Slachtofferanalyse en Trends van Week 10-2024

Gepubliceerd op 11 maart 2024 om 15:00

EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


In de digitale wereld waarin we leven, is cyberveiligheid niet langer een optie, maar een noodzaak. Met een recordaantal van 12.690 organisaties waarvan de gegevens op het darkweb zijn gelekt, wordt het belang van robuuste cyberbeveiligingsmaatregelen steeds duidelijker. Eén van de meest recente voorbeelden is de malware-aanval die meer dan 3.300 WordPress-sites trof door een kwetsbaarheid in de Popup Builder-plugin uit te buiten. Deze aanval injecteerde kwaadaardige code in WordPress-systemen, waardoor bezoekers ongemerkt naar phishing-pagina's werden omgeleid. Ondanks eerdere waarschuwingen en de beschikbaarheid van patches, hadden veel beheerders hun systemen nog niet bijgewerkt, wat de deur openzette voor deze aanval.

Tegelijkertijd heeft een hackergroep genaamd Magnet Goblin publieke servers aangevallen door 1-day kwetsbaarheden uit te buiten, waardoor malware op zowel Windows- als Linux-systemen werd geplaatst. Deze aanvallen benadrukken de noodzaak van snelle patchprocessen en het belang van netwerksegmentatie, endpointbescherming, en multifactorauthenticatie als verdedigingsmechanismen.

In België werd de brouwerij Duvel-Moortgat het slachtoffer van een cyberaanval, waarbij hackers meer dan een half miljoen dollar eisten om de gegijzelde gegevens niet openbaar te maken. Dit incident toont de brutaliteit van cybercriminelen en de impact van ransomware-aanvallen op bedrijven van elke grootte. Het onderstreept ook het belang van een proactieve benadering van cyberbeveiliging en het belang van backups en incidentresponsplannen.

Daarnaast heeft Microsoft opnieuw een cyberaanval op zijn systemen onthuld, waarbij inbrekers toegang kregen tot interne bronnen en gevoelige gegevens buitmaakten. Deze aanval benadrukt het voortdurende risico van geavanceerde persistent threats (APT's) en de noodzaak voor bedrijven om hun cyberbeveiligingsmaatregelen voortdurend te evalueren en te verbeteren.

Terwijl we geconfronteerd worden met deze en talloze andere cyberdreigingen, is het duidelijk dat de strijd tegen cybercriminaliteit een constante inspanning vereist van zowel individuen als organisaties. Het bijhouden van de nieuwste cyberdreigingen, het regelmatig bijwerken van systemen en software, en het implementeren van meerdere lagen van beveiliging zijn cruciale stappen om de veiligheid van onze digitale omgeving te waarborgen.

Van credential stuffing tot exploitatie van kwetsbaarheden

Voortbouwend op de noodzaak van sterke cyberveiligheidsmaatregelen, biedt het incident met PetSmart een ander perspectief op de uitdagingen waarmee bedrijven geconfronteerd worden. De grootste huisdierenretailer in de VS werd het slachtoffer van een aanhoudende credential stuffing aanval. Dit type aanval, waarbij eerder gelekte inloggegevens worden gebruikt om toegang te krijgen tot accounts op andere platforms, onderstreept de noodzaak voor individuen en bedrijven om unieke wachtwoorden te gebruiken en regelmatig hun inloggegevens te veranderen.

Een andere verontrustende ontwikkeling is de grootschalige exploitatie van een kritieke kwetsbaarheid in TeamCity On-Premises, wat leidde tot massale creatie van nieuwe gebruikersaccounts op niet-gepatchte servers. Dit incident benadrukt het risico van supply-chain aanvallen en het belang van snelle patchimplementatie om kwetsbaarheden te verhelpen voordat ze kunnen worden uitgebuit door kwaadwillenden.

De innovatieve aanval op WordPress-sites via de browsers van bezoekers om andere sites te hacken, toont een verontrustende verschuiving in de methoden van cybercriminelen. Door scripts te injecteren die de browsers van nietsvermoedende bezoekers gebruiken voor bruteforce-aanvallen, breiden hackers hun mogelijkheden uit en gebruiken ze de middelen van onschuldige derden om hun kwaadaardige activiteiten uit te voeren.

De exploitatie van bekende kwetsbaarheden door Noord-Koreaanse hackers met de ToddleShark malware is een ander voorbeeld van de voortdurende bedreigingen in de cyberwereld. Deze aanvallen, gericht op spionage en het verzamelen van inlichtingen, benadrukken de geopolitieke dimensie van cyberveiligheid en het belang van internationale samenwerking om dergelijke dreigingen aan te pakken.

Het recente incident waarbij FINTRAC, de financiële inlichtingeneenheid van Canada, offline ging na een cyberincident, onderstreept de uitdagingen waar nationale organisaties mee te maken hebben in het beschermen van kritieke infrastructuur tegen cyberaanvallen. Dit benadrukt de noodzaak voor voortdurende waakzaamheid en verbeterde cyberverdedigingsmechanismen om de integriteit van essentiële nationale functies te waarborgen.

Al deze incidenten samen vormen een dringende oproep tot actie voor zowel individuen als organisaties om hun cyberbeveiligingspraktijken te herzien en te versterken. In een wereld waar cyberdreigingen steeds geavanceerder en destructiever worden, is het van cruciaal belang dat we allemaal de verantwoordelijkheid nemen om onze digitale omgeving veilig te houden. Het implementeren van geavanceerde beveiligingsoplossingen, het onderhouden van goede cyberhygiëne, en het blijven informeren over de laatste cyberdreigingen zijn essentiële stappen om deze uitdagingen het hoofd te bieden.

Versterken van onze digitale verdediging

Ter afsluiting van ons overzicht van recente cyberdreigingen en -incidenten, is het essentieel om de onderliggende boodschap te benadrukken: cyberveiligheid is een continu proces dat aanpassing en waakzaamheid vereist. Het verhaal van de vermeende hack op Epic Games, waarbij geruchten over een grote datadiefstal uiteindelijk een oplichterij bleken te zijn, onderstreept het belang van kritisch denken en het verifiëren van informatie in het digitale tijdperk. Dit incident leert ons dat niet alle dreigingen zijn wat ze lijken, maar ook dat de potentie voor schade reëel is, zowel in termen van reputatie als financiële verliezen.

