Overzicht van slachtoffers cyberaanvallen week 08-2023

Gepubliceerd op 27 februari 2023 om 15:00

Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


Heerenveens voedselbedrijf Royal Smilde getroffen door ransomware na phishingaanval, Dole-fabrieken uitgeschakeld door ransomware en Ransomware HardBit 2.0 vraagt slachtoffers of ze verzekerd zijn. Hier het overzicht van afgelopen week en het dagelijkse nieuws.


Laatste wijziging op 27-februari-2023



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
G&G Electronics BianLian ggelectronics.com Canada Merchandise Stores 26-feb.-23
A**** ********* ********* & ***** BianLian Unknown USA Legal Services 26-feb.-23
D*** BianLian Unknown USA IT Services 26-feb.-23
ZURCAL STORMOUS www.zurcal.es Spain Electrical 25-feb.-23
ispace.com LockBit ispace.com USA IT Services 24-feb.-23
InPro electric PLAY www.inpro-electric.de Germany Machinery, Computer Equipment 24-feb.-23
Schwartz Hautmont Port Shop Royal www.shcm.es Spain Machinery, Computer Equipment 24-feb.-23
Smarter Capital BlackCat (ALPHV) smartercapital.net Australia Security And Commodity Brokers, Dealers, Exchanges, And Services 24-feb.-23
The Keen Group BlackCat (ALPHV) thekeengroup.co.uk UK Passenger Transportation 24-feb.-23
PRESTIGE MAINTENANCE BlackCat (ALPHV) prestigeusa.net USA Management Services 23-feb.-23
Kendall Hunt Publishing BlackCat (ALPHV) www.kendallhunt.com USA Publishing, printing 23-feb.-23
Empresa Distribuidora de Electricidad del Este BlackCat (ALPHV) www.edeeste.com.do Dominican Republic Electric, Gas, And Sanitary Services 23-feb.-23
Glovers Solicitors LLP BlackCat (ALPHV) www.glovers.co.uk UK Legal Services 23-feb.-23
FICCI Mallox ficci.in India Membership Organizations 23-feb.-23
AESCULAPIUS Farmaceutici RansomHouse www.aesculapius.it Italy Chemical Producers 22-feb.-23
Bond It RansomHouse www.bond-it.co.uk UK Chemical Producers 22-feb.-23
Stone and Electrical Contractors Royal stoneandsons.com USA Electronic, Electrical Equipment, Components 22-feb.-23
Moose, Martin, Haynes & Lundy Medusa www.mmhlcpa.com USA Accounting Services 22-feb.-23
RAYAB Consulting Engineers Medusa www.rayabco.com Iran Construction 22-feb.-23
BULOG RansomEXX www.bulog.co.id Indonesia Nonclassifiable Establishments 22-feb.-23
AASP Ragnar_Locker www.aasp.org.br Brazil Legal Services 22-feb.-23
nougat-carlier.be LockBit nougat-carlier.be Belgium Food Products 22-feb.-23
siqueiracastro.com.br LockBit siqueiracastro.com.br Brazil Legal Services 22-feb.-23
fosterfarms.com LockBit fosterfarms.com USA Food Products 22-feb.-23
skylinetrisource.com LockBit skylinetrisource.com USA Business Services 22-feb.-23
La Filipina BlackCat (ALPHV) www.lafilgroup.com Philippines Food Products 22-feb.-23
Markas BlackCat (ALPHV) www.markas.com Italy Miscellaneous Services 22-feb.-23
Summit Brands BlackCat (ALPHV) summitbrands.com USA Chemical Producers 22-feb.-23
FUTURE BUILDINGS BlackCat (ALPHV) www.futurebuildings.com Canada Wholesale Trade-durable Goods 22-feb.-23
City of Lakewood BlackCat (ALPHV) cityoflakewood.us USA General Government 22-feb.-23
EncinoEnergy BlackCat (ALPHV) www.encinoenergy.com USA Oil, Gas 22-feb.-23
vuu.edu LockBit vuu.edu USA Educational Services 21-feb.-23
beacontech.net LockBit beacontech.net USA Business Services 21-feb.-23
treves-group.com LockBit treves-group.com France Transportation Equipment 21-feb.-23
lyonhealy.com LockBit lyonhealy.com USA Miscellaneous Manufacturing Industries 21-feb.-23
lasegunda.com.ar LockBit lasegunda.com.ar Argentina Insurance Carriers 21-feb.-23
Highwealth Vendetta highwealth.com.tw Taiwan Construction 21-feb.-23
I???o e???t??? PLAY Unknown Germany Unknown 20-feb.-23
Hopsteiner Lorenz www.hopsteiner.com USA Agriculture 20-feb.-23
UNIS Royal www.unisco.com USA Motor Freight Transportation 20-feb.-23
DALLAS SCHOOL DISTRICT Royal www.dallas.k12.or.us USA Educational Services 20-feb.-23
Ancora - Sistemas de Fixacao Royal www.ancora.com.br Brazil Construction 20-feb.-23
carlocksystems.com LockBit carlocksystems.com Netherlands Engineering Services 20-feb.-23

