Actuele cyberaanvallen, datalekken, dreigingen en trends - Deze week

Op 9 december 2024 ontdekte Boston Chinatown Neighborhood Center (BCNC), gevestigd in Boston, Verenigde Staten, dat ze slachtoffer zijn geworden van een ransomware-aanval door de groep Interlock. BCNC, actief in de publieke sector en al meer dan 50 jaar actief in het ondersteunen van nieuwe immigranten, met name Aziaten, in de Verenigde Staten, biedt essentiële diensten in Boston's Chinatown en omliggende gebieden. De aanval heeft geleid tot het compromitteren van persoonlijke gegevens van werknemers, contracten en andere gevoelige informatie.

C Pathe, een bedrijf dat een complete reeks end-to-end diensten aanbiedt, waaronder creatieve conceptontwikkeling, 3D-rendering en ontwerpimplementatie, is slachtoffer geworden van een ransomware-aanval. Het bedrijf is actief in de Verenigde Staten en biedt uiteenlopende diensten aan, waaronder management en uitvoering van creatieve projecten.

Op 9 december 2024 werd de aanval ontdekt, maar volgens de aanvallers zou de aanval al op 4 december 2024 hebben plaatsgevonden. De Akira-ransomwaregroep heeft interne documenten van het bedrijf geclaimd, waaronder financiële informatie, telefoonnummers en e-mailadressen van medewerkers, en verzekeringsinformatie. De ransomwaregroep dreigt deze gegevens openbaar te maken tenzij een losgeld wordt betaald.

Coffee Beanery, een toonaangevend bedrijf in de consumentenservice sector met meer dan 75 locaties in de VS en 20 locaties internationaal, is getroffen door een ransomware-aanval van de Akira-groep. De aanval werd ontdekt op 9 december 2024 om 14:59 uur, hoewel de aanval zelf al plaatsvond op 4 december 2024. Coffee Beanery staat bekend om zijn unieke familiebedrijfscultuur en toewijding aan kwaliteit. De aanvallers hebben toegang gekregen tot een groot aantal interne bedrijfsdocumenten, waaronder klantcontactgegevens, financiële informatie, medewerkerscontacten en interne financiële documenten. Het incident heeft geleid tot zorgen over de beveiliging van zowel klant- als bedrijfsgegevens.

Séguin Haché SENCRL, een bedrijf dat zich specialiseert in verschillende sectoren zoals de bouw, landbouw, productiebedrijven, woningcorporaties, non-profitorganisaties en kinderopvang, is getroffen door een ransomware-aanval van de Akira-groep. De aanval werd ontdekt op 9 december 2024 om 14:59 uur, terwijl de aanval zelf al plaatsvond op 5 december 2024. Het bedrijf heeft meer dan 70 GB aan interne bedrijfsdocumenten opgeslagen, waaronder financiële gegevens, en contactinformatie van medewerkers en klanten (inclusief telefoonnummers en e-mailadressen). De exfiltratie van deze gevoelige data heeft ernstige zorgen gewekt over de veiligheid en privacy van zowel het bedrijf als zijn klanten.

Davis Immigration Law Office, een advocatenkantoor dat zich richt op Canadese immigratiewetgeving, is getroffen door een ransomware-aanval van de Akira-groep. Het kantoor heeft een diverse praktijk die onder andere immigratielitigation, zakelijke aanvragen, gezinshereniging en werk- en studievergunningen behandelt. De aanval werd ontdekt op 9 december 2024 om 14:59 uur, terwijl de aanval zelf plaatsvond op 5 december 2024. De aanvallers hebben toegang gekregen tot interne bedrijfsdocumenten, waaronder gevoelige gegevens zoals paspoorten en rijbewijzen. Deze gegevens zijn nu in handen van de cybercriminelen, wat ernstige zorgen oproept over de privacy en veiligheid van de cliënten.

Milwaukee Cylinder, een toonaangevende innovator in de hydraulische en pneumatische actuatie-industrie, is getroffen door een ransomware-aanval van de Akira-groep. Het bedrijf, dat bekendstaat om zijn technologische vooruitstrevendheid, werd getroffen op 5 december 2024, met ontdekking van de aanval op 9 december 2024 om 14:59 uur. De aanvallers hebben meer dan 10 GB aan interne bedrijfsdocumenten geëxfiltreerd, waaronder vertrouwelijke documenten zoals NDA's, HR-documenten met persoonlijke gegevens, rijbewijzen en interne financiële documenten. Dit incident roept ernstige bezorgdheid op over de beveiliging van zowel bedrijfs- als persoonlijke gegevens van medewerkers en zakenpartners.

Weinberg & Schwartz LLC, een advocatenkantoor in Columbia, Maryland, dat cliënten vertegenwoordigt in familierecht- en echtscheidingszaken, is getroffen door een ransomware-aanval van de Akira-groep. Het kantoor biedt juridische diensten aan in verschillende regio's van Maryland, waaronder Anne Arundel County en Montgomery County. De aanval vond plaats op 6 december 2024, met ontdekking op 9 december 2024 om 14:59 uur. De aanvallers hebben toegang gekregen tot meer dan 100 GB aan interne bedrijfsdocumenten, waaronder klantcontacten met telefoonnummers en e-mailadressen, ondertekende overeenkomsten, financiële gegevens, correspondentie, sociale zekerheidsnummers, rijbewijzen, paspoorten en Medicare-documenten. De exfiltratie van deze gevoelige gegevens roept ernstige zorgen op over de privacy en veiligheid van cliënten.

Jamaica Bearings Group (JBG), een bedrijf actief in de transport- en logistieke sector, is getroffen door een ransomware-aanval van de Akira-groep. JBG biedt productie- en onderdelenbeheerprogramma’s aan voor wereldwijde Tier I luchtvaart-OEM's, systeemintegrators, luchtvaartmaatschappijen en MRO's (onderhoud, reparatie en revisie). De aanval vond plaats op 6 december 2024, en werd ontdekt op 9 december 2024 om 14:59 uur. De aanvallers hebben toegang gekregen tot meer dan 50 GB aan interne bedrijfsdocumenten, waaronder NDA's, sociale zekerheidsnummers (SSN's), contactgegevens van medewerkers (inclusief telefoonnummers en e-mailadressen), HR-informatie en klantcontacten. Het verlies van deze gevoelige informatie heeft grote zorgen gewekt over de bescherming van zowel werknemers- als klantgegevens.

Pb Loader, een bedrijf actief in de bouwsector, is getroffen door een ransomware-aanval van de Akira-groep. Pb Loader biedt een complete lijn van vrachtwagenmontage-loaders, asfaltpatchers, emulsiesproeiers, vrachtwagenapparatuur en carrosserieën. De aanval vond plaats op 6 december 2024, en werd ontdekt op 9 december 2024 om 14:59 uur. De aanvallers hebben toegang gekregen tot meer dan 200 GB aan interne bedrijfsdocumenten, waaronder NDA's, interne financiële gegevens, klant- en medewerkerscontacten, en sociale zekerheidsnummers (SSN's). Het uitlekken van deze gevoelige gegevens heeft aanzienlijke bezorgdheid veroorzaakt over de veiligheid van zowel zakelijke als persoonlijke informatie.

Pelstar, een technologieoplossingenbedrijf in de gezondheidszorg, is getroffen door een ransomware-aanval van de Akira-groep. Het bedrijf biedt een breed scala aan technologische oplossingen, waaronder systemen die vaak in de zorgsector worden toegepast. De aanval vond plaats op 6 december 2024, en werd ontdekt op 9 december 2024 om 14:59 uur. De aanvallers hebben toegang gekregen tot interne bedrijfsdocumenten, waaronder creditcardgegevens met CVC-codes, klantcontacten met telefoonnummers, interne financiële informatie en sociale zekerheidsnummers (SSN's). Het verlies van deze gevoelige gegevens heeft ernstige zorgen opgeroepen over de bescherming van zowel klanten als financiële informatie.