De exploitatie van ScreenConnect kwetsbaarheden door Noord-Koreaanse hackers met de ToddleShark malware herinnert ons eraan dat statelijke actoren actief blijven in het cyberdomein, gericht op zowel politieke als economische winsten. Deze geavanceerde dreigingen vereisen een gecoördineerde respons van overheden, de private sector, en individuen om effectieve verdedigingsmechanismen te ontwikkelen en te implementeren.

De aanpassing van aanvalstactieken door de hackergroep TA577, die zich nu richt op het stelen van NTLM-authenticatiehashes via phishing, illustreert de voortdurende evolutie van cyberdreigingen. Het toont de noodzaak voor organisaties om voortdurend hun beveiligingsmaatregelen te evalueren en bij te werken, met een bijzondere focus op het trainen van medewerkers om dergelijke geavanceerde phishing-aanvallen te herkennen.

De beschuldiging van $22 miljoen fraude door de ALPHV/BlackCat ransomware groep en de daaropvolgende acties van de groep werpen licht op de interne dynamiek binnen cybercriminele netwerken. Dit incident biedt waardevolle inzichten in de risico's en onzekerheden die zelfs binnen deze illegale ecosystemen bestaan, en benadrukt de potentieel destabiliserende effecten van wetshandhavingsacties en interne conflicten op cybercriminele operaties.

Het is duidelijk dat de strijd tegen cybercriminaliteit complex en multifacet is, waarbij voortdurende inspanningen vereist zijn om de veiligheid en privacy van digitale assets te waarborgen. Van het patchen van kwetsbaarheden en het afdwingen van sterke wachtwoordbeleiden tot het opvoeden van gebruikers en het ontwikkelen van geavanceerde detectie- en reactiemogelijkheden, elk aspect speelt een cruciale rol in het bouwen van een veiligere digitale wereld.

In een tijdperk waarin cyberdreigingen blijven evolueren en groeien in zowel verfijning als impact, is het van cruciaal belang dat we allemaal, of we nu deel uitmaken van een organisatie of individuele internetgebruikers zijn, ons bewust zijn van de risico's en actief werken aan het versterken van onze cyberverdediging. Door samen te werken, kunnen we een stap voor blijven op cybercriminelen en een veiliger digitale toekomst voor iedereen waarborgen.

Hieronder het gedetailleerde overzicht van week 10.