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum
nougat-carlier.be LockBit nougat-carlier.be Belgium Food Products 22-feb.-23
carlocksystems.com LockBit carlocksystems.com Netherlands Engineering Services 20-feb.-23

In samenwerking met DarkTracer


Cyberaanvallen nieuws


Duizenden ESXi-servers besmet met ransomware maar hoe is nog altijd onbekend

De afgelopen weken raakten duizenden VMware ESXi-servers besmet met ransomware, maar de infectiemethode is nog altijd onbekend. Lange tijd werd gedacht dat de aanvallers een kwetsbaarheid aangeduid als CVE-2021-21974 zouden gebruiken, maar daar is nog altijd geen bewijs voor gevonden. Sterker nog, het lijkt erop dat de OpenSLP-implementatie van ESXi geen rol bij de aanvallen speelt. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. Bij de recente ransomware-aanvallen worden de configuratiebestanden op de ESXi-servers versleuteld, waardoor de aangemaakte virtual machines onbruikbaar zijn geworden. In eerste instantie werd gedacht dat de aanvallers gebruikmaakten van CVE-2021-21974, waardoor remote code execution mogelijk is. Het beveiligingslek bevindt zich specifiek in de OpenSLP-implementatie van ESXi. SLP (Service Location Protocol) is een protocol waarmee netwerkapplicaties het bestaan, de locatie en configuratie van netwerkdiensten op het netwerk kunnen vinden. Naar aanleiding van de aanvallen adviseerde VMware om de OpenSLP-service op ESXi-servers uit te schakelen en beschikbare updates te installeren. VMware kwam vervolgens met een FAQ waarin het stelde dat de aanvalsvector nog altijd onbekend is. Een week na de laatste update op 16 februari is daar geen verandering in gekomen. Securitybedrijf Censys deed eerder al onderzoek naar het aantal getroffen servers en besloot te kijken hoeveel van de getroffen ESXi-servers OpenSLP heeft draaien. Sinds de metingen op 15 februari begonnen bleek dat maximaal negen procent van alle getroffen servers per dag SLP hadden draaien. "Gegeven het relatief lage aantal besmette servers dat ook SLP draait, is het waarschijnlijk dat andere kwetsbaarheden of toegangsmethodes bij deze aanvallen zij betrokken", aldus Censys. Ook VMware stelt dat. "Er is geen garantie dat de SLP-kwetsbaarheden degene zijn die gebruikt worden." Bij de laatste meting van eerder deze week telde Censys nog meer dan duizend besmette ESXi-servers. Organisaties worden dan ook opgeroepen om de laatste ESXi-updates te installeren.


Heerenveens voedingsmiddelenbedrijf Royal Smilde getroffen door ransomware na phishingaanval