ECBM, een familiebedrijf en onafhankelijke verzekeringsmakelaar en adviesbureau gevestigd in de regio Philadelphia, is getroffen door een ransomware-aanval van de Akira-groep. Het bedrijf biedt een breed scala aan financiële diensten en heeft toegang tot gevoelige gegevens van zowel klanten als medewerkers. De aanval werd ontdekt op 9 december 2024 om 14:59 uur. De aanvallers hebben meer dan 30 GB aan interne bedrijfsdocumenten geëxfiltreerd, waaronder NDA's en NSA's, rijbewijzen, medewerkerscontacten, drugstestresultaten, sociale zekerheidsnummers (SSN's) en andere vertrouwelijke documenten. Dit incident heeft geleid tot zorgen over de veiligheid van zowel bedrijfs- als persoonlijke gegevens.

Consumers Builders Supply, een leverancier van kant-en-klare betonmengsels, aggregaten en metselmaterialen voor commerciële, industriële, residentiële en weg- en brugprojecten, is getroffen door een ransomware-aanval van de Akira-groep. Het bedrijf, dat bekendstaat om zijn rol in de bouwsector, werd getroffen door de aanval op 9 december 2024 om 14:59 uur. De aanvallers hebben toegang gekregen tot interne bedrijfsdocumenten, waaronder klantcontacten, interne financiële gegevens en medewerkerscontacten. Het incident heeft zorgen gewekt over de beveiliging van gevoelige bedrijfs- en klantgegevens.

Cipla, een wereldwijd farmaceutisch bedrijf dat zich richt op duurzame groei, complexe generieke geneesmiddelen en het verdiepen van zijn portfolio in Zuid-Afrika, India, Noord-Amerika en andere gereguleerde en opkomende markten, is getroffen door een ransomware-aanval van de Akira-groep. Het bedrijf, dat bekendstaat om zijn focus op gezondheid en medicijnen, werd getroffen door de aanval op 9 december 2024 om 14:59 uur. De aanvallers hebben meer dan 70 GB aan interne bedrijfsdocumenten geëxfiltreerd, waaronder persoonlijke medische gegevens, financiële informatie, klantcontacten met telefoonnummers en e-mailadressen, en medewerkerscontacten. Het incident roept ernstige zorgen op over de bescherming van zowel klant- als persoonlijke gegevens.

Bankily.mr, het mobiele bankproduct van Banque Populaire de Mauritanie, is getroffen door een ransomware-aanval van de Apt73-groep. De aanval werd ontdekt op 9 december 2024 om 15:05 uur. Bankily biedt mobiele bankdiensten aan in Mauritanië, maar de aanval heeft aanzienlijke gevolgen voor zowel klant- als interne gegevens. De aanvallers hebben toegang gekregen tot gevoelige informatie, waaronder de namen en gegevens van medewerkers, zoals de gebruikersnaam van de beheerder, en andere vertrouwelijke documenten. De omvang van de gelekte gegevens heeft zorgen gewekt over de beveiliging van zowel de bank als haar klanten.

BMS, een farmaceutisch bedrijf, is getroffen door een ransomware-aanval van de Apt73-groep. De aanval werd ontdekt op 9 december 2024 om 15:08 uur. Het bedrijf, dat zich richt op de ontwikkeling van geneesmiddelen en gezondheidstechnologieën, heeft persoonlijke gegevens van klanten en medewerkers verloren. De aanvallers hebben toegang gekregen tot maar liefst 302 regels van persoonlijke gegevens, wat ernstige zorgen oproept over de veiligheid en privacy van betrokkenen. Dit incident heeft vragen doen rijzen over de beveiligingsmaatregelen binnen de farmaceutische sector.

Copresi.es, een bedrijf dat momenteel geen gedetailleerde informatie in de publieke databases heeft, is getroffen door een ransomware-aanval van de Blacksuit-groep. De aanval werd ontdekt op 9 december 2024 om 15:13 uur. Hoewel specifieke details over het bedrijf en de sector ontbreken, heeft de aanval geleid tot de exfiltratie van gevoelige bedrijfsgegevens. De impact op het bedrijf is nog onduidelijk, maar het incident benadrukt de steeds groeiende dreiging voor organisaties van verschillende groottes in uiteenlopende sectoren.

PTI Agency, een bedrijf dat zich richt op het leveren van creatieve en strategische marketingoplossingen, is getroffen door een ransomware-aanval van de Funksec-groep. De aanval werd ontdekt op 9 december 2024 om 15:17 uur. PTI Agency biedt op maat gemaakte diensten aan op het gebied van branding, digitale marketing en reclame, met als doel bedrijven te helpen hun marktpositie te versterken. De aanvallers hebben gevoelige gegevens geëxfiltreerd, wat zorgen oproept over de veiligheid van zowel bedrijfs- als klantinformatie. Het incident benadrukt de kwetsbaarheid van marketingbedrijven voor cyberdreigingen.

Sincorpe.org.br, de website van SINCOR-PE, de vakbond van verzekeringsmakelaars in Pernambuco, Brazilië, is getroffen door een ransomware-aanval van de Funksec-groep. De aanval werd ontdekt op 9 december 2024 om 15:19 uur. SINCOR-PE ondersteunt en behartigt de belangen van verzekeringsmakelaars in de regio en biedt middelen, training en begeleiding aan haar leden. De aanvallers hebben gevoelige gegevens van het platform geëxfiltreerd, wat zorgen oproept over de privacy van de aangesloten verzekeringsmakelaars en hun klanten. Dit incident benadrukt de groeiende dreigingen voor organisaties in de verzekeringssector.

Hosting.co.uk, een klein technologiebedrijf in het Verenigd Koninkrijk, is getroffen door een ransomware-aanval van de Lynx-groep. De aanval werd ontdekt op 9 december 2024 om 15:43 uur. Hoewel het bedrijf zelf klein is, betreft de gestolen data voornamelijk een groot aantal van hun partners. Alle pogingen om contact op te nemen met het management werden genegeerd, wat wijst op een mogelijke poging tot cover-up of het minimaliseren van de impact van de aanval. Dit incident benadrukt de kwetsbaarheid van technologiebedrijven voor cyberdreigingen, vooral wanneer het gaat om vertrouwelijke gegevens van externe partners.

melhorcompraclube.com.br, een toonaangevend cashbackplatform in Brazilië, werd op 9 december 2024 het slachtoffer van een ransomware-aanval uitgevoerd door de beruchte hacker-groep Apt73. Dit platform biedt consumenten de mogelijkheid om geld terug te verdienen bij aankopen, en is ontstaan als een product van Telepequisa, een bedrijf met bijna 30 jaar ervaring in de marktonderzoekssector. De aanval werd om 16:50 op de genoemde dag ontdekt. De aanvallers hebben mogelijk toegang gekregen tot gevoelige klantgegevens en zijn bezig met het eisen van losgeld. Het platform, dat actief is in de consumentenservice-industrie, bevindt zich in Brazilië en biedt zijn diensten aan klanten in het hele land.

