. Zodra het slachtoffer heeft geïnvesteerd, worden er allerlei excuses aangedragen om het geld niet terug te trekken, waarna het doorgaans verdwijnt. Vervolging is een uitdaging; veel oplichters opereren vanuit landen met ontoereikende uitleveringsverdragen, zoals China en de Verenigde Arabische Emiraten. Bovendien kunnen oplichters zelf ook slachtoffers zijn, bijvoorbeeld van mensenhandel, wat de zaak nog complexer maakt. Hoewel er soms bedragen worden teruggevorderd, wordt het totale verlies geschat op zo'n $3 miljard per jaar, een bedrag dat nog steeds stijgt. Deskundigen roepen op tot meer samenwerking tussen publieke en private sectoren om deze groeiende dreiging aan te pakken. Preventie is cruciaal. Wees voorzichtig met het delen van persoonlijke informatie, antwoord niet op berichten van onbekenden en doe altijd zelfstandig onderzoek naar crypto-beurzen en handelsplatformen. (bron)


Noord-Koreaanse Hackers Gebruiken Russische Beurzen voor Crypto-Witwasoperaties

Uit recente informatie van Chainalysis blijkt dat Noord-Koreaanse hackers Russische cryptovalutabeurzen gebruiken om illegaal verkregen geld wit te wassen. Op 14 september rapporteerde het analysebedrijf dat de Lazarus Group, een aan Noord-Korea gelieerde hackerorganisatie, maar liefst $3,54 miljard aan bitcoin had gestolen. Bovendien is er recent nog $22 miljoen aan gehackte bitcoin verplaatst van het Harmony Protocol naar een niet nader genoemde Russische beurs. De rapporten tonen aan dat activiteiten gerelateerd aan geld witwassen en cybercrime in de cryptomarkt aan het escaleren zijn. Alleen al deze maand werden meerdere grote cryptohacks geregistreerd, zoals de oplichting van CoinEx waarbij $52 miljoen werd buitgemaakt. Verder tonen de data aan dat de kans op het terugvinden van gestolen activa zeer klein is, vooral als de middelen naar Russische beurzen worden verplaatst die weinig medewerking verlenen bij opsporingsonderzoeken. Het Chainalysis-rapport geeft ook aan dat Noord-Koreaanse hackers dit jaar al meer dan $340 miljoen aan cryptovaluta hebben gestolen, een bedrag aanzienlijk lager dan de $1,65 miljard van 2022. Meer dan een derde van alle in dit jaar gestolen cryptocurrency is rechtstreeks gelinkt aan Noord-Koreaanse organisaties. Deskundigen waarschuwen dat ondanks de daling van noemenswaardige hacks in 2023, het gevaar nog lang niet geweken is. (bron)


Opkomst van 'Elon Musk' Cryptocurrency Giveaway Scams op TikTok

Het socialemediaplatform TikTok wordt overspoeld door nep-cryptocurrency weggeefacties, die bijna allemaal doen alsof ze verband houden met Elon Musk, Tesla of SpaceX. Hoewel deze soort oplichting al jaren plaatsvindt op andere platformen zoals Instagram en Twitter, is het verschijnsel nu nadrukkelijk aanwezig op TikTok vanwege de immense populariteit van het platform. De oplichters maken honderden websites die zich voordoen als cryptocurrency-uitwisselingen of weggeefsites. Gebruikers worden verleid om een account aan te maken en cryptocurrency te storten in de belofte dat ze meer terug zullen krijgen. In werkelijkheid wordt het gestorte bedrag gewoon gestolen. Deze scams zijn verbazingwekkend effectief geweest, met miljoenen dollars die al zijn buitgemaakt van nietsvermoedende gebruikers. Op TikTok worden deze nep-weggeefacties gepost in de vorm van diep-neppe video's waarin een Elon Musk-lookalike wordt geïnterviewd op nieuwsnetwerken zoals Fox News. Sommige video's zijn amateuristischer en laten eenvoudigweg zien hoe je een promo-code kunt invoeren om gratis Bitcoin te ontvangen. Uit tests blijkt dat de meeste van deze scams gebruikmaken van dezelfde sjablonen en website-domeinen die enigszins op echte lijken. Om de oplichting te voltooien, worden gebruikers vaak ook gevraagd om KYC-informatie (Know Your Customer) te verstrekken, wat de oplichters vervolgens kunnen gebruiken om andere legitieme accounts te hacken. De Amerikaanse Federal Trade Commission (FTC) en het Better Business Bureau hebben waarschuwingen uitgegeven, benadrukkend dat er al $80 miljoen is verloren aan dergelijke investeringszwendel sinds oktober 2020. Het is essentieel om waakzaam te zijn en te beseffen dat vrijwel elke crypto-weggeefactie een scam is, vooral die welke beweren afkomstig te zijn van hooggeplaatste individuen of bedrijven. (bron)



Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Meer weekoverzichten