Click here or click 'CHOOSE LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
De afgelopen week is opnieuw een turbulente week gebleken in de wereld van cybercriminaliteit. Zo hebben cybercriminelen van de LockBit-ransomwaregroep een losgeld geëist na een aanval op de systemen van de KNVB, en is het Nederlandse 'Attent Zorg en Behandeling' slachtoffer geworden van Qilin. Ook het Belgische Cezam werd getroffen door LockBit cybercriminelen. Verder zijn er tien terabyte aan data gestolen bij een aanval op Western Digital, en zijn iPhones van maatschappelijke organisaties besmet met QuaDream-spyware via een zerodaylek. Daarnaast vond er een cyberaanval plaats op de Canadese overheid tijdens het bezoek van de Oekraïense premier en werd SD Worx in het VK getroffen, waardoor hun IT-infrastructuur tijdelijk afgesloten moest worden. Tot slot eisten cybercriminelen losgeld na de diefstal van gegevens van 14 miljoen klanten bij de Australische kredietverstrekker Latitude en veroorzaakten ze de sluiting van 42 Amerikaanse scholen, waardoor zeventienduizend leerlingen werden getroffen. Lees hieronder het volledige overzicht van de cyberaanvallen van de afgelopen week.
Laatste wijziging op 17-april-2023
Week overzicht slachtoffers
Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb ↑ |
---|---|---|---|---|---|
Talon Outdoor | Royal | www.talonoutdoor.com | UK | Business Services | 16-apr.-23 |
Dataram | Royal | dataram.com | USA | Machinery, Computer Equipment | 16-apr.-23 |
Leadway Assurance Company Limited | BlackCat (ALPHV) | www.leadway.com | Nigeria | Insurance Carriers | 15-apr.-23 |
CommScope | Vice Society | www.commscope.com | USA | Communications | 15-apr.-23 |
Aloha Enteprise [NCR] | BlackCat (ALPHV) | www.ncr.com | USA | Security And Commodity Brokers, Dealers, Exchanges, And Services | 15-apr.-23 |
Allimand, France | Medusa | www.allimand.com | France | Machinery, Computer Equipment | 15-apr.-23 |
osg.co.jp | LockBit | osg.co.jp | Japan | Machinery, Computer Equipment | 14-apr.-23 |
knvb.nl | LockBit | knvb.nl | Netherlands | Miscellaneous Services | 14-apr.-23 |
ktbs.com | LockBit | ktbs.com | USA | Communications | 14-apr.-23 |
homeandhearthealth.com | LockBit | homeandhearthealth.com | USA | Health Services | 13-apr.-23 |
fameline.com | LockBit | fameline.com | Thailand | Construction | 13-apr.-23 |
steel-eye.com | LockBit | steel-eye.com | UK | Security And Commodity Brokers, Dealers, Exchanges, And Services | 13-apr.-23 |
sanden.com.ph | LockBit | sanden.com.ph | Philippines | Transportation Services | 13-apr.-23 |
piszcz.pl | LockBit | piszcz.pl | Poland | Legal Services | 13-apr.-23 |
Yucatan | BlackCat (ALPHV) | www.yucatan.gob.mx | Mexico | General Government | 13-apr.-23 |
SAFHOLLAND | BlackCat (ALPHV) | safholland.com | Germany | Transportation Equipment | 13-apr.-23 |
Invenergy | Unsafe | invenergy.com | USA | Construction | 13-apr.-23 |
Aerowind | BianLian | aerowind.com | USA | Aerospace | 13-apr.-23 |
Capstan Atlantic | BianLian | capstanatlantic.com | USA | Fabricated Metal Products | 13-apr.-23 |
Faps | BianLian | fapsinc.com | USA | Wholesale Trade-non-durable Goods | 13-apr.-23 |
Southeastern University | BianLian | southeastern.edu | USA | Educational Services | 13-apr.-23 |
Tennessee State University | BianLian | tnstate.edu | USA | Educational Services | 13-apr.-23 |
Encompass Technologies | BianLian | encompasstech.com | USA | IT Services | 13-apr.-23 |
IDEXX | BianLian | idexx.com | USA | Research Services | 13-apr.-23 |
Retina and Vitreous of Texas | BianLian | retinatexas.com | USA | Health Services | 13-apr.-23 |
VMedia Inc | AvosLocker | vmedia.ca | Canada | Communications | 13-apr.-23 |
SunPower Marine | AvosLocker | sunpowermarine.com | USA | Miscellaneous Retail | 13-apr.-23 |
GIGATRON.RS | Qilin | gigatron.rs | Serbia | Miscellaneous Retail | 13-apr.-23 |
fsmsolicitors.co.uk | Qilin | fsmsolicitors.co.uk | UK | Legal Services | 13-apr.-23 |
Attent Zorg en Behandeling | Qilin | www.attentzorgenbehandeling.nl | Netherlands | Health Services | 13-apr.-23 |
Sippex | Qilin | www.sippex.com | France | Chemical Producers | 13-apr.-23 |
teleferico.com | LockBit | teleferico.com | Portugal | Passenger Transportation | 13-apr.-23 |
apro.cl | LockBit | apro.cl | Chile | Wholesale Trade-non-durable Goods | 13-apr.-23 |
bcncruiseport.com | LockBit | bcncruiseport.com | Spain | Water Transportation | 13-apr.-23 |
fosfa.cz | LockBit | fosfa.cz | Czech Republic | Chemical Producers | 13-apr.-23 |
CH Media | PLAY | chmedia.ch | Switzerland | Communications | 12-apr.-23 |
einhaus-gruppe | Royal | einhaus-gruppe.de | Germany | Insurance Carriers | 12-apr.-23 |
Petaluma Health Center | Karakurt | phealthcenter.org | USA | Health Services | 12-apr.-23 |
Medicalodges, Inc | Karakurt | www.medicalodges.com | USA | Health Services | 12-apr.-23 |
David S. Brown Enterprises | Black Basta | davidsbrown.com | USA | Real Estate | 12-apr.-23 |
PESA Bydgoszcz | PLAY | www.pesa.pl | Poland | Transportation Equipment | 11-apr.-23 |
servex-us.com | LockBit | servex-us.com | USA | IT Services | 11-apr.-23 |
conseildelentente.org | LockBit | conseildelentente.org | South Africa | General Government | 11-apr.-23 |
irda.com.my | LockBit | irda.com.my | Malaysia | General Government | 11-apr.-23 |
comacchio.com | LockBit | comacchio.com | Italy | Miscellaneous Retail | 11-apr.-23 |