PreciseDiagnosticsPacs, een Amerikaanse zorgorganisatie die zich richt op medische beeldverwerkingsdiensten, werd op 9 december 2024 het slachtoffer van een ransomware-aanval door de hacker-groep Funksec. De aanval werd om 16:53 ontdekt en heeft mogelijk invloed gehad op de toegang tot cruciale medische gegevens en systemen. PreciseDiagnosticsPacs biedt geavanceerde PACS (Picture Archiving and Communication System)-oplossingen voor zorginstellingen, wat hen een vitale rol geeft in de gezondheidszorgsector. De aanval kan ernstige gevolgen hebben voor de werking van medische faciliteiten die afhankelijk zijn van hun systemen. Het incident benadrukt de kwetsbaarheid van de gezondheidszorgsector voor cyberaanvallen.

INIA (Instituto Nacional de Investigación y Tecnología Agraria y Alimentaria), een Spaanse overheidsorganisatie die zich richt op onderzoek en technologie in de landbouw- en voedingssector, werd op 9 december 2024 het slachtoffer van een ransomware-aanval uitgevoerd door de Ransomhub groep. De aanval werd om 17:00 ontdekt en heeft mogelijk gevolgen voor de wetenschappelijke en technische ondersteuning die INIA biedt aan de Spaanse agrarische sector. INIA speelt een cruciale rol in het bevorderen van innovatie en het verbeteren van de duurzaamheid van de landbouw in Spanje. De aanval kan de operationele capaciteit van de organisatie verstoren en invloed hebben op belangrijke onderzoeksprojecten in het land.

mpdory.com, een Amerikaans technologiebedrijf dat zich specialiseert in producten zoals vangrails, hekken, verkeersborden, verkeerssignalering en geluidsbarrières, werd op 9 december 2024 het slachtoffer van een ransomware-aanval door de hacker-groep Ransomhub. De aanval werd om 17:04 ontdekt, maar het lijkt erop dat de aanval al op 25 november 2024 heeft plaatsgevonden. Deze cyberaanval heeft mogelijk gevolgen voor de operationele processen van het bedrijf, dat een sleutelrol speelt in de infrastructuur en veiligheid van transportnetwerken. De impact op de systemen kan de productie en distributie van kritieke veiligheidsproducten vertragen, wat risico's met zich meebrengt voor de openbare veiligheid.

LaSalle Inc., een toonaangevend bedrijf in de vastgoed- en investeringsbeheer sector in Canada, werd op 9 december 2024 het slachtoffer van een ransomware-aanval uitgevoerd door de Ransomhub groep. De aanval werd om 17:07 ontdekt, maar het lijkt erop dat de aanval op 4 december 2024 al heeft plaatsgevonden. LaSalle Inc. biedt strategische oplossingen en inzichten aan klanten in de vastgoedsector, met als doel waarde te creëren door middel van deskundig beheer, marktonderzoek en op maat gemaakte investeringsstrategieën. De impact van de aanval kan de bedrijfsvoering verstoren en heeft mogelijk gevolgen voor de vertrouwelijke gegevens van klanten.

Singular Analysts, een data-analysebedrijf in India, werd op 9 december 2024 het slachtoffer van een ransomware-aanval uitgevoerd door de Funksec groep. De aanval werd om 20:53 ontdekt en heeft mogelijk verband met een eerdere beveiligingsinbreuk in september 2023, waarbij gevoelige klantgegevens werden blootgesteld. De recente aanval kan de toegang tot bedrijfsdata en klantinformatie hebben verstoord, wat ernstige gevolgen kan hebben voor hun operaties. Het bedrijf had al eerder zijn beveiligingsmaatregelen versterkt na de inbreuk van 2023, maar de nieuwe aanval benadrukt de voortdurende dreigingen waarmee technologiebedrijven geconfronteerd worden.

Gervet USA, een zorggerelateerde organisatie in de Verenigde Staten, werd op 9 december 2024 het slachtoffer van een ransomware-aanval uitgevoerd door de Funksec groep. De aanval werd om 22:45 ontdekt en heeft waarschijnlijk geleid tot ongeautoriseerde toegang tot de systemen van het bedrijf, waardoor persoonlijke en financiële gegevens van zowel klanten als medewerkers werden blootgesteld. Deze inbreuk benadrukt het belang van robuuste cyberbeveiligingsmaatregelen om dergelijke dreigingen af te weren, vooral in de gevoelige gezondheidszorgsector. Het incident kan aanzienlijke gevolgen hebben voor de vertrouwelijkheid van gegevens en de bedrijfsvoering van Gervet USA.

Kurosu.com.py is een bedrijf gevestigd in Paraguay. Op 10 december 2024 om 00:27 werd het bedrijf getroffen door een ransomware-aanval uitgevoerd door de beruchte Funksec-groep. Hoewel de specifieke sector van Kurosu.com.py niet bekend is, benadrukt dit incident de groeiende bedreigingen in de digitale wereld. Tijdens de aanval kregen onbevoegde personen toegang tot de systemen van het bedrijf, wat leidde tot het gijzelen van cruciale data en mogelijke verstoringen van de bedrijfsactiviteiten. Kurosu.com.py werkt momenteel samen met cybersecurity-experts om de schade te beperken en de beveiliging te versterken om toekomstige aanvallen te voorkomen. Deze gebeurtenis onderstreept het belang van robuuste beveiligingsmaatregelen en proactieve bescherming tegen ransomware-bedreigingen.

Equity & Advisory is een toonaangevend bedrijf in de financiële dienstverlening in Australië, opgericht in 1997. Met tientallen jaren ervaring in corporate advisory en bedrijfsvoering, heeft het team een reputatie opgebouwd voor commercieel inzicht, uitstekende service en marktinzicht. Op 10 december 2024 om 02:16 werd Equity & Advisory getroffen door een ransomware-aanval uitgevoerd door de Lynx-groep. De aanval, die vermoedelijk plaatsvond op 3 december 2024, benadrukt de groeiende bedreigingen binnen de financiële sector. Tijdens de aanval kregen onbevoegde personen toegang tot kritieke systemen, wat leidde tot het gijzelen van gevoelige gegevens en mogelijke verstoringen van de bedrijfsactiviteiten. Equity & Advisory werkt momenteel samen met cybersecurity-experts om de schade te beperken en de beveiliging te versterken om toekomstige aanvallen te voorkomen.

Nedamaritime.gr is een onafhankelijke rederij in de transport- en logistieksector, actief in Griekenland. Het bedrijf beheert en exploiteert een vloot voor wereldwijde maritieme transportopdrachten. Op 10 december 2024 om 05:17 werd Nedamaritime.gr getroffen door een ransomware-aanval uitgevoerd door de Blackout-groep. Tijdens deze aanval kregen onbevoegde personen toegang tot essentiële systemen, wat leidde tot het gijzelen van gevoelige gegevens en mogelijke verstoring van de dagelijkse activiteiten. Hoewel de exacte omvang van de schade nog wordt onderzocht, benadrukt dit incident opnieuw de kwetsbaarheid van cruciale infrastructuren voor cyberaanvallen. Het bedrijf werkt nauw samen met cybersecurity-specialisten om de beveiliging te versterken, gegevens veilig te stellen en toekomstige aanvallen te voorkomen. Deze gebeurtenis onderstreept het belang van doeltreffende maatregelen en continue waakzaamheid in de transport- en logistieksector om operationele stabiliteit en gegevensintegriteit te waarborgen.

