EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Cybercrimeinfo.nl (ccinfo.nl) is geen onderdeel van de Nederlandse Politie. Lees hier meer over wie wij zijn.
In een verontrustende reeks gebeurtenissen hebben cybercriminelen in week 33-2023 Nederland en België getroffen met cyberaanvallen. Deze aanvallen hebben bedrijven, onderwijsinstellingen en zelfs sociale mediaplatforms getroffen, wat gevoelige gegevens in gevaar heeft gebracht en organisaties in crisis heeft gestort. Enkele opvallende incidenten zijn onder andere een cyberaanval op een Nederlands bouwbedrijf, een inbraak bij CVO Antwerpen door de Metaencryptor-malware, hackers die Discord.io aanvielen en gegevens van 760.000 gebruikers stalen, een phishingaanval die 40 miljoen e-mailadressen trof, aanvallers die een backdoor op 1800 Citrix NetScalers installeerden, LinkedIn-accounts die massaal werden gehackt en hackers die een VPN-provider-certificaat gebruikten om malware te ondertekenen. Het volledige overzicht van deze alarmerende cyberaanvallen staat hieronder. Blijf op de hoogte van deze ontwikkelingen die de digitale veiligheid in de regio onder druk zetten.
Week overzicht slachtoffers
Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb ↑ |
---|---|---|---|---|---|
stockwellharris.com | LockBit | stockwellharris.com | USA | Legal Services | 20-aug.-23 |
equip-reuse.com | LockBit | equip-reuse.com | USA | Home Furniture, Furnishings, And Equipment Stores | 20-aug.-23 |
cochraninc.com | LockBit | cochraninc.com | USA | Construction | 20-aug.-23 |
cloudtopoffice.com | LockBit | cloudtopoffice.com | USA | IT Services | 20-aug.-23 |
hallbergengineering.com | LockBit | hallbergengineering.com | USA | Machinery, Computer Equipment | 20-aug.-23 |
Novi Pazar put ad | Medusa | www.np-put.rs | Serbia | Construction | 19-aug.-23 |
The International Civil Defense Organization | Medusa | icdo.org | France | Justice, Public Order, And Safety | 19-aug.-23 |
Sartrouville France | Medusa | www.sartrouville.fr | France | General Government | 19-aug.-23 |
Econocom | STORMOUS | www.econocom.com | France | IT Services | 19-aug.-23 |
Gold Medal Bakery | Cuba | www.goldmedalbakery.com | USA | Food Products | 19-aug.-23 |
s3groupltd.com | LockBit | s3groupltd.com | Canada | Machinery, Computer Equipment | 19-aug.-23 |
macuspana.gob.mx | LockBit | macuspana.gob.mx | Mexico | General Government | 19-aug.-23 |
phitoformulas.com.br | LockBit | phitoformulas.com.br | Brazil | Chemical Producers | 19-aug.-23 |
National Institute of Social Services for Retirees and Pensioners | Rhysida | www.pami.org.ar | Argentina | Administration Of Human Resource Programs | 19-aug.-23 |
Municipality of Ferrara | Rhysida | www.comune.fe.it | Italy | General Government | 19-aug.-23 |
ABS Auto Auctions | PLAY | www.absautoauctions.com | USA | Automotive Dealers | 18-aug.-23 |
DSA Law Pty Ltd | PLAY | www.dsalaw.com.au | Australia | Legal Services | 18-aug.-23 |
Miami Management | PLAY | www.miamimanagement.com | USA | Real Estate | 18-aug.-23 |
BTC Power | PLAY | www.btcpower.com | USA | Electronic, Electrical Equipment, Components | 18-aug.-23 |
Stanford Transportation Inc | PLAY | www.driveforstanford.com | USA | Motor Freight Transportation | 18-aug.-23 |
Bolton Group | PLAY | www.boltongroup.net | Italy | Food Products | 18-aug.-23 |
Legends Limousine | PLAY | www.legendslimousine.com | USA | Motor Freight Transportation | 18-aug.-23 |
Oneonline | PLAY | www.oneonline.com | USA | Holding And Other Investment Offices | 18-aug.-23 |
gh2.com | LockBit | gh2.com | USA | Construction | 18-aug.-23 |
www.auda.org.au | NoEscape | www.auda.org.au | Australia | IT Services | 18-aug.-23 |
Dillon Supply | Metaencryptor | dillonsupply.com | USA | Wholesale Trade-durable Goods | 18-aug.-23 |
Epicure | Metaencryptor | www.epicure.com | Canada | Food Products | 18-aug.-23 |
Coswell | Metaencryptor | www.coswell.biz | Italy | Chemical Producers | 18-aug.-23 |
BOB Automotive Group | Metaencryptor | bob-automotive.com | Germany | Automotive Dealers | 18-aug.-23 |
Seoul Semiconductor | Metaencryptor | www.seoulsemicon.com | South Korea | Electronic, Electrical Equipment, Components | 18-aug.-23 |
Kraiburg Austria GmbH | Metaencryptor | www.kraiburg-austria.com | Austria | Rubber, Plastics Products | 18-aug.-23 |
Autohaus Ebert GmbH | Metaencryptor | www.autohaus-ebert.de | Germany | Automotive Dealers | 18-aug.-23 |
CVO Antwerpen | Metaencryptor | www.cvoantwerpen.be | Belgium | Educational Services | 18-aug.-23 |
ICON Creative Studio | Metaencryptor | www.iconcreativestudio.com | Canada | Miscellaneous Services | 18-aug.-23 |
Heilmann Gruppe | Metaencryptor | www.heilmann-ag.de | Germany | Agriculture | 18-aug.-23 |
Schwälbchen Molkerei AG | Metaencryptor | www.schwaelbchen-molkerei.de | Germany | Food Products | 18-aug.-23 |
Münchner Verlagsgruppe GmbH | Metaencryptor | m-vg.de | Germany | Publishing, printing | 18-aug.-23 |
www.contact121.com.au | NoEscape | www.contact121.com.au | Australia | Business Services | 17-aug.-23 |
umchealth.com | LockBit | umchealth.com | USA | Health Services | 17-aug.-23 |
sgl.co.th | LockBit | sgl.co.th | Japan | Transportation Services | 17-aug.-23 |
RIMSS | Akira | rimss.com | USA | IT Services | 17-aug.-23 |
Pemberton Fabricators, Inc | Akira | www.pemfab.com | USA | Fabricated Metal Products | 17-aug.-23 |
ALLIANCE | Black Basta | www.alliancesolutionsgrp.com | USA | Business Services | 17-aug.-23 |
DEUTSCHELEASING | Black Basta | www.deutsche-leasing.com | Germany | Non-depository Institutions | 17-aug.-23 |
VDVEN | Black Basta | www.venauto.nl | Netherlands | Accounting Services | 17-aug.-23 |
SYNQUESTLABS | Black Basta | www.synquestlabs.com | USA | Chemical Producers | 17-aug.-23 |
TWINTOWER | Black Basta | www.twintowerstrading.com | USA | Miscellaneous Retail | 17-aug.-23 |
The Clifton Public Schools | Akira | www.clifton.k12.nj.us | USA | Educational Services | 17-aug.-23 |
Camino Nuevo Charter Academy | Akira | www.caminonuevo.org | USA | Educational Services | 17-aug.-23 |
kriegerklatt.com | LockBit | kriegerklatt.com | USA | Construction | 17-aug.-23 |
SFJAZZ.ORG | LockBit | sfjazz.org | USA | Amusement And Recreation Services | 17-aug.-23 |
mybps.us | LockBit | mybps.us | USA | Accounting Services | 17-aug.-23 |
Smart-swgcrc.org | LockBit | smart-swgcrc.org | USA | Membership Organizations | 17-aug.-23 |
MBO-PPS.COM | CL0P | mbo-pps.com | Germany | Machinery, Computer Equipment | 17-aug.-23 |
MBOAMERICA.COM | CL0P | mboamerica.com | USA | Machinery, Computer Equipment | 17-aug.-23 |
KOMORI.COM | CL0P | komori.com | Japan | Machinery, Computer Equipment | 17-aug.-23 |
Cequint | Akira | www.cequint.com | USA | Communications | 16-aug.-23 |
Tally Energy Services | Akira | www.tallyenergy.com | USA | Oil, Gas | 16-aug.-23 |
CORDELLCORDELL | BlackCat (ALPHV) | cordellcordell.com | USA | Legal Services | 16-aug.-23 |
Optimum Health Solutions | Rhysida | www.opt.net.au | Australia | Health Services | 16-aug.-23 |
Hemmink | INC Ransom | www.hanzestrohm.nl | Netherlands | Engineering Services | 16-aug.-23 |
* *i*** | BianLian | Unknown | United Kingdom | Apparel And Accessory Stores | 16-aug.-23 |
Ramtha | Rhysida | www.ramtha.com | USA | Educational Services | 16-aug.-23 |
ToyotaLift Northeast | 8BASE | www.toyotaliftne.com | USA | Automotive Dealers | 16-aug.-23 |
www.ftria.co.jp | NoEscape | www.ftria.co.jp | Japan | Construction | 15-aug.-23 |
Recaro | BlackCat (ALPHV) | www.recaro-automotive.com | Germany | Transportation Equipment | 15-aug.-23 |
Postel SpA | Medusa | www.postel.it | Italy | IT Services | 15-aug.-23 |
ABA Research | BlackCat (ALPHV) | abaresearch.co.uk | United Kingdom | Business Services | 15-aug.-23 |