Het Heerenveense voedingsmiddelenconcern Royal Smilde raakte vorig jaar via een phishingaanval besmet met ransomware, zo heeft het bedrijf bekendgemaakt. Het lukte de aanvallers om door middel van phishing het wachtwoord van een medewerker te stelen en zo toegang tot een server te krijgen. Daar lukte het de aanvallers om een admin-account aan te maken en de ransomware op meerdere servers uit te rollen. Tijdens deze activiteiten, die in de nacht van zaterdag op zondag 13 februari plaatsvonden, werd de aanval opgemerkt en systemen uitgeschakeld. Daardoor raakte alleen een deel van de bestanden versleuteld. Dankzij beschikbare back-ups konden zondagmiddag de systemen al worden hersteld. "Er heeft uiteindelijk één fabriek wat langer stilgestaan, omdat het op afstand herstellen van de back-up te lang duurde. Uiteindelijk zijn we daar gewoon zelf met een harde schijf naartoe gereden", zegt ict-manager Richard Elsinga tegenover het Digital Trust Center van het ministerie van Economische Zaken. De aanvallers hebben bij de aanval ook data gestolen en dreigen die openbaar te maken als het bedrijf geen losgeld betaalt. Het voedingsmiddelenconcern besluit om niet in gesprek te gaan met de aanvallers. Daarnaast doet het bedrijf aangifte bij de Autoriteit Persoonsgegevens van een datalek en aangifte van datadiefstal bij de politie. "Dat vonden we belangrijk, want onze data is waardevol. Kijk bijvoorbeeld alleen al naar alle persoonlijke gegevens van onze werknemers. En dan nog eens alle interessante informatie over onze business", aldus Elsinga. In de week na de aanval komt Royal Smilde met strengere regels voor het gebruik van de computerwerkplekken. Alle medewerkers moeten hun wachtwoorden vervangen. Daarnaast haalt Royal Smilde de plannen om tweefactorauthenticatie (2FA) in te voeren naar voren. Elsinga hoopt door het verhaal te delen dat andere ondernemers hiervan leren. "Bij veel bedrijven heeft cyberveiligheid helaas geen prioriteit. En dat snap ik deels. Cyber voegt nou eenmaal geen waarde toe aan je bedrijf. Onze satésalades worden er ook niet lekkerder door. Maar je moet echt nadenken over de schade die het je kan opleveren als je niet goed voorbereid bent."


Dole fabrieken uitgeschakeld door ransomware

De Amerikaanse fruitgigant Dole heeft eerder deze maand wegens een ransomware-aanval meerdere fabrieken in Noord-Amerika uitgeschakeld en de voedselleveringen aan supermarkten opgeschort. In een gisteren gepubliceerde verklaring op de eigen website meldt het bedrijf dat het recentelijk door ransomware is getroffen en dat de impact op de bedrijfsvoering beperkt is. Verdere details zijn echter niet gegeven. In een memo die op 10 februari aan winkels werd verstuurd laat de fruitgigant weten dat het vanwege de aanval systemen in Noord-Amerika heeft uitgeschakeld en ook alle leveringen pauzeerde. De memo kwam in handen van CNN. Verschillende supermarkten laten aan de zender weten dat ze dagenlang bepaalde producten van Dole niet geleverd kregen. Hoelang de fabrieken niet kon draaien en hoe de aanval kon plaatsvonden is niet bekendgemaakt.


Cybercriminelen maken misbruik van kritieke kwetsbaarheid in Fortinet FortiNAC

Een kritieke kwetsbaarheid in Fortinet FortiNAC wordt nog geen week na het verschijnen van de beveiligingsupdate actief misbruikt voor het aanvallen van organisaties, zo waarschuwen securitybedrijven. Fortinet FortiNAC is een "network access control" oplossing waarmee organisaties kunnen bepalen welke apparaten toegang tot het netwerk mogen krijgen. Ook geeft de oplossing een overzicht van alle apparaten op het netwerk, bepaalt het risico van elk endpoint en biedt netwerksegmentatie. Zo kunnen organisaties instellen dat alleen apparaten met een bepaald patchniveau verbinding mogen maken. FortiNAC kan worden geïnstalleerd op een virtual machine of fysieke server. Op 16 februari kwam Fortinet met een patch voor het product. Een kritiek lek in de FortiNAC-webserver, aangeduid als CVE-2022-39952, maakt het voor een ongeauthenticeerde aanvaller mogelijk om naar het systeem te schrijven en willekeurige code als root uit te voeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Twee dagen geleden verscheen er proof-of-concept exploitcode voor de kwetsbaarheid. Securitybedrijven GreyNoise en Dark Sky liet gisterenavond weten dat er inmiddels actief misbruik van het lek wordt gemaakt. Ook de Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, meldt dat het aanvallen heeft waargenomen. Bij de aanvallen wordt een reverse shell geïnstalleerd waarmee aanvallers toegang tot de apparaten krijgen en zo verdere aanvallen tegen het achterliggende netwerk kunnen uitvoeren.