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Land Sector Publicatie darkweb ↑
www.consorzioinnova.it Mydata Italy Membership Organizations 9-mrt-24
DVT Ransomhub United Kingdom Apparel And Accessory Stores 9-mrt-24
Rekamy Ransomhub Malaysia Business Services 9-mrt-24
Go4kora Ransomhub Unknown Communications 9-mrt-24
H + G EDV Vertriebs BLACK SUIT Germany IT Services 9-mrt-24
Lindsay Municipal Hospital BianLian USA Health Services 9-mrt-24
Fincasrevuelta Everest Spain Real Estate 9-mrt-24
Group Health Cooperative BLACK SUIT USA Health Services 9-mrt-24
ACE Air Cargo Hunters International USA Transportation By Air 9-mrt-24
Watsonclinic.com D0N#T (Donut Leaks) USA Health Services 9-mrt-24
Continental Aerospace Technologies PLAY USA Aerospace 9-mrt-24
redwoodcoastrc.org LockBit USA Social Services 8-mrt-24
PowerRail Distribution BLACK SUIT USA Transportation Equipment 8-mrt-24
SIEA Ransomhub Slovakia Administration Of Environmental Quality And Housing Programs 8-mrt-24
Hozzify Ransomhub USA Miscellaneous Services 8-mrt-24
rmhfranchise.com LockBit USA Eating And Drinking Places 7-mrt-24
vdhelm Donex Netherlands Transportation Services 7-mrt-24
PFLEET Donex USA Security And Commodity Brokers, Dealers, Exchanges, And Services 7-mrt-24
Duvel-Moortgat Stormous Belgium Food Products 7-mrt-24
elsapspa Donex Italy Wholesale Trade-durable Goods 7-mrt-24
CHOCOTOPIA Donex Czech Republic Food Products 7-mrt-24
mirel Donex Belgium Business Services 7-mrt-24
en-act-architecture Qilin France Construction 7-mrt-24
New York Home Healthcare BianLian USA Health Services 7-mrt-24
Palmer Construction Co., Inc BianLian USA Construction 7-mrt-24
Merchant ID Ransomhub Unknown IT Services 7-mrt-24
SP Mundi Ransomhub Belize Security And Commodity Brokers, Dealers, Exchanges, And Services 7-mrt-24
Tocci Building Corporation Medusa USA Construction 7-mrt-24
JVCKENWOOD Medusa Japan Machinery, Computer Equipment 7-mrt-24
American Renal Associates Medusa USA Health Services 7-mrt-24
US #1364 Federal Credit Union Medusa USA Depository Institutions 7-mrt-24
MainVest PLAY USA Holding And Other Investment Offices 6-mrt-24
C?????????? A???????e T??????????? PLAY USA Unknown 6-mrt-24
www.loghmanpharma.com STORMOUS Iran Chemical Producers 6-mrt-24
www.viadirectamarketing.com STORMOUS Spain Business Services 6-mrt-24
Liquid Environmental Solutions INC Ransom USA Electric, Gas, And Sanitary Services 6-mrt-24
Infosoft Akira New Zealand IT Services 6-mrt-24
brightwires.com.sa Qilin Saudi Arabia Communications 6-mrt-24
Telecentro Akira Argentina Communications 6-mrt-24
Borah, Goldstein, Altschuler, Nahins& Goidel, P.C Akira USA Legal Services 6-mrt-24
Medical Billing Specialists Akira USA Security And Commodity Brokers, Dealers, Exchanges, And Services 6-mrt-24
Steiner (Austrian furniture makers) Akira Austria Furniture 6-mrt-24
Biomedical Research Institute MEOW LEAKS USA Research Services 6-mrt-24
KyungChang Underground South Korea Transportation Equipment 6-mrt-24
SJCME.EDU CL0P USA Educational Services 6-mrt-24
Haivision MCS Medusa USA IT Services 6-mrt-24
K???o??? PLAY USA IT Services 6-mrt-24
Enplast 8BASE Spain Rubber, Plastics Products 6-mrt-24
Kudulis Reisinger Price 8BASE USA Legal Services 6-mrt-24
Global Zone 8BASE Australia IT Services 6-mrt-24
Mediplast AB 8BASE Sweden Wholesale Trade-durable Goods 6-mrt-24
www.airbogo.com STORMOUS South Korea Miscellaneous Services 5-mrt-24
sunwave.com.cn LockBit China Communications 5-mrt-24
central.k12.or.us LockBit USA Educational Services 5-mrt-24
www.tox.chat STORMOUS Mozambique IT Services 5-mrt-24
hawita-gruppe Qilin Germany Agriculture 5-mrt-24
iemsc.com Qilin United Arab Emirates Machinery, Computer Equipment 5-mrt-24
Seven Seas Group Snatch USA Water Transportation 5-mrt-24
Future Generations Foundation MEOW LEAKS Canada Non-depository Institutions 5-mrt-24
Paul Davis Restoration Medusa USA Construction 5-mrt-24
Veeco Medusa USA Machinery, Computer Equipment 5-mrt-24
DiVal Safety Equipment, Inc. Hunters International USA Wholesale Trade-durable Goods 4-mrt-24
www.everplast.com.br STORMOUS Brazil Rubber, Plastics Products 4-mrt-24
www.dismogas.com STORMOUS Colombia Engineering Services 4-mrt-24
America Chung Nam orACN Akira USA Paper Products 4-mrt-24
Mesa Cold Storage PLAY USA Transportation Services 4-mrt-24
Laiho Group PLAY Finland Engineering Services 4-mrt-24
Williamson Foodservice PLAY United Kingdom Wholesale Trade-non-durable Goods 4-mrt-24
Canderel Management PLAY Canada Real Estate 4-mrt-24
OLA Consulting Engineers PLAY USA Machinery, Computer Equipment 4-mrt-24
SC Hydraulic Engineering PLAY USA Machinery, Computer Equipment 4-mrt-24
Unitransfer PLAY USA Passenger Transportation 4-mrt-24
SMRT PLAY USA Construction 4-mrt-24
Postworks PLAY USA Miscellaneous Services 4-mrt-24
PLS Logistics PLAY USA Wholesale Trade-durable Goods 4-mrt-24
Ridge Vineyards PLAY USA Food Products 4-mrt-24
AJO PLAY USA Security And Commodity Brokers, Dealers, Exchanges, And Services 4-mrt-24
PHIBRO GMBH PLAY USA Wholesale Trade-non-durable Goods 4-mrt-24
Modern Kitchens PLAY USA Furniture 4-mrt-24
Stoney Creek Furniture Medusa Canada Home Furniture, Furnishings, And Equipment Stores 4-mrt-24
Prompt Financial Solutions Medusa Canada Non-depository Institutions 4-mrt-24
Sophiahemmet University Medusa Sweden Educational Services 4-mrt-24
Centennial Law Group LLP Medusa Canada Legal Services 4-mrt-24
Eastern Rio Blanco Metropolitan Medusa USA Amusement And Recreation Services 4-mrt-24
Chris Argiropoulos Professional Medusa Canada Legal Services 4-mrt-24
Martin's, Inc. BianLian USA Miscellaneous Services 4-mrt-24
Skyland Grain PLAY USA Agriculture 4-mrt-24
American Nuts PLAY USA Food Products 4-mrt-24
A&A Wireless PLAY USA Communications 4-mrt-24
Powill Manufacturing & Engineering PLAY USA Aerospace 4-mrt-24
Trans+Plus Systems PLAY Canada IT Services 4-mrt-24
THAISUMMIT.US CL0P USA Transportation Equipment 4-mrt-24
THESAFIRCHOICE.COM CL0P USA Legal Services 4-mrt-24

Slachtoffers België en Nederland

Slachtoffer Cybercriminelen Land Sector Publicatie datum darkweb ↑
vdhelm Donex Netherlands Transportation Services 7-mrt-24
Duvel-Moortgat Stormous Belgium Food Products 7-mrt-24
mirel Donex Belgium Business Services 7-mrt-24
Meetmoment Aantal organisaties waar data van gelekt is op het darkweb
01-05-2019 (eerste slachtoffer) 1
01-05-2020 85
01-05-2021 2.167
01-05-2022 5.565
01-05-2023 8.292
01-05-2024 ?
NU: 11-03-2024 12.692

Aantal organisaties waarvan alle gegevens gelekt zijn op het darkweb

In samenwerking met StealthMole

Sponsor Cybercrimeinfo


Cyberaanvallen nieuws


Malware-aanval treft 3.300 WordPress-sites via Popup Builder-plugin

Hackers hebben meer dan 3.300 WordPress-websites geïnfecteerd door een kwetsbaarheid uit te buiten in verouderde versies van de Popup Builder-plugin. Deze kwetsbaarheid, bekend onder CVE-2023-6000, betreft een cross-site scripting (XSS) probleem in Popup Builder versies 4.2.3 en ouder. Ondanks een eerdere aanval, de Balada Injector-campagne, waarbij meer dan 6.700 websites werden getroffen, hebben veel sitebeheerders hun systemen nog steeds niet gepatcht. De recente toename van aanvallen in de afgelopen drie weken wijst op een nieuwe campagne die gericht is op dezelfde kwetsbaarheid. De aanvallen injecteren kwaadaardige code in de secties voor aangepaste JavaScript of CSS van WordPress, waarbij de code zich nestelt in de 'wp_postmeta' database tabel. De primaire functie van deze code is om als event handlers te dienen voor verschillende Popup Builder plugin events, met als doel bezoekers om te leiden naar kwaadaardige websites, zoals phishing-pagina's. Om verdediging tegen deze aanvallen te versterken, wordt aanbevolen de betrokken domeinen te blokkeren en de Popup Builder-plugin bij te werken naar de nieuwste versie. Verder is het essentieel om kwaadaardige code uit de aangepaste secties van Popup Builder te verwijderen en te scannen op verborgen achterdeuren om herinfectie te voorkomen. [1, 2]