Keystone Insurance Services | 8BASE | keystoneinsurance.com | USA | Insurance Carriers | 15-aug.-23 |
ANS | 8BASE | www.ans.co.uk | United Kingdom | IT Services | 15-aug.-23 |
Aspect Structural Engineers | 8BASE | aspectengineers.com | Canada | Construction | 15-aug.-23 |
www.verdeil.ch | NoEscape | www.verdeil.ch | Switzerland | Educational Services | 15-aug.-23 |
Freeport-McMoran | BlackCat (ALPHV) | fcx.com | USA | Mining | 14-aug.-23 |
jhillburn.com | LockBit | jhillburn.com | USA | Apparel And Accessory Stores | 14-aug.-23 |
qbcqatar.com.qa | LockBit | qbcqatar.com.qa | Qatar | Construction | 14-aug.-23 |
leecorpinc.com | LockBit | leecorpinc.com | USA | Construction | 14-aug.-23 |
www.johnllowery.com | NoEscape | www.johnllowery.com | USA | Business Services | 14-aug.-23 |
www.brak.de | NoEscape | www.brak.de | Germany | Membership Organizations | 14-aug.-23 |
econsult.com | LockBit | econsult.com | USA | Legal Services | 14-aug.-23 |
Saint Xavier University | BlackCat (ALPHV) | www.sxu.edu | USA | Educational Services | 14-aug.-23 |
Agriloja.pt | Everest | agriloja.pt | Portugal | Building Materials, Hardware, Garden Supply, And Mobile Home Dealers | 14-aug.-23 |
CB Energy Australlia | Medusa | www.cb.com.au | Australia | Construction | 14-aug.-23 |
Borets | Medusa | levare.com | United Arab Emirates | Oil, Gas | 14-aug.-23 |
Slachtoffers Belgie en Nederland
Slachtoffer | Cybercriminelen | Website | Land | Sector | Publicatie datum darkweb ↑ |
---|---|---|---|---|---|
CVO Antwerpen | Metaencryptor | www.cvoantwerpen.be | Belgium | Educational Services | 18-aug.-23 |
VDVEN | Black Basta | www.venauto.nl | Netherlands | Accounting Services | 17-aug.-23 |
Hemmink | INC Ransom | www.hanzestrohm.nl | Netherlands | Engineering Services | 16-aug.-23 |
In samenwerking met StealthMol
Cyberaanvallen nieuws
Noord-Koreaanse Hackers Richten Zich Op Militaire Oefeningen VS en Zuid-Korea
Noord-Koreaanse hackers hebben naar verluidt deze week hun aandacht gericht op de gezamenlijke militaire oefeningen tussen de Verenigde Staten en Zuid-Korea, volgens verklaringen van de Zuid-Koreaanse politie. Ondanks hun inspanningen hebben de hackers volgens autoriteiten geen geheime informatie kunnen bemachtigen. De oefeningen zijn bedoeld om de reactie op nucleaire en raketdreigingen van Noord-Korea te verbeteren, maar worden bekritiseerd door het regime in Pyongyang, dat beweert dat ze een voorbereiding zijn op een invasie. De aanvallers worden vermoedelijk gelinkt aan de Noord-Koreaanse hackersgroep genaamd 'Kimsuky'. Ze hebben phishing-e-mails gebruikt om Zuid-Koreaanse defensie-aannemers aan te vallen, die betrokken zijn bij het oorlogssimulatiecentrum dat de oefeningen ondersteunt. Het gebruik van dergelijke phishing-e-mails is niet nieuw voor de Kimsuky-hackers, die erom bekend staan geadresseerden te misleiden om wachtwoorden te stelen of malware te downloaden via bijlagen en links. Eerder dit jaar probeerde dezelfde groep volgens een VN-rapport de internationale atoomwaakhond IAEA te hacken. Een gezamenlijk onderzoek van de Zuid-Koreaanse politie en het Amerikaanse leger heeft onthuld dat het gebruikte IP-adres bij deze hackpoging overeenkomt met een IP-adres dat in 2014 werd geïdentificeerd bij een hack tegen de exploitant van Zuid-Koreaanse kerncentrales. Destijds beschuldigde de regering in Seoel Noord-Korea van betrokkenheid bij die cyberaanval. Dit incident werpt opnieuw licht op de activiteiten van Noord-Koreaanse hackers en de voortdurende bezorgdheid over cyberaanvallen vanuit het land.
Hackers Gebruiken Certificaat van VPN-provider om Malware te Ondertekenen
Een geavanceerde dreigingsgroep genaamd 'Bronze Starlight,' die banden heeft met China, heeft de Zuidoost-Aziatische gokindustrie aangevallen met malware die is ondertekend met een geldig certificaat van de Ivacy VPN-provider. Het gebruik van dit certificaat stelt de hackers in staat om beveiligingsmaatregelen te omzeilen, geen verdenking te wekken met systeemwaarschuwingen en zich te vermengen met legitieme software en verkeer. Het certificaat behoort toe aan PMG PTE LTD, een Singaporese leverancier van het VPN-product 'Ivacy VPN.' Volgens SentinelLabs, die de campagne heeft geanalyseerd, zijn de cyberaanvallen die in maart 2023 werden waargenomen, waarschijnlijk een latere fase van 'Operation ChattyGoblin,' die door ESET werd geïdentificeerd in een rapport voor het vierde kwartaal van 2022 tot het eerste kwartaal van 2023. De aanvallen beginnen met het neerzetten van .NET executables op het doelsysteem en gaan verder met het ophalen van met wachtwoord beveiligde ZIP-archieven van Alibaba-buckets. Deze archieven bevatten kwetsbare softwareversies zoals Adobe Creative Cloud, Microsoft Edge en McAfee VirusScan, die vatbaar zijn voor DLL-hijacking. Het opvallende aspect van deze aanvallen is het gebruik van een certificaat dat toebehoort aan PMG PTE LTD, het bedrijf achter Ivacy VPN. Dit certificaat werd ook gebruikt om de officiële Ivacy VPN-installatieprogramma's te ondertekenen. Het is waarschijnlijk dat de sleutel voor het ondertekenen van software op een bepaald moment is gestolen, een bekende techniek van Chinese dreigingsactoren om malware te ondertekenen. Dit roept vragen op over wat de hackers nog meer hebben kunnen verkrijgen bij de VPN-provider. DigiCert heeft het certificaat in juni 2023 ingetrokken en ongeldig verklaard vanwege schending van de "Baseline Requirements" richtlijnen. Ivacy heeft nog niet gereageerd op dit incident. (bron, bron2, bron3, bron4)
LockBit Ransomware Kampt met Ernstige Opslagproblemen
In het laatste nieuws over ransomware draait alles om LockBit, met de release van het derde artikel in de Ransomware Dagboekenreeks van Jon DiMaggio. Dit artikel werpt een licht op de operationele problemen waarmee LockBit momenteel kampt. LockBit, normaal gesproken een toonaangevende speler in de ransomware "industrie," lijkt nu echter te worstelen. DiMaggio onthult dat LockBit ernstige opslaginfrastructuurproblemen heeft, die de mogelijkheid om gestolen gegevens vrij te geven en slachtoffers af te persen, beïnvloeden. Net als andere ransomware-operaties richten de dreigingsactoren zich eerst op het binnendringen van een netwerk en stelen ze geruisloos gegevens voor latere afpersingsverzoeken. Pas nadat alle waardevolle gegevens zijn gestolen en back-ups zijn verwijderd, zetten ze de ransomware in om bestanden te versleutelen. Het gestolen materiaal wordt gebruikt als hefboom bij het afpersen van slachtoffers door het op een datalekwebsite te publiceren als losgeld niet wordt betaald. Echter, LockBit heeft nu te maken met serieuze opslagproblemen die ervoor zorgen dat de gestolen gegevens niet consistent kunnen worden vrijgegeven. Dit leidt tot frustratie bij partners die de datalekwebsite willen gebruiken als onderdeel van hun afpersingsstrategie. LockBit probeert dit probleem te verdoezelen met propagandaberichten en een sterke narratief op criminele fora, maar dit lijkt niet te werken. Bovendien is LockBitSupp, de publieke vertegenwoordiger van LockBit, tijdelijk verdwenen, wat bij partners de vrees heeft gewekt dat de operatie is gecompromitteerd. Hierdoor zijn sommige partners al overgestapt naar nieuwe ransomware-operaties. Deze problemen zijn niet onopgemerkt gebleven, en analisten waarschuwen voor een scherpe daling in de activiteit van LockBit. Dit nieuws komt in een week waarin ook andere interessante ransomware-ontwikkelingen hebben plaatsgevonden, waaronder onderzoek naar nieuwe encryptiemethoden en een grootschalige aanval op managed service providers. Kortom, LockBit lijkt momenteel op dun ijs te staan in de wereld van ransomware-operaties. (bron)
Umm...did someone hit LockBit with a drone?
