Slachtofferanalyse en Trends van Week 12-2024

Gepubliceerd op 25 maart 2024 om 15:00

EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


De digitale wereld staat nooit stil, en dat geldt ook voor de schaduwkanten ervan. Cybercriminelen zetten steeds geavanceerdere middelen in om informatie te stelen, systemen te infiltreren, en chaos te veroorzaken. Vanuit dit oogpunt is het cruciaal dat we op de hoogte blijven van de laatste dreigingen en trends op het gebied van cybersecurity. Een recent overzicht van slachtofferanalyses en trends voor week 12 van 2024 biedt ons inzicht in de actuele cyberdreigingen die individuen, organisaties en zelfs landen raken.

De opkomst van nieuwe cyberdreigingen

Een van de meest verontrustende ontwikkelingen is de opkomst van StrelaStealer malware, een programma dat zich richt op het stelen van e-mailaccountgegevens. Deze malware heeft in korte tijd een significante impact gehad, met honderden organisaties in de Verenigde Staten en Europa als slachtoffer. Oorspronkelijk gericht op Spaanstalige gebruikers, heeft StrelaStealer zijn activiteiten uitgebreid en een breed scala aan sectoren getroffen, waaronder high-tech, financiën, en energie. De verspreiding via geraffineerde phishingcampagnes onderstreept het belang van waakzaamheid tegenover ongevraagde e-mails en verdachte bijlagen.

Tegelijkertijd hebben we gezien dat grote bedrijven zoals Air Europa en Vans het slachtoffer zijn geworden van datalekken, waarbij persoonlijke gegevens van klanten op straat zijn komen te liggen. Dit benadrukt het voortdurende risico van cyberaanvallen en het belang van sterke beveiligingsmaatregelen om gevoelige informatie te beschermen. Ook is er een kritiek beveiligingslek in FortiClient EMS blootgelegd, wat aantoont dat zelfs de meest vertrouwde beveiligingsoplossingen kwetsbaar kunnen zijn voor exploitatie.

Daarnaast heeft een grootschalige malware-aanval, genaamd Sign1, meer dan 39.000 WordPress-sites geïnfecteerd, waardoor bezoekers last hebben van omleidingen en pop-upadvertenties. Dit toont de noodzaak aan voor website-eigenaren om hun sites actief te monitoren en regelmatig updates uit te voeren om dergelijke infecties te voorkomen.

De cyberaanval op de zorgwinkelketen Goed in België en de verhoogde cyberdreiging op Amerikaanse waterinfrastructuur zijn verdere voorbeelden van hoe cybercriminaliteit diep kan ingrijpen in onze maatschappij en essentiële diensten kan bedreigen. Deze incidenten roepen op tot een versterkte samenwerking en gecoördineerde inspanningen om de beveiliging van kritieke infrastructuur te verbeteren en de veerkracht tegen cyberaanvallen te verhogen.

Terwijl we deze dreigingen het hoofd bieden, is het duidelijk dat de strijd tegen cybercriminaliteit een voortdurende inspanning vereist van zowel individuen als organisaties. Kennis en bewustwording zijn onze eerste verdedigingslinie, en het is van essentieel belang dat we blijven leren en ons aanpassen om een stap voor te blijven op de cybercriminelen die onze digitale wereld bedreigen.

Verdedigen tegen geavanceerde aanvallen

In de schaduw van deze alarmerende ontwikkelingen, hebben we ook te maken met geavanceerde en doelgerichte aanvallen die het cyberlandschap verder compliceren. Een daarvan is de actieve exploitatie van een kritieke kwetsbaarheid in FortiClient Enterprise Management Server (EMS) door cybercriminelen, waarmee ze op afstand code en commando's kunnen uitvoeren. Dit legt de kwetsbaarheden bloot binnen systemen die juist bedoeld zijn om onze digitale omgevingen te beschermen. Het benadrukt de noodzaak voor organisaties om hun systemen continu te monitoren en tijdig te patchen om dergelijke bedreigingen het hoofd te bieden.

Parallel hieraan heeft de onthulling van een grootschalige malwarecampagne, Sign1, die meer dan 39.000 WordPress-sites heeft geïnfecteerd, het belang van webbeveiliging op de voorgrond geplaatst. De verfijnde aanval, die geruisloos pop-upadvertenties en ongewenste omleidingen op getroffen sites introduceert, laat zien hoe aanvallers voortdurend nieuwe manieren zoeken om beveiligingsmaatregelen te omzeilen. Voor website-eigenaren is dit een oproep tot actie om hun beveiligingsprotocollen te herzien en te versterken, inclusief regelmatige updates en het gebruik van sterke, unieke wachtwoorden.

De incidenten bij Fujitsu en Vans tonen aan hoe breed en diepgaand de impact van cyberaanvallen kan zijn, van het compromitteren van klantgegevens tot het ondermijnen van het vertrouwen in wereldbekende merken. Deze datalekken onderstrepen het cruciale belang van een robuust beveiligingsbeleid en de noodzaak voor continue vigilante tegen potentieel verwoestende cyberdreigingen.

Interessant is ook de benadering van cyberveiligheid in de gamingindustrie, zoals geïllustreerd door de aanpak van Respawn Entertainment na een hack tijdens een Apex Legends toernooi. Dit incident werpt licht op de unieke uitdagingen waarmee de gamingsector wordt geconfronteerd en benadrukt de noodzaak voor ontwikkelaars om proactieve beveiligingsmaatregelen te implementeren om zowel hun spellen als hun spelers te beschermen.