Exploit beschikbaar waarmee er een buffer overflow kan worden veroorzaakt

Vorige week verscheen er een beveiligingsupdate voor een kritieke kwetsbaarheid in de gratis opensource-virusscanner ClamAV. Inmiddels is er ook een proof-of-concept exploit openbaar geworden om misbruik van het beveiligingslek te maken, zo laat Cisco weten. Via de kwetsbaarheid is remote code execution of een denial of service mogelijk. Een aanvaller zou zo in het ergste geval via de antivirussoftware het systeem kunnen overnemen. Door ClamAV een speciaal geprepareerde HFS+ partitie te laten scannen kan een heap buffer overflow write ontstaan en kan een aanvaller willekeurige code met rechten van de ClamAV-scanner op het systeem uitvoeren. De impact van de kwetsbaarheid, aangeduid als CVE-2023-20032, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. ClamAV is onderdeel van Cisco. Het Cisco Product Security Incident Response Team (PSIRT) meldde gisteren dat er een proof-of-concept exploit beschikbaar is gekomen waarmee er een buffer overflow kan worden veroorzaakt, om vervolgens het ClamAV-proces te laten crashen. Daarnaast is er ook uitgebreide technische informatie over de kwetsbaarheid verschenen. Vooralsnog is Cisco niet bekend met aanvallen die misbruik van het beveiligingslek maken.


Ransomware HardBit 2.0 vraagt slachtoffers of ze verzekerd zijn

Bedrijven die getroffen zijn door de ransomware HardBit 2.0 krijgen het – niet erg vriendelijke – verzoek om informatie over hun cyberverzekering te delen om een ‘eerlijke’ losgeldsom te bepalen. Elke ransomwaregroepering pakt het op een andere manier aan, maar de werkwijze van HardBit 2.0 is toch wel atypisch. Cybersecurityspecialist Varonis doet de methodiek achter de ransomware uit de doeken. In essentie is de opzet van HardBit 2.0, een ransomwarevirus dat voor het eerst in oktober 2022 opdook, klassiek: gegevens van bedrijven versleutelen om hen onder druk te zetten een losgeld te betalen. De uitvoering is bij HardBit 2.0 lichtjes anders. Zo dreigen de aanvallers niet om de gegevens publiek te maken. In plaats daarvan bedreigen ze het slachtoffer juist met nog meer aanvallen. De ransomware zal dan ook niet enkel en alleen gegevens stelen, maar ook knoeien met de beveiligingsmiddelen op de apparaten van het slachtoffer. Microsoft Defender en andere virusscanners worden uitgeschakeld, alsook de bescherming tegen spyware, back-ups, opstartconfiguraties en meer. Dat alles om de deur van het slachtoffer wagenwijd open te zetten voor vervolgaanvallen. Wil het slachtoffer dat voorkomen, dient het natuurlijk zoals bij elke ransomware-aanval een losgeld te betalen. Maar ook hier wijkt HardBit 2.0 af van het standaardpatroon. Normaal gezien zullen de aanvallers een bedrag in cryptomunten opeisen dat te nemen of te laten is. Het slachtoffer moet maar uitzoeken hoe ze dat geld bij elkaar krijgen. De aanvallers achter HardBit 2.0 vragen echter om rechtstreeks contact met hen op te nemen via een versleutelde berichtendienst en informatie te bezorgen over de cyberverzekering, zonder inmenging van de verzekeraar. Op basis van het bedrag waarvoor het slachtoffer verzekerd is, zou dan een ‘eerlijk’ som bepaald worden voor het losgeld. Tot zover je criminelen op hun woord kan geloven natuurlijk. Op het moment dat je contact opneemt met aanvallers, heb je de onderhandelingen eigenlijk al verloren. Als slachtoffer sta je met de rug tegen de muur, want ook het betalen van het losgeld biedt geen garantie op snel herstel. Experten raden dan ook aan om niet in gesprek te gaan met de aanvallers.