Electrica Group, een belangrijke speler in de Roemeense elektriciteitsdistributie en -levering, onderzoekt momenteel een ransomware-aanval die nog steeds aan de gang is. Het bedrijf bedient meer dan 3,8 miljoen gebruikers in heel Roemenië, waaronder Transilvania en Muntenia. Hoewel de kritieke systemen niet zijn aangetast, heeft Electrica tijdelijke maatregelen getroffen om de interne infrastructuur te beschermen, aldus CEO Alexandru Aurelian Chirita. De Roemeense autoriteiten werken samen met het bedrijf om het incident te onderzoeken. De SCADA-systemen die het elektriciteitsnet beheren, blijven operationeel en geïsoleerd van de aanval. Deze cyberaanval komt kort na de annulering van de Roemeense presidentsverkiezingen, die werden beïnvloed door een TikTok-campagne gelinkt aan Rusland. De energievoorziening blijft stabiel ondanks de aanval, maar de communicatie met klanten wordt tijdelijk beïnvloed.

Bron: 1

Physicians' Primary Care of Southwest Florida, een zorgorganisatie die streeft naar het worden van de toonaangevende multi-specialistische groep in Zuidwest-Florida, is het slachtoffer geworden van een ransomware-aanval. De aanval werd op 10 december 2024 om 09:36 uur ontdekt. De aanval werd uitgevoerd door de ransomwaregroep Bianlian, die bekend staat om het richten op gezondheidszorgorganisaties en hun systemen te versleutelen. De groep eist doorgaans een losgeld voor de decryptie van de gegevens en dreigt gevoelige informatie openbaar te maken als de eisen niet worden voldaan. De organisatie, actief in de gezondheidszorgsector, heeft de aanval inmiddels gemeld en werkt samen met cybersecurity-experts om de impact te beperken en de herstelwerkzaamheden in gang te zetten.

Greenscape.us.com, een bedrijf dat zich richt op het leveren van hoogwaardige tuin- en landschapsdiensten, is het slachtoffer geworden van een ransomware-aanval. Het bedrijf, dat zowel residentiële als commerciële klanten bedient met een focus op duurzame en milieuvriendelijke buitenomgevingen, ontdekte de aanval op 10 december 2024 om 11:21 uur. De aanval werd uitgevoerd door de ransomwaregroep Ransomhub, die bekend staat om het versleutelen van bedrijfssystemen en het eisen van losgeld voor de decryptie van gegevens. Greenscape werkt samen met cybersecurity-experts om de schade te herstellen en de impact van de aanval te minimaliseren.

WomensCare.com, een zorgorganisatie die zich richt op het bieden van uitgebreide diensten voor de gezondheid van vrouwen, is het slachtoffer geworden van een ransomware-aanval. De organisatie, die medische zorg biedt op het gebied van verloskunde, gynaecologie en gespecialiseerde diensten zoals vruchtbaarheidsbehandelingen en menopauzezorg, ontdekte de aanval op 10 december 2024 om 11:24 uur. De aanval werd uitgevoerd door de ransomwaregroep Ransomhub, die bekendstaat om het versleutelen van gegevens en het eisen van losgeld voor de decryptie ervan. WomensCare.com werkt samen met cybersecurity-experts om de gevolgen van de aanval te beperken en de getroffen systemen te herstellen.

Proyectos y Seguros, een toonaangevende makelaar in de financiële sector in Spanje, is op 9 december 2024 slachtoffer geworden van een ransomware-aanval. De aanval werd op 10 december 2024 om 12:33 ontdekt, waarbij de Akira-ransomwaregroep verantwoordelijk werd gesteld. Deze aanval heeft meer dan 10 GB aan interne documenten getroffen, waaronder NDA's, persoonlijke bankgegevens, klantinformatie en contracten. Het bedrijf biedt de grootste selectie verzekeringen in Spanje en werkt samen met de beste bedrijven in de sector. De aanval heeft geleid tot ernstige zorgen over de veiligheid van gevoelige gegevens en de impact op zowel klanten als bedrijfsvoering.

Lakeside Sod Supply, een betrouwbare leverancier van graszoden, zaad, meststoffen en producten in Upstate New York, is op 10 december 2024 slachtoffer geworden van een ransomware-aanval. De aanval werd om 12:33 ontdekt, en de Akira-ransomwaregroep werd verantwoordelijk gesteld. De aanval richtte zich op gevoelige interne documenten, waaronder contactgegevens van medewerkers, sociale zekerheidsnummers (SSNs), HR-documenten, gezondheidsdossiers van medewerkers en licentiecertificaten. Lakeside Sod, een belangrijke speler in de landbouw- en voedselproductiesector, levert zowel aan de handel als consumenten. De impact van de aanval op de veiligheid van personeelsgegevens en de bedrijfsvoering is aanzienlijk.

Aruba Productions, een organisatie voor algemeen management en uitvoerende productie die wereldwijd shows beheert en produceert, is op 10 december 2024 slachtoffer geworden van een ransomware-aanval. De aanval werd om 12:33 ontdekt, en de Akira-ransomwaregroep werd verantwoordelijk gesteld. Gevoelige interne documenten werden getroffen, waaronder paspoorten, rijbewijzen, klantcontactgegevens met telefoonnummers en e-mailadressen, interne financiële documenten en creditcards met CVV-gegevens. Aruba Productions is actief in de entertainmentsector in de Verenigde Arabische Emiraten, en de aanval heeft ernstige gevolgen voor de beveiliging van persoonlijke en financiële informatie.

Conrey Insurance Brokers & Risk Managers, een van de snelst groeiende middelgrote verzekeringsmakelaars in Zuid-Californië, is op 10 december 2024 slachtoffer geworden van een ransomware-aanval. De aanval werd om 12:33 ontdekt, en de Akira-ransomwaregroep werd verantwoordelijk gesteld. Meer dan 8 GB aan interne documenten werden getroffen, waaronder rijbewijzen, NDA's, sociale zekerheidsnummers (SSNs), contactgegevens van medewerkers, en familiecontacten. Conrey, actief in de financiële sector, levert diensten in verzekeringen en risicomanagement, en de aanval heeft aanzienlijke gevolgen voor de veiligheid van gevoelige gegevens.

Global Insurance Agency, een full-service makelaarsbedrijf dat zowel persoonlijke als commerciële verzekeringen aanbiedt, is op 10 december 2024 slachtoffer geworden van een ransomware-aanval. De aanval werd om 12:35 ontdekt, en de Bianlian-ransomwaregroep werd verantwoordelijk gesteld. Het bedrijf biedt op maat gemaakte verzekeringsdiensten aan zijn klanten, maar de aanval heeft geleid tot een ernstige inbreuk op de veiligheid van klantgegevens en interne documenten. De impact op de operaties en vertrouwelijkheid van gevoelige informatie blijft onbekend, terwijl de herstelpogingen in volle gang zijn.

Corporación BJR, een bedrijf dat zich richt op de verkoop van motoronderdelen en accessoires met een sterke nadruk op uitstekende after-sales service, is op 10 december 2024 slachtoffer geworden van een ransomware-aanval. De aanval werd om 13:06 ontdekt, en de Akira-ransomwaregroep werd verantwoordelijk gesteld. Meer dan 25 GB aan interne documenten werden getroffen, waaronder contactgegevens van medewerkers en klanten, interne correspondentie, financiële documenten, paspoorten en andere vertrouwelijke documenten. Het bedrijf, actief in de motorsector, heeft te maken met aanzienlijke gevolgen voor de veiligheid van gevoelige gegevens.