Naast deze specifieke incidenten worden we ook geconfronteerd met breder gerichte aanvallen, zoals de 'Loop DoS'-aanval die potentieel 300.000 online systemen bedreigt. Dit benadrukt de constante evolutie van cyberdreigingen en de noodzaak voor een gelaagde beveiligingsstrategie die niet alleen reageert op bekende bedreigingen, maar ook voorbereid is op nieuwe aanvalstactieken.

De verscheidenheid en complexiteit van deze incidenten tonen aan dat cybercriminaliteit een veelzijdige vijand is, die zowel op individueel als collectief niveau aangepakt moet worden. Het vereist een gecombineerde inspanning van cybersecurity professionals, overheden, en de bredere gemeenschap om weerbaarheid te bouwen tegen de cyberdreigingen die onze digitale en fysieke werelden infiltreren.

Een collectieve aanpak van cyberveiligheid

Te midden van deze digitale turbulentie is er een zilveren randje te vinden in de vorm van groeiend bewustzijn en verbeterde verdedigingsmechanismen. Cyberveiligheid is niet langer een bijzaak, maar een centraal onderdeel van operationele strategieën in bedrijven en overheidsinstellingen wereldwijd. De recente aanvallen benadrukken het belang van proactieve beveiligingsmaatregelen en de noodzaak voor een cultuur van cyberbewustzijn op elk niveau van de organisatie.

Een van de sleutelfactoren in het verdedigen tegen cyberdreigingen is de implementatie van robuuste cybersecuritypraktijken, waaronder regelmatige software-updates, het gebruik van multifactorauthenticatie (MFA), en training in het herkennen van phishing-pogingen. Deze basismaatregelen kunnen de risico's van de meest voorkomende aanvalsmethoden aanzienlijk verminderen.

Daarnaast is het van cruciaal belang dat organisaties een incidentresponsplan ontwikkelen en testen, zodat ze snel en effectief kunnen reageren op beveiligingsincidenten. Dit omvat het regelmatig maken van back-ups van essentiële gegevens, het hebben van een duidelijk communicatieplan voor stakeholders en het samenwerken met externe experts om de beveiligingshouding te versterken.

Het belang van samenwerking in de strijd tegen cybercriminaliteit kan niet worden onderschat. Informatiedeling tussen organisaties, overheidsinstellingen en cybersecuritybedrijven speelt een cruciale rol in het ontdekken en mitigeren van bedreigingen. Door het delen van inlichtingen over nieuwe malwarevarianten, aanvalstechnieken en kwetsbaarheden, kunnen we collectief een sterkere verdediging opbouwen tegen cybercriminelen.

Ook de rol van overheden in het bevorderen van nationale en internationale samenwerking is essentieel. Door beleid en regelgeving kunnen overheden een kader scheppen voor cyberveiligheid en organisaties aansporen om hun beveiligingspraktijken te verbeteren. Initiatieven zoals het oprichten van cybersecuritytaskforces en het aanbieden van resources en trainingen kunnen bijdragen aan een beter beveiligde digitale omgeving.

Tot slot is het belangrijk te erkennen dat cyberveiligheid een continu proces is dat aanpassing en innovatie vereist. Cybercriminelen evolueren voortdurend hun technieken, waardoor het noodzakelijk is dat onze verdedigingsstrategieën mee evolueren. Door te investeren in geavanceerde beveiligingstechnologieën, zoals kunstmatige intelligentie en machine learning voor dreigingsdetectie en -respons, kunnen we de effectiviteit van onze cyberverdediging verbeteren.

De strijd tegen cybercriminaliteit is een gedeelde verantwoordelijkheid die vereist dat we allemaal alert blijven, voortdurend leren en samenwerken om onze digitale wereld veilig te houden. Door samen te werken en onze kennis en middelen te bundelen, kunnen we hopen een stap voor te blijven op de cyberdreigingen die onze samenleving en economie bedreigen.