— Allan “Ransomware Sommelier🍷” Liska (@uuallan) August 11, 2023
Jan - Mar: LockBit accounts for 31.6% of attacks
Apr - Jun: LockBit accounts for 19.9% of attacks
July LockBit accounts for 9.1% of ransomware attacks
I've been doing this too long to count LockBit out, but the data is interesting. pic.twitter.com/IP1TEyQl4I
Ransomware treft Amerikaanse scholen bij aanvang nieuw schooljaar
Bij de start van het nieuwe schooljaar zijn meerdere Amerikaanse scholen getroffen door ransomwareaanvallen, waaronder de Cleveland City Schools. De aanvallen hebben beperkte impact gehad, waarbij minder dan vijf procent van de schoolapparaten werd aangetast. De meerderheid van de apparaten blijft operationeel, volgens een lokale woordvoerder. Hoewel de aanvallen geen toegang hebben gekregen tot studenten- of docentengegevens, wordt de impact van de ransomwareaanval nog onderzocht. Zowel de lokale politie als het Departement of Homeland Security zijn betrokken bij het onderzoek. Dit soort aanvallen op scholen vinden vaak plaats aan het begin en einde van het schooljaar, wanneer scholen geneigd zijn losgeld te betalen. Het Witte Huis heeft recentelijk samengewerkt met overheidsinstanties om scholen beter te beschermen tegen dergelijke ransomwareaanvallen. (bron)
Nieuwe Versie van BlackCat Ransomware Gebruikt Impacket en RemCom
Microsoft heeft een nieuwe versie van de BlackCat ransomware ontdekt die het Impacket netwerkframework en het RemCom hacktool integreert. Beide tools stellen de ransomware in staat om zich zijdelings te verspreiden over een gecompromitteerd netwerk. In april meldde cybersecurity-onderzoeker VX-Underground over een nieuwe versie van de BlackCat/ALPHV encryptor genaamd Sphynx. Volgens de BlackCat-operators is de code van deze versie volledig herschreven en zijn alle bestanden standaard bevroren. Het belangrijkste doel van deze update was om detectie door antivirus- en endpoint-detectie en -respons (AV/EDR) te optimaliseren. IBM Security X-Force waarschuwde dat deze encryptor is geëvolueerd naar een toolkit. Dit werd ondersteund door de aanwezigheid van Impacket-strings in het uitvoerbare bestand, wat duidt op post-exploitatie functies zoals externe uitvoering en het dumpen van geheimen uit processen. Het Threat Intelligence-team van Microsoft heeft de nieuwe Sphynx-versie geanalyseerd en ontdekt dat het de Impacket-framework gebruikt om zich zijdelings te verspreiden over gecompromitteerde netwerken. Impacket is een open-source verzameling Python-klassen voor het werken met netwerkprotocollen. Het wordt echter vaker gebruikt als een post-exploitatie toolkit door penetratietesters en dreigingsactoren om zich zijdelings over een netwerk te verspreiden, inloggegevens van processen te dumpen, NTLM relay-aanvallen uit te voeren en meer. Naast Impacket bevat de encryptor ook het RemCom hacktool, een kleine remote shell waarmee commando's op andere apparaten in een netwerk kunnen worden uitgevoerd. Microsoft heeft deze nieuwe versie geïdentificeerd als BlackCat 3.0, hoewel de ransomware-operatie het in communicatie met affiliates 'Sphynx' of 'BlackCat/ALPHV 2.0' noemt.BlackCat, ook bekend als ALPHV, begon zijn operatie in november 2021 en wordt beschouwd als een van de meest geavanceerde ransomware-operaties. Ze hebben hun werkwijze voortdurend geëvolueerd met nieuwe tactieken, waardoor het voor verdedigers moeilijker wordt om hun aanvallen te detecteren en tegen te gaan. (bron, bron2)
Microsoft has observed a new version of the BlackCat ransomware being used in recent campaigns. This version includes the open-source communication framework tool Impacket, which threat actors use to facilitate lateral movement in target environments.
— Microsoft Threat Intelligence (@MsftSecIntel) August 17, 2023
Hackers Vragen $120.000 voor Toegang tot Groot Veilinghuis
Hackers beweren het netwerk van een groot veilinghuis te hebben gehackt en bieden toegang aan voor wie bereid is $120.000 te betalen. Deze advertentie werd ontdekt door beveiligingsonderzoekers op een hackersforum dat bekend staat om zijn markt voor zogenaamde 'initial access brokers' (IABs). Onderzoekers van het bedrijf Flare analyseerden drie maanden aan aanbiedingen op het Russischtalige hackersforum Exploit. Tussen 1 mei en 27 juli adverteerden makelaars toegang tot meer dan 100 bedrijven in 18 sectoren, waaronder defensie, telecom, gezondheidszorg en financiële diensten. Aanvallen op bedrijven in de VS, Australië en het VK waren het meest voorkomend, vooral vanwege hun hoge bruto binnenlands product. De prijzen voor toegang varieerden sterk, beginnend bij $150, voornamelijk voor toegang via VPN of RDP. Echter, het duurste aanbod was $120.000 voor toegang tot het netwerk van een miljarden veilinghuis. De hackers gaven weinig details, maar beweerden exclusieve toegang te hebben tot high-end veilingen, zoals Stradivarius violen en verzamelauto's. Opvallend is dat IABs op het Exploit forum doelwitten in Rusland en de Gemenebest van Onafhankelijke Staten vermijden, maar verrassend weinig in China, ondanks dat het land de op één na hoogste BBP ter wereld heeft. Het is essentieel voor bedrijven om monitoringsmechanismen te implementeren tegen malware die informatie steelt, aangezien dit een gebruikelijke bron is van bedrijfsgegevens. Het monitoren van forums waar IABs hun aanbiedingen adverteren, kan organisaties ook helpen bij het detecteren van mogelijke compromissen. (bron)
Cyberaanval op CVO Antwerpen door Metaencryptor
Op 18 augustus 2023 heeft de cybercriminele groep Metaencryptor bekendgemaakt dat zij de website van CVO Antwerpen (www.cvoantwerpen.be) hebben aangevallen. CVO Antwerpen, een educatieve instelling in België, is het nieuwste slachtoffer van deze cybercriminaliteit. Het is essentieel voor gebruikers en medewerkers van de instelling om waakzaam te blijven en hun digitale veiligheid te versterken.
Cyberaanval op VDVEN door Black Basta
Op 17 augustus 2023 maakte de cybercriminele groep Black Basta bekend een aanval te hebben uitgevoerd op VDVEN, een Nederlands bedrijf dat actief is in de sector van accountancydiensten. De details van deze aanval werden onthuld op het darkweb. Het is van groot belang dat gebruikers van www.venauto.nl waakzaam blijven en eventuele veiligheidsmaatregelen in acht nemen.