Magnet Goblin: Cybercriminelen Exploiteren 1-Day Kwetsbaarheden voor Malware

Een financieel gemotiveerde hackergroep, genaamd Magnet Goblin, richt zich op publieke servers via diverse 1-day kwetsbaarheden om maatwerk malware te plaatsen op Windows- en Linux-systemen. Deze 1-day kwetsbaarheden zijn openbaar bekende lekken waarvoor al een patch beschikbaar is, waardoor hackers snel moeten handelen voordat het doelwit de beveiligingsupdates toepast. Analisten van Check Point melden dat Magnet Goblin snel nieuwe kwetsbaarheden uitbuit, soms al een dag na het verschijnen van een exploit. Doelwitten omvatten onder andere Ivanti Connect Secure, Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense en Magento. De groep gebruikt deze kwetsbaarheden om servers te infecteren met onder meer de malwarevarianten NerbianRAT en MiniNerbian, evenals een aangepaste versie van de WARPWIRE JavaScript stealer. De Linux-variant van NerbianRAT, hoewel slordig gecompliceerd, is effectief en verzamelt bij de eerste lancering systeeminformatie, genereert een bot-ID, en stelt een harde IP-adres in voor communicatie. MiniNerbian, een vereenvoudigde versie van NerbianRAT, gebruikt HTTP voor communicatie met de command-and-control server en dient mogelijk als een meer verborgen backdoor. Volgens Check Point is het uitdagend om specifieke dreigingen zoals die van Magnet Goblin te identificeren door de grote hoeveelheid data over 1-day exploitatie. Snel patchen is cruciaal om dergelijke aanvallen voor te zijn, terwijl netwerksegmentatie, endpointbescherming, en multifactorauthenticatie kunnen helpen bij het beperken van de impact van mogelijke inbreuken. [1]


🇧🇪 Hackers Eisen Ruim Half Miljoen Dollar van Brouwerij Duvel-Moortgat

Hackers hebben het netwerk van de Belgische brouwerij Duvel-Moortgat aangevallen, gegevens gegijzeld en dreigen nu deze openbaar te maken tenzij er meer dan een half miljoen dollar wordt betaald. De exacte som hangt af van onderhandelingen, aangezien de gevraagde losgeldsom hoger is dan 500.000 dollar. Deze cybercriminelen, die opereren vanuit Litouwen en Rusland, zijn onderdeel van het pro-Russische hackerscollectief Stormous Group. Ze hebben hun frustratie geuit over de weigering van de brouwerij om mee te werken en plannen nu om gestolen gegevens eerder te lekken of te verkopen dan oorspronkelijk aangekondigd, om zo extra druk op Duvel-Moortgat te zetten. Het is onduidelijk of Stormous ook achter een recente aanval op koffiebranderij Beyers Koffie zit, een bedrijf gelegen nabij de Duvel-brouwerij. De hackers weigeren commentaar te geven op mogelijke andere slachtoffers, aangezien sommige onderhandelingen nog lopende zijn en sommige slachtoffers gevraagd hebben om niet publiekelijk genoemd te worden.

Countdown Timer

Afteltimer tot deadline

Hoeveel tijd Duvel België nog heeft om te voldoen aan de eisen van de cybercriminelen van Stormous, voordat alle gestolen data online op het darkweb verschijnt.


Microsoft opnieuw doelwit van inbrekers op interne systemen

Microsoft heeft bekendgemaakt opnieuw getroffen te zijn door een cyberaanval, waarbij inbrekers toegang hebben verkregen tot interne systemen en source code repositories. De aanval is uitgevoerd door dezelfde groep die eerder zakelijke e-mailaccounts van Microsoft-compromitteerde. Deze keer gebruikten de aanvallers informatie uit gestolen zakelijke e-mails om ongeautoriseerde toegang te verkrijgen. Naast toegang tot interne bronnen, zijn er ook gevoelige gegevens ('secrets') die Microsoft met klanten uitwisselde, buitgemaakt. Microsoft heeft de getroffen klanten ingelicht en biedt ondersteuning aan bij het mitigeren van de gevolgen. De oorspronkelijke inbraak vond plaats via een techniek genaamd password spraying, waarbij algemeen gebruikte wachtwoorden worden geprobeerd op een groot aantal accounts, om detectie en blokkade te vermijden. De aanvallers, door Microsoft 'Midnight Blizzard' genoemd en vermoedelijk een vanuit Rusland opererende staatshacker bekend als Cozy Bear of APT29, hebben het aantal password spraying-aanvallen recentelijk opgevoerd, wat wijst op een voortdurende bedreiging vanuit deze groep. [1]


🇧🇪 Belgisch Bedrijf Mirel Doelwit van Cyberaanval door Donex

Op 7 maart 2024 werd het Belgische bedrijf Mirel, actief in de sector van zakelijke dienstverlening, slachtoffer van een cyberaanval. De aanval werd uitgevoerd door de cybercriminele groep Donex, die hun daad op het darkweb bekendmaakte. Deze aanval benadrukt de voortdurende dreiging waarmee bedrijven te maken hebben en onderstreept het belang van robuuste cyberbeveiligingsmaatregelen om dergelijke incidenten te voorkomen.


🇳🇱 Transportbedrijf vd Helm Doelwit van Cyberaanval

Op 7 maart 2024 werd bekend dat het Nederlandse transportbedrijf vd Helm het slachtoffer is geworden van een cyberaanval uitgevoerd door de groep Donex. De aanval, waarbij mogelijk gevoelige informatie is buitgemaakt, werd door de criminelen op het darkweb aangekondigd. Het incident benadrukt de voortdurende bedreigingen waarmee de transportsector te maken heeft en onderstreept het belang van versterkte cybersecuritymaatregelen.