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Land Sector Publicatie darkweb ↑
Power Generation Engineering and Services Company (PGESCo) Ransomhub Egypt Engineering Services 22-mrt-24
kelson.on.ca Cactus Canada Construction 22-mrt-24
newagesys.com Cactus USA Business Services 22-mrt-24
Henry County, Illinois Medusa USA Justice, Public Order, And Safety 22-mrt-24
Vhs-vaterstetten.de Cloak Germany Educational Services 22-mrt-24
Gascontec.com Cloak Germany Oil, Gas 22-mrt-24
Equatorial Energia Cloak Brazil Electric, Gas, And Sanitary Services 22-mrt-24
politiaromana.ro Kill Security Romania Justice, Public Order, And Safety 21-mrt-24
rabitbd.com Kill Security Bangladesh Security And Commodity Brokers, Dealers, Exchanges, And Services 21-mrt-24
pbgbank.com Kill Security India Depository Institutions 21-mrt-24
excellifecoaching.com Kill Security USA Miscellaneous Retail 21-mrt-24
keralapolice.gov.in Kill Security India Justice, Public Order, And Safety 21-mrt-24
Industrial de Alimentos EYL SA Ransomhub Honduras Food Products 21-mrt-24
tmbs.ch LockBit Switzerland Transportation Services 21-mrt-24
northerncasket.com LockBit Canada Miscellaneous Manufacturing Industries 21-mrt-24
pathologie-bochum.de LockBit Germany Research Services 21-mrt-24
La Pastina Ransomhub Brazil Food Stores 21-mrt-24
Accipiter Capital Management, LLC Medusa USA Security And Commodity Brokers, Dealers, Exchanges, And Services 21-mrt-24
Urban Strategies Medusa USA Social Services 21-mrt-24
Suburban Surgical Care Specialists Medusa USA Health Services 21-mrt-24
Kolbe Striping Rhysida USA Construction 20-mrt-24
Springfield Sign 8BASE USA Miscellaneous Manufacturing Industries 20-mrt-24
Γ–STENSSONS LIVS AB 8BASE Sweden Food Stores 20-mrt-24
Filexis AG Treuhand und Immobilien 8BASE Switzerland Real Estate 20-mrt-24
South Star Electronics Trigona China Electronic, Electrical Equipment, Components 20-mrt-24
Sting AD Hunters International Bulgaria Wholesale Trade-non-durable Goods 19-mrt-24
Hallesche Kraftverkehrs & Speditions GmbH Hunters International Germany Transportation Services 19-mrt-24
Panzeri Cattaneo Hunters International Italy Legal Services 19-mrt-24
Therapeutic Health Services Hunters International USA Health Services 19-mrt-24
Jasper-Dubois County Public Library DragonForce USA Educational Services 19-mrt-24
Retirement Line Snatch United Kingdom Security And Commodity Brokers, Dealers, Exchanges, And Services 19-mrt-24
****************** Cloak Unknown Unknown 19-mrt-24
AGL Hunters International China Unknown 18-mrt-24
HSI Hunters International Spain IT Services 18-mrt-24
Sun Holdings Hunters International USA Holding And Other Investment Offices 18-mrt-24
grupatopex.com Cactus Poland Machinery, Computer Equipment 18-mrt-24
eclinicalsol.com Cactus USA IT Services 18-mrt-24
Butler, Lavanceau & Sober Snatch USA Accounting Services 18-mrt-24
HUDSONBUSSALES.COM CL0P USA Automotive Dealers 18-mrt-24
Desco Steel Medusa USA Construction 18-mrt-24
Metzger Veterinary Services Medusa Canada Miscellaneous Services 18-mrt-24
AutoritΓ  di Sistema Portuale del Mar Tirreno Settentrionale It Medusa Italy Water Transportation 18-mrt-24
Elior UK Medusa United Kingdom Eating And Drinking Places 18-mrt-24
Romark Laboratories Medusa USA Chemical Producers 18-mrt-24
RSHP 8BASE United Kingdom Construction 18-mrt-24
crinetics.com LockBit USA Research Services 18-mrt-24

Slachtoffers België en Nederland

Slachtoffer Cybercriminelen Land Sector Publicatie datum darkweb ↑
Meetmoment Aantal organisaties waar data van gelekt is op het darkweb
01-05-2019 (eerste slachtoffer) 1
01-05-2020 85
01-05-2021 2.167
01-05-2022 5.565
01-05-2023 8.292
01-05-2024 ?
NU: 25-03-2024 12.841

Cybercrimeinfo update: We blijven tot 31 maart 2024 de overzichten van cybercriminaliteitsslachtoffers wiens gegevens zijn gelekt op het darkweb publiceren. Na deze datum moeten we, door financiële beperkingen, helaas stoppen met deze updates. Lees verder

Werkelijk | aantal organisaties waarvan alle gegevens gelekt zijn op het darkweb

Prognose | volgens statista.com

In samenwerking met StealthMole

Sponsor Cybercrimeinfo


Cyberaanvallen nieuws


Grootschalige Aanval met StrelaStealer Malware Treft Honderden Organisaties in VS en EU

In een recente grootschalige cyberaanval zijn meer dan honderd organisaties in de Verenigde Staten en Europa het doelwit geworden van StrelaStealer malware, een geavanceerd programma gericht op het stelen van e-mailaccountgegevens. Voor het eerst waargenomen in november 2022, was StrelaStealer oorspronkelijk voornamelijk actief onder Spaanstalige gebruikers, maar heeft nu zijn bereik uitgebreid naar de VS en Europa, volgens een rapport van Palo Alto Networks' Unit42. De malware wordt verspreid via phishingcampagnes, die een opmerkelijke toename zagen vanaf november 2023, met pieken waarbij soms meer dan 250 organisaties per dag werden getarget. Deze campagnes hebben zich voortgezet in 2024, met een significante activiteit tussen eind januari en begin februari. De methoden van infectie door StrelaStealer zijn geëvolueerd; de malware maakt nu gebruik van ZIP-bijlagen om JScript-bestanden op systemen van slachtoffers te plaatsen, wat leidt tot de installatie van de malware via een complexe keten van bestanden. Ondanks nieuwe obfuscatietechnieken en het verwijderen van detecteerbare strings, blijft het primaire doel van de malware het stelen van inloggegevens van populaire e-mailclients. Organisaties, vooral in de high-tech sector, financiën, juridische diensten, productie, overheid, nutsbedrijven, energie, verzekeringen en bouw, worden aangeraden extra waakzaam te zijn voor ongevraagde e-mails die betalingen of facturen betreffen, en bijlagen van onbekende afzenders te vermijden. [unit42]


Persoonsgegevens Lek bij Air Europa

Air Europa heeft onthuld dat de persoonsgegevens van klanten zijn gelekt door een beveiligingsincident dat in oktober is ontdekt. De Spaanse luchtvaartmaatschappij informeerde haar klanten via e-mail over de blootstelling van namen, geboortedata, nationaliteiten, ID-kaarten of paspoortinformatie en telefoonnummers. Ondanks de ernst van het lek, heeft Air Europa aangegeven dat er tot nu toe geen bewijs is van frauduleus gebruik van de gelekte gegevens. Ze verzekerden dat eventuele ongemakken door misbruik van de data beperkt zouden blijven. Dit lek komt op een moment dat International Consolidated Airlines Group, die al een aandeel van 20% in Air Europa bezit, goedkeuring zoekt van de regelgevende instanties om de resterende 80% over te nemen voor 400 miljoen euro. Naar aanleiding van een eerdere versie van het artikel is een correctie gemaakt waarin ten onrechte werd vermeld dat de waarschuwing aan klanten van Air Europa afkomstig was van International Consolidated Airlines Group. [wsj]