robovic.com | LockBit | robovic.com | Canada | Machinery, Computer Equipment | 11-apr.-23 |
medmark.eg | LockBit | medmark.eg | Egypt | Insurance Carriers | 11-apr.-23 |
uhloans.com | LockBit | uhloans.com | USA | Non-depository Institutions | 11-apr.-23 |
cezam.net | LockBit | cezam.net | Belgium | Miscellaneous Manufacturing Industries | 11-apr.-23 |
grouplease.co.th | LockBit | grouplease.co.th | Thailand | Automotive Dealers | 11-apr.-23 |
Nobiskrug Yachts GmbH | BianLian | nobiskrug.com | Germany | Transportation Equipment | 11-apr.-23 |
Flensburger Schiffbau Gesellschaft mbH & Co. | BianLian | fsg-ship.de | Germany | Transportation Equipment | 11-apr.-23 |
Smith Industries | BianLian | smithindustriesgroup.com | USA | Machinery, Computer Equipment | 11-apr.-23 |
manfil.com.br | LockBit | manfil.com.br | Brazil | Wholesale Trade-durable Goods | 11-apr.-23 |
valleywomenshealth | BlackCat (ALPHV) | valleywomenshealth.com | USA | Health Services | 11-apr.-23 |
arcc.org | LockBit | arcc.org | USA | Educational Services | 11-apr.-23 |
Incredible Technologies | Dunghill Leak | www.itsgames.com | USA | Machinery, Computer Equipment | 10-apr.-23 |
Stanley Electric U.S. | Royal | www.stanleyelectricus.com | USA | Transportation Equipment | 10-apr.-23 |
Harvard Energy | BianLian | harvardenergy.com | Canada | Oil, Gas | 10-apr.-23 |
bsw-architects.com | Medusa Locker | bsw-architects.com | USA | Construction | 10-apr.-23 |
Nature Path Foods | Royal | www.naturespath.com | Canada | Food Products | 10-apr.-23 |
disltd.ca | LockBit | disltd.ca | Canada | IT Services | 10-apr.-23 |
artri.net | LockBit | artri.net | Romania | Motor Freight Transportation | 10-apr.-23 |
euromotors.com.pe | LockBit | euromotors.com.pe | Peru | Transportation Equipment | 10-apr.-23 |
agp.ph | LockBit | agp.ph | Philippines | Electric, Gas, And Sanitary Services | 10-apr.-23 |
gregoire.fr | LockBit | gregoire.fr | France | Machinery, Computer Equipment | 10-apr.-23 |
fiamma.com.my | LockBit | fiamma.com.my | Malaysia | Electronic, Electrical Equipment, Components | 10-apr.-23 |
Big Ass Fans | Royal | www.bigassfans.com | USA | Machinery, Computer Equipment | 10-apr.-23 |
Alvaria | Royal | www.alvaria.com | USA | IT Services | 10-apr.-23 |
Tom Duffy Company | Royal | www.tomduffy.com | USA | Wholesale Trade-durable Goods | 10-apr.-23 |
mundocuervo.com | LockBit | mundocuervo.com | Mexico | Miscellaneous Services | 10-apr.-23 |
aek.mk | LockBit | aek.mk | North Macedonia | General Government | 10-apr.-23 |
don-PC | CipherLocker | Unknown | Unknown | Unknown | 10-apr.-23 |
DESKTOP-8CASIND | CipherLocker | Unknown | Unknown | Unknown | 10-apr.-23 |
desktopforcool123 | CipherLocker | Unknown | Unknown | Unknown | 10-apr.-23 |
Scantibodies Laboratory, Inc. | Medusa | scantibodies.com | USA | Chemical Producers | 10-apr.-23 |
Slachtoffers Belgie en Nederland
Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum |
---|---|---|---|---|---|
knvb.nl | LockBit | knvb.nl | Netherlands | Miscellaneous Services | 14-apr.-23 |
Attent Zorg en Behandeling | Qilin | www.attentzorgenbehandeling.nl | Netherlands | Health Services | 13-apr.-23 |
cezam.net | LockBit | cezam.net | Belgium | Miscellaneous Manufacturing Industries | 11-apr.-23 |
In samenwerking met DarkTracer
Cyberaanvallen nieuws
Cybercriminelen stelen gevoelige informatie van Nederlandse klanten van Booking.com
Wanneer je een hotelkamer reserveert via Booking.com, verwacht je een soepele en veilige ervaring. Echter, recentelijk hebben cybercriminelen op sluwe wijze gegevens van Nederlandse klanten van het populaire boekingsplatform weten te ontvreemden. In plaats van met de hotelmanager te communiceren, blijken klanten in werkelijkheid te corresponderen met kwaadwillende hackers. Een van de slachtoffers, Daan, deelde zijn ervaring en vertelde hoe hij 350 euro kwijtraakte door deze oplichtingstruc. Hij ontving na het boeken van een hotelkamer een bericht via een app, zogenaamd van de hotelmanager, met het verzoek om zijn creditcardgegevens in te voeren. Zonder argwaan te koesteren, voerde Daan zijn gegevens in, in de overtuiging dat hij met de hotelmanager communiceerde. Later bleek dat de vermeende hotelmanager in werkelijkheid een cybercrimineel was die zijn persoonlijke gegevens had gestolen. Dit soort cybercriminelen gebruiken geavanceerde technieken en valse identiteiten om zich voor te doen als betrouwbare partijen. In het geval van Daan en andere slachtoffers werden de gestolen gegevens misbruikt om ongeautoriseerde betalingen te verrichten, wat leidde tot aanzienlijke financiële verliezen. Naast de materiële schade heeft deze situatie ook een impact op het vertrouwen van consumenten in online platforms zoals Booking.com. Veel mensen zijn nu terughoudender om hun gegevens te delen en twijfelen aan de veiligheid van online transacties. Booking.com en andere online boekingsplatforms worden aangemoedigd om hun beveiligingsmaatregelen te versterken en klanten bewust te maken van de risico's van cybercriminaliteit. Ook is het belangrijk dat gebruikers zelf waakzaam zijn en alert blijven op mogelijke oplichting. Het is raadzaam om bij twijfel contact op te nemen met de betreffende organisatie en verdachte berichten te melden bij de autoriteiten. Zo wordt hopelijk voorkomen dat meer mensen, zoals Daan, het slachtoffer worden van cybercriminelen die op geraffineerde wijze persoonlijke gegevens stelen en misbruiken voor eigen gewin.