Groot Datalek in Zwitserland: 65.000 Overheidsdocumenten Openbaar door Ransomware

In mei 2023 werd Xplain, een Zwitserse technologie- en softwareleverancier voor diverse overheidsafdelingen, militaire eenheden en administratieve eenheden, het slachtoffer van een ransomware-aanval door de Play ransomware-groep. Deze cybercriminelen beweerden gevoelige documenten te hebben gestolen en publiceerden begin juni de buitgemaakte data op hun darkweb-portal. Het Zwitserse Nationale Cyber Security Centre (NCSC) heeft na onderzoek bevestigd dat er 65.000 documenten van de federale overheid zijn gelekt, wat neerkomt op ongeveer 5% van de in totaal 1,3 miljoen gepubliceerde bestanden. Het leeuwendeel van de gelekte documenten betrof administratieve eenheden van het Federale Departement van Justitie en Politie, met gevoelige informatie waaronder persoonsgegevens, technische details, geclassificeerde informatie en accountwachtwoorden. Een kleinere set documenten bevatte IT-systeemdocumentatie en wachtwoorden. De Zwitserse overheid is een uitgebreid onderzoek gestart naar het lek en verwacht de resultaten en cybersecurity aanbevelingen eind deze maand te delen. Dit onderzoek is gecompliceerd door de noodzaak om een grote hoeveelheid ongestructureerde data te analyseren en de juridische complexiteit van het omgaan met vertrouwelijke informatie. [1]


Recordverlies van 12,5 miljard dollar door online criminaliteit in de VS in 2023

In 2023 rapporteerde het Internet Crime Complaint Center (IC3) van de FBI een alarmerende stijging van 22% in de financiële verliezen als gevolg van online criminaliteit in de Verenigde Staten, met een recordbedrag van 12,5 miljard dollar. Het aantal gemelde klachten steeg tot 880.000, wat 10% hoger is dan het voorgaande jaar. Ouderen boven de 60 jaar bleken het meest kwetsbaar voor deze misdrijven. Deze toename zet de zorgwekkende trend voort die sinds 2019 wordt waargenomen, waarbij zowel het aantal klachten als de financiële verliezen jaarlijks stijgen. De meest financieel schadelijke vormen van online criminaliteit waren Business Email Compromise (BEC) oplichting, investeringsfraude, ransomware en oplichting met betrekking tot technische ondersteuning of overheidspersonages. BEC-oplichting alleen al resulteerde in meer dan 2,9 miljard dollar aan verliezen. Investeringfraude, voornamelijk via cryptomunten, leidde tot bevestigde verliezen van 4,57 miljard dollar, een toename van 38% ten opzichte van het voorgaande jaar. Ransomware-aanvallen hadden voornamelijk invloed op essentiële infrastructuursectoren, met een geschat verlies van meer dan 59,6 miljoen dollar. Het IC3 benadrukt ook het succes van hun Recovery Asset Team (RAT), dat in sommige gevallen aanzienlijke bedragen van gestolen fondsen heeft weten terug te draaien of te bevriezen, waardoor het bewustzijn van en de verdediging tegen online criminaliteit verder wordt versterkt. Dit onderstreept het belang van het melden van internetgerelateerde misdrijven om niet alleen potentiële herstelacties mogelijk te maken maar ook om een nauwkeuriger beeld van deze dreigingen te schetsen. [pdf]


PetSmart getroffen door credential stuffing aanvallen

PetSmart, de grootste huisdierenretailer in de VS, waarschuwt klanten voor een aanhoudende credential stuffing aanval die probeert toegang te krijgen tot hun accounts. Deze aanvalsmethode maakt gebruik van eerder gelekte inloggegevens om op andere sites in te loggen. Als reactie heeft PetSmart de wachtwoorden van getroffen accounts gereset, omdat ze niet konden vaststellen of de inlogpogingen legitiem waren of uitgevoerd door hackers. De retailer benadrukt dat er geen aanwijzingen zijn dat petsmart.com of hun systemen gecompromitteerd zijn. Klanten van wie het wachtwoord is gereset, worden geadviseerd hun wachtwoord opnieuw in te stellen bij hun volgende bezoek aan de website. Credential stuffing aanvallen hebben in het verleden ook andere grote bedrijven getroffen, zoals PayPal en Spotify, met soms aanzienlijke financiële schade tot gevolg. [1]


❗️Grootschalige Exploitatie van TeamCity Authentieke Bypass Kwetsbaarheid

Hackers zijn begonnen met het uitbuiten van een kritieke authenticatie bypass kwetsbaarheid (CVE-2024-27198) in TeamCity On-Premises, een situatie die JetBrains dringend heeft aangepakt met een update. Deze kwetsbaarheid heeft tot massale creatie van nieuwe gebruikersaccounts op niet-gepatchte TeamCity servers geleid, waarbij honderden nieuwe gebruikersaccounts zijn aangemaakt op publiekelijk toegankelijke servers. Meer dan 1.700 TeamCity servers zijn nog steeds kwetsbaar, met een significant aantal in Duitsland, de Verenigde Staten en Rusland. Hackers hebben reeds meer dan 1.440 instances gecompromitteerd, waarbij het aantal aangemaakte gebruikers varieert van drie tot driehonderd per gecompromitteerde server. Dit risico vergroot de kans op supply-chain aanvallen aanzienlijk, gezien de gecompromitteerde servers productiemachines zijn die software bouwen en uitrollen. De kwetsbaarheid, met een ernstscore van 9.8 uit 10, maakt het mogelijk voor een externe, niet-geauthenticeerde aanvaller om controle over een kwetsbare server te verkrijgen met administratieve privileges. JetBrains heeft de kwetsbaarheid aangepakt in TeamCity versie 2023.11.4, uitgebracht op maandag, en dringt er bij gebruikers op aan om onmiddellijk te updaten om verdere exploitatie te voorkomen. 