❗️ Kritiek Beveiligingslek in FortiClient EMS Actief Misbruikt

Fortinet heeft gewaarschuwd voor actief misbruik van een kritieke kwetsbaarheid in hun FortiClient Enterprise Management Server (EMS). Dit beveiligingslek, bekend als CVE-2023-48788, stelt een ongeauthenticeerde aanvaller in staat om op afstand code en commando's uit te voeren. Ondanks dat de eerste waarschuwing reeds op 22 februari gegeven werd, volgde de officiële publicatie op 12 maart, waarin de beschikbaarheid van beveiligingsupdates werd aangekondigd. De kwetsbaarheid, een SQL Injection, ontvangt een 9.3 op een schaal van 1 tot 10 wat betreft ernst. Naast het management van FortiClient-software op afstand, waarbij zaken als antivirus, webfilters, en VPN beheerd kunnen worden, brengt dit lek aanzienlijke risico's met zich mee voor organisaties. Recent heeft een securitybedrijf de details van de kwetsbaarheid en een proof-of-concept exploitgepubliceerd. Fortinet heeft bevestigd dat er misbruik wordt gemaakt van het lek en heeft stilletjes een update aan hun bulletin toegevoegd. De Australische overheid heeft organisaties opgeroepen om onmiddellijk de patches te installeren en systemen op compromittering te controleren. [horizon3, cyber.gov]


Uitgebreide Sign1 Malware-aanval Treft 39.000 WordPress Sites

Een onbekende malwarecampagne, Sign1 genaamd, heeft de afgelopen zes maanden meer dan 39.000 WordPress-sites geïnfecteerd, waardoor bezoekers ongewenste omleidingen en pop-upadvertenties te zien kregen. De malware werd geïnjecteerd via aangepaste HTML-widgets en legitieme plugins, zonder de eigenlijke WordPress-bestanden te wijzigen. Sucuri, een websitebeveiligingsbedrijf, ontdekte de campagne nadat pop-upadvertenties willekeurig op een klantwebsite verschenen. De malware gebruikt tijdgebaseerde willekeurigheid voor het genereren van dynamische URL's die elke 10 minuten veranderen, waardoor blokkades worden ontweken. Het richt zich op bezoekers van grote sites zoals Google en Facebook en blijft in andere gevallen inactief. Sucuri waarschuwt dat de malware zich de afgelopen maanden heeft ontwikkeld en stealthier is geworden, een zorgwekkende ontwikkeling. Ze adviseren sterke beheerderswachtwoorden en het updaten van plugins als beschermingsmaatregelen. [sucuri, wordpress]


Groot Datalek bij Fujitsu door Onbeveiligde Publieke Bucket

Fujitsu, een bekende naam in de IT-wereld, heeft een aanzienlijke hoeveelheid gevoelige informatie gelekt via een onbeveiligde Microsoft Azure-bucket. Deze data omvatte duizenden e-mails, wachtwoorden geëxporteerd vanuit LastPass, AWS-keys en gedetailleerde klantgegevens. Dit lek werd ontdekt door beveiligingsonderzoeker Jelle Ursem van het Dutch Institute for Vulnerability Disclosure. De publieke bucket, die zonder beveiliging toegankelijk was, bevatte onder meer een complete mailboxbackup met uitgebreide informatie over klanten en interne activiteiten, alsook een CSV-bestand vol met LastPass wachtwoorden en diverse Microsoft OneNote-bestanden. Opmerkelijk is dat deze bucket bijna een jaar lang publiekelijk toegankelijk was voordat deze begin 2023 offline werd gehaald, nadat Ursem contact had opgenomen met Fujitsu. Dit incident benadrukt een zorgwekkend gebrek aan bewustzijn en training bij het omgaan met gevoelige data, iets wat volgens Ursem verrassend vaak voorkomt in de industrie. [thestack]


Datalek bij Vans: Klanten gewaarschuwd

Kleding- en schoenenmerk Vans heeft klanten geïnformeerd over een datalek veroorzaakt door een cyberaanval in december. Het moederbedrijf VF Groep detecteerde 'ongeautoriseerde activiteiten' binnen hun IT-systemen, waarbij persoonlijke klantgegevens zijn buitgemaakt. Hoewel gedetailleerde financiële informatie en wachtwoorden veilig bleven, kunnen de gelekte gegevens, zoals e-mailadressen, namen, telefoonnummers, en adressen, misbruikt worden voor fraude of identiteitsdiefstal. Het lek werd ontdekt op 13 december en was binnen twee dagen na ontdekking gedicht met hulp van cyberbeveiligingsexperts. Vans benadrukt dat er geen betalingsinformatie is gelekt, maar waarschuwt klanten voor mogelijke phishingpogingen. Het bedrijf heeft de politie ingelicht en gaat zijn cyberbeveiligingsbeleid herzien. Klanten worden aangeraden waakzaam te zijn voor verdachte communicatie die om persoonlijke informatie vraagt.