Google pakt actief aangevallen zerodaylek aan: Cybercriminelen misbruiken kwetsbaarheid in Chrome
Google heeft voor de eerste keer dit jaar een beveiligingsupdate uitgebracht die een actief aangevallen zerodaylek in Chrome verhelpt. De kwetsbaarheid bevindt zich in V8, de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript en waarin met name vorig jaar al tal van andere zerodaylekken werden gevonden. De impact van de kwetsbaarheid, aangeduid als CVE-2023-2033, is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De kwetsbaarheid werd gevonden door een onderzoeker van Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Vorig jaar werden in Chrome negen zerodaylekken verholpen. Google Chrome 112.0.5615.121 is beschikbaar voor macOS, Linux en Windows. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar.
Amerikaans county verliest miljoenen door ransomware-aanval na niet installeren beveiligingsupdate voor Log4j kwetsbaarheid
Een ransomware-aanval die mogelijk was door een niet geïnstalleerde beveiligingsupdate voor een kwetsbaarheid in Log4j kostte een Amerikaans county al miljoenen dollars, zo is deze week bekendgemaakt. Aanvallers hadden maandenlang toegang tot systemen van Suffolk County voordat ze de ransomware uitrolden. Bij de aanval werd ook vierhonderd gigabyte aan data buitgemaakt, waaronder social-securitynummers van inwoners. In totaal ging het om de persoonlijke informatie van 470.000 inwoners van het county en 26.000 huidige en voormalige medewerkers. De aanvallers wisten op 19 december 2021 via een bekende kwetsbaarheid in Log4j toegang tot een systeem van de griffie te krijgen. Ruim een week eerder was er een patch voor het beveiligingslek verschenen, dat voor grote paniek in de securitygemeenschap zorgde. Vanwege de gedecentraliseerde securitystructuur in het county was de griffie grotendeels zelf verantwoordelijk voor het beheer van de eigen systemen en beveiliging. Terwijl verschillende andere departementen in het county updates voor het Log4j-lek uitrolden, werd dit niet door de griffie gedaan. De kwetsbaarheid werd pas op 1 juli 2022 in de systemen van de griffie verholpen. Uit het onderzoek naar de aanval, waar deze week een update over werd gegeven, blijkt dat de aanvallers in maart 2022 een remote managementtool hadden geïnstalleerd om toegang te behouden en in april 2022 hun eigen beheerdersaccount hadden toegevoegd. In augustus 2022 installeerden ze een script waarmee ze de wachtwoorden van alle medewerkers van de griffie wisten te stelen. Eind augustus lukte het de aanvallers om ook toegang tot andere belangrijke systemen in het county te krijgen. Op een systeem van de griffie vonden ze een onbeveiligde map met wachtwoorden voor deze systemen. Het lekken van deze wachtwoorden nekte het county, omdat het de aanvallers toegang gaf tot databasesystemen, telefoonsystemen, back-ups, netwerkapparaten, file shares, service-accounts, webhosting, antivirussoftware en monitoringsoftware. Begin september werden eerst allerlei gegevens gestolen en een aantal dagen later de Alphv-ransomware uitgerold, ook bekend als BlackCat. Vanwege de aanval moesten allerlei systemen worden uitgeschakeld, waaronder e-mail, en werden medewerkers gedwongen om op pen en papier terug te vallen. De aanvallers eisten 2,4 miljoen dollar losgeld, wat het county weigerde te betalen. Sommige systemen waren vanwege de aanval weken offline. Eind december bedroegen de herstelkosten al 3,4 miljoen dollar en was er 2 miljoen dollar uitgegeven aan het forensisch onderzoek door securitybedrijf Palo Alto Networks, meldt de Wall Street Journal. Het county zou inmiddels bezig zijn om de eigen cybersecurity aan te scherpen.
Protestantse Kerk waarschuwt voor e-mailfraude door cybercriminelen die zich voordoen als predikanten
De Protestantse Kerk waarschuwt gemeenten en kerkenraden voor e-mailfraude, waar inmiddels verschillende protestantse gemeenten mee te maken hebben gekregen. Oplichters doen zich voor als de predikant van de gemeente en versturen een e-mail naar bijvoorbeeld kerkenraadsleden waarin wordt gevraagd om cadeaubonnen aan te schaffen. De oplichters maken daarbij gebruik van e-mailadressen die erg veel op die van predikanten lijken. Vervolgens versturen ze dit bericht dat zogenaamd van de predikant afkomstig is: "Ik kan nu niet praten of sms-en. Ik zit midden in een zoom-meeting. Ik mail je met mijn laptop. Ik heb hulp nodig bij het online kopen van cadeaubonnen. Het is de bedoeling dat ik geschenken naar drie mensen stuur. Laat me weten of het mogelijk is om ze nu te krijgen, zodat ik je kan vertellen wat nodig is. Ik zal je vergoeden. Bedankt." Verschillende ouderlingen in de Hervormde Gemeente IJsselstein ontvingen het bericht. Eén van hen dacht dat het om een legitiem verzoek ging en kocht voor 450 euro aan cadeaubonnen. "Omdat dit zo specifiek gebeurde in een kerkelijke setting, lijkt het mij nuttig hiervoor andere gemeenten en kerkenraden te waarschuwen”, zegt dominee Jelle van Holten, predikant in IJsselstein. In deze zaak is aangifte gedaan bij de politie.