Phishing-campagne richt zich op Zimbra e-mail servers wereldwijd
Sinds april 2023 is er een lopende phishing-campagne die probeert inloggegevens te stelen van Zimbra Collaboration e-mail servers over de hele wereld. Volgens een rapport van ESET worden phishing e-mails wereldwijd naar organisaties gestuurd zonder specifieke focus op bepaalde organisaties of sectoren. De identiteit van de dreigingsactor achter deze operatie is momenteel onbekend. De aanvallen beginnen met een phishing e-mail die zich voordoet als een bericht van een organisatiebeheerder. Deze informeert gebruikers over een aanstaande e-mail server update die tijdelijke accountdeactivatie tot gevolg zal hebben. Aan de ontvanger wordt gevraagd een bijgevoegd HTML-bestand te openen voor meer informatie over de serverupgrade en instructies om deactivatie te voorkomen. Bij het openen van de bijlage wordt een valse Zimbra inlogpagina getoond die er authentiek uitziet met het logo en merk van het doelbedrijf. Wachtwoorden die in het phishing-formulier worden ingevoerd, worden via een HTTPS POST-verzoek naar de server van de dreigingsactor gestuurd. ESET meldt dat de aanvallers in sommige gevallen gecompromitteerde beheerdersaccounts gebruiken om nieuwe mailboxen te maken die worden gebruikt om phishing e-mails naar andere leden van de organisatie te sturen. Ondanks het gebrek aan verfijning van deze campagne, is de verspreiding en het succes ervan opmerkelijk. Gebruikers van Zimbra Collaboration moeten zich bewust zijn van deze dreiging. Hackers richten zich vaak op Zimbra Collaboration e-mail servers voor cyber spionage of als startpunt voor verdere aanvallen binnen een organisatienetwerk. Eerdere aanvallen op Zimbra werden gelinkt aan Russische en andere dreigingsactoren die gebruik maakten van kwetsbaarheden in de software. ESET concludeert dat de populariteit van Zimbra Collaboration bij organisaties met lagere IT-budgetten het een aantrekkelijk doelwit maakt voor tegenstanders. (bron, bron2)
Nepmedewerkers van PayPal lichten mensen op
In een recente fraudepoging bellen nepmedewerkers van PayPal mensen op met de bewering dat er €900 van hun rekening is afgeschreven om bitcoins te kopen. Ze bieden vervolgens een belmenu aan waarmee mensen de vermeende aankoop kunnen annuleren. De Fraudehelpdesk waarschuwt echter dat dit een oplichtingstruc is. De Fraudehelpdesk heeft talrijke meldingen ontvangen over deze valse telefoontjes. Tijdens deze gesprekken, waarbij het slachtoffer eerst een opgenomen bericht hoort en vervolgens met een 'echte' medewerker spreekt, wordt men overgehaald om een programma te installeren op hun computer of telefoon. Dit zogenaamd zodat PayPal kan meekijken. In werkelijkheid geven slachtoffers hiermee oplichters toegang tot hun apparaat. Als reactie op deze fraude adviseert de Fraudehelpdesk mensen die denken slachtoffer te zijn geworden om onmiddellijk hun internetverbinding te verbreken, contact op te nemen met hun bank en de fraude te melden. Als het bij een telefoongesprek is gebleven, is het raadzaam om het nummer van de beller te blokkeren.
Duizenden Android APK's gebruiken compressietruc om analyse te dwarsbomen
Kwaadwillende actoren verspreiden in toenemende mate kwaadaardige Android APK's (app-installatiepakketten) die decompilatie weerstaan door gebruik te maken van niet-ondersteunde, onbekende of sterk aangepaste compressiealgoritmen. Het voornaamste doel van deze methode is om detectie door beveiligingstools die statische analyse gebruiken te ontwijken en het onderzoek door experts te bemoeilijken. Dit vertraagt het begrip van hoe een specifieke Android malware functioneert. Zimperium, een lid van de 'App Defense Alliance' die zich inzet voor het identificeren en elimineren van malware uit Google Play, heeft het landschap van decompilatieweerstand geanalyseerd. Uit een rapport van zLab blijkt dat 3.300 APK's deze ongebruikelijke anti-analysemethoden gebruiken. Veel van deze APK's kunnen crashen, maar er is een subset van 71 kwaadaardige APK's gevonden die zonder problemen werken op Android OS versie 9 (API 28) en latere versies. Zimperium benadrukt dat geen van deze apps op de Google Play Store staat, maar heeft hun hashes vermeld om mensen te helpen die apps van derden downloaden. Android APK's gebruiken het ZIP-formaat op twee manieren: één zonder compressie en één met het DEFLATE-algoritme. APK's die zijn verpakt met niet-ondersteunde of onbekende compressiemethoden kunnen niet worden geïnstalleerd op Android 8 en ouder, maar werken wel op Android 9 en latere versies. Bovendien ontdekte Zimperium dat kwaadaardige APK-auteurs bestandsnamen gebruiken die langer zijn dan 256 bytes om crashes in analysetools te veroorzaken, het AndroidManifest.xml-bestand te corrumperen voor verduistering, en beschadigde String Pools te gebruiken om tools te laten crashen. Het advies is om APK's buiten Google Play te vermijden. Als men toch een app buiten Google Play installeert, moet deze eerst gescand worden met een betrouwbaar mobiel AV-hulpmiddel. Het "rooten" van een Android-apparaat wordt ook afgeraden, omdat dit kwaadaardige APK's volledige toegang tot het systeem geeft. (bron)
What is the best way to bypass #Malware analysis on #Android? Checkout the local and central Zipfile header of APK 2f371969faf2dc239206e81d00c579ff and tell us what you see. We tested various tools and they all failed. https://t.co/WZoAggsnMy pic.twitter.com/cItKYyN2eq
— Joe Security (@joe4security) June 28, 2023
Triple Extortion Ransomware: De Nieuwe Dreiging in Cybercriminaliteit
Ransomware-aanvallen worden steeds geavanceerder en frequenter. In 2023 zijn er al meer aanvallen gemeld die betrekking hebben op data-exfiltratie en afpersing dan in heel 2022. Deze trend toont aan dat cybercriminelen hun methoden voortdurend aanpassen en verbeteren. Traditioneel gebruikten ransomware-groepen encryptie om bedrijfsdata en IT-infrastructuren te vergrendelen. Recentelijk hebben deze groepen hun tactieken echter geëvolueerd. Ze versleutelen niet alleen de data, maar exfiltreren deze ook, waardoor ze een dubbel afpersingsmiddel hebben. Als de eisen voor losgeld niet worden ingewilligd, dreigen ze de gestolen informatie te lekken of te verkopen. Deze strategie is zeer winstgevend gebleken, aangezien bedrijven vaak bereid zijn grote sommen te betalen om openbaarmaking van hun gevoelige gegevens te voorkomen. Bovendien hebben sommige groepen hun afpersingstechnieken uitgebreid naar wat nu bekend staat als "triple extortion". Hierbij chanteren ze individuele werknemers, vallen ze derde partijen aan die verbonden zijn met het oorspronkelijke slachtoffer, en voeren ze DDoS-aanvallen uit op websites. Deze ransomware-groepen opereren niet alleen. Ze hebben vaak een netwerk van affiliates die hen helpen bij het uitvoeren van aanvallen en het verspreiden van de ransomware. Deze samenwerking stelt hen in staat om zich te specialiseren in verschillende aspecten van de aanval, wat leidt tot een toename van het aantal aanvallen. Het bredere cybercrime-ecosysteem speelt ook een cruciale rol als enabler voor deze ransomware-groepen. Ze bieden diensten zoals bulletproof hosting, witwassen van geld, en toegang tot bedrijfsomgevingen en werknemersgegevens. Het is duidelijk dat de dreiging van ransomware blijft groeien en evolueren. Het is daarom essentieel voor organisaties om hun beveiligingsmaatregelen voortdurend bij te werken en te verbeteren. (bron, bron2, bron3, bron4, bron5)
Cybercriminelen Richten zich op Kritieke Kwetsbaarheid in Citrix ShareFile