"We zien een aanzienlijke exploitatie van TeamCity CVE-2024-27198. Er worden honderden gebruikersaccounts aangemaakt voor later gebruik via het internet. Momenteel observeren we een wijdverspreide exploitatie van JetBrains CVE-2024-27198, zoals geregistreerd door GreyNoiseIO". [1, 2]


Grootschalige Aanval: WordPress Sites Hacken via Browsers Bezoekers

Hackers hebben een grootschalige aanval op WordPress-sites uitgevoerd door scripts te injecteren die de browsers van bezoekers gebruiken om wachtwoorden van andere sites te kraken. Deze aanval werd ontdekt door het cybersecuritybedrijf Sucuri, dat een dreigingsactor volgt bekend om het injecteren van scripts die crypto wallets leeghalen. Recentelijk zijn deze actoren overgestapt van het stelen van cryptocurrency naar het kapen van browsers om bruteforce-aanvallen uit te voeren op andere WordPress-sites. Door kwaadaardige scripts te laden wanneer bezoekers een gecompromitteerde site bezoeken, worden hun browsers ongewild ingezet om in te loggen op andere accounts door wachtwoorden te raden. Deze scripts halen taken op van een server, met details voor de bruteforce-aanval, en proberen vervolgens honderden wachtwoorden. Als een correct wachtwoord wordtgevonden, wordt dit gemeld aan de server van de aanvaller. Meer dan 1.700 sites zijn reeds gehackt met deze scripts, waardoor een aanzienlijk aantal gebruikers zonder het te weten deel uitmaakt van dit distributed bruteforce leger. Deze strategiewijziging van de aanvallers lijkt gericht op het vergroten van hun portfolio voor toekomstige aanvallen, door stealthier methoden te gebruiken die minder snel opgemerkt worden. [1]


Hackers Misbruiken Identiteit van Amerikaanse Overheidsinstanties in BEC-aanvallen

Een groep hackers, bekend als TA4903 en gespecialiseerd in Business Email Compromise (BEC) aanvallen, doet zich voor als diverse Amerikaanse overheidsinstanties om slachtoffers te verleiden kwaadaardige bestanden te openen. Deze bestanden bevatten links naar nep-aanbestedingsprocessen. Volgens Proofpoint, een bedrijf in e-mailbeveiliging dat deze campagne volgt, imiteren de hackers het Amerikaanse Ministerie van Transport, het Ministerie van Landbouw (USDA), en de Small Business Administration (SBA) sinds ten minste 2019. Ze zijn met deze activiteiten geïntensiveerd vanaf medio 2023 tot 2024. De laatste waargenomen tactiek omvat het gebruik van QR-codes in PDF-bijlagen, die leiden naar phishing-sites die lijken op de officiële portals van de nagebootste Amerikaanse overheidsinstellingen. Deze activiteiten zijn financieel gemotiveerd en omvatten ongeautoriseerde toegang tot zakelijke netwerken of e-mailaccounts, het zoeken naar bankinformatie of betalingsmogelijkheden voor financiële fraude, en het uitvoeren van BEC-aanvallen door frauduleuze betalings- of factuurverzoeken te sturen. Recentelijk zijn ze overgestapt van het imiteren van overheidsinstanties naar kleine bedrijven, wat duidt op een mogelijk langdurige verandering in hun strategie. Het adopteren van een uitgebreide beveiligingsstrategie wordt gezien als de meest effectieve methode om deze dreigingen tegen te gaan. [1]


FINTRAC Offline na Cyberaanval, Canada Geconfronteerd met Uitdagingen in Cyberveiligheid

Het Financieel Transacties en Rapportages Analysecentrum van Canada (FINTRAC), de nationale financiële inlichtingeneenheid van Canada betrokken bij het onderzoek naar witwassen, is na een cyberincident offline gegaan. Dit incident, dat de corporate systemen trof, dwong de organisatie tot het offline halen van deze systemen als voorzorgsmaatregel, hoewel de inlichtingen- of geclassificeerde systemen niet zijn aangetast. Dit betekent dat de operationele capaciteiten en gevoelige informatie veilig zijn gebleven. FINTRAC werkt samen met federale partners, waaronder het Canadese Centrum voor Cyberbeveiliging, om de operaties te herstellen en verdedigingen te versterken tegen toekomstige incidenten. Dit incident onderstreept een uitdagende periode voor Canada op het gebied van cyberveiligheid, met meerdere spraakmakende slachtoffers en incidenten sinds het begin van het jaar. Naast FINTRAC werden de nationale politiedienst (RCMP), Trans-Northern Pipelines (TNPI), de Toronto Zoo, en de Memorial University of Newfoundland getroffen door cyberaanvallen, waaronder datalekken en ransomware-aanvallen. De recente aanval op FINTRAC, waarvan de daders nog onbekend zijn, voegt toe aan de reeks cyberveiligheidsuitdagingen waarmee het land wordt geconfronteerd. [1]


Nieuwe Golang Malware Richt Zich op Misconfigureerde Servers

Hackers vallen misconfigureerde servers aan die Apache Hadoop YARN, Docker, Confluence of Redis draaien, met behulp van nieuwe Golang-gebaseerde malware. Deze malware automatiseert zowel de ontdekking als de compromittering van de hosts. De campagne, ontdekt door onderzoekers van Cado Security, maakt gebruik van de zwakke configuraties van de servers en exploiteert een oude kwetsbaarheid in Atlassian Confluence voor het uitvoeren van code. De aanvallers maken gebruik van een reeks van vier Golang payloads om services te identificeren en te exploiteren, waarbij ze netwerksegmenten scannen op open poorten die overeenkomen met de betreffende services. Opmerkelijk is dat de malware ontwikkelaar de binaire bestanden niet heeft gestript, waardoor DWARF debuginformatie intact is gebleven en de bestanden eenvoudig te reverse-engineeren zijn. De campagne omvat ook het gebruik van een cryptominer, het installeren van een reverse shell, en het uitwissen van sporen van toegang. Ondanks de uitgebreide detectie van de payloads als kwaadaardig door antivirusprogramma's, blijven de specifieke Golang binaries voor serviceontdekking grotendeels onopgemerkt. Cado Security heeft een technische analyse van de ontdekte payloads en de bijbehorende indicatoren van compromis gedeeld. [1]


🇧🇪 Belgische Brouwerij Duvel Moortgat Tijdelijk Gestopt door Ransomware-aanval

De Belgische brouwerij Duvel Moortgat heeft haar productieactiviteiten moeten staken als gevolg van een ransomware-aanval. Dit incident heeft ook invloed op andere Belgische bieren van het bedrijf, zoals De Koninck en La Chouffe. De aanval werd ontdekt in de nacht en leidde ertoe dat het bedrijf uit veiligheidsoverwegingen besloot om de volledige productie op te schorten. Op het moment van de aanval waren IT-specialisten van Duvel Moortgat bezig met het oplossen van het probleem, met als doel de productie zo snel mogelijk te hervatten. Hoewel het onduidelijk is wanneer de productie precies zal worden voortgezet, geeft het bedrijf aan dat er voldoende voorraad beschikbaar is om de productiestop op te vangen, met de hoop dat de productie snel, mogelijk al binnen een dag of twee, weer op gang komt. [1, 2]

Tot nu toe heeft geen enkele ransomwaregroep de aanval op het darkweb opgeëist, maar dat kan nog veranderen.