Cybercriminelen stelen tien terabyte aan data bij Western Digital-aanval
Bij de aanval op harde schijffabrikant Western Digital is tien terabyte aan data buitgemaakt, waaronder grote hoeveelheden gegevens van klanten, zo claimen de verantwoordelijke criminelen tegenover TechCrunch. Vanwege de aanval besloot WD allerlei diensten offline te halen, waaronder de My Cloud-opslagdienst, maar die zijn sinds woensdag weer online. Klanten konden er tien dagen lang geen gebruik van maken. Daarnaast moeten klanten vrezen dat hun gegevens in handen van de aanvallers zijn gekomen. Om wat voor soort gegevens het zou gaan is onbekend. De criminelen lieten tegenover TechCrunch zien dat ze over het certificaat en de key beschikken om bestanden als Western Digital te signeren en gegevens van het bestuur in handen hebben. Om te voorkomen dat de gestolen data wordt gepubliceerd eisen de criminelen een bedrag van acht cijfers. Hoe ze toegang tot de systemen konden krijgen is niet bekend. WD wilde niet op de claims van de aanvallers reageren.
Cybercriminelen van LockBit-ransomwaregroep eisen losgeld na aanval op KNVB-systemen
Ransomwaregroep Lockbit heeft de verantwoordelijkheid opgeëist voor de aanval op de systemen van de KNVB. Volgens de groep heeft het bij de aanval 305 gigabyte aan data kunnen buitmaken. Dat blijkt uit een melding op de website van LockBit waarover beveiligingsonderzoeker Dominic Alvieri op Twitter bericht. Als de KNVB niet voor 26 april het gevraagde losgeld betaald dreigen de aanvallers de gestolen data via hun eigen site openbaar te maken. Op dinsdag 4 april meldde de KNVB dat criminelen erin waren geslaagd om in te breken op het netwerk van de voetbalbond en daarbij persoonlijke gegevens van medewerkers hebben buitgemaakt. "Er wordt nader uitgezocht om welke gegevens dit gaat. De cyberinbraak is gemeld bij de Autoriteit Persoonsgegevens", aldus de KNVB. De voetbalbond heeft sindsdien geen verdere updates over het incident gegeven. De LockBit-ransomware wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. In de meeste gevallen kiezen de aanvallers ervoor om eerst allerlei gegevens te stelen voordat de ransomware wordt uitgerold. Ook komt het voor dat aanvallers, nadat ze toegang hebben gekregen, zich alleen tot datadiefstal beperken. Hoe er toegang tot de systemen van de KNVB kon worden verkregen is niet bekend.
LockBit breached the Royal Dutch Football Association.
— Dominic Alvieri (@AlvieriD) April 14, 2023
/knvb.nl @KNVB #cybersecurity #infosec #lockbit pic.twitter.com/qx9kKfv3GG
Bewustwording cruciaal tegen cybercriminelen in Nederlandse gezondheidszorg, benadrukt minister Kuipers
Bewustwording over cyberrisico's en het belang van zorgvuldig handelen is essentieel voor goede informatieveiligheid in de Nederlandse gezondheidszorg, zo heeft minister Kuipers van Volksgezondheid opnieuw benadrukt. De minister liet dit weten op Kamervragen over ransomware-aanvallen op ziekenhuizen en zorginstellingen. "Welke maatregelen worden genomen om te voorkomen dat een klik op een verkeerde link door een (zorg)medewerker cybercriminelen toegang geeft tot de meest gevoelige en kwetsbare informatie van patiënten?", zo wilden VVD-Kamerleden Hermans, Rajkowski en Rahimi van de bewindsman weten. Kuipers antwoordt dat bewustwording van risico’s en het belang van zorgvuldig handelen door eigen medewerkers essentieel voor goede informatieveiligheid in de zorg is. Iets wat hij vorige maand ook al liet weten in een antwoord op andere Kamervragen. "Het ministerie van Volksgezondheid zet daarom ten eerste in op het stimuleren van informatieveilig gedrag van zorgprofessionals", aldus de minister. Een paar jaar geleden is het ministerie het project "informatieveilig gedrag" gestart. Dit project moet voor een gedragsverandering op het gebied van informatieveiligheid zorgen, toegespitst op de Nederlandse zorgsector. Daarin wordt onder andere beschreven hoe kan worden voorkomen dat zorgpersoneel slachtoffer van phishing wordt.
KNVB doet aangifte van cyberinbraak en mogelijke diefstal persoonlijke gegevens door cybercriminelen
De KNVB, de Nederlandse voetbalbond, heeft bij de politie aangifte gedaan van een cyberinbraak op het ICT-netwerk van de Campus in Zeist. Hierbij zijn mogelijk persoonlijke gegevens van (oud-)medewerkers van de KNVB in handen van cybercriminelen terechtgekomen. De KNVB heeft direct na ontdekking de inbraak gemeld bij de Autoriteit Persoonsgegevens en heeft een digitaal forensisch onderzoek laten uitvoeren door een gespecialiseerd bureau. "Dit onderzoek is inmiddels afgerond en helaas is gebleken dat mogelijk persoonlijke gegevens van (oud-)KNVB-medewerkers in handen van cybercriminelen zijn gekomen", aldus een woordvoerder. De KNVB heeft alle mogelijke getroffenen op de hoogte gesteld. De leden en clubs hebben volgens de voetbalbond weinig gemerkt van de cyberinbraak. "Over daders en motieven doen we om strategische redenen geen mededelingen", aldus de KNVB. Bij de KNVB werken ongeveer vijfhonderd mensen. De bond wil niet zeggen van hoeveel (oud-)medewerkers de gegevens mogelijk zijn buitgemaakt. Ook de organisaties achter de Eredivisie en de Eerste Divisie zijn getroffen door de cyberinbraak. Beide organisaties zijn gevestigd op het KNVB-complex in Zeist en maken gebruik van dezelfde servers. Alle servers zijn nagelopen en begin deze week even uitgeschakeld. Dit had ook impact op de telefoonlijnen in Zeist. De bond was daardoor de afgelopen dagen telefonisch moeilijker te bereiken dan normaal.