CISA, het Amerikaanse agentschap voor cyberbeveiliging, waarschuwt voor een kritieke kwetsbaarheid in Citrix ShareFile, een veilige bestandsoverdrachtsservice. Deze kwetsbaarheid, aangeduid als CVE-2023-24489, wordt actief uitgebuit door onbekende actoren. Citrix ShareFile, ook bekend als Citrix Content Collaboration, is een cloudopslagoplossing waarmee klanten en werknemers bestanden veilig kunnen uploaden en downloaden. De dienst biedt ook een 'Storage zones controller'-oplossing waarmee bedrijven hun privégegevensopslag kunnen configureren, zowelop locatie als op ondersteunde cloudplatforms zoals Amazon S3 en Windows Azure. Op 13 juni 2023 bracht Citrix een beveiligingsadvies uit over een nieuwe kwetsbaarheid in ShareFile met een ernstscore van 9,8/10. Deze kwetsbaarheid zou niet-geauthenticeerde aanvallers in staat kunnen stellen om klantbeheerde opslagzones te compromitteren. Het cybersecuritybedrijf AssetNote heeft de kwetsbaarheid aan Citrix gemeld. Uit hun onderzoek bleek dat de fout werd veroorzaakt door enkele kleine fouten in de implementatie van AES-encryptie door ShareFile. Door deze kwetsbaarheid kon een bedreigingsactor een webshell uploaden naar een apparaat en volledige toegang krijgen tot de opslag en alle bestanden. CISA benadrukt dat dergelijke kwetsbaarheden vaak worden uitgebuit en een aanzienlijk risico vormen voor federale ondernemingen. Ransomware-operatie Clop heeft bijzondere interesse getoond in het uitbuiten van dergelijke kwetsbaarheden en heeft ze sinds 2021 gebruikt om gegevens van bedrijven te stelen. Na de technische uiteenzetting van AssetNote over de kwetsbaarheid, hebben andere onderzoekers hun eigen exploits op GitHub geplaatst. GreyNoise, een beveiligingsbedrijf, heeft een aanzienlijke toename waargenomen in pogingen om de kwetsbaarheid uit te buiten. Hoewel er nog geen bekende exploitaties of datadiefstallen zijn gelinkt aan deze fout, adviseert CISA alle organisaties om de updates zo snel mogelijk toe te passen. (bron, bron2, bron3, bron4)
Massaal Botnet van 400.000 Proxy's Gebouwd via Heimelijke Malware Infecties
Onderzoekers hebben een grootschalige campagne ontdekt waarbij proxyserver-applicaties zijn geleverd aan minstens 400.000 Windows-systemen. Deze apparaten functioneren als residentiële uitgangspunten zonder de toestemming van de gebruikers. Een bedrijf brengt kosten in rekening voor het proxyverkeer dat via deze machines loopt. Residentiële proxy's zijn waardevol voor cybercriminelen omdat ze kunnen helpen bij het uitvoeren van grootschalige aanvallen vanuit nieuwe IP-adressen. Ze hebben echter ook legitieme doeleinden zoals advertentieverificatie, datascraping en website-testen. Sommige proxybedrijven verkopen toegang tot deze residentiële proxy's en belonen gebruikers die hun bandbreedte delen. Volgens een rapport van AT&T Alien Labs is dit netwerk van 400.000 proxy's opgebouwd met behulp van kwaadaardige payloads die deproxy-applicatie hebben geleverd. Hoewel het bedrijf achter het botnet beweert dat gebruikers hun toestemming hebben gegeven, ontdekten de onderzoekers dat de proxy stilzwijgend op de apparaten werd geïnstalleerd. AT&T Alien Labs heeft bewijs gevonden dat malware-schrijvers de proxy stilletjes installeren op geïnfecteerde systemen. De infectie begint met de uitvoering van een loader verborgen in gekraakte software en games. Deze loader downloadt en installeert de proxy-applicatie automatisch op de achtergrond zonder interactie van de gebruiker. De malware maakt gebruik van Inno Setup om de installatie te verbergen. Om bescherming te bieden, raadt AT&T aan te zoeken naar een "Digital Pulse" uitvoerbaar bestand of een vergelijkbare registervermelding. Als deze aanwezig zijn, moeten ze worden verwijderd. Het wordt ook aangeraden om het downloaden van illegale software te vermijden en geen uitvoerbare bestanden uit onbetrouwbare bronnen te draaien. Signalen van een proxyware-infectie zijn onder andere verminderde prestaties, onverwachte netwerkverkeerspatronen en frequente communicatie met onbekende IP's. (bron, bron2)
Grootschalige Phishing-aanval op Amerikaans Energiebedrijf via QR-codes
Een recente phishing-campagne heeft zich voornamelijk gericht op een vooraanstaand energiebedrijf in de VS, waarbij gebruik werd gemaakt van QR-codes om kwaadaardige e-mails in inboxen te plaatsen en beveiligingsmaatregelen te omzeilen. Uit gegevens blijkt dat ongeveer een derde (29%) van de 1.000 e-mails die aan deze campagne zijn toegeschreven, gericht was op een groot Amerikaans energiebedrijf. De overige pogingen waren gericht op bedrijven in de productiesector (15%), verzekeringen (9%), technologie (7%) en financiële diensten (6%). Volgens Cofense, het bedrijf dat deze campagne ontdekte, is dit de eerste keer dat QR-codes op deze schaal worden gebruikt. Dit suggereert dat meer phishing-actoren hun effectiviteit als aanvalsmethode mogelijk testen. De aanval begint met een phishing-e-mail die beweert dat de ontvanger actie moet ondernemen om hun Microsoft 365-accountinstellingen bij te werken. Deze e-mails bevatten bijlagen in PNG of PDF met een QR-code die de ontvanger moet scannen om hun account te verifiëren. De cybercriminelen gebruiken QR-codes in afbeeldingen om e-mailbeveiligingstools te omzeilen die berichten scannen op bekende kwaadaardige links. Om beveiliging te ontwijken, gebruiken de QR-codes in deze campagne ook omleidingen via Bing, Salesforce en Cloudflare's Web3-diensten om de doelwitten naar een Microsoft 365 phishing-pagina te leiden. Ondanks hun effectiviteit in het omzeilen van beschermingsmaatregelen, vereisen QR-codes nog steeds dat het slachtoffer actie onderneemt om gecompromitteerd te raken. De meeste moderne smartphones vragen de gebruiker echter om de bestemmings-URL te verifiëren voordat de browser wordt geopend als een beschermende stap. Cofense suggereert ook dat organisaties beeldherkenningstools gebruiken als onderdeel van hun phishing-beschermingsmaatregelen. (bron)
Ransomware-aanvallen in Duitsland vaak ingeleid door phishing
De Duitse politie heeft vastgesteld dat de meeste ransomware-aanvallen die in het afgelopen jaar plaatsvonden, hun oorsprong vonden in phishingmails. Dit werd onthuld door het Bundeskriminalamt (BKA) in hun jaarlijkse rapport over cybercriminaliteit, het Bundeslagebild Cybercrime 2022. Uit het rapport blijkt dat er in totaal 137.000 gevallen van cybercriminaliteit werden geregistreerd, wat een daling van 6,5% betekent ten opzichte van het voorgaande jaar. Echter, het aantal cyberaanvallen dat vanuit het buitenland werd uitgevoerd en schade aanrichtte, steeg met 8%. Ransomware blijft de grootste bedreiging vormen voor zowel bedrijven als publieke instellingen. Gemiddeld werd er dagelijks één Duits bedrijf getroffen door een ransomware-aanval. De meest actieve ransomware in Duitsland was Lockbit, gevolgd door Phobos en Deadbolt, waarbij de laatste specifiek NAS-apparaten infecteert. Het gemiddelde losgeld dat door slachtoffers werd betaald, bedroeg 276.000 dollar. Het BKA waarschuwt dat ransomware-aanvallen een ernstige bedreiging kunnen vormen voor het voortbestaan van bedrijven. BKA-vicevoorzitter Martina Link benadrukte de urgentie van de situatie en riep op tot meer inspanningen in de strijd tegen cybercriminaliteit. Ze benadrukte het belang van preventie en het tegengaan van aanvallen op vitale infrastructuur, openbaar bestuur en supply chains. (bron)
Cyberaanval treft Clorox: Systemen offline na ongeautoriseerde activiteit
Clorox een bekende fabrikant van bleekmiddel en andere reinigingsproducten, slachtoffer is geworden van een cyberaanval. Als reactie op deze aanval heeft het bedrijf besloten meerdere van zijn systemen offline te halen. Hoewel er geen specifieke details over de aard van de aanval zijn vrijgegeven, heeft Clorox in een officiële verklaring aan de Amerikaanse beurswaakhond SEC laten weten dat er "ongeautoriseerde activiteit" op verschillende systemen is waargenomen. De exacte aard van deze activiteit is niet nader toegelicht. Om de continuïteit van de dienstverlening aan klanten te waarborgen, heeft Clorox 'workarounds' geïmplementeerd voor diverse offline bedrijfsactiviteiten. Desondanks heeft het incident een deel van de bedrijfsvoering verstoord, en het is te verwachten dat deze ontwrichting in de nabije toekomst zal voortduren. Het bedrijf heeft niet gespecificeerd welke aspecten van de bedrijfsvoering precies zijn getroffen. Ter context: Clorox rapporteerde vorig jaar een omzet van 7,1 miljard dollar. Het artikel maakt ook melding van andere gerelateerde nieuwsitems, zoals een oproep aan opensource-ontwikkelaars om te stoppen met het gebruik van Zoom en een kritisch beveiligingslek in Ivanti Avalanche. (bron, pdf)
Cyberaanval op Nederlands Bouwbedrijf
Op 16 augustus 2023 werd bekend dat het Nederlandse bouwbedrijf Hemmink, met de website hanzestrohm.nl, het slachtoffer is geworden van een cyberaanval. De verantwoordelijke cybercriminelen, bekend als INC Ransom, hebben hun daad op het darkweb gepubliceerd. Het is nog onduidelijk wat de gevolgen zijn voor het bedrijf en haar klanten.