WogRAT Malware Misbruikt Online Notitieblok Service

Een nieuwe malware genaamd 'WogRAT' richt zich op zowel Windows als Linux systemen door misbruik te maken van een online notitieblok platform genaamd 'aNotepad'. Dit platform dient als een verborgen kanaal voor het opslaan en ophalen van kwaadaardige code. Ontdekt door onderzoekers van het AhnLab Security Intelligence Center (ASEC), is WogRAT actief sinds eind 2022 en richt het zich voornamelijk op Aziatische landen zoals Japan, Singapore, China en Hong Kong. Hoewel de verspreidingsmethoden onbekend zijn, lijken de namen van de onderzochte uitvoerbare bestanden op populaire software, wat suggereert dat ze mogelijk via malvertising worden verspreid. De malware maakt slim gebruik van aNotepad om een base64-gecodeerde .NET binary van de Windows-versie van de malware te hosten, vermomd als een Adobe tool. Omdat aNotepad een legitieme dienst is, wordt het niet geblokkeerd of verdacht door beveiligingstools, wat de infectieketen onopgemerkt laat verlopen. WogRAT stuurt een basisprofiel van het geïnfecteerde systeem naar de command and control (C2) server en ontvangt commando's voor uitvoering. De Linux-versie van WogRAT vertoont veel overeenkomsten met de Windows-variant maar onderscheidt zich door het gebruik van Tiny Shell voor routeringsoperaties en extra encryptie in de communicatie met de C2. [1]


Hackers Zetten QEMU In Voor Geheime Netwerktunnels

Cybercriminelen hebben recentelijk de open-source hypervisor QEMU misbruikt voor het opzetten van geheime netwerktunnels tijdens een aanval op een groot bedrijf. QEMU, bekend als een gratis emulator en hypervisor voor het draaien van gastbesturingssystemen, werd door aanvallers gebruikt om virtuele netwerkinterfaces en een socket-netwerkapparaat te creëren. Hierdoor konden ze een netwerktunnel van het systeem van het slachtoffer naar de server van de aanvaller opzetten, zonder noemenswaardige impact op de systeemprestaties. Dit voorval onderstreept de creatieve methoden die aanvallers gebruiken om onopgemerkt te blijven. Analisten van Kaspersky ontdekten de aanval nadat zij verdachte activiteiten in de systemen van het getroffen bedrijf onderzochten. Zij merkten op dat cybercriminelen vaak netwerktunnels opzetten voor een verborgen en veilige communicatiekanaal, waarbij netwerkverkeer doorgaans wordt versleuteld om detectie door beveiligingsmaatregelen zoals firewalls en intrusion detection systems te omzeilen. In tegenstelling tot veelgebruikte tunnelingtools die door cybercriminelen worden gebruikt en daarom met argwaan worden bekeken door beveiligingstools, kozen de aanvallers in dit geval voor QEMU als een minder conventionele en daardoor minder verdachte methode om netwerktunnels te creëren. De aanvallers gebruikten daarnaast hulpmiddelen als 'Angry IP Scanner' voor netwerkscanning en 'mimikatz' voor het stelen van inloggegevens, terwijl ze een geavanceerde netwerktunnelconfiguratie met QEMU opzetten die slechts 1MB RAM aan de virtuele machine toewees. Dit hielp de detectiekansen door middel van hoge resourceconsumptie te verminderen. Kaspersky benadrukt het belang van meerlaagse beveiliging om het gebruik van legitieme hulpmiddelen voor kwaadaardige doeleinden te detecteren, inclusief continue netwerkmonitoring, wat voor veel kleine bedrijven buiten het budget kan liggen. [1]


Ontmaskering van een Verzonnen Hack op Epic Games

De Amerikaanse gameontwikkelaar Epic Games zou volgens geruchten gehackt zijn door de Russische hackersgroep Mogilevich, die claimde 189 gigabyte aan vertrouwelijke gegevens buitgemaakt te hebben. Deze bewering leidde tot een snel onderzoek van Epic Games, dat geen enkel bewijs voor de hack vond. De groep Mogilevich, die zich voordeed als een Ransomware-as-a-Service (RaaS), bleek in werkelijkheid een verzameling professionele fraudeurs te zijn. Ze gebruikten de reputatie van Epic Games om aandacht te genereren voor hun oplichtingspraktijken, waarbij ze geld afhandig maakten van zogenaamde hackers. Uiteindelijk gaf Mogilevich toe dat de hack verzonnen was om hun zwendel te promoten, waarbij ze zichzelf omschreven als 'criminele genieën' in plaats van echte hackers. Epic Games heeft het onderzoek afgesloten, bevestigend dat de hack een complete oplichterij was. Deze gebeurtenis toont aan dat berichten over spectaculaire cyberaanvallen of datalekken kritisch bekeken moeten worden, vooral als deze afkomstig zijn van onbetrouwbare bronnen. [1]


Noord-Koreaanse Hackers Exploiteren ScreenConnect Kwetsbaarheden met ToddleShark Malware