Datalek bij Vattenfall: 30.000 klantgegevens gestolen door inhuurkracht en mogelijk in handen van cybercriminelen
Energieleverancier Vattenfall heeft een datalek bij de Autoriteit Persoonsgegevens gemeld nadat een inhuurkracht toegang tot de persoonlijke gegevens van dertigduizend klanten kreeg en deze mogelijk aan fraudeurs doorspeelde. Ook getroffen klanten zijn inmiddels ingelicht. Eind vorig jaar waarschuwde Vattenfall klanten al voor een datalek nadat een medewerker hun gegevens fotografeerde en deelde met oplichters. Nu blijkt er opnieuw een dergelijke situatie zich te hebben voorgedaan. Een inhuurkracht van een externe partij kon via het digitale archief dat wordt gebruikt om brieven op te slaan toegang tot de persoonsgegevens van zo'n dertigduizend klanten krijgen. "Hierdoor kunnen klantgegevens bij derden zijn beland, om misbruik van te maken", aldus de energieleverancier in een bericht met de titel "Fraude met klantdata". De gestolen gegevens bestaan uit naam, e-mailadres, adresgegevens, telefoonnummer, en in verschillende gevallen deels afgeschermde bankrekeningnummers en geboortedatum. Volgens Vattenfall kunnen deze gegevens worden misbruikt voor bankhelpdeskfraude en phishing. Bij meerdere gevallen van bankhelpdeskfraude, waarbij slachtoffers voor tienduizenden euro's werden bestolen, bleek dat oplichters over lijsten met persoonsgegevens van slachtoffers beschikten. Vattenfall zegt dat het met de niet nader genoemde betrokken externe partijen maatregelen heeft getroffen. Zo is onder andere inzage in het online archief aan banden gelegd en het proces van het aannemen van nieuwe medewerkers onder de loep genomen.
Microsoft verhelpt zerodaylek in Windows, gebruikt door cybercriminelen voor ransomware-aanvallen
Tijdens de patchdinsdag van april heeft Microsoft een zerodaylek in Windows verholpen die bij ransomware-aanvallen is ingezet. De kwetsbaarheid bevindt zich in de Windows Common Log File System (CLFS) Driver, waar in een jaar tijd al drie andere zerodaylekken werden aangetroffen en verholpen. Het CLFS is een Windowsonderdeel dat wordt gebruikt voor logging. Via het beveiligingslek, aangeduid als CVE-2023-28252, kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen. De kwetsbaarheid alleen is niet voldoende om een systeem over te nemen en moet dan ook worden gecombineerd met een ander beveiligingslek of kan worden gebruikt door malware die bijvoorbeeld via een e-mailbijlage of macro op het systeem wordt uitgevoerd. De kwetsbaarheid wordt al zeker sinds februari bij ransomware-aanvallen gebruikt, zo meldt antivirusbedrijf Kaspersky dat het lek ontdekte en aan Microsoft rapporteerde. Worden de meeste zerodays door statelijke actoren ingezet, dit beveiligingslek is gebruikt door criminelen die er de Nokoyawa-ransomware mee installeren, aldus Kaspersky. De virusbestrijder merkt op dat de kwetsbaarheid eenvoudig gevonden had kunnen worden door middel van fuzzing. Fuzzing is een populaire manier voor het vinden van bugs en kwetsbaarheden in software. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen. In de CLFS-driver zijn in het verleden zoals gezegd meerdere beveiligingslekken aangetroffen. Dat CVE-2023-28252 toch niet werd opgemerkt is volgens Kaspersky mogelijk te verklaren doordat fuzzers het probleem wel vonden en er zich een "exception" voordeed, maar dat er geen crash plaatsvond en het lek zo onopgemerkt bleef. De update die het probleem verhelpt wordt op de meeste Windowscomputers automatisch geïnstalleerd.
Cybercriminelen besmetten iPhones van maatschappelijke organisaties met QuaDream-spyware via zerodaylek
De iPhones van medewerkers van maatschappelijke organisaties in Europa, Noord-Amerika, Centraal-Azië, Zuidoost-Azië en het Midden-Oosten zijn door middel van een zerodaylek besmet met de QuaDream-spyware, zo stellen onderzoekers van Citizen Lab en Microsoft. Het gaat zeer waarschijnlijk om een zero-click exploit voor iOS 14, waarbij geen enkele interactie van gebruikers was vereist om besmet te raken. Bij de aanval op iPhone-gebruikers wordt vermoedelijk gebruikgemaakt van "onzichtbare" iCloud-kalenderuitnodigingen. QuaDream is een Israëlische spywareleverancier die een product genaamd "Reign" aan klanten aanbiedt, vergelijkbaar met de Pegasus-spyware van de NSO Group. Het bedrijf zou onder andere klanten in Singapore, Saudi-Arabië, Mexico en Ghana hebben. De QuaDream-spyware kan telefoongesprekken die via besmette telefoons worden gevoerd opnemen, de microfoon inschakelen en zo het slachtoffer afluisteren, via de camera's foto's maken, informatie uit de keychain stelen, iCloud 2FA-wachtwoorden genereren, bestanden en databases doorzoeken, verzamelen van wifi-gegevens, locatie van het slachtoffer vaststellen en de eigen sporen verwijderen. Dit moet detectie van de spyware en gebruikte exploit bemoeilijken. Citizen Lab stelt dat het meer dan zeshonderd servers en tweehonderd domeinen heeft aangetroffen die aan de QuaDream-spyware zijn te koppelen en tussen eind 2021 en begin 2023 zijn gebruikt. Via deze servers wordt informatie van slachtoffers ontvangen. Ook worden ze ingezet voor one-click browser-exploits, waarbij een slachtoffer eerst op een link moet klikken om besmet te raken. QuaDream werd afgelopen december nog genoemd in een rapport van Meta, dat 250 accounts die vermoedelijk door het bedrijf werden gebruikt offline haalde. Tevens stelde Meta dat het tests van QuaDream zag om zowel Androidtelefoons als iPhones te infecteren en vervolgens allerlei informatie van slachtoffers te stelen. Ook Microsoft stelt dat een deel van de ontdekte spywarecode ook op Androidtoestellen is te gebruiken. CitizenLab stelt dat overheden de spywaremarkt moeten reguleren, omdat de situatie nu helemaal uit de hand loopt en misbruik van de technologie alleen maar verder zal toenemen.