De "workers.com.zm Breach" verwijst naar een datalek bij het Zambianse werkportaal workers.com.zm, dat op 10 december 2024 werd ontdekt. De aanval werd om 13:09 vastgesteld, en de Funksec-ransomwaregroep werd verantwoordelijk gesteld. In dit incident werden gevoelige gebruikersinformatie, zoals namen, contactgegevens en mogelijk werkgeschiedenissen, blootgesteld door onvoldoende gegevensbeschermingsmaatregelen. Dit datalek benadrukt het belang van robuuste cybersecuritypraktijken om persoonlijke informatie te beschermen tegen ongeautoriseerde toegang. Het incident heeft geleid tot ernstige zorgen over de bescherming van gevoelige gegevens op platforms voor werkgelegenheid.

Matandy Steel & Metal Products, LLC, een staalservicecentrum dat zich specialiseert in de verwerking van platgewalst materiaal, is op 10 december 2024 slachtoffer geworden van een ransomware-aanval. De aanval werd om 14:28 ontdekt, en de Akira-ransomwaregroep werd verantwoordelijk gesteld. Gevoelige interne documenten, waaronder financiële documenten, contactgegevens en persoonlijke bestanden van medewerkers en klanten, evenals sociale zekerheidsnummers (SSNs), werden getroffen. Matandy, actief in de productie van staalproducten, heeft ernstige gevolgen voor de beveiliging van zowel bedrijfs- als persoonlijke informatie door deze aanval.

Op 10 december 2024 om 16:12 uur ontdekte leadboxhq.com, een technologiebedrijf gespecialiseerd in advertentie en marketing, dat ze slachtoffer zijn geworden van een ransomware-aanval door de groep Apt73. Het bedrijf, gevestigd in de Verenigde Staten, beheert gevoelige klantgegevens zoals id-indexscores en andere bedrijfsinformatie. De aanval heeft mogelijk gevolgen voor hun operationele en beveiligingsprocessen.

Op 10 december 2024 om 16:17 uur ontdekte workers.com.zm, een bedrijf actief in de financiële dienstverlening in Zambia, dat ze slachtoffer zijn geworden van een ransomware-aanval door de groep Funksec. Verdere details over dit specifieke bedrijf zijn momenteel niet beschikbaar.

Op 10 december 2024 om 16:20 uur ontdekte kurosu.com.py, een vooraanstaand bedrijf in Paraguay gespecialiseerd in de auto-industrie, dat ze slachtoffer zijn geworden van een ransomware-aanval door de groep Funksec. Kurosu S.A., bekend als een belangrijke distributeur van Toyota-voertuigen in het land, speelt een cruciale rol in de automotive sector door een breed scala aan auto's, trucks en SUV's aan te bieden, evenals onderhouds- en reparatiediensten via hun uitgebreide netwerk van servicecentra.

Op 10 december 2024 om 16:25 uur ontdekte Telecom Namibia, een toonaangevende speler in de telecommunicatiesector van Namibië, dat ze slachtoffer zijn geworden van een ransomware-aanval door de groep Hunters. Het incident omvatte exfiltratie van gegevens, hoewel de data zelf niet versleuteld werd.

Op 10 december 2024 om 18:11 uur ontdekte Haji Husein Alireza and Company Limited, een handelsbedrijf in Saoedi-Arabië actief in sectoren zoals voedsel, bouwmaterialen, toiletten en juwelen, dat ze slachtoffer zijn geworden van een ransomware-aanval door de groep Incransom. Het bedrijf heeft geen verdere details vrijgegeven over de omvang van de aanval.

Op 10 december 2024 om 18:18 uur ontdekte Mission Constructors, Inc., een in Houston gevestigde onderneming gespecialiseerd in bouwmanagement, ontwerp/bouw, waarde-engineering en bouwdiensten in de staat Texas, dat ze slachtoffer zijn geworden van een ransomware-aanval door de groep Nitrogen. Het bedrijf speelt een belangrijke rol in de bouwsector in Texas.

Op 10 december 2024 om 18:22 uur ontdekte Tecta America, een toonaangevende commerciële dakbedekkingsaannemer in de Verenigde Staten, dat ze slachtoffer zijn geworden van een ransomware-aanval door de groep Ransomhub. Tecta America biedt een breed scala aan diensten, waaronder dakinstallatie, reparatie en onderhoud, en bedient sectoren zoals de industrie, instellingen en detailhandel. Het bedrijf staat bekend om zijn focus op veiligheid, kwaliteit en klanttevredenheid.

Op 10 december 2024 om 21:48 uur ontdekte fpsc-anz.com, een bedrijf actief in de financiële dienstverlening in Australië, dat ze slachtoffer zijn geworden van een ransomware-aanval door de groep Funksec. Verdere details over de aanval zijn nog niet beschikbaar.

Op 10 december 2024 om 21:49 uur ontdekte senseis.xmp.net, een technologiebedrijf in Japan, dat ze slachtoffer zijn geworden van een ransomware-aanval door de groep Funksec. Verdere details over de aanval en de impact op het bedrijf zijn nog niet bekend.

Op 10 december 2024 om 21:50 uur ontdekte thebetareview.com, een technologiebedrijf, dat ze slachtoffer zijn geworden van een ransomware-aanval door de groep Funksec. Verdere details over de aanval en de gevolgen voor het bedrijf zijn op dit moment niet beschikbaar.

Op 10 december 2024 om 21:51 uur ontdekte wacer.com.au, een bedrijf in de bouwsector in Australië, dat ze slachtoffer zijn geworden van een ransomware-aanval door de groep Funksec. Verdere details over de aanval en de impact op het bedrijf zijn nog niet bekend.

Op 10 december 2024 om 21:52 uur ontdekte www.appicgarage.com, een technologiebedrijf, dat ze slachtoffer zijn geworden van een ransomware-aanval door de groep Funksec. Verdere details over de aanval en de gevolgen voor het bedrijf zijn nog niet beschikbaar.

Op 10 december 2024 om 22:28 uur ontdekte Ukh-hof.de, een gezondheidszorgbedrijf in Duitsland, dat ze slachtoffer zijn geworden van een ransomware-aanval door de groep Cloak. Het incident heeft mogelijk impact gehad op minder dan 100 GB aan gegevens, hoewel verdere details over de aanval nog niet bekend zijn.

Op 10 december 2024 om 22:28 uur ontdekte Orthopaedie-hof.de, een gezondheidszorgbedrijf in Duitsland, dat ze slachtoffer zijn geworden van een ransomware-aanval door de groep Cloak. Het incident heeft mogelijk impact gehad op minder dan 100 GB aan gegevens, hoewel verdere details over de aanval nog niet bekend zijn.

Op 10 december 2024 om 22:28 uur ontdekte N************.uk, een onbekend bedrijf in het Verenigd Koninkrijk, dat ze slachtoffer zijn geworden van een ransomware-aanval door de groep Cloak. Het incident betrof een privébestand van 125 GB, maar verdere details over het bedrijf en de aanval zijn momenteel niet beschikbaar.

Op 10 december 2024 om 23:51 uur ontdekte fpsc-anz.com, een bedrijf actief in de financiële dienstverlening in Australië, dat ze slachtoffer zijn geworden van een ransomware-aanval door de groep Funksec. Verdere details over het bedrijf en de specifieke impact van de aanval zijn momenteel niet beschikbaar.

Op 10 december 2024 om 23:55 uur ontdekte gervetusa.com, een bedrijf gespecialiseerd in veterinaire medische apparatuur en benodigdheden in de Verenigde Staten, dat ze slachtoffer zijn geworden van een ransomware-aanval door de groep Funksec. Gervetusa.com biedt hoogwaardige producten voor dierenartsen, waaronder chirurgische instrumenten, diagnostische tools en andere essentiële apparatuur. Verdere details over de aanval en de gevolgen voor het bedrijf zijn momenteel niet beschikbaar.