De Noord-Koreaanse hackersgroep Kimsuky, ook bekend als Thallium en Velvet Chollima, misbruikt recentelijk ontdekte kwetsbaarheden in ScreenConnect, specifiek CVE-2024-1708 en CVE-2024-1709, om een nieuwe variant van malware, genaamd ToddleShark, te verspreiden. Dit initiatief is onderdeel van hun voortdurende cyber spionage activiteiten gericht op organisaties en overheden wereldwijd. De ontdekte lekken, die authenticatie-omzeiling en externe code-uitvoering mogelijk maken, werden bekend op 20 februari 2024, waarna exploits publiekelijk beschikbaar kwamen. ToddleShark, dat zich kenmerkt door polymorfische eigenschappen, lijkt ontworpen voor langdurige spionage en het verzamelen van inlichtingen, gebruikmakend van legitieme Microsoft binaries om detectie te minimaliseren en persistente toegang te vestigen voor voortdurende datadiefstal. Het maakt ook systeemconfiguratiewijzigingen en creëert geplande taken om zijn code regelmatig uit te voeren, waarbij gedetailleerde systeeminformatie wordt verzameld en gecodeerd ter exfiltratie. ToddleShark vertegenwoordigt een nieuwe variant in de lijn van Kimsuky's malware, voortbouwend op de capaciteiten van eerdere backdoors zoals BabyShark en ReconShark, en benadrukt de geavanceerde tactieken en technieken van de groep in hun cyberoorlogvoering. [1]


Hackergroep TA577 richt zich op NTLM-hashdiefstal via phishing

De hackergroep TA577 heeft onlangs zijn aanvalstactieken aangepast door phishing-e-mails te gebruiken om NT LAN Manager (NTLM) authenticatiehashes te stelen, wat kan leiden tot het kapen van accounts. Deze groep, bekend als een broker voor initiële toegang, was voorheen geassocieerd met Qbot en betrokken bij Black Basta ransomware-infecties. Volgens het e-mailbeveiligingsbedrijf Proofpoint heeft TA577 voorkeur getoond voor het inzetten van Pikabot, maar twee recente aanvalsgolven, gestart op 26 en 27 februari 2024, gebruikten een andere tactiek. Deze campagnes verspreidden duizenden berichten naar honderden organisaties wereldwijd, met als doel NTLM-hashes van werknemers te targeten. NTLM-hashes, essentieel voor authenticatie en sessiebeveiliging in Windows, kunnen offline worden gekraakt of gebruikt in "pass-the-hash" aanvallen zonder de hashte kraken, om zo toegang te krijgen tot servers of diensten. Afhankelijk van de beveiligingsmaatregelen kunnen gestolen hashes aanvallers in staat stellen hun privileges te escaleren, accounts te kapen, gevoelige informatie te benaderen, beveiligingsproducten te ontwijken en zich lateraal binnen een gecompromitteerd netwerk te verplaatsen. Phishing-e-mails, die lijken op reacties in bestaande discussies, bevatten ZIP-archieven met HTML-bestanden die automatisch verbinden met externe SMB-servers om zo NTLM-hashes te stelen. Proofpoint benadrukt dat deze aanvalsmethode geen malware payloads aflevert, maar primair gericht is op het vastleggen van NTLM-hashes. Als bescherming adviseren ze onder andere het blokkeren van uitgaande SMB-verbindingen en het filteren van e-mails met zipped HTML-bestanden. [1]


ALPHV/BlackCat Ransomware Groep Schakelt Servers Uit Na Beschuldiging van $22 Miljoen Fraude

De ALPHV/BlackCat ransomware groep, bekend om hun aanvallen op diverse doelwitten, heeft onlangs hun servers uitgeschakeld te midden van beschuldigingen dat zij een affiliate hebben opgelicht. Deze affiliate was verantwoordelijk voor een aanval op Optum, een beheerder van het Change Healthcare platform, en beweert dat de groep hem $22 miljoen aan losgeld heeft ontstolen. Het losgeld werd vermeend betaald door Optum om gestolen gegevens te verwijderen en een decryptor te ontvangen. Deze actie leidt tot speculaties over een mogelijke exit scam of een poging tot hermerking onder een nieuwe naam door de groep. De situatie heeft verdere complicaties, aangezien een vermeende affiliate onder de gebruikersnaam "notchy" beweert nog steeds over 4TB aan cruciale data van Optum te beschikken, die een significante impact zou kunnen hebben op klanten van zowel Change Healthcare als Optum. Deze gebeurtenissen wijzen mogelijk op een aanstaande exit scam waarbij de ransomware-groep het losgeld van hun affiliates steelt en hun operaties beëindigt. De activiteiten van BlackCat, voorheen bekend als DarkSide en later als BlackMatter, zijn eerder door autoriteiten onder druk gezet, wat heeft geleid tot tijdelijke onderbrekingen van hun operaties. Na recente verstoringen door wetshandhavingsacties is het onduidelijk welke richting de groep nu zal inslaan, maar een herbranding lijkt aanstaande. [1, 2]

Lees ook: 👉 BlackCat Ransomware Groep Voert Exit Scam Uit en Geeft de FBI de Schuld

Vertaling

We zijn affiliate plus die al heel lang met ALPHV werkt en op 1 maart 2024 veranderde de gezondheidszorg van het slachtoffer - OPTU M betaalde ALPHV 22M als losgeld om gegevenslekken en decoderingssleutel te voorkomen.

Maar na ontvangst van de betaling besluit het ALPHV-team onze rekening op te schorten en te blijven liegen en uitstellen toen we contact opnamen met ALP HV admin op TOX.

Hij bleef maar zeggen dat ze wachten op de hoofdbeheerder en de codeur tot vandaag hebben ze de portemonnee geleegd en al het geld meegenomen. helaas voor het doel Change Healthcare - OPTUM hun gegevens nog steeds bij ons met 4 TB van de kritieke gegevens dezelfde gegevens die ze zich zorgen maakten als het gelekt werd

Productiegegevens die van invloed zullen zijn op alle change healthcare & OPTUM-klanten.

De lijst met getroffen Change Health-partners waarvoor we gevoelige gegevens hebben, is eigenlijk enorm met namen als:

- Medicare

- Tricare

- CVS-CareMark

- Loomis

- Davis Visie

- Gezondheidsnet

- MetLife

- Teachers Health Trust

- Tientallen verzekeringsmaatschappijen en anderen

EN meer!

BEWIJS van ALPHV-zwendel: link naar het betaaladres:

<https://mempool.space/address/14Q5xgBHAkWDVrnHautcm4PPGmy5cfw6b>

Wees voorzichtig iedereen en stop met omgaan met ALPHV

Post 1 van 13 door notchy op 3 mrt 2024, 20:43


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Meer weekoverzichten