Cybercriminelen richten zich op 3CX en compromitteren wereldwijde voip-softwareleverancier met malware
Op de systemen van 3CX, dat wereldwijd software voor voip-oplossingen levert en slachtoffer van een supplychain-aanval werd, hebben onderzoekers malware gevonden. Zowel macOS- als Windowssystemen van de softwareleverancier bleken besmet te zijn, zo laat 3CX in een update over de aanval weten. Hoe de infecties zich konden voordoen is nog altijd niet bekendgemaakt. 3CX is één van de grootste leveranciers van zakelijke telefonieoplossingen. Het bedrijf claimt zeshonderdduizend klanten en twaalf miljoen dagelijkse gebruikers te hebben. De desktopapplicatie van 3CX maakt het mogelijk om vanaf de desktop te kunnen bellen of voicemail te beluisteren. Aanvallers wisten op nog altijd onbekende wijze verschillende versies van de software voor macOS en Windows van malware te voorzien. Nu blijkt dat de aanvallers door middel van malware toegang tot de systemen van 3CX hadden. Daarbij werden verschillende malware-exemplaren gebruikt die met legitiem lijkende domeinen verbinding maakten. Het onderzoek naar de aanval wordt uitgevoerd door securitybedrijf Mandiant, dat vermoedt dat een Noord-Koreaanse groep verantwoordelijk is. Eerder meldde antivirusbedrijf Kaspersky dat de aanvallers het op cryptobedrijven hadden voorzien. Veel details over de aanval ontbreken nog altijd.
Microsoft waarschuwt voor cybercriminelen die gebruikmaken van BlackLotus UEFI-bootkit om beveiligingsmechanismen uit te schakelen
Microsoft waarschuwt organisaties voor aanvallen met de BlackLotus UEFI-bootkit en heeft advies uitgebracht om besmette systemen te vinden en herstellen. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. Iets wat ook Microsoft stelt. "UEFI-bootkits zijn met name gevaarlijk, omdat ze tijdens het opstarten van de computer draaien, voordat het besturingssysteem wordt geladen, en kunnen daardoor verschillende beveiligingsmechanismes zoals BitLocker, hypervisor-protected code integrity (HVCI) en Microsoft Defender Antivirus uitschakelen." Onlangs rapporteerde antivirusbedrijf ESET over de BlackLotus UEFI-bootkit die op internet te koop wordt aangeboden. De bootkit maakt gebruik van een kwetsbaarheid in Windows (CVE-2022-21894) voor het omzeilen van UEFI Secure Boot en het plaatsen van malafide bestanden in de EFI-systeempartitie (ESP) die door de UEFI-firmware worden geladen. Hierdoor kan de bootkit onder andere BitLocker en Microsoft Defender uitschakelen. Microsoft kwam vorig jaar januari met een beveiligingsupdate voor de kwetsbaarheid. Misbruik is volgens ESET nog steeds mogelijk omdat de kwetsbare Windows-bestanden die worden gebruikt voor het omzeilen van Secure Boot niet op de UEFI Revocation List zijn geplaatst. Deze lijst bevat een overzicht van eerdere, goedgekeurde en gesigneerde firmware en software gebruikt voor het opstarten van systemen waarop Secure Boot staat ingeschakeld. In een nieuw document over de BlackLotus-bootkit laat Microsoft zien hoe besmette systemen zijn te identificeren. Mochten systemen inderdaad zijn besmet, adviseert het techbedrijf om de geïnfecteerde computer uit het netwerk te verwijderen en zowel de OS-partitie als EFI-partitie te formatteren of vanuit een schone back-up te herstellen.
Cyberaanval op Canadese overheid tijdens bezoek Oekraïense premier
Op dinsdag heeft een cyberaanval plaatsgevonden op verschillende overheidswebsites van Canada, waaronder die van de premier en de Senaat. De aanval werd opgeëist door de pro-Russische groep genaamd NoName en vond plaats tijdens het bezoek van de Oekraïense premier Denys Sjmyhal aan het land. Ondanks de aanval verklaarde de Canadese premier Justin Trudeau dat het incident "geen enkele manier onze onwrikbare steun aan Oekraïne aan het wankelen brengt". Volgens Trudeau richten Russische cyberpiraten zich vaker tegen landen die hun steun aan Oekraïne uiten en Oekraïense leiders of delegaties ontvangen. Een woordvoerder van de dienst voor telecombeveiliging CST meldt dat DDoS-aanvallen weinig impact hebben op getroffen systemen, maar wel de aandacht trekken. Naast de cyberaanval kondigden de Canadese premier en de Oekraïense premier aan dat onderhandelingen werden afgerond over de modernisering van het vrijhandelsakkoord tussen de twee landen, over nieuwe leveringen van wapens en munitie aan Oekraïne en over een akkoord met het bedrijf Cameco om Oekraïne tot 2035 van kernbrandstof te voorzien. Ottawa heeft tevens nieuwe sancties afgekondigd tegen Russen en Russische entiteiten met banden met onder meer de Wagner-groep, de Russische luchtvaartsector en de Wit-Russische bankensector.