LinkedIn Accounts Massaal Gehackt in Grootschalige Overnamecampagne
LinkedIn wordt momenteel geteisterd door een golf van account hacks, wat resulteert in veel accounts die om veiligheidsredenen worden vergrendeld of uiteindelijk worden overgenomen door aanvallers. Volgens een rapport van Cyberint klagen veel LinkedIn-gebruikers over overnames of blokkades van hun accounts en kunnen ze de problemen niet oplossen via LinkedIn-ondersteuning. Sommige gebruikers zijn zelfs onder druk gezet om losgeld te betalen om weer controle over hun account te krijgen, terwijl anderen hun accounts permanent hebben zien verwijderen. Cybercrimeinfo heeft talloze klachten op Reddit, Twitter en Microsoft-forums opgemerkt waarin wordt aangegeven dat LinkedIn-ondersteuning niet behulpzaam is geweest bij het herstellen van de gehackte accounts. Gebruikers uiten hun frustratie over het gebrek aan reactie van het bedrijf. Een van de getroffen gebruikers schreef: "Mijn account werd 6 dagen geleden gehackt. E-mail werd midden in de nacht gewijzigd en ik kon de wijziging niet bevestigen of voorkomen." De aanvallers lijken gelekte inloggegevens te gebruiken of brute-force methoden toe te passen om controle over een groot aantal LinkedIn-accounts te krijgen. Wanneer ze succesvol zijn in het overnemen van slecht beveiligde accounts, veranderen ze snel het geassocieerde e-mailadres naar een van de "rambler.ru" service. Vervolgens wijzigen ze het wachtwoord van het account, waardoor de oorspronkelijke eigenaren geen toegang meer hebben tot hun accounts. In sommige gevallen eisten de aanvallers losgeld om de accounts terug te geven aan de oorspronkelijke eigenaren of verwijderden ze de accounts zonder iets te vragen. Gezien de waarde van LinkedIn-accounts voor social engineering, phishing en jobaanbieding scams, is het essentieel voor gebruikers om hun beveiligingsmaatregelen te herzien, 2FA in te schakelen en een uniek en lang wachtwoord te gebruiken. (bron, bron2, bron3, bron4, bron5)
Raccoon Stealer Malware Keert Terug in Verfijndere Versie
De ontwikkelaars van de Raccoon Stealer malware, bekend om het stelen van informatie, hebben na een pauze van zes maanden een nieuwe versie 2.3.0 van de malware op hackerforums gepresenteerd. Raccoon, actief sinds 2019, is een van de meest bekende malwarefamilies die informatie steelt. Het werd verkocht via een abonnementsmodel voor $200 per maand aan cybercriminelen. Deze malware is in staat om gegevens te stelen van meer dan 60 applicaties, waaronder inloggegevens, creditcardinformatie, browsegeschiedenis, cookies en cryptocurrency wallet accounts. In oktober 2022 kwam het project in onzeker vaarwater toen de belangrijkste auteur, Mark Sokolovsky, in Nederland werd gearresteerd en de FBI de infrastructuur van de toenmalige malware-as-a-service ontmantelde. Nu is Raccoon terug, met nieuwe functies die zijn toegevoegd op basis van feedback van "klanten", verzoeken en cybercrimetrends. Het doel is om de malware aan de top van de informatiediefstalmarkt te houden. Volgens een rapport van Cyberint heeft Raccoon 2.3.0 verschillende verbeteringen doorgevoerd die het gebruiksgemak en de operationele veiligheid verhogen. Een nieuwe zoekfunctie stelt hackers in staat om specifieke gestolen gegevens gemakkelijk te vinden. Bovendien heeft de nieuwe versie een systeem dat verdachte activiteiten tegengaat die verband kunnen houden met beveiligingsbots. Informatiedieven vormen een grote bedreiging voor zowel particulieren als bedrijven. Om je te beschermen tegen Raccoon Stealer en andere informatiedieven, wordt aangeraden om wachtwoordmanagers te gebruiken en multi-factor authenticatie in te schakelen op alle accounts. Het is ook raadzaam om uitvoerbare bestanden van twijfelachtige websites te vermijden.
Today Raccoon Stealer announced their return.
— vx-underground (@vxunderground) August 14, 2023
The Raccoon Stealer team informed us that the individual from their team arrested in October, 2022 was responsible for infrastructure. Following his arrest they decided to rebuild the entire infrastructure from scratch. pic.twitter.com/xzqg4C0StZ
Aanvallers installeren backdoor op 1800 Citrix NetScalers
Aanvallers hebben meer dan 1800 Citrix NetScalers gecompromitteerd via een beveiligingslek, waardoor een backdoor is geïnstalleerd. Uit onderzoek van securitybedrijf Fox-IT en het Dutch Institute of Vulnerability Disclosure (DIVD) blijkt dat ongeveer 1250 van deze apparaten een beveiligingsupdate hebben ontvangen. Echter, deze apparaten waren al gecompromitteerd vóór de installatie van de patch en blijven dat ook. Het beveiligingslek, geïdentificeerd als CVE-2023-3519, bevindt zich in NetScaler ADC en NetScaler Gateway. Dit lek stelt aanvallers in staat om willekeurige code op de server uit te voeren. Hoewel Citrix op 18 juli beveiligingsupdates voor dit lek heeft uitgebracht, werd er toen al actief misbruik van gemaakt. Aanvallers installeerden een webshell via dit lek, waardoor ze toegang tot de server behielden en verdere aanvallen konden uitvoeren. Op het moment van de aanvallen waren er 31.000 Citrix NetScalers kwetsbaar. Recentelijk is ontdekt dat 1828 van deze NetScalers besmet zijn met een webshell. Van deze besmette apparaten hebben 1248 de beveiligingsupdate ontvangen. Dit kan organisaties een vals gevoel van veiligheid geven, aangezien aanvallers nog steeds toegang hebben tot de servers. Duitsland heeft het hoogste aantal getroffen NetScalers, terwijl in Nederland meer dan honderd machines zijn aangetast. Zowel Fox-IT als Mandiant hebben scanners uitgebracht waarmee organisaties kunnen controleren of hun NetScalers zijn gecompromitteerd. DIVD is begonnen met het informeren van getroffen organisaties sinds 10 augustus. (bron, bron2, bron3)
Datalek bij Britse politiekorpsen: Gevoelige informatie van meer dan 1200 personen blootgesteld
Twee Britse politiekorpsen, Norfolk en Suffolk, hebben door een fout de gevoelige persoonlijke gegevens gelekt van meer dan 1200 mensen. Deze mensen waren slachtoffers van een misdrijf, werden hiervan verdacht, of waren getuigen. De fout vond plaats tijdens het verwerken van een 'Freedom of Information Request', de Britse versie van de Nederlandse Wet open overheid (Woo). De korpsen ontvingen een verzoek om misdaadcijfers te verstrekken. Echter, door een technisch probleem werd er ook ruwe data aan de verstrekte bestanden toegevoegd. Hoewel deze data verborgen was voor iedereen die de bestanden opende, had het niet toegevoegd mogen worden. De gelekte informatie bevatte persoonlijke identificeerbare gegevens van slachtoffers, getuigen en verdachten, evenals beschrijvingen van de misdrijven. Deze misdrijven waren voornamelijk gerelateerd aan huiselijk geweld, zedendelicten, mishandelingen, diefstallen en haatdelicten. De politiekorpsen hebben aangekondigd alle betrokken individuen te informeren. Dit zal gebeuren via brieven, telefoontjes en in sommige gevallen persoonlijk. Het hele proces van informeren zou eind september voltooid moeten zijn. De Britse privacytoezichthouder, ICO, heeft een onderzoek aangekondigd naar het incident. Stephen Bonner van de ICO benadrukte dat de potentiële impact van zo'n datalek ons eraan herinnert dat databescherming over mensen gaat. (bron, bron2)
Ransomware-aanval treft 1,5 miljoen Canadese tandartspatiënten
Bij een grootschalige ransomware-aanval op de Alberta Dental Service Corporation (ADSC) zijn persoonlijke gegevens van ongeveer 1,5 miljoen Canadese tandartspatiënten buitgemaakt. De gestolen informatie omvat namen, geboortedata, adressen en details over zorgdeclaraties. ADSC, een organisatie die in opdracht van de Canadese overheid de vergoeding van tandartskosten voor burgers met een laag inkomen regelt, heeft de cybercriminelen betaald in de hoop dat de data verwijderd zou worden. Naast de gegevens van ADSC zijn ook data van Quickcard, een dochteronderneming van ADSC die ziektekostenregelingen voor werknemers aanbiedt, gecompromitteerd. Op 9 juli ontdekte ADSC dat diverse systemen waren versleuteld door de aanvallers. Gelukkig konden de meeste systemen door beschikbare back-ups met minimaal dataverlies worden hersteld. Uit verder onderzoek bleek dat de cybercriminelen van 7 mei tot 9 juli toegang hadden tot de systemen en in die periode de patiëntgegevens hebben ontvreemd voordat ze de ransomware activeerden. Het daadwerkelijke datalek werd pas op 31 juli bevestigd. Quickcard heeft in reactie hierop een FAQ over het incident online gezet. Hierin vermeldt het bedrijf dat er maatregelen zijn genomen om te verzekeren dat de gestolen data daadwerkelijk is verwijderd. Hoe de aanvallers toegang kregen tot de systemen is nog onderwerp van onderzoek. (bron, bron2, bron3)