Honderden R1Soft-back-upservers geïnfecteerd met backdoor via kwetsbaarheid in ZK Java Framework

Aanvallers zijn erin geslaagd om honderden servers waarop de R1Soft Server Backup Manager draait te voorzien van een backdoor en via de software verbonden clients aan te vallen. Dat stelt securitybedrijf Fox-IT op basis van eigen onderzoek. Server Backup Manager is een oplossing waarmee organisaties back-ups van werkstations en andere systemen binnen hun netwerk kunnen maken. Hiervoor wordt er een "agent" op de systemen geïnstalleerd die met verhoogde rechten draait en voor de connectie met de back-upserver zorgt. Vorig jaar mei verscheen er een beveiligingsupdate voor een kwetsbaarheid in het ZK Java Framework (CVE-2022-36537). De R1Soft Server Backup Manager blijkt van het ZK Framework gebruik te maken en onderzoekers demonstreerden afgelopen oktober hoe de kwetsbaarheid is te gebruiken om de authenticatie te omzeilen en vervolgens willekeurige code uit te voeren op de server en alle verbonden agents. Fox-IT deed naar eigen zeggen onderzoek bij een organisatie waar de aanvallers via een kwetsbare back-upserver waren binnengedrongen en vervolgens toegang tot verbonden systemen hadden gekregen. Verder onderzoek wees uit dat de aanvallers al op 29 november misbruik van de kwetsbaarheid hadden gemaakt. Op 9 december verschenen er proof-of-concept exploits voor het beveiligingslek. Op kwetsbare back-upservers installeerden aanvallers een malafide driver die als backdoor fungeert. Onderzoekers ontdekten vorige maand 286 R1Soft-servers die van de backdoor waren voorzien. Het grootste deel daarvan werd in de Verenigde Staten, Zuid-Korea en het Verenigd Koninkrijk aangetroffen. Fox-IT waarschuwde het Nationaal Cyber Security Centrum (NCSC), dat vervolgens nationale Computer Emergency Response Teams informeerde, zodat die weer de getroffen organisaties konden inlichten. Hierdoor is het aantal back-upservers met een backdoor inmiddels naar 146 gedaald.


Gameontwikkelaar Activision getroffen door phishingaanval

Aanvallers zijn erin geslaagd om via een phishingaanval interne gegevens van gameontwikkelaar Activision te stelen, zo heeft het bedrijf bevestigd. Het zou gaan om gegevens van medewerkers en informatie over nog uit te brengen games en content. De phishingaanval vond afgelopen december plaats, waarbij medewerkers een sms-bericht ontvingen. Het bericht linkte naar een phishingsite. Een medewerker vulde zijn gegevens op de site in, waarna de aanvallers om de 2FA-code vroegen, die de werknemer ook verschafte. Dat blijkt uit screenshots die door het Twitteraccount VX-Underground zijn gedeeld. Dat stelt ook dat meerdere werknemers de phishing-sms ontvingen, maar hier niet op reageerden. Deze medewerkers zouden de aanval echter ook niet hebben gerapporteerd. Volgens Insider Gaming werkt de medewerker die wel in het bericht trapte voor de HR-afdeling. Met de gegevens van de werknemer wisten de aanvallers onder andere toegang tot namen, e-mailadressen, telefoonnummers, salarisgegevens en werklocaties te krijgen, alsmede informatie over nog te verschijnen games en content. Gegevens van spelers en broncode zijn volgens Activision niet buitgemaakt.


Aanvallers misbruiken kritieke kwetsbaarheden in IBM Aspera Faspex en Mitel MiVoice Connect voor ransomware-aanvallen