Op 10 december 2024 om 23:58 uur ontdekte singularanalysts.com, een data-analysebedrijf in India, dat ze slachtoffer zijn geworden van een ransomware-aanval door de groep Funksec. Singular Analysts biedt geavanceerde analytische oplossingen en inzichten voor bedrijven, met een focus op het gebruik van technologieën zoals machine learning en AI voor datagestuurde beslissingen. Verdere details over de aanval en de impact op het bedrijf zijn momenteel niet beschikbaar.

Op 11 december 2024 om 00:03 uur ontdekte Hydra-Matic Packing, een fabrikant in de Verenigde Staten, dat ze slachtoffer zijn geworden van een ransomware-aanval door de groep Lynx. De aanval werd geschat op 10 december 2024 en richtte zich op belangrijke bedrijfsbestanden, waaronder accounting, tekeningen en formulieren.

Mauri ransomware maakt gebruik van een ernstige kwetsbaarheid (CVE-2023-46604) in de populaire open-source berichtserver Apache ActiveMQ. Deze kwetsbaarheid, die een remote code execution (RCE) mogelijk maakt, stelt cybercriminelen in staat om op ongepatchte servers op afstand schadelijke commando's uit te voeren. Hierdoor kunnen gegevens worden gecompromitteerd, systemen worden overgenomen of ransomware worden geïnstalleerd.

De aanval begint met het misbruiken van de OpenWire-protocolseriële klasse, wat leidt tot het laden van kwaadaardige XML-configuratiebestanden. Zodra de aanvallers toegang hebben, installeren ze vaak ook andere malware zoals CoinMiners en Remote Access Trojans (RATs), zoals Quasar RAT. Mauri ransomware versleutelt bestanden met AES-256 CTR-encryptie en voegt de extensie .locked toe.

Om zich te beschermen, wordt aangeraden kwetsbare versies van Apache ActiveMQ te patchen, externe toegang te beperken en verdachte activiteiten te monitoren.

Bron: 1

CVE-2024-38193 is een gebruik-na-vrijmaken kwetsbaarheid in de afd.sys Windows driver, specifiek binnen de geregistreerde I/O extensie voor Windows-sockets. Deze kwetsbaarheid werd gepatcht in augustus 2024. Het probleem ontstaat door een raceconditie tussen de AfdRioGetAndCacheBuffer() en AfdRioDereferenceBuffer() functies, waardoor een kwaadwillende gebruiker een buffer kan manipuleren die al is vrijgegeven. Dit maakt het mogelijk om onbedoeld toegang te krijgen tot geheugen dat niet langer in gebruik is, wat kan leiden tot escalatie van privileges naar SYSTEM-rechten.

De exploitatie van deze kwetsbaarheid vereist het gebruik van technieken zoals heap spraying om valse bufferstructuren te creëren en vervolgens de raceconditie te triggeren. Dit kan de aanvaller in staat stellen om de kernel te misleiden en ongeautoriseerde toegang te verkrijgen tot kritieke systeembronnen.

Bron: 1

BlueAlpha, een door de staat gesponsorde dreigingsactor met banden met de Russische veiligheidsdienst (FSB), voert een geavanceerde cyberespionagecampagne uit tegen Oekraïense doelwitten. De campagne maakt gebruik van HTML-smuggling en Cloudflare-tunnels om de GammaDrop-malware te verspreiden. Cloudflare-tunnels worden ingezet om de infrastructuur van de malware te verbergen, waardoor traditionele beveiligingssystemen moeite hebben met detectie. BlueAlpha gebruikt spearphishing om de malware te verspreiden, waarbij HTML-smuggling en Visual Basic Script (VBScript) via JavaScript-encoded bijlagen worden verzonden. De GammaDrop-malware verbergt kwaadaardige activiteiten door scripts uit te voeren en het systeem te manipuleren. BlueAlpha gebruikt daarnaast DNS over HTTPS (DoH) en snelle flux-technieken om de communicatie met de malwareservers te maskeren en blokkering te bemoeilijken. Organisaties wordt aangeraden om sterke e-mailbeveiliging in te stellen, de uitvoering van verdachte bestanden te blokkeren en verkeer naar Cloudflare-subdomeinen te monitoren.

Bron: 1

Cybercriminelen maken steeds vaker gebruik van de publieke belangstelling rondom grote evenementen om gerichte aanvallen uit te voeren. Ze registreren misleidende domeinnamen die officiële websites nabootsen om vervalste producten te verkopen of frauduleuze diensten aan te bieden. Tijdens belangrijke wereldwijde gebeurtenissen, zoals sportevenementen en productlanceringen, nemen deze activiteiten vaak toe. Een voorbeeld hiervan is de exploitatie van de COVID-19-pandemie, waarbij aanvallers zich richtten op medische en overheidsinstellingen via phishingcampagnes met malware.

Een andere recente dreiging is het misbruik van generatieve AI-tools zoals ChatGPT, waarbij criminelen valse ChatGPT-diensten aanprezen via frauduleuze domeinen. Experts adviseren organisaties om domeinen die gekoppeld zijn aan evenementen nauwlettend te monitoren, verdachte patronen in URL's te analyseren en abnormale netwerktrafiek te onderzoeken om dergelijke dreigingen te voorkomen.

Bron: 1

In 2024 is het aantal cyberaanvallen op macOS-systemen aanzienlijk gestegen. De afgelopen drie jaar heeft macOS een marktaandeelgroei van 60% doorgemaakt, waardoor het een aantrekkelijk doelwit is geworden voor cybercriminelen. Volgens het macOS Threat Report van Moonlock Lab neemt de diversiteit en toegankelijkheid van macOS-malware toe, mede door de opkomst van Malware-as-a-Service (MaaS) en kunstmatige intelligentie (AI) in malware-ontwikkeling. MaaS-diensten verlagen de drempel voor aanvallers, waardoor malware makkelijker gecreëerd en verspreid kan worden. Bovendien maakt AI het mogelijk dat individuen zonder technische expertise malware kunnen ontwikkelen. Een voorbeeld hiervan is de AMOS Stealer, een MaaS-aanbod dat gestolen gegevens efficiënt beheert en verhandelt. Hoewel macOS-malware nog steeds minder geavanceerd is dan die voor Windows, ontwikkelt het zich snel. Gebruikers worden geadviseerd hun systemen up-to-date te houden, bewust te zijn van social engineering-aanvallen en robuuste beveiligingstools te gebruiken.

Bron: 1

Eclipse is een proof-of-concept (PoC) tool ontwikkeld door Kurosh Dabbagh Escalante, ontworpen om de techniek van activatiecontext-hijacking te exploiteren. Deze techniek stelt aanvallers in staat om willekeurige DLL-bestanden te laden en uit te voeren binnen een doelproces. Eclipse biedt twee operationele modi: het aangrijpen van de activatiecontext bij het opstarten van een proces en het manipuleren van een actieve context in een lopend proces. Dit maakt het mogelijk om kwaadaardige code in vertrouwde processen te injecteren, wat detectiemechanismen kan omzeilen. De tool heeft toepassingen voor het omzeilen van beveiligingsmaatregelen en biedt fijnmazige controle over het injectieproces, wat nuttig is voor zowel aanvallers als beveiligingsprofessionals. De PoC-code is beschikbaar voor verdere studie en gebruik.