Phishingaanval treft 40 miljoen e-mailadressen
Onderzoekers hebben 40 miljoen e-mailadressengedeeld met de datalekzoekmachine Have I Been Pwned (HIBP) die het doelwit waren van een phishingaanval. Dit is de eerste keer dat e-mailadressen, ontdekt tijdens een phishingonderzoek, met HIBP zijn gedeeld. De phishingaanval was voornamelijk gericht op Mexicaanse internetgebruikers en had als doel toegang te krijgen tot hun bankrekeningen. De getroffen personen ontvingen e-mails over een onbetaalde factuur met een bijgevoegd zip-bestand. Dit bestand bevatte een url-bestand dat vervolgens een JavaScript-bestand downloadde en uitvoerde. De uitgevoerde malware had als doel inloggegevens te stelen uit Outlook en Google Chrome. Bovendien werden sessietokens ontvreemd wanneer slachtoffers inlogden bij verschillende Mexicaanse banken. Deze tokens werden naar de cybercriminelen gestuurd, waardoor zij toegang kregen tot de bankrekeningen van de slachtoffers. Volgens het securitybedrijf Perception Point waren de aanvallers nalatig in hun operationele beveiliging. Hierdoor kon veel informatie over de phishingaanval worden achterhaald, waaronder het aantal slachtoffers en een mogelijk gestolen bedrag van 55 miljoen dollar. Een dataset met e-mailadressen van potentiële slachtoffers werd ook ontdekt. Het is onduidelijk hoe de aanvallers deze e-mailadressen hebben verkregen. Van de 40 miljoen gedeelde e-mailadressen was 37% al bekend bij HIBP door eerdere datalekken. (bron, bron2)
New spam list: "Manipulated Caiman" is a phishing operation targeting primarily Mexican citizens and attempts to gain access to bank accounts. 40M email addresses were obtained by researchers and provided to @haveibeenpwned. 37% were already pwned. More: https://t.co/OvIsZgl1R4
— Have I Been Pwned (@haveibeenpwned) August 15, 2023
Gegevens Noord-Ierse politiemedewerkers gelekt en in bezit van 'dissidente republikeinen'
De persoonlijke gegevens van alle tienduizend medewerkers van de Noord-Ierse politie onbedoeld zijn gelekt en nu in handen zijn van 'dissidente republikeinen'. Dit lek brengt de agenten in gevaar, aangezien ze nu mogelijk doelwit kunnen worden van intimidatie of zelfs aanvallen. Het datalek vond plaats door een fout tijdens het verwerken van een Freedom of Information Request, wat vergelijkbaar is met de Nederlandse Wet open overheid (Woo). Deze wet regelt het recht op informatie over alle activiteiten van de overheid. Door deze fout werd een spreadsheet met de initialen, achternamen, locaties en afdelingen van alle huidige politiemedewerkers openbaar gemaakt. Hoewel de fout snel werd ontdekt en de spreadsheet offline werd gehaald, heeft niet iedereen die het document heeft gedownload dit ook verwijderd. De Noord-Ierse politie heeft in een persbericht bevestigd dat de gelekte gegevens nu in handen zijn van 'dissidente republikeinen'. Deze groep zou de informatie kunnen gebruiken om angst en onzekerheid te verspreiden, en om politieagenten en medewerkers te intimideren of aan te vallen. Politiechef Simon Byrne gaf aan dat ze continu bezig zijn met het beoordelen van de risico's en het nemen van maatregelen om deze te verhelpen. Tot nu toe heeft geen enkele agent ontslag genomen vanwege het datalek. (bron)
Hackers Breken In bij Discord.io: Gegevens van 760.000 Gebruikers Gestolen
Discord.io, een derde partij uitnodigingsservice voor Discord, heeft bevestigd dat het slachtoffer is geworden van een datalek waarbij de gegevens van 760.000 leden zijn blootgesteld. De dienst heeft tijdelijk zijn activiteiten gestaakt na de ontdekking van het lek. Deze uitnodigingsservice is geen officiële site van Discord, maar een platform waarop servereigenaren aangepaste uitnodigingen voor hun kanalen kunnen maken. De gemeenschap rond deze dienst was voornamelijk geconcentreerd op hun eigen Discord-server, met meer dan 14.000 leden. Een persoon genaamd 'Akhirah' bood de database van Discord.io te koop aan op de nieuwe hackforums van Breached. Als bewijs van de diefstal deelde deze persoon vier gebruikersrecords uit de database. De database bevat gevoelige informatie zoals gebruikersnamen, e-mailadressen, factuuradressen en versleutelde wachtwoorden. Discord.io heeft de echtheid van het lek bevestigd en is begonnen met het tijdelijk sluiten van zijn diensten als reactie. Ze ontdekten het lek nadat ze een bericht over de verkoop op het hackforum zagen. De exacte oorzaak van het lek is nog niet bekendgemaakt. BleepingComputer, die met Akhirah sprak, meldde dat de verkoop van de database niet alleen om geld ging. Akhirah beweerde dat Discord.io verbinding maakt met illegale en schadelijke inhoud, zoals pedofilie, en dat dergelijke servers op hun platform zouden moeten worden verboden. Leden van Discord.io worden geadviseerd waakzaam te zijn voor ongebruikelijke e-mails en mogelijke phishing-pogingen. Het is ook raadzaam om de officiële website van Discord.io te controleren op updates over het incident. (bron, bron, bron2)
Hackers Getroffen door Eigen Wapens: Meer dan 100.000 Accounts Blootgesteld door Malware
Onderzoekers hebben ontdekt dat 120.000 systemen geïnfecteerd waren met malware die inloggegevens voor cybercrime-forums bevatte. Opmerkelijk is dat veel van deze computers toebehoorden aan hackers zelf. Bij het analyseren van de data ontdekten de onderzoekers dat wachtwoorden die gebruikt werden voor het inloggen op hackforums over het algemeen sterker waren dan die voor overheidswebsites. Het onderzoek, uitgevoerd door het bedrijf Hudson Rock, toonde aan dat sommige hackers hun eigen computers per ongeluk hadden geïnfecteerd, waardoor hun inloggegevens werden gestolen. Van de gecompromitteerde computers behoorden er 100.000 toe aan hackers, met in totaal meer dan 140.000 inloggegevens voor cybercrime-forums. Deze info-stealers, een type malware, richten zich specifiek op het vinden van inloggegevens op computers. Ze richten zich vaak op webbrowsers vanwege hun autofill- en wachtwoordopslagfuncties. Alon Gal, CTO van Hudson Rock, gaf aan dat hackers computers infecteren door valse software te promoten of via YouTube-tutorials die slachtoffers leiden naar geïnfecteerde software. Ironisch genoeg werden ook andere, waarschijnlijk minder ervaren, hackers slachtoffer van deze tactieken. De identificatie van de eigenaren van de gecompromitteerde computers als hackers was mogelijk door de data van de info-stealer logs, die ook de echte identiteit van het individu blootlegde. Dit omvatte aanvullende inloggegevens, autofill-data met persoonlijke informatie en systeeminformatie. Bovendien bleek uit het onderzoek dat gebruikers van het BreachForums de sterkste wachtwoorden hadden, terwijl sommige hackers zeer zwakke wachtwoorden gebruikten, mogelijk door desinteresse in de gemeenschap. Opvallend was dat de inloggegevens voor cybercrime-forums over het algemeen sterker waren dan die voor overheidswebsites. Tot slot bleek dat de meeste infecties afkomstig waren van slechts drie populaire info-stealers onder hackers: RedLine, Raccoon en Azorult. (bron, bron2)
FBI waarschuwt voor toename van cryptocurrency-herstelzwendel