Duitse scheepsbouwer Lürssen getroffen door gijzelsoftware: werkzaamheden liggen stil
De Duitse scheepsbouwer Lürssen heeft te maken gehad met een cyberaanval waarbij gijzelsoftware is gebruikt. Het bedrijf, dat luxe jachten en militaire vaartuigen produceert, heeft direct alle noodzakelijke maatregelen genomen en de verantwoordelijke autoriteiten op de hoogte gesteld. Volgens lokale media hebben de werkzaamheden van het bedrijf voor een groot deel stilgelegen als gevolg van de cyberaanval. Lürssen staat bekend als de bouwer van de Dilbar, een jacht van 156 meter lang dat eigendom is van een trustfonds dat in verband is gebracht met de Russische miljardair Alisjer Oesmanov. Vorig jaar werd dit schip door de Duitse autoriteiten in beslag genomen vanwege sancties tegen de vermeende vertrouweling van de Russische president Vladimir Poetin. Bij een aanval met gijzelsoftware versleutelen cybercriminelen bestanden van een bedrijf. Dit gebeurt vaak om organisaties onder druk te zetten om losgeld te betalen. Als er niet wordt betaald, dreigen de daders vaak om de gestolen gegevens verder te verspreiden.
Cyberaanval treft SD Worx in het VK: IT-infrastructuur tijdelijk afgesloten
Het Belgische bedrijf SD Worx, gespecialiseerd in hr- en salarisadministratie, is in het Verenigd Koninkrijk getroffen door een cyberaanval. Als gevolg hiervan moest het bedrijf de IT-infrastructuur voor zijn hr- en salarisdiensten in die regio tijdelijk uitschakelen. Maandag liet SD Worx zijn klanten weten dat zijn Britse en Ierse divisie doelwit was van de cyberaanval. Het beveiligingsteam ontdekte kwaadaardige activiteiten in het gehoste datacenter van het bedrijf, zo luidt het advies aan klanten in het Verenigd Koninkrijk en Ierland. SD Worx heeft direct maatregelen getroffen door zijn systemen en servers proactief te isoleren om verdere schade te voorkomen. Als gevolg hiervan is het klantenportaal van SD Worx in het Verenigd Koninkrijk momenteel onbereikbaar, hoewel de inlogportalen voor andere Europese landen normaal blijven werken. Volgens een verklaring aan vakpublicatie BleepingComputer was er geen sprake van ransomware bij deze aanval en zijn er momenteel geen aanwijzingen dat er gegevens zijn gecompromitteerd. SD Worx verwerkt onder meer persoonlijke gegevens zoals namen, adressen, geboortedata, telefoonnummers, bankrekeningnummers en beoordelingen van werknemers. Het bedrijf, oorspronkelijk Belgisch maar inmiddels meer een Europese groep, is actief in 26 landen en stelt meer dan 7.000 mensen te werk. Het verzorgt de salarisadministratie van ongeveer 5,2 miljoen werknemers in 82.000 bedrijven en behoort naar eigen zeggen wereldwijd tot de top vijf.
Cybercriminelen eisen losgeld na diefstal gegevens van 14 miljoen klanten bij Australische kredietverstrekker Latitude
Criminelen die wisten in te breken op de systemen van de Australische kredietverstrekker Latitude en daar de gegevens van veertien miljoen klanten wisten te stelen, hebben losgeld geëist. Dat heeft Latitude in een update over de datadiefstal bekendgemaakt. Het gaat om één van de grootste datalekken in de geschiedenis van Australië en Nieuw-Zeeland. Volgens de Nieuw-Zeelandse privacytoezichthouder laat het incident het probleem zien als bedrijven te lang gegevens van mensen bewaren. Latitude is een grote kredietverstrekker in Australië en Nieuw-Zeeland. Halverwege maart meldde het bedrijf dat het slachtoffer was geworden van een aanval waarbij klantgegevens waren buitgemaakt. In eerste instantie liet het bedrijf weten dat scans van honderdduizend identificatiedocumenten en 225.000 klantenrecords waren buitgemaakt. In een update meldde Latitude dat de gegevens van veel meer klanten zijn gestolen. Zo zijn de rijbewijsnummers van 7,9 miljoen Australiërs en Nieuw-Zeelanders in handen van de aanvallers gekomen, alsmede 53.000 paspoortnummers. Verder zijn ook van 6,1 miljoen klanten de "records" gestolen. Het gaat om naam, adresgegevens, telefoonnummer en geboortedatum. Latitude heeft aangegeven dat het klanten zal vergoeden die ervoor kiezen om hun identiteitsdocument vanwege het datalek te vervangen. Hoe de gegevens precies gestolen konden worden is niet bekendgemaakt. Vandaag laat Latitude weten dat de aanvallers losgeld eisen. Om wat voor bedrag het gaat is niet bekendgemaakt. Het bedrijf zegt geen losgeld te zullen betalen, waarbij het wijst naar de opvatting van de Australische overheid die het betalen van losgeld afkeurt. Daarnaast is er geen garantie dat de criminelen de gestolen data ook daadwerkelijk zullen vernietigen, aldus ceo Bob Belan. Verder stelt de kredietverstrekker dat het bezig is om alle gedupeerde klanten te informeren. De Nieuw-Zeelands privacytoezichthouder is niet te spreken over het datalek en de werkwijze van Latitude. "Sommige van de veertien miljoen gestolen Nieuw-Zeelandse en Australische records zijn achttien jaar oud, wat niet oké is." Volgens de databeschermingsautoriteit laat ook dit incident, net als verschillende andere datalekken, het probleem van dataretentie zien, waarbij bedrijven gegevens langer dan noodzakelijk bewaren. Daarbij ziet de toezichthouder ook een rol voor individuen weggelegd. Die zouden, wanneer hun id als verificatie wordt gebruikt, ook moeten vragen hoelang het wordt opgeslagen en waarom. "Hoe meer mensen vragen stellen des te groter is de kans dat organisaties hun gedrag veranderen. Privacy moet een primair bedrijfsvraagstuk worden, dat net zo belangrijk als gezondheid en veiligheid is."