Respawn pakt cyberveiligheid Apex Legends aan na finale hack

Respawn Entertainment heeft ingegrepen na een hackincident tijdens de finale van Apex Legends, waarbij professionele spelers het slachtoffer werden van ongewenste softwaremanipulaties. Spelers ontdekten plotseling dat ze konden valsspelen door middel van wallhacks en aimbots, wat wijst op serieuze beveiligingsproblemen. Het bedrijf legde het toernooi stil om de cyberaanval te onderzoeken en heeft inmiddels de eerste van meerdere geplande updates uitgerold om de veiligheid van de gamegemeenschap te verhogen.Een persoon met de online alias Destroyer2009 eiste verantwoordelijkheid op voor de aanval en beweerde tegenover TechCrunch dat het doel was om de ontwikkelaars te dwingen een kwetsbaarheid aan te pakken. Deze kwetsbaarheid zou volgens de aanvaller niet gerelateerd zijn aan de servers maar ligt binnen het gameproces zelf. Details over hoe de hack precies is uitgevoerd of over de specifieke kwetsbaarheid werden niet vrijgegeven, maar de aanvaller verzekerde dat Respawn op de hoogte is van de nodige maatregelen voor een oplossing. Het incident onderstreept het belang van cybersecurity in de gamingindustrie en de noodzaak voor ontwikkelaars om continu de beveiliging van hun spellen en de bescherming van spelers te verbeteren. [tweakers]


Nieuwe 'Loop DoS'-aanval bedreigt 300.000 online systemen

Een recent onthulde cyberaanval, genaamd 'Loop DoS', brengt potentieel 300.000 online systemen in gevaar door applicatielaagprotocollen te manipuleren, waardoor netwerkdiensten in een oneindige communicatielus belanden. Dit fenomeen genereert excessief veel netwerkverkeer, wat kan leiden tot een denial-of-service (DoS) situatie. Onderzoekers van het CISPA Helmholtz-Centrum voor Informatiebeveiliging hebben deze kwetsbaarheid, aangeduid als CVE-2024-2169, geïdentificeerd in het User Datagram Protocol (UDP), wat bijzonder vatbaar is voor IP-spoofing en onvoldoende pakketverificatie biedt. Deze kwetsbaarheid maakt het voor aanvallers mogelijk om zonder limiet verkeer te genereren, wat de dienstverlening ernstig kan verstoren of zelfs hele netwerken kan uitschakelen. De aanval kan ingezet worden met slechts één bericht vanaf een enkele host en heeft potentieel drie uitkomsten: overbelasting van kwetsbare diensten, netwerkuitvallen, of versterkte DoS/DDoS-aanvallen door netwerklussen. Getroffen leveranciers, waaronder Broadcom, Cisco, Honeywell, Microsoft, en MikroTik, zijn gewaarschuwd en werken aan oplossingen. Om zich tegen deze aanval te wapenen, adviseren experts het installeren van recente patches, het uitschakelen van onnodige UDP-diensten, en het implementeren van anti-spoofing oplossingen en verkeersbeperkende maatregelen. [cispa]


Cyberaanval via Twitter: Onverwachte Websites Door Misleidende Links

Gebruikers van het socialemediaplatform X (voorheen Twitter) ervaren verwarring wanneer ze op externe links klikken en vervolgens op totaal andere websites uitkomen dan verwacht. Een voorbeeld hiervan is een advertentie die leek te linken naar Forbes.com, maar in werkelijkheid gebruikers doorstuurde naar een Telegram-account dat crypto-oplichting promoot. Dit gebeurt omdat X probeert de uiteindelijke bestemming van een URL te tonen in plaats van de eerste website waar de link naar verwijst. Dit proces faalt wanneer de tussenliggende site, zoals joinchannelnow[.]net, onderscheid maakt tussen verzoeken van browsers en bots. Bij verzoeken van browsers wordt de gebruiker doorgestuurd naar de dubieuze Telegram-account, terwijl bots naar een legitiem Forbes-artikel worden geleid. Dit verschil in behandeling zorgt ervoor dat X misleid wordt en een onjuiste bestemmingsnaam weergeeft. Het probleem is vooral nijpend op mobiele apps van X, waar gebruikers niet eenvoudig kunnen zien naar welke URL een link leidt voordat ze klikken. Dit opent deuren voor misbruik door cybercriminelen, variërend van crypto-oplichters tot verspreiders van malware en phishing. Daarom wordt geadviseerd om extra voorzichtig te zijn met het klikken op externe links in posts en advertenties op X.


πŸ‡§πŸ‡ͺ Cyberaanval treft zorgwinkelketen Goed (CM)

Zorgwinkelketen Goed, onderdeel van de Christelijke Mutualiteit (CM), is recent het slachtoffer geworden van een cyberaanval. De details omtrent de aanval zijn schaars, en het blijft onduidelijk of er tijdens deze digitale inbraak gevoelige informatie in handen van de hackers is gevallen. Deze gebeurtenis werpt opnieuw licht op de kwetsbaarheid van commerciële en zorggerelateerde instellingen voor cybercriminaliteit. Het incident bij Goed benadrukt de noodzaak voor organisaties om hun cyberbeveiliging continu te evalueren en te versterken, om zo de privacy en veiligheid van hun klantgegevens te waarborgen. Dit voorval is een duidelijke herinnering aan het feit dat geen enkele sector immuun is voor de dreigingen vanuit het digitale domein. [tijd]