De FBI heeft onlangs gewaarschuwd voor een groeiend aantal oplichters die zich voordoen als bedrijven die slachtoffers van cryptocurrency-investeringsfraude kunnen helpen hun verloren activa terug te krijgen. Uit een bulletin blijkt dat het geld dat in 2022 verloren ging aan cryptocurrency-investeringsfraude meer dan $2,5 miljard bedroeg. Dit betreft alleen de gevallen die bij de autoriteiten zijn gemeld. Veel mensen verliezen ook cryptocurrency door malware die informatie steelt of phishing-aanvallen die wallets stelen, waardoor dit aantal waarschijnlijk veel groter is. Deze situatie biedt oplichters die herstelschema's aanbieden een kans. Ze benutten de wanhoop van slachtoffers om hun fondsen te herstellen, maar bedriegen hen vervolgens opnieuw. Deze frauduleuze bedrijven beweren vaak dat ze cryptocurrency kunnen traceren en beloven verloren fondsen te kunnen herstellen. Ze benaderen slachtoffers vaak direct via sociale media of berichtenplatforms. Bovendien kunnen slachtoffers advertenties voor deze frauduleuze diensten tegenkomen in commentaarsecties van online nieuwsartikelen, zoekresultaten of op sociale media. De FBI legt uit dat deze herstelschema's erop gericht zijn individuen te misleiden om de kosten van het vermeende herstel te dragen, vaak door een vooruitbetaling of een soort storting te vragen. Nadat de betaling is gedaan, verbreken de oplichters vaak het contact met de slachtoffers of proberen ze extra fondsen te werven. Om jezelf te beschermen tegen deze frauduleuze bedrijven of individuele oplichters, adviseert de FBI om geen vertrouwen te hebben in cryptocurrency-hersteldiensten die worden gepromoot via internetadvertenties, commentaren en sociale media. Slachtoffers van deze zwendel kunnen ook civiele rechtszaken aanspannen om de verloren activa te herstellen, maar het is essentieel om alle gegevens en interacties met verdachte individuen te bewaren. (bron)
Monti Ransomware Vernieuwt Aanval op VMware ESXi Servers met Nieuwe Linux Versie
Na een pauze van twee maanden is de Monti ransomware-groep weer actief geworden. Deze keer richten ze zich voornamelijk op juridische en overheidsorganisaties en VMware ESXi servers met een nieuwe Linux variant. Deze nieuwe variant wijkt sterk af van zijn voorgangers. Onderzoekers van Trend Micro hebben de nieuwe encryptietool van Monti geanalyseerd en ontdekt dat deze "aanzienlijke afwijkingen" vertoont ten opzichte van zijn andere Linux-gebaseerde voorgangers. Waar eerdere versies van de Monti locker voor 99% gebaseerd waren op de gelekte code van de Conti ransomware, zijn de overeenkomsten in de nieuwe locker slechts 29%. Enkele opmerkelijke wijzigingen die Trend Micro heeft waargenomen zijn onder andere: - Verwijdering van bepaalde parameters en toevoeging van een nieuwe parameter om ESXi virtuele machines op een subtielere manier te beëindigen, waardoor detectie waarschijnlijk wordt vermeden. - Toevoeging van een parameter om specifieke ESXi virtuele machines op de host over te slaan. - Aanpassing van bepaalde bestanden om de losgeldnota weer te geven bij gebruikerslogin. - De nieuwe variant gebruikt de AES-256-CTR encryptiemethode, in tegenstelling tot de vorige variant die Salsa20 gebruikte. Een van de hoogtepunten in de code, volgens de onderzoekers, is het verbeterde vermogen om detectie te ontwijken, wat het moeilijker maakt om Monti ransomware-aanvallen te identificeren en te bestrijden. Ondanks hun beweringen beschouwen velen de Monti-groep als een typische ransomware-bende, die bedrijfsnetwerken schendt, gegevens steelt en losgeld vraagt. Als het slachtofferbedrijf niet betaalt, publiceren ze de naam van hun slachtoffers op hun datalek-site. (bron)
Groot datalek in Amerikaanse staat Colorado door kwetsbaarheid in MOVEit Transfer
Op 14 augustus 2023 waarschuwde de Amerikaanse staat Colorado vier miljoen van haar inwoners over een significant datalek. De privé- en gezondheidsgegevens van deze inwoners zijn gestolen door een kwetsbaarheid in de software MOVEit Transfer. De gelekte informatie omvat namen, social-securitynummers, geboortedata, adres- en contactgegevens, inkomensinformatie en uitgebreide medische gegevens zoals diagnoses, laboratoriumuitslagen en medicatiegegevens. MOVEit Transfer, een applicatie voor het uitwisselen van bestanden, wordt door diverse organisaties gebruikt om vertrouwelijke informatie te delen. Eind mei werd een zerodaylek in deze software geëxploiteerd tijdens een wereldwijde aanval. De criminelen achter de Clop-ransomware kregen hierdoor toegang tot de MOVEit-servers van honderden organisaties en maakten daarbij een grote hoeveelheid gegevens buit. De Clop-groep publiceert de namen van getroffen organisaties op hun website en dreigt de gestolen data te publiceren als er geen losgeld wordt betaald. Tijdens de aanval werd de MOVEit-server, die IBM gebruikt voor de gegevensverwerking van het Department of Health Care Policy and Financing (HCPF) van Colorado, gecompromitteerd. Hierdoor lekten de gegevens van vier miljoen inwoners. Antivirusbedrijf Emsisoft meldt dat in totaal 668 organisaties zijn getroffen door deze aanval, waarbij gegevens van 46 miljoen individuen zijn buitgemaakt. De grootste datalekken vonden plaats bij Maximus (11 miljoen), de staat Louisiana (6 miljoen) en het ministerie van Colorado (4 miljoen). Dagelijks worden nieuwe slachtoffers van deze aanval gemeld. (bron, bron2)
Malafide bèta-apps misbruikt voor financiële diefstal, waarschuwt FBI
Op 14 augustus 2023 meldde Security dat de FBI heeft gewaarschuwd voor cybercriminelen die malafide bèta-apps gebruiken om geld van slachtoffers te ontvreemden. Deze bèta-apps, die in testomgevingen worden aangeboden, ondergaan niet dezelfde controles als apps die via reguliere appstores beschikbaar zijn. Hierdoor kunnen ze gemakkelijker worden misbruikt voor frauduleuze doeleinden. De criminelen benaderen hun slachtoffers voornamelijk via dating- en andere sociale apps, waarbij ze hen verleiden om de 'bèta-app' uit te proberen. Om deze apps geloofwaardig te laten lijken, gebruiken de aanvallers namen, afbeeldingen en beschrijvingen van populaire en legitieme apps. Wanneer slachtoffers hun gegevens in deze valse apps invoeren, krijgen de criminelen de kans om geld te stelen. Een specifiek voorbeeld dat door de FBI werd aangehaald, is hoe sommige van deze malafide apps zich voordoen als crypto-investeringsplatforms. Slachtoffers worden vervolgens misleid om te 'investeren', waarbij ze in werkelijkheid geld overmaken naar de criminelen. Het misbruik van test-apps voor kwaadaardige doeleinden is niet nieuw. In het verleden werd bijvoorbeeld Apples Testflight-platform gebruikt om een schadelijke iOS-app te verspreiden. Via Testflight kunnen ontwikkelaars testversies van hun apps aanbieden, die buiten de officiële Apple App Store kunnen worden geïnstalleerd. Deze recente waarschuwing van de FBI benadrukt het belang van voorzichtigheid bij het downloaden en gebruiken van apps, vooral als deze niet via officiële kanalen worden aangeboden. (bron)
Nieuwe MaginotDNS-aanval bedreigt DNS-servers door zwakke beveiligingscontroles
Onderzoekers van UC Irvine en Tsinghua University hebben een krachtige cache poisoning-aanval ontwikkeld, genaamd 'MaginotDNS'. Deze aanval richt zich op Conditional DNS (CDNS) resolvers en kan volledige top-level domeinen (TLD's) in gevaar brengen. De kwetsbaarheid ontstaat door inconsistenties in de implementatie van beveiligingscontroles in verschillende DNS-software en servermodi. Hierdoor is ongeveer een derde van alle CDNS-servers kwetsbaar. DNS (Domain Name System) is een systeem dat domeinnamen omzet in IP-adressen. DNS cache poisoning houdt in dat vervalste antwoorden in de DNS-resolver cache worden geïnjecteerd, waardoor gebruikers naar verkeerde IP-adressen en mogelijk kwaadaardige websites worden geleid. Hoewel eerdere aanvallen, zoals de Kashpureff-aanval in 1997 en de Kaminsky-aanval in 2008, zijn tegengegaan met verdedigingsmechanismen, kan de MaginotDNS-aanval deze verdedigingen omzeilen. De onderzoekers ontdekten dat CDNS-resolvers zowel recursieve als doorsturende querymodi ondersteunen. Hoewel beveiligingscontroles in de recursieve modus adequaat worden gehandhaafd, is de doorstuurmodus kwetsbaar. Aanvallen op de doorstuurmodus kunnen leiden tot inbreuken op de recursieve modus, waardoor de DNS-cachebescherming wordt doorbroken. Prominente DNS-software, waaronder BIND9, Knot Resolver, Microsoft DNS en Technitium, vertoonde inconsistenties in hun beveiligingscontroles. In sommige gevallen werden alle records behandeld alsof ze onder het rootdomein vielen, wat een zeer kwetsbare opstelling is. De onderzoekers hebben het internet gescand en ontdekten dat van de 1.200.000 DNS-resolvers er 154.955 CDNS-servers zijn. Van deze servers bleken 54.949 kwetsbaar te zijn voor aanvallen. Hoewel softwareleveranciers de problemen hebben bevestigd en opgelost, moeten CDNS-beheerders de patches toepassen en de juiste configuratierichtlijnen volgen om de problemen volledig te verhelpen. (bron, bron2)
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 46-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 45-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language