Bron: 1

Op 8 december 2024 heeft de cyberdreigingsgroep Br34cHM45t3r naar verluidt gevoelige data van de Universiteit van Düsseldorf gelekt. Deze beveiligingsinbreuk heeft de universiteit in het oogpunt van databeveiliging gebracht en roept vragen op over de bescherming van academische informatie. Hoewel de exacte aard en omvang van de gelekte gegevens nog niet volledig zijn onthuld, suggereert dit incident een aanzienlijke bedreiging voor de privacy en integriteit van de betrokken informatie. De Universiteit van Düsseldorf is momenteel bezig met het onderzoeken van de omvang van de inbreuk en neemt stappen om verdere schade te beperken. Daarnaast wordt er overwogen om de getroffen partijen te informeren en aanvullende beveiligingsmaatregelen te implementeren om toekomstige aanvallen te voorkomen. Dit incident benadrukt het groeiende belang van robuuste cyberbeveiliging binnen onderwijsinstellingen.

Bron: 1

DarkWebInformer meldt dat de cybercriminelen van Arikos naar verluidt toegang verkopen tot VoipTiger, een geavanceerd VoIP-platform. Deze verkoop stelt kwaadwillenden in staat om anonieme communicatiekanalen te benutten voor illegale activiteiten, wat een groeiende bedreiging vormt voor zowel bedrijven als individuen in België. VoipTiger kan worden gebruikt voor uiteenlopende cyberaanvallen, waaronder phishing, fraude en het omzeilen van beveiligingssystemen. Experts waarschuwen dat de beschikbaarheid van dergelijke tools het risico op cybercriminaliteit aanzienlijk vergroot en benadrukken het belang van versterkte cybersecuritymaatregelen. Daarnaast wordt aanbevolen dat organisaties alert blijven op verdachte activiteiten en hun beveiligingsprotocollen regelmatig updaten. De autoriteiten worden aangespoord om de handel in dergelijke toegang strikt te monitoren en passende juridische stappen te ondernemen om de verspreiding van deze gevaarlijke technologieën te stoppen.

Bron: 1

Een ernstige kwetsbaarheid (CVE-2024-50623) in de Cleo-software, die wordt gebruikt voor het beheren van bestandsoverdrachten, wordt momenteel actief misbruikt door cybercriminelen. De kwetsbaarheid maakt het mogelijk om op afstand ongeauthenticeerde code uit te voeren, wat aanzienlijke risico's met zich meebrengt voor sectoren zoals logistiek, scheepvaart en consumentenproducten. Ondanks een recente patch blijft de kwetsbaarheid aanwezig in alle versies van de software tot en met versie 5.8.0.21. Aanvallers maken gebruik van een 'arbitrary file-write' fout, waardoor kwaadaardige bestanden kunnen worden geïnstalleerd en uitgevoerd. Deze aanvallen gebruiken tools zoals PowerShell voor verder misbruik en houden via externe IP-adressen command-and-control-functionaliteit in stand. Organisaties die Cleo-software gebruiken, wordt aangeraden om internet-facing systemen achter een firewall te isoleren en waakzaam te blijven voor aanwijzingen van compromittering. Er wordt gewerkt aan een nieuwe patch om de kwetsbaarheid volledig te verhelpen.

Bron: 1

Onderzoekers van CYFIRMA hebben een geavanceerde cyberaanval ontdekt die gericht was op high-value individuen in Zuid-Azië. De aanvaller maakte gebruik van SpyNote, een Remote Administration Tool (RAT), die via WhatsApp werd verspreid als Android payload. De malware was verborgen onder onschuldige namen zoals “Best Friend” en “Friend”. Eenmaal geïnstalleerd, had de malware toegang tot gevoelige gegevens zoals locatie, contacten, tekstberichten en zelfs de camera van het apparaat. Bovendien konden aanvallers schermactiviteit volgen en toetsaanslagen vastleggen. SpyNote, oorspronkelijk ontwikkeld voor remote beheer, is inmiddels aangepast voor spionage en financiële fraude. Dit type malware wordt vaak ingezet door APT-groepen en andere cybercriminelen om kritieke sectoren zoals overheidsinstellingen en financiële instellingen aan te vallen. De ontdekking benadrukt de voortdurende dreiging die SpyNote en soortgelijke tools vormen, vooral in geopolitiek gevoelige regio's.

Bron: 1

Bulletproof hosting (BPH) speelt een cruciale rol in het faciliteren van wereldwijde cybercriminaliteit. Deze speciale hostingdiensten bieden een veilige haven voor cybercriminelen, waarbij ze illegale activiteiten zoals phishing, ransomware-aanvallen en botnets mogelijk maken. BPH-diensten staan bekend om hun lenige beleidsregels, die zelfs illegale inhoud toestaan, en bevinden zich vaak in landen met zwakke internetwetten, zoals Rusland en de Seychellen. Een bekend voorbeeld is ELITETEAM, een BPH-provider die betrokken is bij grootschalige phishingcampagnes en ransomwareverspreiding. De netwerken van dergelijke providers worden vaak gebruikt voor cybercriminaliteit, waarbij ze malware en andere illegale content ongestoord kunnen verspreiden. Deze netwerken bieden cybercriminelen de bescherming die nodig is om ongestoord te opereren, zonder vrees voor juridische repercussies.

Bron: 1

De Duitse overheid heeft een waarschuwing afgegeven voor bruteforce-aanvallen tegen Citrix Netscaler gateways, die vaak worden gebruikt voor externe toegang tot bedrijfsapplicaties en netwerken. Het Bundesamt für Sicherheit in der Informationstechnik (BSI) heeft meldingen ontvangen van vitale sectoren en internationale partners over een toename in het aantal aanvallen. Na toegang te hebben verkregen via bruteforce-aanvallen, proberen cybercriminelen vaak systemen te compromitteren door backdoors te installeren, wat kan leiden tot datalekken of ransomware-aanvallen. Het BSI benadrukt dat het belangrijk is om sterke wachtwoorden te gebruiken en multifactorauthenticatie in te schakelen als extra beveiligingsmaatregel. Desondanks blijken dergelijke aanvallen in de praktijk vaak succesvol, vooral wanneer inloggegevens eenvoudig te raden zijn of afkomstig zijn uit eerdere datalekken.

Bron: 1

Chinese hackers hebben in 2024 een nieuwe techniek gebruikt om toegang te krijgen tot systemen van grote IT-dienstverleners in Zuid-Europa. Ze maakten misbruik van de tunnelfunctie in Visual Studio Code (VSCode), een ontwikkeltool van Microsoft, om op afstand toegang te krijgen en hun aanwezigheid te behouden op gecompromitteerde systemen. De hackers wisten aanvankelijk toegang te verkrijgen via geautomatiseerde SQL-injectieaanvallen en gebruikten een PHP-webshell om commando's uit te voeren. Daarna zetten ze VSCode in als een persistentie-backdoor door de software als een Windows-service te configureren. Dit stelde hen in staat om via een browser verbinding te maken met de systemen, zonder dat beveiligingssoftware alarm sloeg. De campagne, die 'Operation Digital Eye' werd genoemd, werd snel ontdekt en geblokkeerd door onderzoekers, maar benadrukt het risico van legitieme software die voor kwaadwillige doeleinden wordt misbruikt.

Bron: 1

Het indie gameplatform Itch.io werd tijdelijk offline gehaald nadat een onterechte phishingmelding door de registrar was verwerkt. De melding werd ingediend door merkenrechtensoftware die een fanpagina van een Funko Pop-game op het platform als frauduleus had gemarkeerd. Hoewel Itch.io de pagina onmiddellijk verwijderde en het gebruikersaccount deactiveerde, bleef de registrar het platform onterecht offline halen. Het hostingbedrijf had wel bevestigd dat de situatie was opgelost, maar de registrar reageerde niet op de communicatie van Itch.io. Dit leidde tot de tijdelijke offline gang van het platform. Het lijkt erop dat een geautomatiseerd systeem van de registrar deze actie ondernam. Inmiddels is het platform weer online, en Itch.io overweegt geen nieuwe domeinnaam in te voeren.