Cybercriminelen verspreiden spyware en malware via openbare usb-oplaadstations, waarschuwt FBI
De FBI heeft via Twitter gewaarschuwd voor openbare ubs-laadstations die spyware en malware verspreiden. In de tweet wordt opgeroepen om gratis usb-oplaadstations op vliegvelden, hotels en winkelcentra te vermijden. Aanvallers hebben volgens de Amerikaanse opsporingsdienst namelijk manieren gevonden om via deze apparaten spyware en malware op telefoons te krijgen. Daarom doen mensen er verstandig aan hun eigen opladers mee te nemen en een stopcontact te gebruiken. Concrete details of voorbeelden van waargenomen aanvallen worden niet door de FBI gegeven. De waarschuwing in kwestie is ook op de website van de FBI te vinden. Het openbaar ministerie van Los Angeles County waarschuwde al een aantal jaren geleden voor "juice jacking". Daarbij wordt een apparaat op een kwaadaardige oplader aangesloten. Het kan dan bijvoorbeeld om een usb-oplaadstation gaan. Ook de Amerikaanse toezichthouder FCC heeft hierover een waarschuwing op de eigen website staan.
Avoid using free charging stations in airports, hotels or shopping centers. Bad actors have figured out ways to use public USB ports to introduce malware and monitoring software onto devices. Carry your own charger and USB cord and use an electrical outlet instead. pic.twitter.com/9T62SYen9T
— FBI Denver (@FBIDenver) April 6, 2023
Yum! Brands waarschuwt voor datalek na cyberaanval op KFC, Pizza Hut en Taco Bell
Yum! Brands, het bedrijf achter KFC, Pizza Hut en Taco Bell, heeft een onbekend aantal mensen gewaarschuwd voor een datalek nadat het bedrijf in januari slachtoffer van een ransomware-aanval werd. Dat blijkt uit een datalekmelding dat Yum! deed bij de procureur-generaal van de Amerikaanse staat Maine. Halverwege januari moest Yum! honderden Britse restaurants van KFC en Pizza Hut wegens een ransomware-aanval een dag sluiten, zo liet het fastfoodconcern destijds weten. Volgens de verklaring had de ransomware-aanval gevolgen voor "bepaalde" systemen. Na ontdekking van de aanval werden verschillende systemen offline gehaald. verdere details over de aanval werden niet gegeven, behalve dat bijna driehonderd restaurants in het Verenigd Koninkrijk voor een dag werden gesloten. De aanval vond 13 januari plaats. Op 9 maart ontdekte Yum! dat er ook persoonsgegevens waren gestolen. Het gaat onder andere om data van Amerikaanse medewerkers of klanten. Om hoeveel mensen het gaat is nog niet bekend. Volgens het bedrijf zijn bij de aanval bestanden met persoonsgegevens gecompromitteerd geraakt. Het gaat onder andere om namen en nummer van rijbewijs of ander identiteitsdocument.
Ransomware-aanval door cybercriminelen treft Amerikaans politiekorps en veroorzaakt vertraging in onderzoeken
Bij een ransomware-aanval op een Amerikaans politiekorps zijn allerlei onderzoeksdossiers versleuteld geraakt, wat voor vertragingen bij sommige onderzoeken zorgde. Dat laten meerdere bronnen tegenover NBC weten. Het Camden County Police Department heeft de ransomware-aanval, die zich vorige maand voordeed, bevestigd. Daarbij werden bestanden voor de dagelijkse administratie en onderzoeksdossiers versleuteld. Drie weken na de aanval is het korps nog altijd bezig met het herstel van de getroffen systemen. Inmiddels zou zo'n 80 tot 85 procent van de bestanden weer zijn te openen. Volgens een woordvoerder had de aanval geen gevolgen voor het 911-alarmnummer en de mogelijkheid om op meldingen van het publiek te reageren. De FBI zou het politiekorps inmiddels ondersteuning bieden. Hoe de aanval kon plaatsvinden is niet bekendgemaakt. De aanvallers zouden honderdduizenden dollars losgeld hebben geëist.
Cybercriminelen veroorzaken sluiting van 42 Amerikaanse scholen en treffen zeventienduizend leerlingen
Een Amerikaans schooldistrict heeft wegens een cyberaanval gisteren 42 scholen gesloten gehouden, waardoor ruim zeventienduizend leerlingen geen lessen konden volgen. Vandaag zijn de scholen weer openen, maar moeten leerlingen wel pen en papier meenemen. Het Rochester-schooldistrict in de Amerikaanse staat Minnesota ontdekte vorige week "verdachte activiteit" op het netwerk. Daarop werden alle systemen losgekoppeld van internet. Volgens het schooldistrict was het zeer lastig om leerlingen zonder internettoegang en essentiële systemen les te geven, waarop werd besloten om gisteren de deuren van alle 42 scholen in het district gesloten te houden. Om wat voor aanval het precies gaat laat het schooldistrict niet weten. In een eerste instantie werd gesproken over een "cyber event", maar gisteren liet het district weten dat een aanvaller toegang tot systemen heeft gekregen en daarbij data van het schooldistrict heeft buitgemaakt. Om wat voor data het precies gaat en hoeveel mensen zijn getroffen is nog niet bekend. Vandaag zullen de lessen weer plaatsvinden, maar dan wel zonder allerlei systemen en diensten, waaronder die van Google. Verder moeten leerlingen pen en papier meenemen, aangezien de studentenlaptops niet te gebruiken zijn. Daarnaast is het telefoonsysteem nog niet volledig hersteld en heeft schoolpersoneel geen toegang tot e-mail.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 51-2024
Reading in another language
Slachtofferanalyse en Trends van Week 50-2024
Reading in another language
Slachtofferanalyse en Trends van Week 49-2024
Reading in another language
Slachtofferanalyse en Trends van Week 48-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 47-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 46-2024
Reading in 🇬🇧 or another language