Aanvallers maken actief misbruik van kritieke kwetsbaarheden in IBM Aspera Faspex en Mitel MiVoice Connect voor het aanvallen van organisaties, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het zou onder andere om ransomware-aanvallen gaan. IBM Aspera Faspex is een webapplicatie voor het uitwisselen van bestanden en draait op een Aspera-server. Op 26 januari kwam IBM met een beveiligingsupdate voor een kritieke kwetsbaarheid in Aspera Faspex, aangeduid als CVE-2022-47986. Door een speciaal geprepareerde API-call te versturen kan een aanvaller willekeurige code op het systeem uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Op 13 februari meldde de Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, dat aanvallers misbruik van de kwetsbaarheid maken. De eerste gedetecteerde aanvalspogingen bleken van 3 februari te dateren, een week na het uitkomen van de beveiligingsupdate. Volgens beveiligingsonderzoeker Raphael Mendonca wordt CVE-2022-47986 gebruikt voor ransomware-aanvallen op kwetsbare servers. Ook het CISA meldt nu misbruik van het Aspera-lek. Tevens stelt de Amerikaanse overheidsinstantie dat aanvallers ook misbruik maken van twee kwetsbaarheden in Mitel MiVoice Connect. Het gaat om CVE-2022-41223 en CVE-2022-40765. Mitel MiVoice Connect is een voip-platform voor organisaties dat communicatie- en collaboration tools via één interface aanbiedt. Het draait zowel op fysieke als virtuele hardware. Via de beveiligingslekken kan een geauthenticeerde aanvaller willekeurige code of commando's op het systeem uitvoeren. Details over de aanvallen zijn niet gegeven. In het verleden is een andere kwetsbaarheid in Mitel MiVoice Connect gebruikt bij ransomware-aanvallen, zo ontdekte securitybedrijf CrowdStrike destijds. De twee Mitel-beveiligingslekken waar het CISA nu voor waarschuwt zijn ook door CrowdStrike gevonden. Het CISA heeft Amerikaanse overheidsinstanties opgedragen om de updates voor Aspera en Mitel voor 14 maart te installeren mocht dat nog niet zijn gedaan.


Ierse tv-omroep Virgin Media TV annuleert uitzendingen na cyberaanval

De Ierse tv-omroep Virgin Media TV heeft besloten verschillende uitzendingen te annuleren nadat een ongeautoriseerde partij had geprobeerd om toegang tot systemen van de organisatie te krijgen. Als onderdeel van het "review process" zijn bepaalde systemen tijdelijk uitgeschakeld, wat gevolgen voor de opgenomen programmering van Virgin Media 3, 4, More en de VMTV Player heeft. Om wat voor soort aanval het gaat is onbekend, maar het zou niet om ransomware gaan. De programmering zou de komende dagen weer moeten zijn hersteld. De Ierse minister van Binnenlandse Zaken heeft laten weten dat het National Cyber Security Centre een onderzoek naar het incident instelt.


Website van Russische staatstelevisie offline tijdens speech van Poetin na cyberaanval

De website van de Russische staatszender VGTRK, die dinsdagvoormiddag zorgde voor de livestream van de toespraak van president Vladimir Poetin, is kort na het begin van die speech offline gegaan. Volgens een foutmelding op de website werd er “technisch onderhoud uitgevoerd” tijdens de toespraak van Poetin. Volgens het Russische persagentschap Ria Novosti gaat het echter om een zogeheten DDoS-aanval, een soort cyberaanval. Terwijl je dit leest, zijn onze journalisten druk in de weer om jou het snelste nieuws, de scherpste analyses en de meest aangrijpende verhalen uit Limburg en ver daarbuiten te brengen.


Europese overheden en bedrijven doelwit van spionagegroepen

Europese overheden en bedrijven zijn het doelwit van verschillende spionagegroepen, zo waarschuwen het Europees Agentschap voor cyberbeveiliging (ENISA) en het Computer Emergency Response Team (CERT) voor alle Europese instanties en organen. Volgens de twee instanties vormen de aanvallen een significante en voortdurende dreiging voor de Europese Unie. De aanvallen zijn gericht tegen Europese overheden en bedrijven en worden door ENISA en CERT-EU toegeschreven aan zes groepen: APT27, APT30, APT31, Ke3chang, Gallium en Mustang Panda. De groepen hebben het vooral voorzien op het stelen van informatie en het verkrijgen van toegang tot de netwerken van organisaties voor "strategisch belang". Zo zou onder andere het Belgische ministerie van Buitenlandse Zaken in 2021 slachtoffer zijn geworden. Om aanvallen te voorkomen doen ENISA en het CERT-EU verschillende aanbevelingen, waaronder wachtwoordbeleid en netwerksegmentatie. Verder worden organisaties aangeraden om hun cloudomgeving te beveiligen voordat ze belangrijke gegevens daarnaar verplaatsen. Daarnaast doen organisaties er verstandig aan om te investeren in bewustzijnscampagnes en het trainen van personeel op het gebied van cybersecurity. Tevens bevat de waarschuwing ook advies hoe organisaties met detectie en respons om kunnen gaan.