Bron: 1

Onderzoekers waarschuwen voor een toename van cyberaanvallen door Russische hacktivisten op de Amerikaanse water- en energiesector. Twee groepen, de People's Cyber Army en Z-Pentest, richten zich op kritieke infrastructuren, zoals waterzuiveringsinstallaties en olie- en gasfaciliteiten. In een incident in Texas wisten de aanvallers kleppen van een waterzuiveringsinstallatie te openen, wat onbehandeld water vrijgaf. Deze groepen, die verder gaan dan traditionele DDoS-aanvallen en website-hacks, hebben hun aanvallen gedocumenteerd met video's op sociale media. Z-Pentest heeft onlangs meer dan tien aanvallen geclaimd, waarbij ze controlepanelen in industriële systemen aanvielen. De onderzoekers benadrukken dat de kwetsbaarheid van verouderde systemen en de verkoop van toegangscertificaten op het dark web zorgwekkend zijn. Cybersecurity-experts adviseren organisaties om veiligheidsupdates snel door te voeren en netwerken goed te segmenteren om dergelijke aanvallen te voorkomen.

Bron: 1

Meer cyberoorlog nieuws

Na een jaar onderzoek heeft Bitsight TRACE nieuwe inzichten verworven over Socks5Systemz, een proxy-malware die sinds 2013 actief is. Aanvankelijk geïntegreerd in andere malwarefamilies zoals Andromeda, Smokeloader en Trickbot, opereerde Socks5Systemz grotendeels onopgemerkt. Sinds 2023 is de malware echter als zelfstandig botnet naar voren gekomen, met een piek van 250.000 besmette systemen wereldwijd. Dit botnet wordt gebruikt door de proxydienst PROXY.AM, die anonieme exit nodes aanbiedt voor diverse criminele activiteiten. De voortdurende aanpassingen aan de command-and-control infrastructuur hebben de detectie bemoeilijkt. De recente distributiecampagnes hebben de aandacht van de cyberbeveiligingsgemeenschap getrokken, waarbij de malware nu actief wordt ingezet voor brute force-aanvallen en fraude. Ondanks decennialange activiteit blijft Socks5Systemz evolueren en vormt het een significante bedreiging.

Bron: 1

De Amerikaanse fabrikant van medische apparatuur Artivion, bekend van producten zoals hartkleppen en aortaprotheses, is het slachtoffer geworden van een ransomware-aanval. De aanval werd op 21 november ontdekt en resulteerde in gestolen en versleutelde bestanden. In reactie hierop besloot het bedrijf meerdere systemen offline te halen om de schade te beperken. Dit heeft geleid tot verstoringen in bestel- en leveringsprocessen, evenals andere bedrijfsactiviteiten. Hoewel Artivion stelt dat de financiële impact van de aanval waarschijnlijk beperkt zal zijn, verwacht het wel onkosten door het herstelproces, waarvan een deel wordt gedekt door de verzekering. Het bedrijf heeft geen details verstrekt over de aard van de gestolen bestanden of de methode van de aanval, en verwacht dat het volledige herstel nog enige tijd in beslag zal nemen.

Bron: 1

Radiant Capital heeft bevestigd dat Noord-Koreaanse cybercriminelen verantwoordelijk zijn voor een diefstal van $50 miljoen aan cryptocurrency, die plaatsvond na een cyberaanval op 16 oktober 2024. Het hackteam, bekend als Citrine Sleet (ook wel UNC4736 en AppleJeus genoemd), maakte gebruik van geavanceerde malware om de systemen van Radiant te infiltreren. De hackers wisten toegang te krijgen tot de apparaten van drie ontwikkelaars en misbruikten het multi-signatureproces om de gestolen fondsen van de Arbitrum- en Binance Smart Chain-markten te verplaatsen. Radiant ontdekte later dat de aanval begon op 11 september, toen een ontwikkelaar werd misleid om schadelijke software te downloaden via een vervalst Telegram-bericht. Ondanks verschillende beveiligingsmaatregelen en controles werd de aanval succesvol uitgevoerd, wat de hoge mate van vakbekwaamheid van de aanvallers benadrukt. Radiant werkt samen met Amerikaanse wetshandhavers om de gestolen gelden te traceren.

Bron: 1

De AIVD, MIVD en NCTV waarschuwen in een nieuw rapport dat kunstmatige intelligentie (AI) bestaande dreigingen voor de nationale veiligheid kan versterken. Hoewel AI op zich geen gevaar is, biedt het kwaadwillende actoren de mogelijkheid om aanvallen zoals sabotage, desinformatie en cyberaanvallen sneller, goedkoper en effectiever uit te voeren. Grote mogendheden investeren in AI vanwege de strategische waarde, wat kan leiden tot een verschuiving in de machtsbalans wereldwijd. Cybercriminelen zouden bijvoorbeeld AI-tools kunnen gebruiken om doelwitten te detecteren en phishingmails te genereren. De diensten verwachten dat AI-toepassingen in de toekomst breder beschikbaar zullen worden, waardoor meer kwaadwillenden de technologie kunnen misbruiken. AI zal steeds meer onderdeel worden van onze samenleving, wat nieuwe kwetsbaarheden creëert die kwaadwillenden kunnen exploiteren. De minister van Justitie zal de bevindingen gebruiken om de Nederlandse Veiligheidsstrategie aan te passen.

Bron: 1, 2

Op 10 december 2024 is de Cyber Resilience Act (CRA) van kracht geworden, een wet die digitale producten van fabrikanten, distributeurs en importeurs in de EU verplicht om te voldoen aan essentiële veiligheidseisen. Deze wet geldt voor hardware en software die vanaf 2027 op de markt komen. Fabrikanten moeten risicobeoordelingen uitvoeren en processen instellen om kwetsbaarheden te identificeren en te verhelpen. Daarnaast moeten ze veiligheidsupdates aanbieden voor de duur van het product, maar minimaal vijf jaar.

Een belangrijke wijziging is de meldplicht die vanaf september 2026 ingaat. Fabrikanten moeten ernstige incidenten melden aan nationale cyberveiligheidsinstanties en gebruikers informeren. Volledige naleving van de CRA wordt pas verplicht in december 2027, maar vanaf augustus 2025 moeten draadloze apparaten al voldoen aan cybersecurity-eisen onder de Radio Equipment Directive.

Bron: 1

Het Amerikaanse ministerie van Financiën heeft de Chinese cybersecurityfirma Sichuan Silence en een van haar medewerkers, Guan Tianfeng, gesanctioneerd vanwege hun rol in de Ragnarok ransomware-aanvallen van april 2020. Deze aanvallen richtten zich op kritieke infrastructuurbedrijven in de VS en wereldwijd, waarbij een zero-day kwetsbaarheid in Sophos XG firewalls werd misbruikt. Tussen 22 en 25 april 2020 werden ongeveer 81.000 firewalls besmet, waarvan meer dan 23.000 zich in de VS bevonden, waaronder 36 die cruciale netwerken beschermden. Het doel van de aanval was niet alleen dataverzameling, maar ook het infecteren van systemen met ransomware. De sancties verbieden Amerikaanse bedrijven en burgers zaken te doen met Sichuan Silence en Guan, en bevriezen alle Amerikaanse bezittingen van het bedrijf en de medewerker. De VS heeft ook een beloning van maximaal 10 miljoen dollar uitgeloofd voor informatie over hen.

Bron: 1