Verhoogde Cyberdreiging op Amerikaanse Waterinfrastructuur

De Amerikaanse Nationale Veiligheidsadviseur Jake Sullivan en de Administrator van de Environmental Protection Agency (EPA), Michael Regan, hebben een waarschuwing geuit over cyberaanvallen op kritieke waterinfrastructuur. In een brief aan de gouverneurs benadrukten zij het belang van verdediging tegen en herstel na cyberaanvallen op drinkwater- en afvalwatersystemen. Veel van deze systemen hebben nog geen essentiële cyberbeveiligingspraktijken geadopteerd, wat ze kwetsbaar maakt voor aanvallen. De EPA en de National Security Council (NSC) organiseren een virtuele vergadering op 21 maart om de samenwerking te versterken en een Water Sector Cybersecurity Task Force op te richten. Deze taskforce zal zich richten op het identificeren van acties en strategieën om de risico's van cyberaanvallen landelijk te minimaliseren. De oproep volgt op een gezamenlijke lijst van verdedigingsmaatregelen door CISA, de FBI, en de EPA na recente aanvallen door Iraanse en Chinese staatsondersteunde groepen. CISA heeft ook een gratis beveiligingsscanprogramma gelanceerd om waterfaciliteiten te helpen bij het vinden van beveiligingslacunes. De Amerikaanse waterinfrastructuur is de afgelopen tien jaar meerdere malen getroffen door inbraken, soms resulterend in ransomware-aanvallen die aanzienlijke schade hebben aangericht. [epa]


Verdedigingstips tegen Chinese Hackers voor Cruciale Infrastructuur

De Cybersecurity and Infrastructure Security Agency (CISA) samen met de National Security Agency (NSA), de Federal Bureau of Investigation (FBI), en diverse andere agentschappen in de VS en wereldwijd, hebben leiders van cruciale infrastructuur gewaarschuwd voor het beschermen van hun systemen tegen aanvallen van de Chinese hackersgroep Volt Typhoon. Deze waarschuwing is een onderdeel van een bredere inspanning, inclusief adviezen van de Five Eyes cybersecurity agentschappen uit Australië, Canada, het Verenigd Koninkrijk en Nieuw-Zeeland, om deze infrastructuur te verdedigen tegen de specifieke tactieken en doelwitten van Volt Typhoon. De groep, ook bekend onder de naam Bronze Silhouette, richt zich op Operational Technology (OT) assets binnen netwerken, potentieel om cruciale infrastructuur te verstoren tijdens militaire conflicten of geopolitiekespanningen. De Amerikaanse autoriteiten hebben vastgesteld dat Chinese hackers meerdere Amerikaanse cruciale infrastructuurorganisaties hebben geschonden, met toegang tot ten minste één organisatie voor meer dan vijf jaar voordat dit ontdekt werd. Als reactie hierop hebben CISA en partneragentschappen aanbevolen om cybersecurity teams te versterken, de bevoorradingsketen te beveiligen, en prestatiebeheer uitkomsten af te stemmen op de cyberdoelen van de organisatie. Sleutelpraktijken omvatten het inschakelen van logging voor applicaties en systemen, en het centraliseren van logopslag voor effectieve detectie en mitigatie van aanvallen. Verder is na de ontmanteling van de door Volt Typhoon gebruikte KV-botnet, een oproep gedaan aan fabrikanten van SOHO-routers om deze apparaten beter te beveiligen tegen aanvallen. [cisa, pdf]


Nieuwe AcidPour Malware Richt Zich Op Linux x86 Netwerkapparatuur

Een recent ontdekte destructieve malware, genaamd AcidPour, is in het wild waargenomen en valt specifiek Linux x86 IoT- en netwerkapparaten aan met zijn data-wiper functionaliteit. Deze soort malware, ontworpen om gegevens en bestanden op doelwitapparatuur te verwijderen, wordt vaak ingezet voor politieke doeleinden of als afleiding bij grotere aanvallen. AcidPour, geïdentificeerd door beveiligingsonderzoeker Tom Hegel van SentinelLabs, is een variant van de eerder bekende AcidRain data-wiper, die routers en modems wiste en ingezet werd bij een cyberaanval op satellietcommunicatie provider Viasat. Dit had grote gevolgen voor de dienstverlening in Oekraïne en Europa. AcidPour, waarvan de code voor ongeveer 30% overeenkomt met AcidRain, toont ontwikkeling of mogelijk een andere oorsprong. Het deelt bepaalde technieken met eerdere malware, zoals het gebruik van input/output control (IOCTL)-gebaseerde wistechnieken, en richt zich op apparaten met flashgeheugen en virtuele blokapparaten gebruikt in RAID-arrays van netwerkopslagsystemen. De malware zou een breder scala aan apparaten kunnen aanvallen dan zijn voorganger, wat zorgen baart binnen de cyberbeveiligingsgemeenschap. De NSA's directeur van cybersecurity, Rob Joyce, benadrukte het belang van waakzaamheid tegenover deze krachtigere variant van AcidRain. [virustotal]


Geavanceerde Malware Verspreid via Valse Google Sites met HTML-Smokkeltechniek

Cybersecurity-onderzoekers hebben een slimme malwareverspreidingstactiek aan het licht gebracht, waarbij aanvallers valse Google Sites gebruiken om AZORult malware te verspreiden. Deze malware, gericht op informatiediefstal, wordt geleverd via een unieke methode genaamd HTML-smokkel. Deze techniek maakt misbruik van legitieme HTML5- en JavaScript-functionaliteiten om een kwaadaardige lading te verbergen en te activeren zonder de gebruikelijke beveiligingscontroles. De aanvallers hebben deze campagne niet toegeschreven aan een specifieke groep, maar het is duidelijk gericht op het verzamelen van gevoelige informatie voor verkoop op donkere webforums. AZORult, een bekende informatiedief sinds 2016, kan inloggegevens, browsergeschiedenis, en bestanden van bepaalde types stelen, evenals informatie uit meer dan 100 soorten cryptocurrency-wallets. De nieuwste variant van de malware voegt een listige draai toe door een CAPTCHA te gebruiken om detectie te vermijden en een schijn van legitimiteit te bieden. De malwarecampagne gebruikt ook geavanceerde technieken om detectie te omzeilen, zoals het leveren van de malware via een gecodeerd PowerShell-script en het gebruik van een AMSI-bypass-techniek. Deze methoden helpen de malware te verbergen voor anti-malwareproducten. Het doel is om het slachtoffer te misleiden door het gebruik van legitiem ogende domeinen zoals Google Sites, waardoor de kans groter wordt dat de phishing-poging succesvol is. Deze ontdekking volgt op recente berichten over het gebruik van kwaadaardige SVG-bestanden en snelkoppelingsbestanden om andere soorten malware te verspreiden, wat wijst op een trend van steeds geraffineerdere methoden die door cybercriminelen worden gebruikt om beveiligingsmaatregelen te omzeilen en schadelijke software te leveren.


VN Rapporteert Zorgen over Noord-Korea's Cyberactiviteiten en Cryptocriminaliteit

In een recent rapport uiten de Verenigde Naties (VN) hun zorgen over de betrokkenheid van Noord-Korea bij cyberaanvallen en de rol van cryptovaluta hierin. Volgens de VN-Veiligheidsraad verdient Noord-Korea een significant deel van zijn buitenlandse valutainkomsten via cybercriminaliteit, met een geschatte $3 miljard ontvreemd via crypto-hacks. Het rapport benadrukt de afhankelijkheid van het land van deze activiteiten als een belangrijke inkomstenbron, waarbij cybercriminaliteit bijna de helft van de inkomsten uit vreemde valuta vormt. De Lazarus Group, gelieerd aan Noord-Korea, heeft wereldwijd diverse cyberaanvallen uitgevoerd, gericht op onder andere DeFi protocollen en cryptobeurzen. Deze situatie baart internationaal zorgen, vooral vanwege de vele sancties tegen Noord-Korea die bedoeld zijn om de financiering van het land uit te drogen. Het rapport wijst er ook op dat de kosten van cyberaanvallen bijna 40% van de uitgaven voor de ontwikkeling van massavernietigingswapens dekken. Ondanks dat het rapport zelf geen juridische gevolgen heeft, roept het op tot een heroverweging van sancties en maatregelen tegen het misbruik van cryptovaluta door Noord-Korea.


Cyberaanval treft Pensacola (VS): Storing in stadscommunicatiesystemen

Afgelopen weekend leek de stad Pensacola het slachtoffer te zijn geworden van een cyberaanval. De stadssystemen ondervonden een beveiligingsincident waardoor het niet-noodgevallen telefoonsysteem uitviel. Belangrijke diensten zoals de politie- en brandweerdepartementen bleven operationeel, net als andere cruciale stadsafdelingen, waaronder de haven van Pensacola en de internationale luchthaven van Pensacola. Dit incident vertoont gelijkenissen met de ransomware-aanval die de stad in 2019 trof. Burgemeester D.C. Reeves heeft aangegeven momenteel geen commentaar te kunnen geven vanwege het lopende onderzoek. De gevolgen van de inbreuk, zoals welke systemen specifiek getroffen zijn of of er gegevens zijn gecompromitteerd, zijn nog onduidelijk. Een geplande gemeenteraadsvergadering zal doorgaan, maar zonder live-uitzending. In reactie op het incident heeft de stad alternatieve telefoonnummers voor verschillende diensten ingesteld en blijft de toegang tot e-mail voor stadspersoneel behouden. Nooddiensten zoals 911 zijn niet beïnvloed. In 2019 kon de stad, na een ransomware-aanval en datadiefstal, haar systemen herstellen zonder losgeld te betalen, dankzij veilige datarug-ups, al waren de kosten voor cybersecurityadvies en identiteitsdiefstalbescherming aanzienlijk. [pnj]


Chinese Hackinggroep 'Earth Krahang' Compromitteert 70 Organisaties Wereldwijd

Een geavanceerde hackcampagne, uitgevoerd door de Chinese cyberdreigingsgroep 'Earth Krahang', heeft succesvol 70 organisaties binnengedrongen en minstens 116 doelwitten in 45 landen op de korrel genomen. Deze operatie, die begin 2022 van start ging, richt zich voornamelijk op overheidsinstellingen, waarbij 48 overheden en 10 ministeries van Buitenlandse Zaken zijn gecompromitteerd. De groep maakt gebruik van kwetsbaarheden in internetfacing servers en spear-phishing e-mails om aangepaste backdoors te installeren voor cyberespionage. Door hun aanwezigheid op gecompromitteerde overheidsnetwerken kunnen ze aanvallen op andere regeringen uitvoeren, VPN-servers opzetten op geïnfecteerde systemen en brute-force aanvallen uitvoeren om wachtwoorden van e-mailaccounts te kraken. Trend Micro, die de activiteiten in de gaten houdt, merkt op dat 'Earth Krahang' naast overheidssystemen ook gebruikmaakt van geavanceerde malware en technieken, zoals Cobalt Strike en XDealer, om commando's uit te voeren en gegevens te verzamelen. Dit illustreert de hoge mate van verfijning en het gevaar dat deze groep vormt voor de internationale cyberveiligheid. [trendmicro]


Britse Overheid Prijst British Library voor Standvastigheid tegen Ransomware

De Britse overheid heeft haar dankbaarheid geuit aan de British Library voor het niet voldoen aan losgeldeisen na een ransomware-aanval, een standpunt onderstreept in een brief gepubliceerd door The Guardian. De aanval, die eind oktober vorig jaar plaatsvond, resulteerde in de diefstal van 600 gigabyte aan gegevens, waaronder persoonlijke informatie. Deze dreiging werd verergerd door de compromittering van een Terminal Services-server, die verhoogde toegang bood vanwege de COVID-19-pandemie, zonder de bescherming van multifactorauthenticatie. De gevolgen waren aanzienlijk, met aanzienlijke schade aan de IT-systemen van de bibliotheek en pogingen van de aanvallers om hun digitale sporen uit te wissen, wat het herstel en de forensische analyse bemoeilijkte. De totale kosten van de aanval zijn nog onduidelijk, maar de bibliotheek koos ervoor het losgeld niet te betalen, in lijn met het beleid van de Britse overheid. Deze beslissing werd publiekelijk geprezen door Felicity Oswald, interim CEO van het Britse National Cyber Security Centre, die benadrukte dat het betalen van losgeld cybercriminelen alleen maar aanmoedigt. [pdf]


Toename AceCryptor-aanvallen in Europa

ESET Research heeft een significante toename waargenomen van AceCryptor-aanvallen in Europa, gericht op landen zoals Spanje, Polen, Slowakije, Bulgarije, en Servië. Deze aanvallen, die in de tweede helft van 2023 zijn verdrievoudigd, dienden als een eerste compromisvector om e-mail- en browsergegevens van bedrijven te onderscheppen voor verdere aanvallen. De cybercriminelen gebruikten hiervoor de Rescoms remote access tool (RAT), waarbij in sommige gevallen legitieme, maar gecompromitteerde accounts werden misbruikt om geloofwaardige spam-mails te versturen. Deze praktijken waren voornamelijk gericht op het verkrijgen van inloggegevens uit browsers of e-mailclients, waardoor verdere aanvallen, zoals met ransomware, mogelijk werden. ESET benadrukt het belang van waakzaamheid bij het openen van e-mailbijlagen en het gebruik van betrouwbare endpoint-beveiligingssoftware. De geografische focus van de aanvallen is verschoven van landen als Peru, Mexico, Egypte, en Turkije naar voornamelijk Europese landen, waarbij Poolse bedrijven specifiek werden getarget met op maat gemaakte spam-campagnes. Deze ontwikkelingen onderstrepen de noodzaak van geavanceerde beveiligingsoplossingen en bewustzijn over cyberveiligheid om bedrijven en individuen te beschermen tegen de steeds evoluerende digitale dreigingen. [eset]


AndroxGh0st: Een Sluwe Bedreiging voor Laravel-apps en Cloudgegevens

Cybersecurity-experts hebben onlangs de schijnwerper gericht op AndroxGh0st, een geavanceerde malware die specifiek Laravel-applicaties viseert om gevoelige informatie te ontvreemden. Deze kwaadaardige software speurt naar en ontvreemdt cruciale data uit .env-bestanden, met als voornaamste doelwit de inloggegevens voor cloudservices zoals AWS en Twilio. Door misbruik te maken van zwakheden in SMTP, implementeert AndroxGh0st verschillende aanvalsstrategieën, waaronder credential stuffing, webshell-plaatsing en kwetsbaarheidsscanning, om zo diepgaande toegang tot getroffen systemen te verkrijgen. Gedetecteerd sinds 2022, benut AndroxGh0st bekende beveiligingslekken binnen de Apache HTTP Server, Laravel Framework en PHPUnit, wat leidt tot initiële toegang, escalatie en handhaving van privileges binnen doelsystemen. Bovendien hebben recente waarschuwingen van Amerikaanse cyberveiligheidsinstanties het licht geworpen op het gebruik van deze malware voor de creatie van een botnet, gericht op de identificatie en exploitatie van slachtoffers. AndroxGh0st's veelzijdigheid stelt het in staat om uitgebreide gegevens, inclusief database-informatie en cloudcredentials, te extraheren en aanvallers te voorzien van middelen om aanvullende malware te leveren. Met een toenemende activiteit rond het misbruiken van specifieke kwetsbaarheden, benadrukken experts het belang van het updaten van systemen naar de nieuwste versies en het waakzaam blijven voor verdachte activiteiten binnen cloudomgevingen. [techidee]


Fujitsu Ervaart Groot Datalek Door Malware-infectie

Het Japanse technologiebedrijf Fujitsu heeft ontdekt dat malware verschillende van haar systemen heeft geïnfecteerd, wat heeft geleid tot een datalek waarbij klantgegevens zijn gestolen. Als de zesde grootste IT-dienstverlener ter wereld, met 124.000 werknemers en een jaarlijkse omzet van $23,9 miljard, speelt Fujitsu een cruciale rol in de wereldwijde markt en heeft het een sterke band met de Japanse overheid. Het bedrijf biedt een breed scala aan producten en diensten, waaronder servers, opslagsystemen, software, telecommunicatieapparatuur, cloudoplossingen, systeemintegratie en IT-consultancy. Het recente beveiligingsincident heeft geleid tot de compromittering van gevoelige klantinformatie. Fujitsu heeft maatregelen getroffen om de getroffen systemen te isoleren en heeft de monitoring van haar netwerken versterkt. Er wordt nog onderzocht hoe de malwaretoegang heeft gekregen tot de systemen en welke gegevens precies zijn buitgemaakt. Hoewel er tot nu toe geen misbruik van de gestolen data is gemeld, heeft Fujitsu de Personal Information Protection Commission ingelicht en bereidt het individuele kennisgevingen voor de getroffen klanten voor. Dit incident volgt op een hack in 2021, waarbij Fujitsu's ProjectWEB-tool werd misbruikt om toegang te krijgen tot Japanse overheidsinstanties, wat resulteerde in de diefstal van 76.000 e-mailadressen en gevoelige gegevens. [fujitsu]


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Meer weekoverzichten

Oktober 2024

Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »
September 2024