Coinbase getroffen door datalek na phishingaanval op medewerker

Cryptobeurs Coinbase is begin deze maand getroffen door een datalek nadat een medewerker in een phishingaanval trapte. Bij de aanval werden contactgegevens van personeel buitgemaakt. Volgens Coinbase kan iedereen slachtoffer van social engineering worden. De aanval begon met een sms-bericht waarin ontvangers werd gesteld dat ze via de meegestuurde link moesten inloggen om een belangrijk bericht te zien. Eén medewerker deed dit en vulde zijn gebruikersnaam en wachtwoord op een phishingsite in. Met de inloggegevens probeerde de aanvaller vervolgens op systemen van Coinbase in te loggen. Dit mislukte, omdat de cryptobeurs van multifactorauthenticatie gebruikmaakt en de aanvaller hier niet over beschikte. Twintig minuten nadat de medewerker zijn inloggegevens op de phishingsite had ingevuld werd hij door de aanvaller gebeld, die zich voordeed als een medewerker van de automatiseringsafdeling. Op verzoek van de aanvaller logde de Coinbase-medewerker in op zijn werkstation en volgde diens instructies op. Volgens Coinbase werden de verzoeken van de aanvaller aan de medewerker naarmate het gesprek vorderde steeds verdachter. Uiteindelijk wist de aanvaller toegang tot het interne telefoonboek van Coinbase te krijgen en contactgegevens van medewerkers te stelen. Het gaat om namen, e-mailadressen en telefoonnummers. Het Computer Security Incident Response Team (CSIRT) van Coinbase werd door het eigen Security Incident and Event Management (SIEM) systeem gewaarschuwd over verdachte activiteit met account. Het securityteam nam hierna contact op met de medewerker die toen alle communicatie met de aanvaller verbrak.


GoDaddy getroffen door jarenlange cyberaanval met buitgemaakte broncode en malware op servers

GoDaddy blijkt jarenlang te zijn getroffen door een cyberaanval waarbij broncode is buitgemaakt en malware op servers is geplaatst. Dit schrijft de Amerikaanse domeinregistrar en webhoster in een verklaring aan beurstoezichthouder SEC. Volgens de veklaring (pdf) werd december vorig jaar ontdekt dat het bedrijf al jarenlang te maken heeft met een cyberaanval. Het bedrijf kwam de inbreuk op het spoor nadat klanten klaagden dat hun websites werden misbruikt voor het redirecten van willekeurige domeinen. Uit het onderzoek bleek dat cybercriminelen gedurende een lange periode van meerdere jaren toegang hadden tot het netwerk van GoDaddy. Dit door een inbreuk op de servers van zijn cPanel gedeelde hostingomgeving. De cybercriminelen, naast het stelen van broncode, installeerden malware op deze servers die vervolgens voor het redirecten van websites van klanten zorgde. De cybercriminelen willen met de hackaanval de systemen van GoDaddy misbruiken voor het uitvoeren van verschillende cyberaanvallen. Denk daarbij aan phishingcampagnes, het distribueren van malware en andere kwaadaardige activiteiten. De recente aanval op de servers van GoDaddy staat niet op zichzelf. De jarenlange inbreuk is volgens het bedrijf ook de oorzaak van aanvallen in 2020 en 2021 waarbij veel logingegevens van klanten werden buigemaakt. In 2020 ging het om 28.000 klanten waarvan de webhosting-inloggegevens werden misbruikt. In 2021 ging het om ongeveer 1,2 miljoen Managed WordPress-klanten, nadat de cybercriminelen erin slaagden toegang te krijgen tot de WordPress-omgeving van de domenregistrar en webhoster. Inmiddels doet GoDaddy met hulp van de justitiële autoriteiten en forensische experts nader onderzoek naar de cyberaanval. Ook geeft de domeinregistrar en webhoster aan dat het bewijs heeft gevonden dat de bewuste cyberaanvallers op deze manier ook jarenlang aanvallen op andere webhostingbedrijven hebben uitgevoerd.

E 4736 Ddb B 4 C 7 485 B A 8 Fc 1827691692 C 9
PDF – 1,6 MB 194 downloads

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten